Amazon 服务与 ()集成Amazon Config - Amazon Config
Amazon OrganizationsAmazon Control TowerAmazon CloudTrailAmazon Security Hub CSPMAmazon Trusted AdvisorAmazon Audit ManagerAmazon Systems ManagerAmazon Firewall ManagerAmazon EC2 专属主机Application Load BalancerAmazon CodeBuildAmazon X-RayAmazon 服务管理连接器Amazon API Gateway
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon 服务与 ()集成Amazon Config

Amazon Config 支持与多种其他 Amazon 服务之间的集成。此列表并不详尽。

Amazon Organizations

您可以使用 Amazon Organizations 定义要用于 Amazon Config 的多账户、多区域数据聚合功能的账户。Amazon Organizations 是一项账户管理服务,使您可将多个 Amazon Web Services 账户整合到您创建并集中管理的组织中。通过提供您的 Amazon Organizations 详细信息,您可以监控整个组织的合规状态。有关更多信息,请参阅 Amazon Organizations 用户指南中的 Amazon Config 和 Amazon Organizations

Amazon Control Tower

Amazon Control Tower 可在所有已注册的账户上启用,Amazon Config以便通过检测性控件来监控合规性,记录资源更改,并将资源更改日志传送到日志存档账户。有关更多信息,请参阅《Amazon Control Tower 用户指南》中的使用 Amazon Config 监控资源更改

Amazon CloudTrail

Amazon Config 与 Amazon CloudTrail 集成,将配置更改与您账户中的特定事件相关联。您可以使用 CloudTrail 日志来获取引发变更的事件的详细信息,包括谁发出了请求、何时以及来自哪个 IP 地址。您可以从 CloudTrail 控制台导航到 Amazon Config 时间轴,查看与您的 Amazon API 活动相关的配置更改。

有关更多信息,请参阅《Amazon Config 开发人员指南》中的使用 Amazon CloudTrail 记录 Amazon Config API 调用和《Amazon CloudTrail 用户指南》中的使用控制台为 Amazon Config 配置项创建事件数据存储

Amazon Security Hub CSPM

Amazon Security Hub CSPM 会集中其他 Amazon 服务中的安全检查,包括 Amazon Config 规则。Security Hub 会启用并控制 Amazon Config 规则,以验证您的资源配置是否符合最佳实践。在 Security Hub 要对环境资源进行安全检查的所有区域中的所有账户上启用。Amazon Config有关更多信息,请参阅《Amazon Security Hub CSPM 用户指南》中的将调查发现发送到 Security Hub 的 Amazon 服务

某些与 Security Hub 相关的规则是定期规则,不依赖于配置项

某些与 Security Hub 相关的规则是定期规则。这些规则不依赖于配置项(CI),因此可在配置记录器未启用的情况下运行。

这意味着,如果您查看规则页面,其中不会列出 CI 或支持的资源。如果您选择资源 ID,将会看到以下错误:The provided resource ID and resource type cannot be found。这是预料之中的行为。

Amazon Trusted Advisor

Amazon Config 托管规则支持一组跨所有类别的 Trusted Advisor 检查。启用某些托管规则后,将自动启用相应的 Trusted Advisor 检查。要查看哪些 Trusted Advisor 检查由特定的 Amazon Config 托管规则提供支持,请参阅《Amazon Web Services 支持 用户指南》中的Amazon Trusted Advisor 检查参考

拥有 Amazon Business SupportAmazon Enterprise On-RampAmazon Enterprise Support 计划的客户可以使用 Amazon Config 提供支持的检查。如果您启用 Amazon Config 并且拥有这些 Amazon Support 计划之一,则您会自动看到由相应部署的 Amazon Config 托管规则提供支持的建议。

不允许刷新请求,也无法排除资源

这些检查的结果会根据更改触发的 Amazon Config 托管规则更新自动刷新。不允许刷新请求。您目前无法从这些检查中排除资源。

有关更多信息,请参阅《Amazon Web Services 支持 用户指南》中的查看由 Amazon Config 提供支持的 Trusted Advisor 检查

Amazon Audit Manager

您可以使用 Audit Manager 捕获 Amazon Config 评测作为审计证据。创建或编辑自定义控件时,您可以将一个或多个 Amazon Config 规则指定为证据收集的数据来源映射。Amazon Config 根据这些规则执行合规性检查,然后 Audit Manager 将结果报告为合规性检查证据。有关更多信息,请参阅《Amazon Audit Manager 用户指南》中的 Amazon Audit Manager 支持的 Amazon Config 规则

