Domande frequenti Amazon Config

Domande generali

AWS Config è un servizio completamente gestito che offre inventario delle risorse, cronologia delle configurazioni e notifiche di modifica delle configurazioni per la sicurezza e la governance. AWS Config consente di individuare le risorse AWS esistenti, registrare le configurazioni per risorse di terze parti, esportare l'elenco completo delle risorse con tutti i dettagli di configurazione e determinare il modo in cui una risorsa è stata configurata in un dato momento. Queste funzionalità utilizzano l'esecuzione di audit di conformità, analisi di sicurezza, il monitoraggio delle modifiche alle risorse e la risoluzione dei problemi.

Una regola di AWS Config rappresenta le configurazioni desiderate per una risorsa e viene valutata mettendola a confronto con le modifiche apportate alla configurazione delle risorse pertinenti, in base a quanto registrato da AWS Config. I risultati della valutazione della regola rispetto alla configurazione di una risorsa sono quindi disponibili nel pannello di controllo. Utilizzando le regole di AWS Config, è possibile prendere in esame conformità e livello di rischio dal punto di vista della configurazione, consultare tendenze di conformità nel corso del tempo e individuare quale modifica alla configurazione ha causato la mancata conformità di una risorsa a una determinata regola.

Un pacchetto di conformità è una raccolta di regole e di azioni correttive di AWS Config che viene creato in AWS Config utilizzando un framework e un modello di pacchetti comuni. La creazione di pacchetti dei precedenti artefatti di AWS Config consente di semplificare gli aspetti inerenti all'implementazione e alla creazione di report sulle policy di governance e sulla conformità della configurazione in più account e Regioni e di ridurre il tempo in cui una risorsa viene tenuta in uno stato di non conformità.

Con AWS Config è più semplice monitorare la configurazione delle risorse, senza investimenti iniziali e senza la complessità legata all'installazione e all'aggiornamento degli agenti per la raccolta dei dati o alla gestione di database di grandi dimensioni. Dopo avere abilitato AWS Config, puoi visualizzare continuamente informazioni dettagliate aggiornate su tutti gli attributi di configurazione associati alle risorse AWS. Per ogni modifica alla configurazione riceverai una notifica attraverso Amazon Simple Notification Service (SNS).

AWS Config offre accesso allo storico delle configurazioni delle risorse. È possibile mettere in relazione le modifiche alla configurazione con eventi di AWS CloudTrail che possono aver contribuito alla modifica. Queste informazioni forniscono una visibilità completa, dai dettagli riguardanti, ad esempio, chi ha apportato la modifica e da quale indirizzo IP, agli effetti di tale modifica sulle risorse AWS e le risorse associate. Puoi utilizzare queste informazioni per generare report utili per il controllo e la valutazione della conformità in un determinato periodo.

A tutti i clienti AWS che desiderano migliorare la sicurezza e la governance aziendale su AWS analizzando in modo continuo la configurazione delle risorse. Agli amministratori di grandi organizzazioni che consigliano best practice per la configurazione delle risorse, i quali possono codificare regole come regole di AWS Config e implementare così una forma di governance automatica tra gli utenti. Gli esperti di sicurezza informatica che monitorano le attività e le configurazioni per individuarne le vulnerabilità possono trarre vantaggio dalle regole di AWS Config. Se avete un carico di lavoro che deve essere conforme a standard specifici (ad es. PCI-DSS o HIPAA ) potete utilizzare questa funzionalità per valutare la conformità delle configurazioni della loro infrastruttura AWS e generare report per i loro revisori. Anche gli operatori che devono gestire infrastrutture AWS di grandi dimensioni o componenti che variano di frequente possono trarre vantaggio dalle regole di AWS Config ai fini della risoluzione dei problemi. L'attivazione di AWS Config è consigliata ai clienti che devono monitorare le modifiche alle risorse, rispondere a semplici domande sulle attività degli utenti, dimostrare la conformità, risolvere problemi o effettuare analisi di sicurezza si.

