Funzionamento di AWS Config - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Funzionamento di AWS Config

Quando attivi AWS Config, per prima cosa individua le risorse AWS supportate esistenti nel tuo account e genera un elemento della configurazione per ciascuna risorsa.

AWS Config genera inoltre elementi della configurazione quando la configurazione di una risorsa subisce una modifica, e mantiene una registrazione cronologica degli elementi della configurazione delle risorse a partire dal momento in cui la registrazione della configurazione viene avviata. Per impostazione predefinita, AWS Config crea elementi della configurazione per ogni risorsa supportata nella regione. Se non vuoi che AWS Config crei elementi della configurazione per tutte le risorse supportate, puoi specificare i tipi di risorse che desideri monitorare.

AWS Config tiene traccia di tutte le modifiche apportate alle risorse tramite le chiamate API Describe o List per ciascuna risorsa del tuo account. Il servizio utilizza le stesse chiamate API per acquisire i dettagli della configurazione per tutte le risorse correlate.

Ad esempio, la rimozione di una regola in uscita da un gruppo di sicurezza VPC fa sì che AWS Config esegua una chiamata API Describe sul gruppo di sicurezza. AWS Config esegue quindi una chiamata API Describe su tutte le istanze associate al gruppo di sicurezza. Le configurazioni aggiornate del gruppo di sicurezza (la risorsa) e di ciascuna istanza (le risorse correlate) sono registrate come elementi della configurazione e distribuite in un flusso di configurazione su un bucket Amazon Simple Storage Service (Amazon S3).

AWS Config tiene anche traccia delle modifiche della configurazione che non sono originati dall'API. AWS Config esamina periodicamente le configurazioni delle risorse e genera elementi della configurazione per le configurazioni che hanno subito modifiche.

Se stai usando le regole AWS Config, AWS Config valuta continuamente le risorse AWS rispetto alle impostazioni desiderate. A seconda della regola, AWS Config valuterà le risorse in risposta a modifiche della configurazione o periodicamente. Ogni regola è associata a una funzione AWS Lambda, che contiene la logica di valutazione della regola. Quando AWS Config valuta le risorse, richiama la funzione AWS Lambda della regola. La funzione restituisce lo stato di conformità delle risorse valutate. Se una risorsa viola le condizioni di una regola, AWS Config contrassegna la risorsa e la regola come non conformi. Quando lo stato di conformità di una risorsa si modifica,AWS Configinvia una notifica al tuo argomento Amazon SNS.


        Come funziona AWS Config.

Distribuisci gli elementi della configurazione

AWS Config è in grado di distribuire gli elementi della configurazione tramite uno dei seguenti canali:

Bucket Amazon S3

AWS Configtiene traccia delle modifiche nella configurazione del tuoAWSle risorse e invia regolarmente i dettagli della configurazione aggiornata su un bucket Amazon S3 specificato dall'utente. Per ogni tipo di risorsa che AWS Config registra, invia un file della cronologia della configurazione ogni sei ore. Ogni file cronologia della configurazione contiene i dettagli sulle risorse che sono state modificate in tale periodo di sei ore. Ogni file include risorse di un solo tipo, ad esempio istanze Amazon EC2 o volumi Amazon EBS. Se non avviene nessuna modifica della configurazione, AWS Config non invia nessun file.

AWS Configinvia una richiestasnapshot della configurazioneverso il bucket Amazon S3 quando utilizzideliver-config-snapshotcomando con ilAWSCLI, o quando si utilizza ilDeliverConfigSnapshotoperazione con ilAWS ConfigAPI. Uno snapshot della configurazione contiene i dettagli di configurazione di tutte le risorse registrate da AWS Config nel tuo account AWS. Il file della cronologia della configurazione e lo snapshot della configurazione sono in formato JSON.