Amazon Systems Manager

Amazon Config 与 Systems Manager 集成,可记录本地环境中的 Amazon EC2 实例和服务器上软件的配置更改。通过此集成,您可以了解操作系统(OS)配置、系统级更新、已安装的应用程序、网络配置等。Amazon Config 还提供了操作系统和系统级配置更改的历史记录以及为 Amazon EC2 实例记录的基础设施配置更改。您可以从 Systems Manager 控制台导航到 Amazon Config 时间轴,查看托管 Amazon EC2 实例的配置更改。您可以使用 Amazon Config 查看所有托管实例的 Systems Manager 清单历史记录和变更跟踪。

有关更多信息,请参阅《Amazon Systems Manager 用户指南》中的与 Amazon 服务集成 | 管理和治理Amazon Config配置记录器Amazon Config 合规包部署

Amazon Firewall Manager

要使用 Firewall Manager,您必须为每个 Amazon Organizations 成员账户启用。Amazon Config创建新应用程序时,Firewall Manager 是构建防火墙规则、创建安全策略并一致实施这些规则的唯一服务。有关更多信息,请参阅《Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced 开发人员指南》中的启用。Amazon Config

注意

Firewall Manager 依赖连续记录来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。有关连续录制和每日录制的更多信息,请参阅录制频率

Amazon EC2 专属主机

Amazon Config 与 Amazon EC2 专属主机集成,以评估许可证合规性。Amazon Config 记录实例何时在专用主机上启动、停止或关闭,并将此信息与和软件许可相关的主机和实例级别信息(例如主机 ID、亚马逊机器映像(AMI)ID、套接字数量和物理内核)配对。这使您可将 Amazon Config 用作许可证报告的数据来源。您可以从 Amazon EC2 专属主机控制台导航到 Amazon Config 时间轴,查看您的 Amazon EC2 专属主机的配置更改。

有关更多信息,请参阅《适用于 Linux 实例的 Amazon Elastic Compute Cloud 用户指南》中的跟踪配置更改或《适用于 Windows 实例的 Amazon Elastic Compute Cloud 用户指南》中的跟踪配置更改

Application Load Balancer

Amazon Config 与弹性负载均衡(ELB)服务集成,以记录应用程序负载均衡器配置更改。Amazon Config 还包括与相关 Amazon EC2 安全组、VPC 和子网的关系。您可以使用这些信息进行安全分析和故障排除。例如,您可以随时查看哪些安全组与您的应用程序负载均衡器相关联。您可以从 ELB 控制台导航到 Amazon Config 时间轴,查看应用程序负载均衡器的配置更改。

Amazon CodeBuild

Amazon Config 提供了您的 Amazon 资源的清单以及这些资源的配置更改历史记录。Amazon Config 支持 Amazon CodeBuild 作为 Amazon 资源,这意味着该服务可以跟踪您的 CodeBuild 项目。有关更多信息,请参阅《Amazon CodeBuild 用户指南》中的 Amazon Config 与 CodeBuild 搭配使用示例

Amazon X-Ray

Amazon X-Ray 与 Amazon Config 集成来记录对您的 X-Ray 加密资源所做的配置更改。您可以使用 Amazon Config 来清点 X-Ray 加密资源、审核 X-Ray 配置历史记录并基于资源更改发送通知。有关更多信息,请参阅《Amazon X-Ray 开发人员指南》中的使用 Amazon Config 跟踪 X-Ray 加密配置更改

Amazon 服务管理连接器

Amazon 服务管理连接器 for ServiceNow 可以使用聚合器同步来自多个账户和地区的 Amazon Config 数据。有关更多信息,请参阅《Amazon 服务管理连接器 管理员指南》中的在 ServiceNow 中集成。Amazon Config

Amazon API Gateway

您可以使用 Amazon Config 来记录对您的 API Gateway API 资源所做的配置更改,并根据资源更改发送通知。维护 API Gateway 资源的配置更改历史记录对于运行问题排查、审计与合规性使用案例非常有用。有关更多信息,请参阅《API Gateway 开发人员指南》中的使用 Amazon Config 监控 API Gateway API 配置