什么是 Amazon Config? - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 Amazon Config?

Amazon Config 提供了您 Amazon 账户中 Amazon 资源配置的详细视图。这些信息包括资源之间的关联方式以及资源以前的配置方式,让您了解资源的配置和关系如何随着的时间的推移而更改。

Amazon 资源是您可以在其中使用的实体 Amazon,例如亚马逊弹性计算云 (EC2) 实例、亚马逊弹性区块存储 (EBS) 卷、安全组或亚马逊虚拟私有云 (VPC) 虚拟私有云 (VPC)。有关支持的 Amazon 资源的完整列表 Amazon Config,请参阅支持的资源类型

注意事项

  • Amazon Web Services 账户: 你需要一个活跃 Amazon Web Services 账户的。有关更多信息,请参阅注册 Amazon

  • Amazon S3 存储桶:您需要一个 S3 存储桶才能接收配置快照和历史记录的数据。有关更多信息,请参阅 Amazon S3 存储桶的权限

  • Amazon SNS 主题:当您的配置快照和历史记录发生变化时,您需要一个 Amazon SNS 才能收到通知。有关更多信息,请参阅 Amazon SNS 主题的权限

  • IAM 角色:您需要一个具有必要访问权限的 IAM 角色 Amazon Config。有关更多信息,请参阅 IAM 角色的权限

  • 资源类型:您可以决定 Amazon Config 要记录哪些资源类型。有关更多信息,请参阅录制 Amazon 资源

使用方式 Amazon Config

在上运行应用程序时 Amazon,通常会使用 Amazon 资源,而这些资源必须共同创建和管理。随着对应用程序的需求不断增长,您跟踪 Amazon 资源的需求也在不断增长。 Amazon Config 旨在帮助您在以下情况下监督应用程序资源:

资源管理

为了更好地管理您的资源配置并检测资源的错误配置,您需随时详细了解存在哪些资源以及这些资源的配置方式。无论何时创建、修改或删除资源,您都可以使用 Amazon Config 通知您,而不必通过轮询对每个资源的调用来监控这些更改。

您可以使用 Amazon Config 规则来评估 Amazon 资源的配置设置。当 Amazon Config 检测到某个资源违反了您的某条规则中的条件时,会将该资源 Amazon Config 标记为不合规并发送通知。 Amazon Config 在创建、更改或删除您的资源时持续对其进行评估。

审计与合规性

您使用的数据可能需要频繁审计,以确保其符合内部策略与最佳实践。为了证实合规性,您需要了解资源的历史配置。此信息由提供 Amazon Config。

对配置更改进行管理与故障排除

当您使用相互依赖的多个 Amazon 资源时,更改一个资源的配置可能会对相关资源产生意想不到的后果。使用 Amazon Config,您可以查看您打算修改的资源与其他资源的关系,并评估更改的影响。

您也可以使用 Amazon Config 提供的资源历史配置来解决问题,并确定问题资源的最后正确配置。

安全分析

要分析潜在的安全漏洞,您需要有关 Amazon 资源配置的详细历史信息,例如授予用户的 Amazon Identity and Access Management (IAM) 权限,或控制资源访问权限的 Amazon EC2 安全组规则。

您可以使用 Amazon Config 查看在任何时候分配给用户、群组或角色的 IAM 策略,该策略 Amazon Config 正在记录中。这一信息可以帮助您确定用户在特定时间内具备的权限:例如,您可以查看用户 John Doe 在 2015 年 1 月 1 日是否拥有修改 Amazon VPC 设置的权限。

您还可以 Amazon Config 使用查看 EC2 安全组的配置,包括在特定时间打开的端口规则。这一信息可以帮您确定安全组是否会阻止传入 TCP 流量传输至特定端口。

合作伙伴解决方案

Amazon 与第三方日志和分析专家合作,提供使用 Amazon Config 输出的解决方案。欲了解更多信息,请访问 Amazon Config 详情页面,网址为Amazon Config

功能

设置后 Amazon Config,您可以完成以下操作:

资源管理

  • 指定 Amazon Config 要记录的资源类型。

规则和合规包

  • 指定要 Amazon Config 用来评估所记录资源类型的合规性信息的规则。

  • 使用一致性包或一系列可作为单个实体部署和监控的 Amazon Config 规则和补救措施。 Amazon Web Services 账户

    有关更多信息,请参阅使用 Amazon Config 规则和一致性包评估资源。

聚合器

  • 使用聚合器集中查看您的资源清单和合规性。聚合器将来自多个 Amazon Web Services 账户 和 Amazon 地区的 Amazon Config 配置和合规性数据收集到单个账户和区域中。

    有关更多信息,请参阅多账户多区域数据聚合

高级查询