使用 Amazon Config 跟踪配置更改 - Amazon CloudFront
使用 CloudFront 设置 Amazon Config查看 CloudFront 配置历史记录使用 Amazon Config 规则评估 CloudFront 配置
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon Config 跟踪配置更改

要记录和评估 Amazon 资源的配置,可以使用 Amazon Config,它为您提供分配配置的详细视图。这些信息包括资源彼此之间的关联方式以及资源过去的配置方式,以便您可以查看随时间发生的变化。

也可以使用 Amazon Config 记录对 CloudFront 分配设置的配置更改。您可以捕获对分配状态、价格级别、源、地理限制设置和 Lambda@Edge 配置进行的更改。

注意

Amazon Config 不记录 CloudFront 流分配的键/值标签。

使用 CloudFront 设置 Amazon Config

在设置 Amazon Config 时,您可以选择记录所有受支持的 Amazon 资源,也可以只记录某些指定资源(例如,仅记录对 CloudFront 的更改)。要查看受支持 CloudFront 资源的列表,请参阅《Amazon Config 开发人员指南》中“受支持的资源类型”主题的 Amazon CloudFront 部分。

备注

  • 要跟踪对 CloudFront 分配进行的配置更改,您必须登录美国东部(弗吉尼亚州北部)Amazon Web Services 区域的 CloudFront 控制台。

  • 使用 Amazon Config 记录资源可能会有延迟。Amazon Config 仅在发现资源后记录资源。

Console
使用 CloudFront 设置 Amazon Config

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Config 控制台:https://console.aws.amazon.com/config/

  2. 选择 Get Started Now

  3. 设置页面上,为要记录的资源类型指定您希望 Amazon 记录的 Amazon Config 资源类型。如果您希望仅记录 CloudFront 更改,请选择特定类型,然后在 CloudFront 下面选择要跟踪更改的分配或流分配。

    要添加或更改要跟踪的分配,请在完成初始设置后选择左侧的设置

  4. 为 Amazon Config指定额外的必需选项:设置一个通知,为配置信息指定一个位置,然后添加用于评估资源类型的规则。

有关更多信息,请参阅《Amazon Config 开发人员指南》中的使用控制台设置 Amazon Config

Amazon CLI

要通过 CloudFront 使用 Amazon CLI 设置 Amazon Config,请参阅《Amazon Config 开发人员指南》中的使用 Amazon CLI 设置 Amazon Config

Amazon Config API

要通过 CloudFront 使用 Amazon Config API 设置 Amazon Config,请参阅《Amazon Config API 参考》中的 StartConfigurationRecorder API 操作。

查看 CloudFront 配置历史记录

在 Amazon Config 开始记录您的分配的配置更改后,您可以获取为 CloudFront 配置的任何分配的配置历史记录。

您可以使用以下方式查看配置历史记录。

Console

对于每个已记录的资源,您可以查看时间线页面,该页面提供了配置详细信息的历史记录。要查看此页面,请选择专用主机页面的配置时间线列中的灰色图标。

有关更多信息,请参阅《Amazon Config 开发人员指南》 中的在 Amazon Config 控制台中查看配置详细信息

Amazon CLI

要获取所有分配的列表,请运行 list-discovered-resources 命令,如以下示例所示。

aws configservice list-discovered-resources --resource-type AWS::CloudFront::Distribution

要获取特定时间间隔内某个分配的配置详细信息,请运行 get-resource-config-history 命令。

有关更多信息,请参阅《Amazon Config 开发人员指南》 中的使用 CLI 查看配置详细信息

Amazon Config API

要获取所有分配的列表,请使用 ListDiscoveredResources API 操作。

要获取特定时间间隔内某个分配的配置详细信息,请使用 GetResourceConfigHistory API 操作。有关更多信息,请参阅 Amazon Config API 参考

使用 Amazon Config 规则评估 CloudFront 配置

可以使用 Amazon Config 规则根据所需的配置来评估配置。例如,Amazon Config 规则有助于评估 CloudFront 资源是否符合常见的安全最佳实践。可以选择要在配置更改时触发的托管式规则,例如查看器策略 HTTPS、启用 SNI、启用 OAC、启用源失效转移、Amazon WAF WebACL 或 Amazon Shield Advanced 资源策略。

托管式规则可以按您选择的频率定期运行评估。Amazon Firewall Manager 依赖于 Amazon Config 来实现自动警报和补救。有关更多信息,请参阅《Amazon Config 开发人员指南》中的 Evaluating Resources with Amazon Config RulesList of Amazon Config Managed Rules