Se stai cercando un framework per creare e implementare pacchetti di conformità per le tue configurazioni di risorse AWS su diversi account, dovresti utilizzare i pacchetti di conformità. Tale framework permette di creare pacchetti personalizzati per i team di sicurezza, DevOps e altri profili, così che tu possa cominciare a utilizzare subito uno dei modelli di pacchetti di conformità di esempio.

Le regole e i pacchetti di conformità di AWS Config forniscono informazioni sulla conformità delle risorse alle regole di configurazione specificate dall'utente. Le configurazioni delle risorse vengono confrontate con le regole di AWS Config su base periodica o se viene rilevata una modifica della configurazione oppure in entrambi i casi, a seconda di come è stata configurata la regola. Non viene garantita la conformità delle risorse, né viene impedito agli utenti di eseguire azioni che vanno contro la conformità. Tuttavia, possono essere utilizzati per riportare una risorsa non conforme alla normativa configurando le azioni di rimedio appropriate per ciascuna regola AWS Config.

Le regole di AWS Config non influiscono direttamente sul comportamento degli utenti finali in AWS. Le regole di AWS Config valutano le configurazioni delle risorse solo dopo che una modifica alla configurazione è stata completata e registrata dal servizio. Le regole di AWS Config non impediscono all'utente di apportare modifiche che potrebbero non essere conformi. Per controllare ciò che è possibile eseguire il provisioning su AWS e i parametri di configurazione utilizzati durante il provisioning, usare AWS Identity e Access Management (IAM) Policies e il Catalogo dei servizi AWS, rispettivamente.

Sì, le regole di AWS Config possono essere impostate in modalità solo proattiva, solo di rilevamento o in entrambe le modalità. Per un elenco completo di queste regole, consulta la documentazione.

Puoi utilizzare l'API PutConfigRule esistente o la console AWS Config per abilitare la modalità proattiva su una regola di AWS Config nel tuo account.

AWS Config aiuta a registrare le configurazioni per risorse di terze parti o tipi di risorse personalizzati come server on-premise, strumenti di monitoraggio Software come servizio (SaaS) e sistemi di controllo delle versioni. A tale scopo, è necessario creare uno schema dei fornitori di risorse che sia conforme alla configurazione del tipo di risorsa e la convalidi. È necessario registrare la risorsa personalizzata utilizzando AWS CloudFormation o uno strumento personalizzato di infrastructure as a code (IaC).

Se hai configurato AWS Config per registrare tutti i tipi di risorse, le risorse di terze parti gestite (create, aggiornate o eliminate) attraverso AWS CloudFormation vengono automaticamente tracciate in AWS Config come elementi di configurazione. Per approfondire le fasi necessarie a tale scopo e capire in quali Regioni AWS ciò è disponibile, consulta la guida per l'utente di AWS Config: Record Configurations for Third-Party Resources (Registrazione delle configurazioni per risorse di terze parti).

AWS CloudTrail registra l'attività delle API utente nell'account e aiuta ad accedere alle informazioni su tale attività. È possibile ottenere informazioni complete sulle azioni delle API, ad esempio l'identità del chiamante, l'ora della chiamata, i parametri della richiesta e gli elementi di risposta rinviati dal servizio AWS. AWS Config registra i dettagli di configurazione per le risorse AWS in momenti specifici come elementi di configurazione (Configuration Item, CI). Puoi utilizzare un elemento di configurazione per sapere come si presentava una risorsa AWS in un momento specifico. Puoi utilizzare CloudTrail per sapere chi ha effettuato una chiamata a un'API per modificare la risorsa. Puoi ad esempio utilizzare la Console di gestione AWS per AWS Config per rilevare che il gruppo di sicurezza "Production-DB" non era configurato correttamente in passato. Utilizzando le informazioni integrate di CloudTrail, puoi individuare l'utente che ha configurato in modo errato il gruppo di sicurezza "Production-DB".

