Come AWS Config funziona - AWS Config
Distribuisci gli elementi della configurazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come AWS Config funziona

All'accensione AWS Config, rileva innanzitutto AWS le risorse supportate presenti nel tuo account e genera un elemento di configurazione per ogni risorsa.

AWS Config genera inoltre elementi di configurazione quando la configurazione di una risorsa cambia e conserva i record cronologici degli elementi di configurazione delle risorse dal momento in cui si avvia il registratore di configurazione. Per impostazione predefinita, AWS Config crea elementi di configurazione per ogni risorsa supportata nella regione. Se non si desidera AWS Config creare elementi di configurazione per tutte le risorse supportate, è possibile specificare i tipi di risorse di cui si desidera tenere traccia.

Prima di specificare un tipo di risorsa da AWS Config monitorare, controlla la disponibilità della copertura delle risorse per regione per verificare se il tipo di risorsa è supportato nella AWS regione in cui stai effettuando la configurazione AWS Config. Se un tipo di risorsa è supportato da AWS Config almeno una regione, puoi abilitare la registrazione di quel tipo di risorsa in tutte le regioni supportate dalla AWS regione in cui stai AWS Config configurando AWS Config, anche se il tipo di risorsa specificato non è supportato.

AWS Config tiene traccia di tutte le modifiche alle tue risorse richiamando la chiamata API Descrivi o List per ogni risorsa del tuo account. Il servizio utilizza le stesse chiamate API per acquisire i dettagli della configurazione per tutte le risorse correlate.

Ad esempio, se si rimuove una regola di uscita da un gruppo di sicurezza VPC, viene AWS Config richiamata una chiamata API Descrive sul gruppo di sicurezza. AWS Config quindi richiama una chiamata API Descrivi su tutte le istanze associate al gruppo di sicurezza. Le configurazioni aggiornate del gruppo di sicurezza (la risorsa) e di ciascuna istanza (le risorse correlate) sono registrate come elementi della configurazione e distribuite in un flusso di configurazione su un bucket Amazon Simple Storage Service (Amazon S3).

AWS Config tiene traccia anche delle modifiche alla configurazione che non sono state avviate dall'API. AWS Config esamina periodicamente le configurazioni delle risorse e genera elementi di configurazione per le configurazioni che sono state modificate.

Se si utilizzano AWS Config regole, valuta AWS Config continuamente le configurazioni AWS delle risorse per verificare le impostazioni desiderate. A seconda della regola, AWS Config valuterà le risorse in risposta alle modifiche di configurazione o periodicamente. Ogni regola è associata a una funzione AWS Lambda , che contiene la logica di valutazione della regola. Quando AWS Config valuta le risorse, richiama la funzione della regola. AWS Lambda La funzione restituisce lo stato di conformità delle risorse valutate. Se una risorsa viola le condizioni di una regola, AWS Config contrassegna la risorsa e la regola come non conformi. Quando lo stato di conformità di una risorsa cambia, AWS Config invia una notifica al tuo argomento Amazon SNS. L'immagine seguente mostra una panoramica di come AWS Config funziona.

Come AWS Config funziona.
Nota

Non riesco a vedere le mie ultime modifiche alla configurazione

AWS Config di solito registra le modifiche alla configurazione delle risorse subito dopo che viene rilevata una modifica o alla frequenza specificata. Tuttavia, questa operazione viene effettuata con il massimo impegno e a volte può richiedere più tempo. Se i problemi persistono dopo qualche tempo, contatta AWS Supporte fornisci le tue AWS Config metriche supportate da Amazon. CloudWatch Per informazioni su queste metriche, consulta Metriche di AWS Config utilizzo e successo.

Distribuisci gli elementi della configurazione

AWS Config può fornire elementi di configurazione tramite uno dei seguenti canali:

Bucket Amazon S3

AWS Config tiene traccia delle modifiche nella configurazione delle AWS risorse e invia regolarmente dettagli di configurazione aggiornati a un bucket Amazon S3 da te specificato. Per ogni tipo di risorsa AWS Config registrato, invia un file di cronologia della configurazione ogni sei ore. Ogni file cronologia della configurazione contiene i dettagli sulle risorse che sono state modificate in tale periodo di sei ore. Ogni file include risorse di un solo tipo, ad esempio istanze Amazon EC2 o volumi Amazon EBS. Se non viene apportata alcuna modifica alla configurazione, AWS Config non invia un file.

