支持的资源、配置项和关系
AWS Config 支持以下 AWS 资源、配置项和资源关系。
支持的 AWS 资源类型
AWS Config 支持以下 AWS 资源类型。
| AWS 服务 | 资源类型 | 资源类型值 |
|---|---|---|
| Auto Scaling | Auto Scaling 组 | AWS::AutoScaling::AutoScalingGroup |
| Auto Scaling 启动配置 | AWS::AutoScaling::LaunchConfiguration |
|
| Auto Scaling 扩展策略 | AWS::AutoScaling::ScalingPolicy |
|
| Auto Scaling 计划操作 | AWS::AutoScaling::ScheduledAction |
|
| AWS Certificate Manager | 证书 | AWS::ACM::Certificate |
| AWS CloudFormation | 堆栈1 | AWS::CloudFormation::Stack |
| Amazon CloudFront2 | 分配 | AWS::CloudFront::Distribution |
| 流分配 | AWS::CloudFront::StreamingDistribution |
|
| AWS CloudTrail | 试用 | AWS::CloudTrail::Trail |
| AWS CodeBuild | 项目3 | AWS::CodeBuild::Project |
| Amazon CloudWatch | 警报 | AWS::CloudWatch::Alarm |
| Amazon DynamoDB | Table | AWS::DynamoDB::Table |
| Amazon Elastic Block Store | Amazon EBS 卷 | AWS::EC2::Volume |
| Amazon Elastic Compute Cloud | EC2 专用主机4 | AWS::EC2::Host |
| EC2 弹性 IP(仅限 VPC) | AWS::EC2::EIP |
|
| EC2 实例 | AWS::EC2::Instance |
|
| EC2 网络接口 | AWS::EC2::NetworkInterface |
|
| EC2 安全组 | AWS::EC2::SecurityGroup |
|
| Amazon EC2 Systems Manager | 托管实例清单5 | AWS::SSM::ManagedInstanceInventory |
| Elastic Load Balancing | 应用程序负载均衡器 | AWS::ElasticLoadBalancingV2::LoadBalancer |
| 传统负载均衡器 | AWS::ElasticLoadBalancing::LoadBalancer |
|
| 网络负载均衡器 | AWS::ElasticLoadBalancingV2::LoadBalancer |
|
| AWS Identity and Access Management6 | IAM 用户7 | AWS::IAM::User |
| IAM 组7 | AWS::IAM::Group |
|
| IAM 角色7 | AWS::IAM::Role |
|
| IAM 客户管理的政策 | AWS::IAM::Policy |
|
| Amazon Redshift | 集群 | AWS::Redshift::Cluster |
| 群集参数组 | AWS::Redshift::ClusterParameterGroup |
|
| 群集安全组 | AWS::Redshift::ClusterSecurityGroup |
|
| 群集快照 | AWS::Redshift::ClusterSnapshot |
|
| 群集子网组 | AWS::Redshift::ClusterSubnetGroup |
|
| 事件订阅 | AWS::Redshift::EventSubscription |
|
| Amazon Relational Database Service | RDS 数据库实例 | AWS::RDS::DBInstance |
| RDS 数据库安全组 | AWS::RDS::DBSecurityGroup |
|
| RDS 数据库快照 | AWS::RDS::DBSnapshot |
|
| RDS 数据库子网组 | AWS::RDS::DBSubnetGroup |
|
| 事件订阅 | AWS::RDS::EventSubscription |
|
| Amazon Simple Storage Service | Amazon S3 存储桶8 | AWS::S3::Bucket |
| Amazon Virtual Private Cloud | 客户网关 | AWS::EC2::CustomerGateway |
| Internet 网关 | AWS::EC2::InternetGateway |
|
| 网络访问控制列表 (ACL) | AWS::EC2::NetworkAcl |
|
| 路由表 | AWS::EC2::RouteTable |
|
| 子网 | AWS::EC2::Subnet |