AWS Config facilita il monitoraggio dello stato di conformità tra più account e Regioni utilizzando la funzionalità di aggregazione di dati multi-account e multi-Regione. Puoi creare un aggregatore di configurazione in qualsiasi account e aggregare i dettagli di conformità da altri account. Questa funzionalità viene inoltre sfruttata su AWS Organizations, per consentire l'aggregazione di dati da tutti gli account all'interno di un'organizzazione.

Sì. Il Connettore di gestione del servizio AWS per ServiceNow e Jira Service Desk consente agli utenti finali di ServiceNow e Jira Service Desk di effettuare il provisioning, gestire e utilizzare le risorse AWS in modo nativo attraverso ServiceNow e Jira Service Desk. Grazie al Connettore di gestione del servizio AWS, gli utenti ServiceNow possono facilmente tenere traccia delle risorse in una vista degli elementi di configurazione disponibile in AWS Config su ServiceNow. Gli utenti Jira Service Desk possono tenere traccia delle risorse all'interno della richiesta di problema con AWS Service Management Connector. Questo semplifica le operazioni di richiesta dei prodotti AWS per gli utenti ServiceNow e Jira Service Desk e fornisce agli amministratori dei due servizi governance e visibilità sui prodotti AWS.

Il Connettore di gestione del servizio AWS per ServiceNow è disponibile senza costa aggiuntivi sullo store di ServiceNow. Questa nuova funzionalità è disponibile al pubblico in tutte le regioni AWS in cui è presente il Catalogo dei servizi AWS. Per ulteriori informazioni, consulta la documentazione.

AWS Service Management Connector per Jira Service Desk è disponibile senza costi aggiuntivi su Atlassian Marketplace. Questa nuova funzionalità è disponibile al pubblico in tutte le regioni AWS in cui è presente il Catalogo dei servizi AWS. Per ulteriori informazioni, consulta la documentazione.

Nozioni di base

Il modo più rapido per iniziare a utilizzare AWS Config è usufruire della Console di gestione AWS. Puoi attivare AWS Config selezionando poche opzioni. Per ulteriori dettagli, vedi la documentazione sulle nozioni di base.

È possibile visualizzare la configurazione corrente e lo storico delle configurazioni utilizzando la Console di gestione AWS, l'Interfaccia della linea di comando AWS o gli SDK.

Per ulteriori dettagli, consulta la documentazione di AWS Config.

AWS Config può essere attivato anche solo per singole Regioni di un account.

Sì, è possibile configurare AWS Config in modo che fornisca aggiornamenti sulla configurazione da diversi account a un bucket Amazon Simple Storage Service (S3) dopo aver applicato le policy IAM appropriate al bucket Amazon S3. Puoi anche pubblicare notifiche in un argomento di SNS nella stessa Regione, una volta che le policy IAM appropriate sono state applicate all'argomento di SNS.

Sì. Tutta l'attività delle API in AWS Config, incluso l'utilizzo delle operazioni API di AWS Config per la lettura dei dati di configurazione, viene registrata da CloudTrail.

AWS Config visualizza l'ora di registrazione degli elementi di configurazione per una risorsa lungo una sequenza temporale. Tutti gli orari vengono espressi in base al fuso UTC (Coordinated Universal Time, tempo coordinato universale). Quando la sequenza temporale viene visualizzata nella console di gestione, il servizio utilizza il fuso orario corrente (modificato in base all'ora legale, se pertinente) per visualizzare tutti gli orari nella vista della sequenza temporale.

Configurazione delle risorse

Un elemento di configurazione (Configuration Item, CI) corrisponde alla configurazione di una risorsa in un momento specifico. Un CI è composto da cinque sezioni:

Informazioni di base sulla risorsa, comuni per tipi di risorsa diversi (ad esempio nome della risorsa Amazon e tag);

dati di configurazione specifici della risorsa (ad esempio tipo di istanza EC2);

mappa delle relazioni con altre risorse (ad esempio la risorsa EC2::Volume vol-3434df43 è "collegata all'istanza" EC2 i-3432ee3a);

ID degli eventi CloudTrail correlati a questo stato (solo per risorse AWS);

Metadata che aiutano a identificare le informazioni sull'elemento di configurazione, ad esempio la versione dell'elemento di configurazione e quando l'elemento è stato acquisito.

