AWS Config
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS Config 概念

AWS Config 提供了与您的 AWS 账户关联的资源的详细视图,包括它们是如何配置的、它们之间是如何相互关联的,以及配置及其关系是如何随时间变化的。让我们详细了解一下 AWS Config 的概念。

AWS Config

了解 AWS Config 的基本组件将帮助您跟踪资源清单以及更改并评估 AWS 资源的配置。

AWS 资源

AWS 资源 是您使用 AWS 管理控制台、AWS Command Line Interface (CLI)、AWS 开发工具包或 AWS 合作伙伴工具创建和管理的实体。AWS 资源的示例包括 Amazon EC2 实例、安全组、Amazon VPC 和 Amazon Elastic Block Store。AWS Config 用唯一的标识符(例如,资源 ID 或 Amazon 资源名称 (ARN))来标记每个资源。有关详细信息,请参阅 AWS Config 支持的 AWS 资源类型和资源关系

配置历史

配置历史记录是指定资源在某个时间段的配置项集合。配置历史记录包含多种信息,例如资源首次创建的时间、过去一个月的资源配置情况以及昨天上午 9 点发生了哪些配置更改等。配置历史记录具有多种格式供您使用。AWS Config 可以将正在记录的各种资源类型的配置历史文件自动传输到您指定的 Amazon S3 存储桶。您可以在 AWS Config 控制台中选择一项资源,并使用时间线浏览该资源以前的所有配置项。此外,您还可以从 API 访问资源的历史配置项。

配置项

配置项 代表您账户中受支持的 AWS 资源在特定时间点具备的各种属性。配置项的组成部分包括元数据、属性、关系、当前配置以及相关事件。只要检测到正在记录的资源类型发生变更,AWS Config 就会创建配置项。例如,如果 AWS Config 正在记录 Amazon S3 存储桶,则只要创建、更新或删除存储桶,AWS Config 就会创建配置项。

有关更多信息,请参阅 配置项的组成部分

配置记录器

配置记录器以配置项目的形式将受支持资源的配置存储在您的账户中。您必须先创建并启动配置记录器,然后才能开始记录。您可以随时停止或重启配置记录器。有关更多信息,请参阅 管理配置记录器

默认情况下,配置记录器会记录 AWS Config 运行的区域内所有受支持的资源。您可以创建一个自定义配置记录器,仅记录您指定的资源类型。有关更多信息,请参阅 选择 AWS Config 所记录的资源

如果您使用 AWS 管理控制台或 CLI 打开服务,AWS Config 会自动为您创建并启动一个配置记录器。

配置快照

配置快照是您账户中受支持资源的配置项的集合。配置快照可以完整展示被记录的资源及其配置的相关信息。配置快照是验证您的配置的有效工具。例如,您可以定期检查配置快照,以便找出配置错误的资源或可能不应存在的资源。配置快照具有多种格式。您可以将配置快照传输到您指定的 Amazon Simple Storage Service (Amazon S3) 存储桶。此外,您可以在 AWS Config 控制台中选择一个时间点,并按照资源之间的关系浏览不同配置项的快照。

配置流

配置流是一个自动更新的列表,列出了 AWS Config 正在记录的资源的所有配置项。每当资源被创建、修改或删除时,AWS Config 会创建一条配置项并将其添加到配置流。配置流在运行时会使用您选择的 Amazon Simple Notification Service (Amazon SNS) 主题。配置流可以帮助您随时观察配置更改,以便发现潜在的问题、在特定资源发生更改时生成通知,或更新需要反映您的 AWS 资源配置的外部系统。

资源关系

AWS Config 会查找您账户中的 AWS 资源,然后创建 AWS 资源关系图。例如,Amazon EBS 卷 vol-123ab45d 附加到 Amazon EC2 实例 i-a1b2c3d4,而该实例又与安全组 sg-ef678hk 关联,这就构成了一种关系。

有关更多信息,请参阅 AWS Config 支持的 AWS 资源类型和资源关系

AWS Config 托管和自定义规则

AWS Config 规则表示特定 AWS 资源或整个 AWS 账户所需的配置设置。AWS Config 提供可自定义的预定义规则来帮助您入门。如果某个资源违反了规则,AWS Config 会将该资源和规则标记为不合规,并且 AWS Config 会通过 Amazon SNS 通知您。

