AWS Config
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

支持的资源、配置项和关系

AWS Config 支持以下 AWS 资源、配置项和资源关系。

支持的 AWS 资源类型

AWS Config 支持以下 AWS 资源类型。

AWS 服务 资源类型 资源类型值
Auto Scaling Auto Scaling 组 AWS::AutoScaling::AutoScalingGroup
Auto Scaling 启动配置 AWS::AutoScaling::LaunchConfiguration
Auto Scaling 扩展策略 AWS::AutoScaling::ScalingPolicy
Auto Scaling 计划操作 AWS::AutoScaling::ScheduledAction
AWS Certificate Manager 证书 AWS::ACM::Certificate
AWS CloudFormation 堆栈1 AWS::CloudFormation::Stack
Amazon CloudFront2 分配 AWS::CloudFront::Distribution
流分配 AWS::CloudFront::StreamingDistribution
AWS CloudTrail 试用 AWS::CloudTrail::Trail
AWS CodeBuild 项目3 AWS::CodeBuild::Project
Amazon CloudWatch 警报 AWS::CloudWatch::Alarm
Amazon DynamoDB Table AWS::DynamoDB::Table
Amazon Elastic Block Store Amazon EBS 卷 AWS::EC2::Volume
Amazon Elastic Compute Cloud EC2 专用主机4 AWS::EC2::Host
EC2 弹性 IP(仅限 VPC) AWS::EC2::EIP
EC2 实例 AWS::EC2::Instance
EC2 网络接口 AWS::EC2::NetworkInterface
EC2 安全组 AWS::EC2::SecurityGroup
Amazon EC2 Systems Manager 托管实例清单5 AWS::SSM::ManagedInstanceInventory
Elastic Load Balancing 应用程序负载均衡器 AWS::ElasticLoadBalancingV2::LoadBalancer
传统负载均衡器 AWS::ElasticLoadBalancing::LoadBalancer
网络负载均衡器 AWS::ElasticLoadBalancingV2::LoadBalancer
AWS Identity and Access Management6 IAM 用户7 AWS::IAM::User
IAM 组7 AWS::IAM::Group
IAM 角色7 AWS::IAM::Role
IAM 客户管理的政策 AWS::IAM::Policy
Amazon Redshift 集群 AWS::Redshift::Cluster
群集参数组 AWS::Redshift::ClusterParameterGroup
群集安全组 AWS::Redshift::ClusterSecurityGroup
群集快照 AWS::Redshift::ClusterSnapshot
群集子网组 AWS::Redshift::ClusterSubnetGroup
事件订阅 AWS::Redshift::EventSubscription
Amazon Relational Database Service RDS 数据库实例 AWS::RDS::DBInstance
RDS 数据库安全组 AWS::RDS::DBSecurityGroup
RDS 数据库快照 AWS::RDS::DBSnapshot
RDS 数据库子网组 AWS::RDS::DBSubnetGroup
事件订阅 AWS::RDS::EventSubscription
Amazon Simple Storage Service Amazon S3 存储桶8 AWS::S3::Bucket
Amazon Virtual Private Cloud 客户网关 AWS::EC2::CustomerGateway
Internet 网关 AWS::EC2::InternetGateway
网络访问控制列表 (ACL) AWS::EC2::NetworkAcl
路由表 AWS::EC2::RouteTable
子网 AWS::EC2::Subnet
Virtual Private Cloud (VPC) AWS::EC2::VPC
VPN 连接 AWS::EC2::VPNConnection
VPN 网关 AWS::EC2::VPNGateway
AWS WAF9 基于速率的规则 AWS::WAF::RateBasedRule
规则 AWS::WAF::Rule
Web ACL AWS::WAF::WebACL
规则组 AWS::WAF::RuleGroup
基于速率的规则 AWS::WAFRegional::RateBasedRule
规则 AWS::WAFRegional::Rule
Web ACL AWS::WAFRegional::WebACL
规则组 AWS::WAFRegional::RuleGroup