Ulteriori informazioni sugli elementi di configurazione.

Un elemento di configurazione personalizzato (CI) è l'elemento della configurazione per una risorsa di terze parti o personalizzata. Gli esempi includono database on-premises, server Active Directory, sistemi per il controllo di versione come GitHub e strumenti di monitoraggio di terza parte come Datadog.

AWS Config prende in considerazione le relazioni tra le risorse mentre registra le modifiche. Se, ad esempio, un nuovo gruppo di sicurezza EC2 è associato a un'istanza EC2, AWS Config registra le configurazioni aggiornate sia della risorsa principale, ovvero il gruppo di sicurezza EC2, sia delle risorse correlate, se tali risorse vengono modificate.

AWS Config rileva una modifica alla configurazione di una risorsa e registra lo stato di configurazione risultante da tale modifica. Nei casi in cui vengono apportate diverse modifiche alla configurazione di una risorsa in rapida successione, AWS Config registra solo la configurazione più recente della risorsa che rappresenta l'impatto cumulativo della serie di modifiche. In tali situazioni, AWS Config elencherà solo l'ultima modifica nel campo relatedEvents dell'elemento di configurazione. Ciò permette a utenti e programmi di continuare a modificare le configurazioni dell'infrastruttura senza dover attendere che AWS Config registri gli stati transitori intermedi.

La registrazione periodica consente di decidere la frequenza di registrazione delle modifiche nell'ambiente, riducendo gli elementi di configurazione delle risorse soggette a modifiche frequenti. Invece di ricevere aggiornamenti in modo continuo, è possibile utilizzare la registrazione periodica per ricevere le modifiche alla configurazione ogni 24 ore, a seconda dei casi d'uso. 

La registrazione periodica consente di decidere con quale frequenza ricevere gli aggiornamenti sulle configurazioni delle risorse. Se abilitato, AWS Config fornirà la configurazione più recente di una risorsa dopo un periodo di 24 ore solo se è stata modificata, riducendo la frequenza dei dati di configurazione e rendendo il costo della raccolta di questi dati più prevedibile per casi d'uso come la pianificazione operativa e l'audit. Nel caso in cui le esigenze di sicurezza e conformità richiedano un monitoraggio continuo delle risorse, è consigliabile utilizzare la registrazione continua.

Sì, AWS Config eseguirà regolarmente la scansione della configurazione delle risorse alla ricerca di modifiche non ancora registrate e le registrerà. Gli elementi di configurazione registrati da tali analisi non disporranno di un campo relatedEvent nel messaggio e verrà selezionato solamente lo «Stat that» più recente diverso da quello già registrato.

Sì. AWS Config aiuta a registrare le modifiche alla configurazione del software all'interno delle istanze EC2 nell'account AWS e anche nelle macchine virtuali (VM) o server nell'ambiente on-premise. Le informazioni sulla configurazione registrate da AWS Config includono aggiornamenti al sistema operativo, configurazione della rete e applicazioni installate. È possibile valutare se le istanze, le VM e i server sono conformi alle linee guida utilizzando le regole di AWS Config. La visibilità approfondita e il monitoraggio continuo offerti da AWS Config aiutano a valutare la conformità e a risolvere i problemi operativi.

AWS Config invia notifiche solo quando lo stato di conformità cambia. Se una risorsa precedentemente non conforme lo è ancora, AWS Config non invia una nuova notifica. Se lo stato di conformità cambia in "conforme", si riceve una notifica del cambiamento di stato.

Sì, puoi escludere le risorse accedendo alla pagina "impostazioni del registratore" di AWS Config nella console e selezionando l'opzione "Escludi tipi di risorse" e specificando le esclusioni desiderate. In alternativa, puoi utilizzare l'API PutConfigurationRecorder per accedere a questa funzionalità. Questa API disabilita la registrazione della configurazione per quel tipo di risorsa. Inoltre, quando si configurano delle regole di AWS Config, devi specificare se devono essere eseguite valutazioni su un tipo specifico di risorse o su risorse con un tag specifico.