|
| Virtual Private Cloud (VPC) | AWS::EC2::VPC |
|
| VPN 连接 | AWS::EC2::VPNConnection |
|
| VPN 网关 | AWS::EC2::VPNGateway |
|
| AWS WAF9 | 基于速率的规则 | AWS::WAF::RateBasedRule |
| 规则 | AWS::WAF::Rule |
|
| Web ACL | AWS::WAF::WebACL |
|
| 规则组 | AWS::WAF::RuleGroup |
|
| 基于速率的规则 | AWS::WAFRegional::RateBasedRule |
|
| 规则 | AWS::WAFRegional::Rule |
|
| Web ACL | AWS::WAFRegional::WebACL |
|
| 规则组 | AWS::WAFRegional::RuleGroup |
备注
-
AWS Config 会记录对 CloudFormation 堆栈和堆栈中支持的资源类型所做的配置更改。AWS Config 不会记录对堆栈中尚不支持的资源类型所做的配置更改。不受支持的资源类型显示在堆栈的配置项的补充配置部分中。
-
对 Amazon CloudFront 的 AWS Config 支持仅在美国东部 (弗吉尼亚北部) 区域提供。
-
要了解有关 AWS Config 如何与 AWS CodeBuild 集成的更多信息,请参阅将 AWS Config 与 AWS CodeBuild 示例配合使用。
-
AWS Config 会记录专用主机以及在其上启动的实例的配置详细信息。因此,在报告与服务器绑定的软件许可证的合规情况时,您可以将 AWS Config 用作数据源。例如,您可以查看某个实例的配置历史记录并确定其基于哪个 Amazon 系统映像 (AMI)。然后,您可以查找相应主机的配置历史记录(包括套接字和核心数量之类的详细信息),以验证该主机是否符合 AMI 的许可证要求。有关更多信息,请参阅 Amazon EC2 用户指南(适用于 Linux 实例) 中的使用 AWS Config 跟踪配置变更。
-
要了解有关托管实例清单的更多信息,请参阅记录托管实例的软件配置.
-
AWS Identity and Access Management (IAM) 资源是全球性资源。全球性资源不限于某个区域,而是可以用于所有区域。全球性资源的配置详细信息在所有区域都相同。有关更多信息,请参阅 选择 AWS Config 所记录的资源。
-
AWS Config 包含的内联策略具有其记录的配置详细信息。
-
如果您已将 AWS Config 配置为记录您的 S3 存储桶且不接收配置更改通知,请验证您的 S3 存储桶策略是否拥有所需权限。有关更多信息,请参阅 有关记录 S3 存储桶的疑难解答。
-
AWS WAF 资源类型值仅在美国东部 (弗吉尼亚北部) 区域提供。
AWS::WAFRegional::RateBasedRule、AWS::WAFRegional::Rule、AWS::WAFRegional::WebACL和AWS::WAFRegional::RuleGroup在所有支持 AWS WAF 的区域提供。
记录托管实例的软件配置
您可以使用 AWS Config 记录 EC2 实例和本地服务器的软件清单变更。这样您就可以了解到软件配置的变更历史。例如,当托管 Windows 实例安装了新的 Windows 更新时,AWS Config 会记录变更情况并将其发送到您的传递通道,这样您就可以收到变更通知。借助 AWS Config,您可以看到托管实例何时安装了 Windows 更新,以及它们随时间推移的变化情况。
您必须完成以下步骤来记录软件配置变更:
-
在 AWS Config 中打开对托管实例清单资源类型的记录
-
将 EC2 和本地实例配置为托管实例
-
启动收集托管实例的软件清单
您也使用 AWS Config 规则监控软件配置变更,并在变更符合或违反您的规则时获得通知。例如,如果您创建了一条规则,来检查托管实例是否安装了特定应用程序,那么如果某个实例未安装该应用程序,AWS Config 会将这个实例标记为违反了您的规则。有关 AWS Config 托管规则的列表,请参阅AWS 托管配置规则。
在 AWS Config 中启用软件配置变更的记录:
-
在 AWS Config 中记录所有支持的资源类型,或选择性地记录托管实例清单资源类型。有关更多信息,请参阅 选择 AWS Config 所记录的资源。
-
启动具有 IAM 角色和 AmazonEC2RoleforSSM 策略的 Amazon EC2 实例。您可能还需要安装 SSM 代理。有关更多信息,请参阅 Systems Manager 先决条件 在 Amazon EC2 用户指南(适用于 Linux 实例)中,或 Amazon EC2 用户指南(适用于 Windows 实例)中的 Systems Manager 先决条件。
-
启动清单收集,详情请参考 Amazon EC2 用户指南(适用于 Linux 实例)中的配置清单收集。Linux 和 Windows 实例的步骤相同。
AWS Config 可以记录以下清单类型的配置变更:
-
Applications – 托管实例的应用程序列表,例如杀毒软件。
-