备注

  1. AWS Config 会记录对 CloudFormation 堆栈和堆栈中支持的资源类型所做的配置更改。AWS Config 不会记录对堆栈中尚不支持的资源类型所做的配置更改。不受支持的资源类型显示在堆栈的配置项的补充配置部分中。

  2. 对 Amazon CloudFront 的 AWS Config 支持仅在美国东部 (弗吉尼亚北部) 区域提供。

  3. 要了解有关 AWS Config 如何与 AWS CodeBuild 集成的更多信息,请参阅将 AWS Config 与 AWS CodeBuild 示例配合使用

  4. AWS Config 会记录专用主机以及在其上启动的实例的配置详细信息。因此,在报告与服务器绑定的软件许可证的合规情况时,您可以将 AWS Config 用作数据源。例如,您可以查看某个实例的配置历史记录并确定其基于哪个 Amazon 系统映像 (AMI)。然后,您可以查找相应主机的配置历史记录(包括套接字和核心数量之类的详细信息),以验证该主机是否符合 AMI 的许可证要求。有关更多信息,请参阅 Amazon EC2 用户指南(适用于 Linux 实例) 中的使用 AWS Config 跟踪配置变更

  5. 要了解有关托管实例清单的更多信息,请参阅记录托管实例的软件配置.

  6. AWS Identity and Access Management (IAM) 资源是全球性资源。全球性资源不限于某个区域,而是可以用于所有区域。全球性资源的配置详细信息在所有区域都相同。有关更多信息,请参阅 选择 AWS Config 所记录的资源

  7. AWS Config 包含的内联策略具有其记录的配置详细信息。

  8. 如果您已将 AWS Config 配置为记录您的 S3 存储桶且不接收配置更改通知,请验证您的 S3 存储桶策略是否拥有所需权限。有关更多信息,请参阅 有关记录 S3 存储桶的疑难解答

  9. AWS WAF 资源类型值仅在美国东部 (弗吉尼亚北部) 区域提供。AWS::WAFRegional::RateBasedRuleAWS::WAFRegional::RuleAWS::WAFRegional::WebACLAWS::WAFRegional::RuleGroup 在所有支持 AWS WAF 的区域提供。

记录托管实例的软件配置

您可以使用 AWS Config 记录 EC2 实例和本地服务器的软件清单变更。这样您就可以了解到软件配置的变更历史。例如,当托管 Windows 实例安装了新的 Windows 更新时,AWS Config 会记录变更情况并将其发送到您的传递通道,这样您就可以收到变更通知。借助 AWS Config,您可以看到托管实例何时安装了 Windows 更新,以及它们随时间推移的变化情况。

您必须完成以下步骤来记录软件配置变更:

  • 在 AWS Config 中打开对托管实例清单资源类型的记录

  • 将 EC2 和本地实例配置为托管实例

  • 启动收集托管实例的软件清单

您也使用 AWS Config 规则监控软件配置变更,并在变更符合或违反您的规则时获得通知。例如,如果您创建了一条规则,来检查托管实例是否安装了特定应用程序,那么如果某个实例未安装该应用程序,AWS Config 会将这个实例标记为违反了您的规则。有关 AWS Config 托管规则的列表,请参阅AWS 托管配置规则

在 AWS Config 中启用软件配置变更的记录:

  1. 在 AWS Config 中记录所有支持的资源类型,或选择性地记录托管实例清单资源类型。有关更多信息,请参阅 选择 AWS Config 所记录的资源

  2. 启动具有 IAM 角色和 AmazonEC2RoleforSSM 策略的 Amazon EC2 实例。您可能还需要安装 SSM 代理。有关更多信息,请参阅 Systems Manager 先决条件Amazon EC2 用户指南(适用于 Linux 实例)中,或 Amazon EC2 用户指南(适用于 Windows 实例)中的 Systems Manager 先决条件

  3. 启动清单收集,详情请参考 Amazon EC2 用户指南(适用于 Linux 实例)中的配置清单收集。Linux 和 Windows 实例的步骤相同。

    AWS Config 可以记录以下清单类型的配置变更:

    • Applications – 托管实例的应用程序列表,例如杀毒软件。

    • AWS components – 托管实例的 AWS 组件列表,例如 AWS CLI 和软件开发工具包。

    • Instance information – 实例信息,例如操作系统名称和版本、域,以及防火墙状态。

    • Network configuration – 配置信息,例如 IP 地址、网关和子网掩码。

    • Windows Updates – 托管实例的 Windows 更新列表(仅适用于 Windows 实例)。

    注意

    AWS Config 目前不支持记录自定义清单类型。

除了收集清单,Amazon EC2 Systems Manager 还有许多功能,其中包括应用操作系统补丁, 和大规模配置实例。有关更多信息,请参阅 Amazon EC2 Systems ManagerAmazon EC2 用户指南(适用于 Linux 实例)中,或 Amazon EC2 用户指南(适用于 Windows 实例)中的 Amazon EC2 Systems Manager

配置项的组成部分

配置项由以下部分组成。

组件 描述 包含
元数据 有关此配置项的信息
  • 版本 ID

  • 捕获配置项的时间

  • 表明项目是否成功捕获的配置项状态

  • 表明资源配置项排序的状态 ID

属性1 资源属性
  • 资源 ID

  • 此资源的键–值标签列表3

  • 资源类型;请参阅支持的 AWS 资源类型

  • Amazon 资源名称 (ARN)

  • 包含此资源的可用区(如果适用)

  • 资源创建的时间

关系 该资源和与账户关联的其他资源的关系 关系描述,例如 Amazon EBS 卷vol-1234567挂载到 Amazon EC2 实例i-a1b2c3d4
当前配置 通过对资源进行 Describe 或 List API 调用返回的信息 例如,DescribeVolumes API 会返回有关卷的以下信息:
  • 卷所在的可用区

  • 卷挂载的时间

  • 卷挂载到的 EC2 实例的 ID

  • 卷的当前状态

  • DeleteOnTermination 标记的状态

  • 卷挂载到的设备

  • 卷类型,例如 gp2, io1,standard

备注

  1. 配置项关系不包含网络流或数据流依赖关系。无法自定义配置项来表示您的应用程序架构。

  2. AWS Config 还会记录 Amazon S3 存储桶资源类型的以下属性。有关这些属性的更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的存储桶配置选项

  3. AWS Config 不记录 CloudTrail 跟踪、CloudFront 分配和 CloudFront 串流分配的键–值标签。

  4. 从 1.3 版开始,relatedEvents 字段为空。您可以访问 AWS CloudTrail API Reference 中的 LookupEvents API 来检索资源的事件。

  5. 从 1.3 版开始,configurationItemMD5Hash 字段为空。您可以使用 configurationStateId 字段来确保您拥有最新的配置项。

Amazon S3 存储桶属性

属性 说明
AccelerateConfiguration 在您的客户端与存储桶之间远距离传输的数据的传输加速。
BucketAcl 用于管理存储桶和对象访问的访问控制列表。
BucketPolicy 用于定义存储桶权限的策略。
CrossOriginConfiguration 允许跨区域请求存储桶。
LifecycleConfiguration 用于定义您存储桶中的对象生命周期的规则。
LoggingConfiguration 用于跟踪存储桶访问请求的日志记录。
NotificationConfiguration 用于针对指定存储桶事件发送警报或触发工作流的事件通知。
ReplicationConfiguration 在不同 AWS 区域中的存储桶之间自动以异步方式复制对象。
RequestPaymentConfiguration 启用申请方付款。
TaggingConfiguration 添加到存储桶用于分类的标签。您也可以使用标记或跟踪计费。
WebsiteConfiguration 对存储桶启用静态网站托管。
VersioningConfiguration 对存储桶中的对象启用版本控制。

