本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
概念
AWS Config 提供與您 AWS 帳戶相關聯的資源的詳細檢視,包括如何設定這些資源、彼此之間的關聯性,以及組態及其關係在一段時間內如何變更。讓我們更詳細查看 AWS Config 的概念。
內容
資源管理
瞭解的基本元件可協 AWS Config 助您追蹤資源清查與變更,並評估 AWS 資源的組態。
AWS 資源
AWS 資源是您使用 AWS Command Line Interface (CLI) AWS Management Console、 AWS SDK 或 AWS 合作夥伴工具建立和管理的實體。 AWS 資源範例包括 Amazon EC2 執行個體、安全群組、Amazon VPC 和 Amazon 彈性區塊存放區。 AWS Config 指使用其唯一識別碼的每個資源,例如資源 ID 或 Amazon 資源名稱 (ARN)。如需詳細資訊,請參閱 支援的資源類型。
組態項目
組態項目代表您帳號中存在之受支援 AWS 資源的各種屬性的 point-in-time 檢視。組態項目的元件包括中繼資料、屬性、關係、目前的組態及相關事件。 AWS Config 每當它偵測到它正在記錄的資源類型的變更時,就會建立組態項目。例如,如果 AWS Config 要記錄 Amazon S3 儲存貯體,則每當建 AWS Config 立、更新或刪除儲存貯體時,都會建立組態項目。您也可以選擇為 AWS Config 以您設定的錄製頻率建立組態項目。
如需詳細資訊,請參閱 Components of a Configuration Item 和選取要記錄的資源 | 記錄頻率。
組態記錄器
組態記錄器會將支援的資源組態當做組態項目存放在您的帳戶中。您必須先建立後啟動組態記錄器,才能開始記錄。您隨時可以停止和重新啟動組態記錄器。如需詳細資訊,請參閱 管理組態記錄器。
依預設,組態記錄程式會記錄執行所在區域中 AWS Config 的所有支援資源。您可以建立自訂組態記錄器,只記錄您指定的資源類型。如需詳細資訊,請參閱 選取哪些資源 AWS Config 記錄。
如果您使用 AWS Management Console 或 CLI 來開啟服務, AWS Config 會自動為您建立並啟動組態錄製程式。
組態歷史記錄
組態歷史記錄是指定資源在任何時間期間的組態項目集合。組態歷史記錄可協助您回答下列這類問題,例如,第一次建立資源時、上個月如何設定資源,以及昨天 9 AM 進行何種組態變更。您可以使用多種格式的組態歷程記錄。 AWS Config 針對要記錄到您指定的 Amazon S3 儲存貯體的每個資源類型,自動交付組態歷史記錄檔案。您可以在 AWS Config 主控台中選取指定的資源,並使用時間軸瀏覽至該資源的所有先前設定項目。此外,您也可以從 API 存取資源的歷史組態項目。
如需詳細資訊,請參閱檢視 AWS 資源組態和歷程記錄和管理 AWS 資源組態與歷程記錄。
組態快照
組態快照是帳戶中現有所支援資源的組態項目集合。此組態快照是所記錄資源和其組態的完整全貌。組態快照可以是驗證組態的實用工具。例如,建議您定期檢查未正確設定或可能不存在之資源的組態快照。組態快照具有多種格式。您可以將組態快照交付至您指定的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。此外,您可以在 AWS Config 主控台中選取時間點,並使用資源之間的關係瀏覽組態項目的快照集。
組態串流
配置流是一個自動更新的列表,其中包含 AWS Config 正在記錄的資源的所有配置項目。每次建立、修改或刪除資源時, AWS Config 都會建立組態項目,並新增至組態串流。使用您選擇的 Amazon Simple Notification Service (Amazon SNS) 主題後,組態串流即可運作。配置流有助於觀察發生的配置更改,以便您發現潛在問題,在某些資源發生變更時產生通知,或更新需要反映 AWS 資源配置的外部系統。
資源關係
AWS Config 探索帳戶中的 AWS 資源,然後建立 AWS 資源之間關係的對映。例如,關係可能包含的 Amazon EBS 磁碟區 vol-123ab45d,其連接至與安全群組 sg-ef678hk 建立關聯的 Amazon EC2 執行個體 i-a1b2c3d4。
如需詳細資訊,請參閱 支援的資源類型。
AWS Config 規則
AWS Config 規則代表特定 AWS 資源或整個 AWS 帳戶所需的組態設定。如果資源未通過規則檢查,請將資源和規則 AWS Config 標記為不合規,然後透過 Amazon SNS 通 AWS Config 知您。以下是 AWS Config 規則可能的評估結果:
