什么是 AWS Config？

AWS Config 提供了您 AWS 账户中 AWS 资源配置的详细视图。这些信息包括资源之间的关联方式以及资源以前的配置方式，让您了解资源的配置和关系如何随着的时间的推移而更改。

AWS 资源是您可以在其中使用的实体 AWS，例如亚马逊弹性计算云 (EC2) 实例、亚马逊弹性区块存储 (EBS) 卷、安全组或亚马逊虚拟私有云 (VPC) 虚拟私有云 (VPC)。有关支持的 AWS 资源的完整列表 AWS Config，请参阅支持的资源类型。

功能

设置后 AWS Config，您可以完成以下操作：

资源管理

• 指定 AWS Config 要记录的资源类型。

• 设置 Amazon S3 桶以接收配置快照（按需）和配置历史记录。

• 设置 Amazon SNS 以发送配置流通知。

• 授予 AWS Config 其访问 Amazon S3 存储桶和 Amazon SNS 主题所需的权限。

  有关更多信息，请参阅查看 AWS 资源配置和历史记录以及管理 AWS 资源配置和历史记录。

规则和合规包

• 指定要 AWS Config 用来评估所记录资源类型的合规性信息的规则。

• 使用一致性包或一系列 AWS Config 规则和补救措施，这些规则和补救措施可以作为 AWS 账户中的单个实体进行部署和监控。

  有关更多信息，请参阅使用 AWS Config 规则和一致性包评估资源。

聚合器

• 使用聚合器集中查看您的资源清单和合规性。聚合器是一种 AWS Config 资源类型，用于将来自多个 AWS 账户和 AWS 地区的 AWS Config 配置和合规性数据收集到单个账户和区域中。

  有关更多信息，请参阅多账户多区域数据聚合。

高级查询

• 使用其中一个示例查询，或者参考 AWS 资源的配置架构编写自己的查询。

  有关更多信息，请参阅查询 AWS 资源的当前配置状态。

使用方式 AWS Config

在上运行应用程序时 AWS，通常会使用 AWS 资源，而这些资源必须共同创建和管理。随着对应用程序的需求不断增长，您跟踪 AWS 资源的需求也在不断增长。 AWS Config 旨在帮助您在以下情况下监督应用程序资源：

资源管理

为了更好地管理您的资源配置并检测资源的错误配置，您需随时详细了解存在哪些资源以及这些资源的配置方式。无论何时创建、修改或删除资源，您都可以使用 AWS Config 通知您，而不必通过轮询对每个资源的调用来监控这些更改。

您可以使用 AWS Config 规则来评估 AWS 资源的配置设置。当 AWS Config 检测到某个资源违反了您的某条规则中的条件时，会将该资源 AWS Config 标记为不合规并发送通知。 AWS Config 在创建、更改或删除您的资源时持续对其进行评估。

审计与合规性

您使用的数据可能需要频繁审计，以确保其符合内部策略与最佳实践。为了证实合规性，您需要了解资源的历史配置。此信息由提供 AWS Config。

对配置更改进行管理与故障排除

当您使用相互依赖的多个 AWS 资源时，更改一个资源的配置可能会对相关资源产生意想不到的后果。使用 AWS Config，您可以查看您打算修改的资源与其他资源的关系，并评估更改的影响。

您也可以使用 AWS Config 提供的资源历史配置来解决问题，并确定问题资源的最后正确配置。

安全分析

要分析潜在的安全漏洞，您需要有关 AWS 资源配置的详细历史信息，例如授予用户的 AWS Identity and Access Management (IAM) 权限，或控制资源访问权限的 Amazon EC2 安全组规则。

您可以使用 AWS Config 查看在任何时候分配给用户、群组或角色的 IAM 策略，该策略 AWS Config 正在记录中。这一信息可以帮助您确定用户在特定时间内具备的权限：例如，您可以查看用户 John Doe 在 2015 年 1 月 1 日是否拥有修改 Amazon VPC 设置的权限。

您还可以 AWS Config 使用查看 EC2 安全组的配置，包括在特定时间打开的端口规则。这一信息可以帮您确定安全组是否会阻止传入 TCP 流量传输至特定端口。