使用 Amazon Config 跟踪配置更改
要记录和评估 Amazon 资源的配置,可以使用 Amazon Config,它为您提供分配配置的详细视图。这些信息包括资源彼此之间的关联方式以及资源过去的配置方式,以便您可以查看随时间发生的变化。
也可以使用 Amazon Config 记录对 CloudFront 分配设置的配置更改。您可以捕获对分配状态、价格级别、源、地理限制设置和 Lambda@Edge 配置进行的更改。
注意
Amazon Config 不记录 CloudFront 流分配的键/值标签。
使用 CloudFront 设置 Amazon Config
在设置 Amazon Config 时,您可以选择记录所有受支持的 Amazon 资源,也可以只记录某些指定资源(例如,仅记录对 CloudFront 的更改)。要查看受支持 CloudFront 资源的列表,请参阅《Amazon Config 开发人员指南》中“受支持的资源类型”主题的 Amazon CloudFront 部分。
备注
-
要跟踪对 CloudFront 分配进行的配置更改,您必须登录美国东部(弗吉尼亚州北部)Amazon Web Services 区域的 CloudFront 控制台。
-
使用 Amazon Config 记录资源可能会有延迟。Amazon Config 仅在发现资源后记录资源。
查看 CloudFront 配置历史记录
在 Amazon Config 开始记录您的分配的配置更改后,您可以获取为 CloudFront 配置的任何分配的配置历史记录。
您可以使用以下方式查看配置历史记录。
使用 Amazon Config 规则评估 CloudFront 配置
可以使用 Amazon Config 规则根据所需的配置来评估配置。例如,Amazon Config 规则有助于评估 CloudFront 资源是否符合常见的安全最佳实践。可以选择要在配置更改时触发的托管式规则,例如查看器策略 HTTPS、启用 SNI、启用 OAC、启用源失效转移、Amazon WAF WebACL 或 Amazon Shield Advanced 资源策略。
托管式规则可以按您选择的频率定期运行评估。Amazon Firewall Manager 依赖于 Amazon Config 来实现自动警报和补救。有关更多信息,请参阅《Amazon Config 开发人员指南》中的 Evaluating Resources with Amazon Config Rules 和 List of Amazon Config Managed Rules。