-
COMPLIANT- 規則通過合規檢查的條件。 -
NON_COMPLIANT- 規則未通過合規檢查的條件。 -
ERROR- 其中一個必要/選用參數無效、類型不正確,或格式不正確。 -
NOT_APPLICABLE- 用於篩選出無法套用規則邏輯的資源。例如,該alb-desync-mode-check規則僅檢查應用程式負載平衡器,而忽略網路負載平衡器和閘道負載平衡器。
規則有兩種類型: AWS Config 受管規則和 AWS Config 自訂規則。如需有關規則定義和規則中繼資料結構的詳細資訊,請參閱AWS Config 規則的元件。
AWS Config 受管規則
AWS Config 受管規則是由建立的預先定義、可自訂的規則 AWS Config。如需受管規則的清單,請參閱AWS Config 受管規則清單。
AWS Config 自訂規則
AWS Config 自訂規則是您從頭開始建立的規則。建立 AWS Config 自訂規則的方法有兩種:使用 Lambda 函數 (AWS Lambda 開發人員指南),以及使用 Guard (安全防護 GitHub儲存庫
如需瞭解如何建立 AWS Config 自訂原則規則的逐步解說,請參閱建立 AWS Config 自訂原則規則。如需瞭解如何建立 AWS Config 自訂 Lambda 規則的逐步解說,請參閱建立 AWS Config 自訂 Lambda 規則。
觸發類型
將規則新增至帳戶後,請 AWS Config 將資源與規則條件進行比較。在此初始評估之後,每次觸發評估時都會 AWS Config 繼續執行評估。評估的觸發條件是和規則一起定義,並可包含下列類型:
- 組態變更
-
AWS Config 當有符合規則範圍的資源,且資源的組態發生變更時,會執行規則的評估。評估會在 AWS Config 傳送組態項目變更通知後執行。
您可以透過定義規則的範圍來選擇要進行評估的資源。範圍可包含下列項目:
-
一或多個資源類型
-
資源類型和資源 ID 的組合
-
標籤鍵和值的組合
-
當任何記錄的資源建立、更新或刪除時
AWS Config 當偵測到符合規則範圍的資源變更時,會執行評估。您可以使用範圍來定義要進行評估的資源。
-
- 定期
-
AWS Config 以您選擇的頻率執行規則的評估,例如,每 24 小時執行一次。
- 混合
-
部分規則同時具有組態變更和定期觸發條件。對於這些規則,請在偵測到組態變更時以及您指定的頻率 AWS Config 評估您的資源。
評估模式
AWS Config 規則有兩種評估模式:
- 主動
-
使用主動評估,在部署資源之前對其進行評估。這可讓您評估一組資源屬性 (如果用來定義資源) 是否為「相容」還是「非符合」(NON_COMPLUTION),考慮到您在「區域」中的帳戶中擁有的一組主動規則。 AWS
如需詳細資訊,請參閱《評估模式》。如需支援主動評估的受管規則清單,請參閱按評估模式分類的 AWS Config 受管規則清單。
注意
主動規則不會修復標記為 NON_COMPLIANT 的資源,也不會防止部署這些資源。
- 偵測
-
使用偵測評估來評估已部署的資源。這可讓您評估現有資源的組態設定。
一致性套件
符合性套件是 AWS Config 規則與修正動作的集合,可輕鬆部署為帳戶和區域中的單一實體,或在中的組織中部署。 AWS Organizations
您可以透過編寫包含 AWS Config 受管或自訂規則和修補動作之清單的 YAML 範本,來建立一致性套件。您可以使用 AWS Config 主控台或 AWS CLI 來部署範本。
若要快速開始使用並評估您的 AWS 環境,請使用其中一個範例一致性套件範本。您也可以根據《自訂一致性套件》,從頭開始建立一致性套件 YAML 檔案。自訂一致性套件是 AWS Config 規則和修正動作的唯一集合,您可以在帳戶和 AWS 區域中一起部署,或在中的組織中部署。 AWS Organizations
流程檢查是一種 AWS Config 規則類型,可讓您追蹤需要驗證作為一致性套件一部分的外部和內部任務。您可以將這些檢查新增至現有或新的一致性套件。您可以在單一位置追蹤所有合規性,包括 AWS Config排尿和手動檢查。
多帳戶多區域資料彙整
中的多帳戶多區域資料彙總 AWS Config 可讓您將來自多個帳戶和區域的 AWS Config 組態和合規性資料彙總到單一帳戶中。多帳戶多區域資料彙總對於中央 IT 管理員來說非常有用,以監控企業中多個 AWS 帳戶的合規性。
來源帳戶