Nota

AWS Config usa il bucket S3 specificato solo per distribuire il file della cronologia della configurazione e lo snapshot della configurazione; AWS Config non modifica le policy del ciclo di vita per gli oggetti presenti nel bucket S3. Puoi utilizzare policy del ciclo di vita per specificare come desideri eliminare o archiviare gli oggetti in Amazon S3 Glacier. Per ulteriori informazioni, consultaGestione della configurazione del ciclo di vitanellaGuida utente di Amazon Simple Storage Service. È inoltre possibile consultare ilArchiviazione di dati Amazon S3 su S3 Glacierpost del blog.

Argomento Amazon SNS

Un argomento Amazon Simple Notification Service (Amazon SNS) è un canale di comunicazione che Amazon SNS utilizza per distribuire i messaggi (onotifiche) per la sottoscrizione di endpoint come un indirizzo email o client. Altri tipi di notifiche di Amazon SNS sono i messaggi di notifica push verso applicazioni su cellulari, notifiche SMS (Short Message Service) verso cellulari e smartphone abilitati e richieste HTTP POST. Per ottimizzare i risultati, utilizza Amazon SQS come endpoint di notifica per l'argomento SNS e quindi elabora le informazioni contenute nella notifica a livello di programmazione.

AWS Configutilizza l'argomento Amazon SNS che specifichi per inviarti le notifiche. Il tipo di notifica che ricevi è indicato dal valore della chiave messageType nel corpo messaggio, come nell'esempio seguente:

"messageType": "ConfigurationHistoryDeliveryCompleted"

Le notifiche possono appartenere a uno qualsiasi di questi tipi di messaggi:

ComplianceChangeNotification

Lo stato della conformità di una risorsa che AWS Config ha valutato si è modificato. Il tipo di conformità indica se la risorsa soddisfa una regola AWS Config specifica, ed è rappresentato dalla chiave ComplianceType nel messaggio. Il messaggio include oggetti newEvaluationResult e oldEvaluationResult per il confronto.

ConfigRulesEvaluationStarted

AWS Config ha avviato valutazione delle specifiche risorse rispetto alla regola.

ConfigurationSnapshotDeliveryStarted

AWS Configha avviato la distribuzione dello snapshot della configurazione verso il bucket Amazon S3. Il nome del bucket Amazon S3 è fornito per la richiestas3Bucketchiave nel messaggio.

ConfigurationSnapshotDeliveryCompleted

AWS Configha completato correttamente la distribuzione dello snapshot della configurazione verso il bucket Amazon S3.

ConfigurationSnapshotDeliveryFailed

AWS Confignon è riuscito a completare correttamente la distribuzione dello snapshot della configurazione verso il bucket Amazon S3.

ConfigurationHistoryDeliveryCompleted

AWS Configha completato correttamente la distribuzione della cronologia della configurazione verso il bucket Amazon S3.

ConfigurationItemChangeNotification

Una risorsa è stata creata, eliminata o modificata nella configurazione. Questo messaggio include i dettagli dell'elemento della configurazione che AWS Config crea per questa modifica e include il tipo di modifica. Queste notifiche vengono distribuiti entro pochi minuti dalla modifica e sono collettivamente note con il nome di flusso di configurazione.

OversizedConfigurationItemChangeNotification

Questo tipo di messaggio viene recapitato quando una notifica di modifica dell'articolo della configurazione supera le dimensioni massime consentite da Amazon SNS. Il messaggio include un riepilogo dell'elemento della configurazione. Ad eccezione dei messaggi SMS, i messaggi Amazon SNS possono contenere fino a 256 KB di dati di testo, inclusi XML, JSON e testo non formattato. Puoi visualizzare la notifica completa utilizzando il percorso del bucket Amazon S3.

OversizedConfigurationItemChangeDeliveryFailed

AWS Confignon è riuscito a completare correttamente la notifica della modifica dell'elemento della configurazione sovradimensionata verso il bucket Amazon S3.

Per degli esempi di notifiche, consulta Notifiche che AWS Config Invia a un argomento Amazon SNS.

Per ulteriori informazioni su Amazon SNS, consultare la Guida per gli sviluppatori di Amazon Simple Notification Service.