AWS components – 托管实例的 AWS 组件列表,例如 AWS CLI 和软件开发工具包。
-
Instance information – 实例信息,例如操作系统名称和版本、域,以及防火墙状态。
-
Network configuration – 配置信息,例如 IP 地址、网关和子网掩码。
-
Windows Updates – 托管实例的 Windows 更新列表(仅适用于 Windows 实例)。
注意
AWS Config 目前不支持记录自定义清单类型。
-
除了收集清单,Amazon EC2 Systems Manager 还有许多功能,其中包括应用操作系统补丁, 和大规模配置实例。有关更多信息,请参阅 Amazon EC2 Systems Manager 在 Amazon EC2 用户指南(适用于 Linux 实例)中,或 Amazon EC2 用户指南(适用于 Windows 实例)中的 Amazon EC2 Systems Manager。
配置项的组成部分
配置项由以下部分组成。
| 组件 | 描述 | 包含 |
|---|---|---|
| 元数据 | 有关此配置项的信息 |
|
| 属性1 | 资源属性 |
|
| 关系 | 该资源和与账户关联的其他资源的关系 | 关系描述,例如 Amazon EBS 卷vol-1234567挂载到 Amazon EC2 实例i-a1b2c3d4 |
| 当前配置 | 通过对资源进行 Describe 或 List API 调用返回的信息 | 例如,DescribeVolumes API 会返回有关卷的以下信息:
|
备注
-
配置项关系不包含网络流或数据流依赖关系。无法自定义配置项来表示您的应用程序架构。
-
AWS Config 还会记录 Amazon S3 存储桶资源类型的以下属性。有关这些属性的更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的存储桶配置选项。
-
AWS Config 不记录 CloudTrail 跟踪、CloudFront 分配和 CloudFront 串流分配的键–值标签。
-
从 1.3 版开始,relatedEvents 字段为空。您可以访问 AWS CloudTrail API Reference 中的 LookupEvents API 来检索资源的事件。
-
从 1.3 版开始,configurationItemMD5Hash 字段为空。您可以使用 configurationStateId 字段来确保您拥有最新的配置项。
Amazon S3 存储桶属性
| 属性 | 说明 |
|---|---|
| AccelerateConfiguration | 在您的客户端与存储桶之间远距离传输的数据的传输加速。 |
| BucketAcl | 用于管理存储桶和对象访问的访问控制列表。 |
| BucketPolicy | 用于定义存储桶权限的策略。 |
| CrossOriginConfiguration | 允许跨区域请求存储桶。 |
| LifecycleConfiguration | 用于定义您存储桶中的对象生命周期的规则。 |
| LoggingConfiguration | 用于跟踪存储桶访问请求的日志记录。 |
| NotificationConfiguration | 用于针对指定存储桶事件发送警报或触发工作流的事件通知。 |
| ReplicationConfiguration | 在不同 AWS 区域中的存储桶之间自动以异步方式复制对象。 |
| RequestPaymentConfiguration | 启用申请方付款。 |
| TaggingConfiguration | 添加到存储桶用于分类的标签。您也可以使用标记或跟踪计费。 |
| WebsiteConfiguration | 对存储桶启用静态网站托管。 |
| VersioningConfiguration | 对存储桶中的对象启用版本控制。 |
支持的资源关系
AWS Config 支持不同资源之间存在以下关系。
注意
变更资源并且该资源与其他资源关联时,AWS Config 会创建多个配置项。有关更多信息,请参阅 存在关系的资源的配置项。
| 资源 | 关系 | 相关资源 |
|---|---|---|
| Auto Scaling 组 | 包含 | Amazon EC2 实例 |
| 关联到 | 传统负载均衡器 | |
| Auto Scaling 启动配置 | ||
| 子网 | ||
| Auto Scaling 启动配置 | 关联到 | Amazon EC2 安全组 |
| Auto Scaling 扩展策略 | 关联到 | Auto Scaling 组 |
| 警报 | ||
| Auto Scaling 计划操作 | 关联到 | Auto Scaling 组 |
| Amazon EBS 卷 | 挂载到 | EC2 实例 |
| Amazon Redshift 群集 | 关联到 | 群集参数组 |
| 群集安全组 | ||
| 群集子网组 | ||
| 安全组 | ||
| Virtual Private Cloud (VPC) | ||
| Amazon Redshift 群集快照 | 关联到 | 集群 |
| Virtual Private Cloud (VPC) | ||
| Amazon Redshift 群集子网组 | 关联到 | 子网 |
| Virtual Private Cloud (VPC) | ||