AWS Config Rules

La configurazione di una risorsa è definita dai dati inclusi nell'elemento di configurazione (Configuration Item, CI) di AWS Config. Il rilascio iniziale delle regole di AWS Config rende il CI di una risorsa disponibile per le regole pertinenti. Le regole di AWS Config possono utilizzare questi dati e qualsiasi altra informazione rilevante, ad esempio altre risorse collegate, orari lavorativi e così via, per valutare la conformità della configurazione di una risorsa.

Una regola rappresenta i valori degli attributi di un elemento di configurazione desiderati per le risorse e viene valutata confrontando tali valori degli attributi con gli elementi di configurazione registrati da AWS Config. Sono previsti due tipi di regola:

Regole gestite da AWS: le regole gestite da AWS sono predefinite e gestite da AWS. Per abilitarle, è sufficiente selezionare una regola che si desidera abilitare e quindi fornire alcuni parametri di configurazione. Ulteriori informazioni »

Regole gestite dal cliente: le regole gestite dal cliente sono regole personalizzate, create e definite interamente dall'utente. Puoi creare funzioni su AWS Lambda che possono essere richiamate come parte di una regola personalizzata. Queste funzioni vengono applicate nel tuo account. Ulteriori informazioni »

Il modo più rapido per iniziare a utilizzare AWS Config è usufruire della Console di gestione AWS. Puoi attivare AWS Config selezionando poche opzioni. Per ulteriori dettagli, vedi la documentazione sulle nozioni di base.

Generalmente, le regole vengono importate dall'amministratore dell'account AWS. Si possono creare a partire da regole gestite da AWS, un set di regole predefinito fornito da AWS, oppure da regole gestite dal cliente. Con le regole gestite da AWS, gli aggiornamenti di una regola vengono applicati automaticamente a tutti gli account che la utilizzano. Nel modello gestito dal cliente, i clienti dispongono di una copia completa della regola e applicano la regola nel proprio account. La manutenzione di tali regole spetta ai clienti.

Di default è possibile creare fino a 150 regole in un account AWS. Inoltre è possibile richiedere di aumentare questo limite per il proprio account visitando la pagina AWS Service Limits.

Le regole possono essere impostate come regole attivate da modifica o come regole periodiche. Una regola attivata da modifica viene applicata quando AWS Config rileva una modifica alla configurazione di una qualsiasi delle risorse specificate. È inoltre necessario specificare uno dei seguenti valori:

Tag chiave:(valore opzionale): la valutazione della regola viene avviata da qualsiasi modifica alla configurazione registrata per le risorse con il tag chiave:valore specificato.

Tipo o tipi di risorsa: la valutazione della regola viene avviata da qualsiasi modifica alla configurazione registrata per le risorse che appartengono al tipo o ai tipi di risorsa specificati.

ID risorsa: la valutazione della regola viene avviata da qualsiasi modifica registrata alle risorse specificate dal tipo e dall'ID di risorsa.

Una regola periodica viene avviata in base a una frequenza specificata. Le frequenze disponibili sono 1 ora, 3 ore, 6 ore, 12 ore o 24 ore. Una regola periodica potrà avere uno snapshot completo degli elementi di configurazione correnti per tutte le risorse disponibili per tale regola.

La valutazione di una regola determina lo stato di conformità tra la regola e una risorsa in un determinato momento. È il risultato della valutazione di una regola in base alla configurazione di una risorsa. Le regole di AWS Config acquisiscono e archiviano il risultato della valutazione. Tale risultato include la risorsa, la regola, l'ora della valutazione e un collegamento all'elemento di configurazione (Configuration Item, CI) che ha causato la violazione della conformità.