AWS Config invia uno snapshot di configurazione al tuo bucket Amazon S3 quando usi deliver-config-snapshotil comando con la AWS CLI o quando usi DeliverConfigSnapshotl'azione con l'API. AWS Config Uno snapshot di configurazione contiene i dettagli di configurazione per tutte le risorse registrate nel tuo account. AWS Config AWS Il file della cronologia della configurazione e lo snapshot della configurazione sono in formato JSON.

Nota

AWS Config fornisce solo i file di cronologia della configurazione e le istantanee di configurazione al bucket S3 specificato; AWS Config non modifica le politiche del ciclo di vita per gli oggetti nel bucket S3. Puoi utilizzare policy del ciclo di vita per specificare se desideri eliminare o archiviare gli oggetti in Amazon S3 Glacier. Per ulteriori informazioni, consulta Gestione della configurazione del ciclo di vita nella Guida per l'utente di Amazon Simple Storage Service. Puoi anche consultare il post Archiviazione dei dati Amazon S3 su S3 Glacier sul blog.

Argomento Amazon SNS

Un argomento Amazon Simple Notification Service (Amazon SNS) è un canale di comunicazione che Amazon SNS utilizza per distribuire i messaggi (o le notifiche) verso endpoint di sottoscrizione, ad esempio un indirizzo e-mail o client. Altri tipi di notifiche Amazon SNS includono messaggi di notifica push verso applicazioni su cellulari, notifiche SMS (Short Message Service) verso cellulari e smartphone abilitati e richieste HTTP POST. Per ottenere i risultati migliori, utilizza Amazon SQS come endpoint di notifica per l'argomento SNS ed elabora poi le informazioni contenute nella notifica a livello di programmazione.

AWS Config utilizza l'argomento Amazon SNS che hai specificato per inviarti notifiche. Il tipo di notifica che ricevi è indicato dal valore della chiave messageType nel corpo messaggio, come nell'esempio seguente:

"messageType": "ConfigurationHistoryDeliveryCompleted"

Le notifiche possono appartenere a uno qualsiasi di questi tipi di messaggi:

ComplianceChangeNotification

Il tipo di conformità di una risorsa che AWS Config valuta è cambiato. Il tipo di conformità indica se la risorsa è conforme a una AWS Config regola specifica ed è rappresentato dalla ComplianceType chiave del messaggio. Il messaggio include oggetti newEvaluationResult e oldEvaluationResult per il confronto.

ConfigRulesEvaluationStarted

AWS Config ha iniziato a valutare la tua regola rispetto alle risorse specificate.

ConfigurationSnapshotDeliveryStarted

AWS Config ha iniziato a fornire lo snapshot di configurazione al tuo bucket Amazon S3. Il nome del bucket Amazon S3 viene indicato dalla chiave s3Bucket nel messaggio.

ConfigurationSnapshotDeliveryCompleted

AWS Config ha inviato con successo lo snapshot di configurazione al tuo bucket Amazon S3.

ConfigurationSnapshotDeliveryFailed

AWS Config non è riuscito a fornire lo snapshot di configurazione al tuo bucket Amazon S3.

ConfigurationHistoryDeliveryCompleted

AWS Config ha inviato con successo la cronologia di configurazione al tuo bucket Amazon S3.

ConfigurationItemChangeNotification

Una risorsa è stata creata, eliminata o modificata nella configurazione. Questo messaggio include i dettagli dell'elemento di configurazione AWS Config creato per questa modifica e include il tipo di modifica. Queste notifiche vengono distribuiti entro pochi minuti dalla modifica e sono collettivamente note con il nome di flusso di configurazione.

OversizedConfigurationItemChangeNotification

Questo tipo di messaggio viene recapitato quando la notifica della modifica di un elemento della configurazione supera le dimensioni massime consentite da Amazon SNS. Il messaggio include un riepilogo dell'elemento della configurazione. Ad eccezione dei messaggi SMS, i messaggi Amazon SNS possono contenere fino a 256 KB di dati di testo, tra cui XML, JSON e testo non formattato. Puoi visualizzare la notifica completa seguendo il percorso del bucket Amazon S3 specificato.

OversizedConfigurationItemChangeDeliveryFailed

AWS Config non è riuscito a inviare la notifica di modifica dell'elemento di configurazione sovradimensionato al tuo bucket Amazon S3.

Per degli esempi di notifiche, consulta Notifiche che AWS Config Invia a un argomento Amazon SNS.

Per ulteriori informazioni su Amazon SNS, consultare la Guida per gli sviluppatori di Amazon Simple Notification Service.