本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 什么是 Amazon Config?
Amazon Config 提供了关于您的 Amazon 账户中 Amazon 资源配置的详细信息。这些信息包括资源之间的关联方式以及资源以前的配置方式,让您了解资源的配置和关系如何随着的时间的推移而更改。
Amazon *资源*是您可以在 Amazon 中使用的实体,例如 Amazon Elastic Compute Cloud(EC2)实例、Amazon Elastic Block Store(EBS)卷、安全组或 Amazon 虚拟私有云(VPC)。有关 Amazon 支持的 Amazon Config 资源的完整列表,请参阅 [支持的资源类型 Amazon Config](resource-config-reference.md)
## 注意事项
+ **Amazon Web Services 账户**:您需要一个活跃。Amazon Web Services 账户有关更多信息,请参阅[注册。Amazon](https://docs.amazonaws.cn/config/latest/developerguide/getting-started.html#getting-started-signing-up)
+ **Amazon S3 存储桶**:您需要一个 S3 存储桶才能接收配置快照和历史记录的数据。有关更多信息,请参阅 [Amazon S3 存储桶的权限](https://docs.amazonaws.cn/config/latest/developerguide/s3-bucket-policy.html)。
+ **Amazon SNS 主题**:当您的配置快照和历史记录发生变化时,您需要 Amazon SNS 才能收到通知。有关更多信息,请参阅 [Amazon SNS 主题的权限](https://docs.amazonaws.cn/config/latest/developerguide/sns-topic-policy.html)。
+ **IAM 角色**:您需要一个 IAM 角色,该角色有权访问。Amazon Config有关更多信息,请参阅 [IAM 角色的权限](https://docs.amazonaws.cn/config/latest/developerguide/iamrole-permissions.html)。
+ **资源类型**:您可以决定希望 Amazon Config 记录哪些资源类型。有关更多信息,请参阅[记录 Amazon 资源](https://docs.amazonaws.cn/config/latest/developerguide/select-resources.html)。
## Amazon Config 的使用方式
当您在 Amazon 上运行应用程序时,您通常要使用 Amazon 资源,这些资源必须共同创建与管理。随着对应用程序的需求的不断增加,记录您的 Amazon 资源的需求也在不断增加。Amazon Config 可以在以下场景中帮助您监督自己的应用程序资源:
### 资源管理
为了更好地管理您的资源配置并检测资源的错误配置,您需随时详细了解存在哪些资源以及这些资源的配置方式。Amazon Config 可以在资源被创建、修改或删除时向您发送通知,不需要您通过对各个资源进行轮询来监控这些资源更改。
您可以使用 Amazon Config 规则来评估您的 Amazon 资源的配置设置。当 Amazon Config 检测到不符合某项规则中的条件的资源时,Amazon Config 会将其标记为不合规资源并发送通知。Amazon Config 会在您的资源被创建、更改或删除时持续对其进行评估。
### 审计与合规性
您使用的数据可能需要频繁审计,以确保其符合内部策略与最佳实践。为了证实合规性,您需要了解资源的历史配置。Amazon Config 可以提供这一信息。
### 对配置更改进行管理与故障排除
当您使用相互依赖的多个 Amazon 资源时,一项资源配置的更改可能对相关资源造成意外后果。利用,Amazon Config您可以查看您准备修改的资源如何与其他资源相关联,并评估更改所产生的影响。
您也可以使用 Amazon Config 提供的资源历史配置来解决问题,并确定问题资源的最后正确配置。
### 安全分析
要分析潜在的安全漏洞,您需要了解有关您的 Amazon 资源配置的详细历史记录信息,例如向您的用户授予的 Amazon Identity and Access Management(IAM)权限或者控制对资源的访问的 Amazon EC2 安全组规则。
您可以使用 Amazon Config 随时查看 Amazon Config 正在记录的分配给用户、组或角色的 IAM 策略。这一信息可以帮助您确定用户在特定时间内具备的权限:例如,您可以查看用户 `John Doe` 在 2015 年 1 月 1 日是否拥有修改 Amazon VPC 设置的权限。
您也可以使用 Amazon Config 来查看您的 EC2 安全组的配置,包括在特定时间打开的端口规则。这一信息可以帮您确定安全组是否会阻止传入 TCP 流量传输至特定端口。
### 合作伙伴解决方案
Amazon 与日志记录和分析方面的第三方专家协作以提供利用 Amazon Config 输出的解决方案。有关更多信息,请访问位于 [Amazon Config](https://www.amazonaws.cn/config) 的 Amazon Config 详细信息页面。
## 特征
在您设置 Amazon Config 时,可以完成以下操作:
**资源管理**
+ 指定您希望 Amazon Config 记录的资源类型。
+ 设置 Amazon S3 桶以接收配置快照(按需)和配置历史记录。
+ 设置 Amazon SNS 以发送配置流通知。
+ 向 Amazon Config 授予访问 Amazon S3 存储桶和 Amazon SNS 主题所需的权限。
有关更多信息,请参阅[查看 Amazon 资源配置和历史记录](https://docs.amazonaws.cn/config/latest/developerguide/view-manage-resource-console.html)以及[管理 Amazon 资源配置和历史记录](https://docs.amazonaws.cn/config/latest/developerguide/aws-config-landing-page.html)。
**规则和合规包**
+ 指定您希望 Amazon Config 评估所记录资源类型的合规性信息使用的规则。
+ 使用合规包或一系列规则,这些规则可作为 Amazon Web Services 账户中的单个实体进行部署和监控。
有关更多信息,请参阅[使用 Amazon Config 规则评估资源](https://docs.amazonaws.cn/config/latest/developerguide/evaluate-config.html)和[合规包](https://docs.amazonaws.cn/config/latest/developerguide/conformance-packs.html)。
**补救措施**:
+ 修复由 Amazon Config 规则 评估的不合规资源。
有关更多信息,请参阅[修正](https://docs.amazonaws.cn/config/latest/developerguide/remediation.html)。
**聚合器**
+ 使用聚合器集中查看您的资源清单和合规性。聚合器会将多个 Amazon Web Services 账户和 Amazon 区域中的 Amazon Config 配置和合规性数据收集到一个账户和区域中。
有关更多信息,请参阅[多账户多区域数据聚合](https://docs.amazonaws.cn/config/latest/developerguide/aggregate-data.html)。
**高级查询**
+ 使用其中一个示例查询,或者参考 Amazon 资源的配置架构编写自己的查询。
有关更多信息,请参阅[查询 Amazon 资源的当前配置状态](https://docs.amazonaws.cn/config/latest/developerguide/querying-AWS-resources.html)。