來源帳號是您要彙總 AWS Config 資源組態和符合性資料的 AWS 帳號。來源帳戶可以是 AWS Organizations 中的個別帳戶或組織。您可以個別提供來源帳戶,也可以透過擷取來源帳戶 AWS Organizations。
來源區域
來源區域是您要彙總 AWS Config 組態與合規性資料的 AWS 地區。
彙整工具
彙總器是中 AWS Config 的新資源類型,可從多個來源帳號和區域收集 AWS Config 組態和符合性資料。在您要查看彙總 AWS Config 組態和合規性資料的區域中建立彙總工具。
注意
彙總器透過將來源帳戶中的資料複寫到彙總器帳戶中,提供彙總器授權可檢視的來源帳戶和區域的唯讀檢視。彙總器不提供對來源帳戶或區域的變更存取權。例如,這表示您無法透過彙總器或推播快照檔案透過彙總器將規則部署到來源帳戶或區域。
使用彙總工具不會產生任何額外費用。
彙整工具帳戶
彙整工具帳戶是您建立彙整工具的帳戶。
授權
身為來源帳戶擁有者,授權是指您授與彙總帳戶和區域的權限,以收集您的 AWS Config 組態和合規性資料。如果您要彙整屬於 AWS Organizations 一部分的來源帳戶,則不需要授權。
如需詳細資訊,請參閱Multi-Account Multi-Region Data Aggregation 一節中的主題。
使用 AWS Config
AWS Config 控制台
您可以使用 AWS Config 控制台管理服務。控制台提供用於執行許多 AWS Config 任務的用戶界面,例如:
-
指定要錄製的 AWS 資源類型。
-
設定要記錄的資源,包含:
-
選取 Amazon S3 儲存貯體。
-
選取 Amazon SNS 主題。
-
建立 AWS Config 角色。
-
-
建立代表特定 AWS 資源或整個 AWS 帳號所需組態設定的受管規則和自訂規則。
-
建立和管理組態彙整工具,以彙整多個帳戶和區域的資料。
-
檢視所支援資源之目前組態的快照。
-
檢視 AWS 資源之間的關係。
如需有關的更多資訊 AWS Management Console,請參閱AWS Management Console。
AWS Config CLI
這 AWS Command Line Interface 是一個統一的工具,您可以使用它 AWS Config 來從命令行進行交互。如需詳細資訊,請參閱《 使用者指南》AWS Command Line Interface。如需 AWS Config CLI 命令的完整清單,請參閱可用的命令。
AWS Config API
除了控制台和 CLI 之外,您還可以使用 AWS Config RESTful API AWS Config 直接進行編程。如需詳細資訊,請參閱 AWS Config API 參考。
AWS 開發套件
作為使用 AWS Config API 的替代方法,您可以使用其中一個 AWS SDK。每種開發套件皆包含多種程式設計語言與平台的程式庫與範本程式碼。開發套件提供便捷方法來建立對 AWS Config 的程式化存取。例如,您可以使用開發套件以密碼編譯方式來簽署請求、管理錯誤,以及自動重試請求。如需詳細資訊,請參閱 Amazon Web Services 適用工具
控制存取 AWS Config
AWS Identity and Access Management 是一種網路服務,可讓 Amazon Web Services (AWS) 客戶管理使用者和使用者許可。
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
使用者和群組位於 AWS IAM Identity Center:
建立權限合集。請遵循《AWS IAM Identity Center 使用者指南》的建立許可集合中的指示。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。請遵循《IAM 使用者指南》的為第三方身分提供者 (聯合) 建立角色中的指示。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請遵循《IAM 使用者指南》的為 IAM 使用者建立角色中的指示。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循 IAM 使用者指南 的 新增權限至使用者 (主控台) 中的指示。
-
合作夥伴解決方案
AWS 與第三方專家合作進行記錄和分析,以提供使用 AWS Config 輸出的解決方案。如需詳細資訊,請造訪 AWS Config 詳細資訊頁面,網址為AWS Config