| AWS CloudFormation 堆栈 | 包含 | 支持的 AWS 资源类型 |
| Amazon CloudFront 分配 | 关联到 | AWS WAF WebACL |
| ACM 证书 | ||
| S3Bucket | ||
| IAM 服务器证书 | ||
| Amazon CloudFront 流分配 | 关联到 | AWS WAF WebACL |
| ACM 证书 | ||
| S3Bucket | ||
| IAM 服务器证书 | ||
| AWS CodeBuild 项目 | 关联到 | S3Bucket |
| IAM 角色 | ||
| 客户网关 | 挂载到 | VPN 连接 |
| EC2 专用主机 | 包含 | EC2 实例 |
| EC2 弹性 IP (EIP) | 挂载到 | EC2 实例 |
| 网络接口 | ||
| EC2 实例 | 包含 | EC2 网络接口 |
| 关联到 | EC2 安全组 | |
| 挂载到 | Amazon EBS 卷 | |
| EC2 弹性 IP (EIP) | ||
| 包含在 | EC2 专用主机 | |
| 路由表 | ||
| 子网 | ||
| Virtual Private Cloud (VPC) | ||
| EC2 托管实例清单 | 关联到 | EC2 实例 |
| EC2 网络接口 | 关联到 | EC2 安全组 |
| 挂载到 | EC2 弹性 IP (EIP) | |
| EC2 实例 | ||
| 包含在 | 路由表 | |
| 子网 | ||
| Virtual Private Cloud (VPC) | ||
| EC2 安全组 | 关联到 | EC2 实例 |
| EC2 网络接口 | ||
| Virtual Private Cloud (VPC) | ||
| Elastic Load Balancing 应用程序负载均衡器 | 关联到 | EC2 安全组 |
| 挂载到 | 子网 | |
| 包含在 | Virtual Private Cloud (VPC) | |
| Elastic Load Balancing Classic 负载均衡器 | 关联到 | EC2 安全组 |
| 挂载到 | 子网 | |
| 包含在 | Virtual Private Cloud (VPC) | |
| IAM 客户管理的政策 | 挂载到 | IAM 用户 |
| IAM 组 | ||
| IAM 角色 | ||
| IAM 组 | 包含 | IAM 用户 |
| 挂载到 | IAM 客户管理的政策 | |
| IAM 角色 | 挂载到 | IAM 客户管理的政策 |
| IAM 用户 | 挂载到 | IAM 组 |
| IAM 客户管理的政策 | ||
| Internet 网关 | 挂载到 | Virtual Private Cloud (VPC) |
| 网络 ACL | 挂载到 | 子网 |
| 包含在 | Virtual Private Cloud (VPC) | |
| RDS 数据库实例 | 关联到 | EC2 安全组 |
| RDS 数据库安全组 | ||
| RDS 数据库子网组 | ||
| RDS 数据库安全组 | 关联到 | EC2 安全组 |
| Virtual Private Cloud (VPC) | ||
| RDS 数据库快照 | 关联到 | Virtual Private Cloud (VPC) |
| RDS 数据库子网组 | 关联到 | EC2 子网 |
| Virtual Private Cloud (VPC) | ||
| 路由表 | 包含 | EC2 实例 |
| EC2 网络接口 | ||
| 子网 | ||
| VPN 网关 | ||
| 包含在 | Virtual Private Cloud (VPC) | |
| 子网 | 包含 | EC2 实例 |
| EC2 网络接口 | ||
| 挂载到 | 网络 ACL | |
| 包含在 | 路由表 | |
| Virtual Private Cloud (VPC) | ||
| Virtual Private Cloud (VPC) | 包含 | EC2 实例 |
| EC2 网络接口 | ||
| 网络 ACL | ||
| 路由表 | ||
| 子网 | ||
| 关联到 | 安全组 | |
| 挂载到 | Internet 网关 | |
| VPN 网关 | ||
| VPN 连接 | 挂载到 | 客户网关 |
| VPN 网关 | ||
| VPN 网关 | 挂载到 | Virtual Private Cloud (VPC) |
| VPN 连接 | ||
| 包含在 | 路由表 | |
| WAF WebACL | 关联到 | WAF 规则 |
| WAF 基于速率的规则 | ||
| WAF RuleGroup | ||
| WAFRegional WebACL | 关联到 | ElasticLoadBalancingV2 LoadBalancer |
| WAFRegional 规则 | ||
| WAFRegional 基于速率的规则 | ||
| WAFRegional RuleGroup | ||
| WAF RuleGroup | 关联到 | WAF 规则 |
| WAF 区域 RuleGroup | 关联到 | WAFRegional 规则 |