AWS Config 自定义规则

通过 AWS Config,您还可以创建自定义规则。AWS Config 会持续跟踪您的资源配置更改,同时检查这些更改是否符合规则中设定的所有条件。

激活一项规则后,AWS Config 会将您的资源与规则中的条件进行比较。完成这一初始评估后,AWS Config 会在每次触发评估时继续执行评估。规则中会定义评估触发器,可以包括以下类型:

  • 配置更改 – 当与规则范围匹配的任何资源的配置更改时,AWS Config 将触发评估。在 AWS Config 发送配置项更改通知后,评估便会运行。

  • 定期 – AWS Config 按照您选择的频率运行评估(例如,每 24 小时)。

有关更多信息,请参阅 使用规则评估资源

多账户多区域数据聚合

AWS Config 中多账户多区域数据聚合可让您将来自多个账户和区域的 AWS Config 配置和合规性数据聚合到单个账户中。多账户多区域数据聚合用于让中心 IT 管理员监控企业中多个 AWS 账户的合规性。

源账户

源账户是您要从中聚合 AWS Config 资源配置和合规性数据的 AWS 账户。源账户可以是 AWS Organizations 中的个人账户或组织。您可以单独提供源账户,也可以通过 AWS Organizations 检索它们。

源区域

源区域是您要从中聚合 AWS Config 配置和合规性数据的 AWS 区域。

聚合器

聚合器是 AWS Config 中的一种新的资源类型,可从多个源账户和区域收集 AWS Config 配置和合规性数据。在要查看聚合的 AWS Config 配置和合规性数据的区域中创建聚合器。

聚合器账户

聚合账户是您在其中创建聚合器的账户。

授权

作为源账户所有者,授权是指您向聚合器账户和区域授予收集 AWS Config 配置和合规性数据的权限。如果要聚合的源账户是 AWS Organizations 的一部分,则不需要授权。

有关更多信息,请参阅多账户多区域数据聚合部分中的主题。

管理 AWS Config

AWS Config 控制台

您可以通过 AWS AWS Config 控制台使用和管理 AWS Config 服务。此控制台提供了用于执行许多 AWS Config 任务的用户界面,这些任务包括:

  • 为记录指定 AWS 资源的类型。

  • 配置要记录的资源,包括:

    • 选择 Amazon S3 存储桶。

    • 选择 Amazon SNS 主题。

    • 创建 AWS Config 角色。

  • 创建表示特定 AWS 资源或整个 AWS 账户所需的配置设置的托管规则和自定义规则。

  • 创建和管理配置聚合器以跨多个账户和地区聚合数据。

  • 查看受支持资源的当前配置的快照。

  • 查看 AWS 资源之间的关系。

有关 AWS 管理控制台的更多信息,请参阅 AWS 管理控制台

AWS Config CLI

AWS Command Line Interface 是一个可用于从命令行与 AWS Config 交互的统一工具。有关更多信息,请参阅 AWS Command Line Interface 用户指南。有关 AWS Config CLI 命令的完整列表,请参阅可用命令

AWS Config API

除了控制台和 CLI 之外,您还可以使用 AWS Config RESTful API 来直接对 AWS Config 进行编程。有关更多信息,请参阅 AWS Config API Reference

AWS 软件开发工具包

作为使用 AWS Config API 的替代方案,您可以使用某个 AWS 软件开发工具包。每个软件开发工具包均包含适用于各种编程语言和平台的库和示例代码。软件开发工具包提供了可通过编程方式访问 AWS Config 的便捷方式。例如,您可以使用开发工具包以加密方式对请求进行签名,管理错误并自动重试请求。有关更多信息,请参阅适用于 Amazon Web Services 的工具页面。

控制对 AWS Config 的访问权限

AWS Identity and Access Management 是一项 Web 服务,可让 Amazon Web Services (AWS) 客户管理用户和用户权限。使用 IAM 为需要对 AWS Config 的访问权的任何人创建单独的用户。为您自己创建一个 IAM 用户,赋予该 IAM 用户管理权限,并将该 IAM 用户用于您的所有工作。在为访问您的账户的人员创建单独的 IAM 用户时,您可授予每个 IAM 用户一组独特的安全证书。您还可向每个 IAM 用户授予不同的权限。如有必要,可以随时更改或撤消 IAM 用户的权限。有关更多信息,请参阅 控制对 AWS Config 的权限

合作伙伴解决方案

AWS 与日志记录和分析方面的第三方专家协作以提供利用 AWS Config 输出的解决方案。有关更多信息,请访问 AWS AWS Config 上的 AWS Config 详细信息页。