Una risorsa è conforme se rispetta tutte le regole a essa applicabili; in caso contrario non è conforme. Analogamente, una regola è conforme se viene rispettata da tutte le risorse valutate da tale regola; in caso contrario non è conforme. In alcuni casi, ad esempio quando a una regola non vengono assegnati i permessi appropriati, non è possibile completare una valutazione per una risorsa e viene generato uno stato di dati insufficienti. Tale stato viene escluso quando viene determinata la conformità di una risorsa o di una regola.

Il pannello di controllo delle regole di AWS Config offre una panoramica delle risorse monitorate da AWS Config e un riepilogo della conformità corrente, ordinato per risorsa e per regola. Quando consulti lo stato di conformità in base alle risorse, puoi determinare se una regola applicata a una determinata risorsa non è conforme. Consultando lo stato di conformità in base alle regole, puoi invece analizzare quali risorse a cui si applica la regola sono al momento non conformi. A partire da queste visualizzazioni di riepilogo, è possibile approfondire ulteriormente la vista della sequenza temporale delle risorse di AWS Config, per determinare quali parametri di configurazione sono stati modificati. La panoramica generale delle risorse offerta dal pannello di controllo può essere approfondita fino a ottenerne una visione granulare, che consente di ottenere informazioni complete sulle modifiche allo stato di conformità e su quali modifiche hanno provocato una violazione.

Pacchetti di conformità

È possibile utilizzare singole regole di AWS Config per valutare la conformità della configurazione delle risorse in uno o più account. I pacchetti di conformità offrono l'ulteriore vantaggio di includere nello stesso pacchetto regole e azioni correttive che possono così essere distribuite all'intera organizzazione con una singola selezione. I pacchetti di conformità intendono semplificare la gestione della conformità e la generazione di report su larga scala quando si gestiscono diversi account. I pacchetti di conformità sono progettati per fornire report di conformità aggregati a livello di pacchetto e immutabilità. Ciò consente alle regole e ai documenti di correzione gestiti di AWS Config all'interno del pacchetto di conformità di non essere modificati o eliminati dai singoli account dei membri di un'organizzazione.

Se nella Centrale di sicurezza è già presente uno standard di conformità, come PCI DSS, il servizio Centrale di sicurezza completamente gestito è il modo più facile per attivarlo. Puoi analizzare gli esiti attraverso l'integrazione della Centrale di sicurezza con Amazon Detective e creare azioni correttive automatizzate o semi-automatizzate utilizzando l'integrazione della Centrale di sicurezza con Amazon EventBridge. Tuttavia, se desideri assemblare uno standard di conformità o sicurezza su misura, che può includere controlli di sicurezza, operativi o di ottimizzazione dei costi, i pacchetti di conformità di AWS Config sono la soluzione giusta. I pacchetti di conformità di AWS Config semplificano la gestione delle regole di AWS Config riunendo in una sola entità un gruppo di regole di AWS Config e le azioni correttive associate. La creazione di un pacchetto semplifica l'implementazione delle regole e delle azioni correttive all'interno dell'organizzazione. Inoltre, consente di creare report aggregati, dato che i riepiloghi di conformità possono essere riferiti a livello di pacchetto. Puoi iniziare con i nostri i pacchetti di conformità di esempio per AWS Config e personalizzarli secondo le tue necessità.

Sì, i pacchetti di conformità della Centrale di sicurezza e di AWS Config supportano entrambi il monitoraggio continuo della conformità, perché fanno affidamento su AWS Config e sulle regole di AWS Config. Le regole di AWS Config sottostanti possono essere attivate a intervalli periodici oppure quando vengono rilevate modifiche nella configurazione o nelle risorse. In tal modo, è possibile analizzare e valutare continuamente lo stato di conformità generale delle configurazioni delle risorse AWS rispetto a policy e linee guida aziendali.

