什么是 Amazon Config? - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 Amazon Config?

Amazon Config 可以提供关于您的 Amazon 账户中的 Amazon 资源配置的详细信息。这些信息包括资源之间的关联方式以及资源以前的配置方式,让您了解资源的配置和关系如何随着的时间的推移而更改。

网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的Amazon 资源是您可以使用的实体Amazon,例如Amazon Elastic Compute Cloud (EC2) 实例、Amazon Elastic Block Store (EBS) 卷、安全组或Amazon Virtual Private Cloud (VPC)。有关 Amazon Config 支持的 Amazon 资源的完整列表,请参阅 支持的资源类型

功能

在您设置 Amazon Config 时,可以完成以下操作:

资源管理

  • 指定您希望 Amazon Config 记录的资源类型。

规则和一致性包

  • 指定您希望 Amazon Config 评估所记录资源类型的合规性信息使用的规则。

  • 使用一致性包或集合Amazon Config规则和补救措施可以作为单个实体在您的系统中部署和监控Amazon账户。

    有关更多信息,请参阅使用Amazon ConfigRule一致性包.

聚合器

  • 使用聚合器集中查看您的资源库存和合规性。聚合器是一个Amazon Config收集的资源类型Amazon Config来自多个的配置和一致性数据Amazon账户和Amazon区域合并到单个账户和区域。

    有关更多信息,请参阅多账户多区域数据聚合.

高级查询

Amazon Config 的使用方式

当您在 Amazon 上运行应用程序时,您通常要使用 Amazon 资源,这些资源必须共同创建与管理。随着对应用程序的需求的不断增加,记录您的 Amazon 资源的需求也在不断增加。Amazon Config 可以在以下场景中帮助您监督自己的应用程序资源:

资源管理

为了更好地管理您的资源配置并检测资源的错误配置,您需随时详细了解存在哪些资源以及这些资源的配置方式。Amazon Config 可以在资源被创建、修改或删除时向您发送通知,不需要您通过对各个资源进行轮询来监控这些资源更改。

您可以使用 Amazon Config 规则来评估您的 Amazon 资源的配置设置。当 Amazon Config 检测到不符合某项规则中的条件的资源时,Amazon Config 会将其标记为不合规资源并发送通知。Amazon Config 会在您的资源被创建、更改或删除时持续对其进行评估。

审计与合规性

您使用的数据可能需要频繁审计,以确保其符合内部策略与最佳实践。为了证实合规性,您需要了解资源的历史配置。Amazon Config 可以提供这一信息。

对配置更改进行管理与故障排除

当您使用相互依赖的多个 Amazon 资源时,一项资源配置的更改可能对相关资源造成意外后果。利用 Amazon Config,您可以查看您准备修改的资源如何与其他资源相关联,并评估更改所产生的影响。

您也可以使用 Amazon Config 提供的资源历史配置来解决问题,并确定问题资源的最后正确配置。

安全分析

要分析潜在的安全漏洞,您需要有关您的详细历史信息Amazon资源配置,例如Amazon Identity and Access Management(IAM) 授予您的用户的权限,或控制对您的资源访问的 Amazon EC2 安全组规则。

您可以使用Amazon Config在任何时候查看分配到 IAM 用户、组或角色的 IAM 策略Amazon Config正在录制。该信息可以帮助您确定在某个特定时间属于某个用户的权限:例如,您可以查看该用户是否John Doe已于 2015 年 1 月 1 日获得修改亚马逊 VPC 设置的权限。

您也可以使用 Amazon Config 来查看您的 EC2 安全组的配置,包括在特定时间打开的端口规则。这一信息可以帮您确定安全组是否会阻止传入 TCP 流量传输至特定端口。