支持的资源关系

AWS Config 支持不同资源之间存在以下关系。

注意

变更资源并且该资源与其他资源关联时,AWS Config 会创建多个配置项。有关更多信息,请参阅 存在关系的资源的配置项

资源 关系 相关资源
Auto Scaling 组 包含 Amazon EC2 实例
关联到 传统负载均衡器
Auto Scaling 启动配置
子网
Auto Scaling 启动配置 关联到 Amazon EC2 安全组
Auto Scaling 扩展策略 关联到 Auto Scaling 组
警报
Auto Scaling 计划操作 关联到 Auto Scaling 组
Amazon EBS 卷 挂载到 EC2 实例
Amazon Redshift 群集 关联到 群集参数组
群集安全组
群集子网组
安全组
Virtual Private Cloud (VPC)
Amazon Redshift 群集快照 关联到 集群
Virtual Private Cloud (VPC)
Amazon Redshift 群集子网组 关联到 子网
Virtual Private Cloud (VPC)
AWS CloudFormation 堆栈 包含 支持的 AWS 资源类型
Amazon CloudFront 分配 关联到 AWS WAF WebACL
ACM 证书
S3Bucket
IAM 服务器证书
Amazon CloudFront 流分配 关联到 AWS WAF WebACL
ACM 证书
S3Bucket
IAM 服务器证书
AWS CodeBuild 项目 关联到 S3Bucket
IAM 角色
客户网关 挂载到 VPN 连接
EC2 专用主机 包含 EC2 实例
EC2 弹性 IP (EIP) 挂载到 EC2 实例
网络接口
EC2 实例 包含 EC2 网络接口
关联到 EC2 安全组
挂载到 Amazon EBS 卷
EC2 弹性 IP (EIP)
包含在 EC2 专用主机
路由表
子网
Virtual Private Cloud (VPC)
EC2 托管实例清单 关联到 EC2 实例
EC2 网络接口 关联到 EC2 安全组
挂载到 EC2 弹性 IP (EIP)
EC2 实例
包含在 路由表
子网
Virtual Private Cloud (VPC)
EC2 安全组 关联到 EC2 实例
EC2 网络接口
Virtual Private Cloud (VPC)
Elastic Load Balancing 应用程序负载均衡器 关联到 EC2 安全组
挂载到 子网
包含在 Virtual Private Cloud (VPC)
Elastic Load Balancing Classic 负载均衡器 关联到 EC2 安全组
挂载到 子网
包含在 Virtual Private Cloud (VPC)
IAM 客户管理的政策 挂载到 IAM 用户
IAM 组
IAM 角色
IAM 组 包含 IAM 用户
挂载到 IAM 客户管理的政策
IAM 角色 挂载到 IAM 客户管理的政策
IAM 用户 挂载到 IAM 组
IAM 客户管理的政策
Internet 网关 挂载到 Virtual Private Cloud (VPC)
网络 ACL 挂载到 子网
包含在 Virtual Private Cloud (VPC)
RDS 数据库实例 关联到 EC2 安全组
RDS 数据库安全组
RDS 数据库子网组
RDS 数据库安全组 关联到 EC2 安全组
Virtual Private Cloud (VPC)
RDS 数据库快照 关联到 Virtual Private Cloud (VPC)
RDS 数据库子网组 关联到 EC2 子网
Virtual Private Cloud (VPC)
路由表 包含 EC2 实例
EC2 网络接口
子网
VPN 网关
包含在 Virtual Private Cloud (VPC)
子网 包含 EC2 实例
EC2 网络接口
挂载到 网络 ACL
包含在 路由表
Virtual Private Cloud (VPC)
Virtual Private Cloud (VPC) 包含 EC2 实例
EC2 网络接口
网络 ACL
路由表
子网
关联到 安全组
挂载到 Internet 网关
VPN 网关
VPN 连接 挂载到 客户网关
VPN 网关
VPN 网关 挂载到 Virtual Private Cloud (VPC)
VPN 连接
包含在 路由表
WAF WebACL 关联到 WAF 规则
WAF 基于速率的规则
WAF RuleGroup
WAFRegional WebACL 关联到 ElasticLoadBalancingV2 LoadBalancer
WAFRegional 规则
WAFRegional 基于速率的规则
WAFRegional RuleGroup
WAF RuleGroup 关联到 WAF 规则
WAF 区域 RuleGroup 关联到 WAFRegional 规则