AWS Config
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

记录托管实例的软件配置

您可以使用 AWS Config 记录 Amazon EC2 实例和本地服务器的软件清单变更。这样您就可以了解到软件配置的变更历史。例如,当托管 Windows 实例安装了新的 Windows 更新时,AWS Config 会记录变更情况并将其发送到您的传递通道,这样您就可以收到变更通知。借助 AWS Config,您可以看到托管实例何时安装了 Windows 更新,以及它们随时间推移的变化情况。

您必须完成以下步骤来记录软件配置变更:

  • 在 AWS Config 中打开对托管实例清单资源类型的记录。

  • 在 AWS Systems Manager 中将 EC2 和本地服务器配置为托管实例。托管实例是一个已配置为与 Systems Manager 一起使用的机器。

  • 使用 Systems Manager 清单功能启动收集托管实例的软件清单。

您也使用 AWS Config 规则监控软件配置变更,并在变更符合或违反您的规则时获得通知。例如,如果您创建了一条规则,来检查托管实例是否安装了特定应用程序,那么如果某个实例未安装该应用程序,AWS Config 会将这个实例标记为违反了您的规则。有关 AWS Config 托管规则的列表,请参阅AWS Config 托管规则的列表

在 AWS Config 中启用软件配置变更的记录:

  1. 在 AWS Config 中记录所有支持的资源类型,或选择性地记录托管实例清单资源类型。有关更多信息,请参阅选择 AWS Config 所记录的资源

  2. 启动具有 Systems Manager 实例配置文件的 Amazon EC2 实例,其中包含 AmazonSSMManagedInstanceCore 托管策略。此 AWS 托管策略使实例能够使用 Systems Manager 服务核心功能。

    有关可以添加到 Systems Manager 实例配置文件的其他策略的信息,请参阅 AWS Systems Manager 用户指南 中的为 Systems Manager 创建 IAM 实例配置文件

    重要

    SSM 代理是必须安装在托管实例上的 Amazon 软件,以便在云中与 Systems Manager 进行通信。如果您的 EC2 实例是从 AMI 为以下一种操作系统创建的,则会预装代理:

    • 2016 年 11 月或之后发布的 Windows Server 2003-2012 R2 AMI

    • Windows Server 2016 和 2019

    • Amazon Linux

    • Amazon Linux 2

    • Ubuntu Server 16.04

    • Ubuntu Server 18.04

    在不是从预装代理的 AMI 上创建的 EC2 实例上,必须手动安装代理。有关信息,请参阅 AWS Systems Manager 用户指南 中的以下主题:

  3. 启动清单收集,如 AWS Systems Manager 用户指南 中的配置清单收集中所述。Linux 和 Windows 实例的步骤相同。

    AWS Config 可以记录以下清单类型的配置变更:

    • 应用程序 – 托管实例的应用程序列表,例如杀毒软件。

    • AWS 组件 – 托管实例的 AWS 组件列表,例如 AWS CLI 和开发工具包。

    • 实例信息 – 实例信息,例如操作系统名称和版本、域及防火墙状态。

    • 网络配置 – 配置信息,例如 IP 地址、网关和子网掩码。

    • Windows 更新 – 托管实例的 Windows 更新列表(仅适用于 Windows 实例)。

    注意

    AWS Config 目前不支持记录自定义清单类型。

清单收集是众多 Systems Manager 功能的一种,这些功能分为运营管理操作和更改实例和节点以及共享资源等类别。有关更多信息,请参阅 AWS Systems Manager 用户指南 中的什么是 Systems Manager?Systems Manager 功能