Il modo più rapido per iniziare a utilizzare questo servizio è creare un pacchetto di conformità utilizzando uno dei modelli di esempio disponibili attraverso l'Interfaccia della linea di comando o la console AWS Config. Alcuni dei modelli di esempio includono le best practice operative di S3, le best practice operative di Amazon DynamoDB e le best practice operative per PCI. Questi modelli sono scritti nel linguaggio YAML. È possibile scaricare i modelli dal nostro sito della documentazione e modificarli in base all'ambiente di lavoro utilizzando l'editor di testo preferito. Si possono inoltre aggiungere al pacchetto eventuali regole AWS Config scritte in precedenza.

Ai pacchetti di conformità è associato un piano tariffario a scaglioni. Per ulteriori informazioni, visita la pagina dei prezzi di AWS Config.

Aggregazione di dati multi-account e multi-Regione

L'aggregazione di dati in AWS Config aiuta ad aggregare i dati di AWS Config provenienti da più account e Regioni in un unico account e in un'unica Regione. L'aggregazione di dati da più account è utile per gli amministratori del reparto IT per monitorare la conformità di più account AWS di un'azienda.

La funzione di aggregazione di dati non può essere utilizzata per effettuare il provisioning delle regole di più account. Si tratta esclusivamente una funzionalità di reportistica utile a fornire visibilità sulla conformità. È possibile utilizzare AWS CloudFormation StackSets per effettuare il provisioning di regole su più account e Regioni. Scopri di più in questo collegamento al blog.

Una volta abilitati AWS Config, le regole di AWS Config nell'account e gli account da aggregare, è possibile abilitare l'aggregazione dei dati creando un aggregatore sull'account centrale. Ulteriori informazioni.

Un aggregatore è un tipo di risorsa di AWS Config che raccoglie i dati di AWS Config da più account e Regioni. L'aggregatore consente di visualizzare i dati di configurazione e conformità delle risorse registrati in AWS Config per più account e Regioni.

La vista aggregata mostra il conteggio totale delle regole non conformi a livello di organizzazione, le prime cinque regole non conformi per numero di risorse e i primi cinque account AWS con il maggior numero di regole non conformi. Quindi è possibile scendere nel dettaglio selezionando le statistiche delle risorse che violano una determinata regola e l'elenco di regole in violazione per un account.

È possibile specificare gli account da aggregare nel modulo dati di AWS Config caricando un file o inserendo singolarmente gli account. Poiché questi account non fanno parte di alcuna organizzazione AWS, bisogna tenere presente che è necessario che ciascun account autorizzi esplicitamente l'account aggregatore. Ulteriori informazioni.

La funzionalità di aggregazione dei dati è utile anche per l'aggregazione tra più Regioni. Pertanto, con questa funzionalità puoi aggregare i dati di AWS Config per il tuo account tra più Regioni.

Per informazioni sulle Regioni in cui è disponibile l'aggregazione di dati multi-account e multi-Regione, consulta la Guida per gli sviluppatori di AWS Config: Multi-Account Multi-Region Data Aggregation (Aggregazione di dati multi-account e multi-Regione).

Quando crei un aggregatore, specifica le Regioni dalle quali puoi aggregare i dati. Questo elenco include solamente le Regioni in cui la funzionalità è disponibile. Puoi inoltre selezionare "all Regions" (Tutte le Regioni), in modo tale che, non appena vengono supportate nuove Regioni, i dati provenienti da queste verranno aggregati automaticamente.

Regioni e servizi supportati

Per un elenco completo dei tipi di risorse supportate, consulta la documentazione.

Per ulteriori informazioni sulle Regioni AWS in cui AWS Config è disponibile, consulta la tabella delle Regioni AWS.

Prezzi

Con AWS Config i costi vengono calcolati in base al numero di elementi di configurazione registrati, al numero di valutazioni di regole di AWS Config attive e al numero di valutazioni di pacchetti di conformità nell'account. Un elemento di configurazione è un record dello stato di configurazione di una risorsa nell'account AWS. Esistono due tipologie frequenza con cui AWS Config può fornire elementi di configurazione: continua e periodica. La registrazione continua registra e fornisce le modifiche alla configurazione ogni qualvolta si verifica una modifica. La registrazione periodica fornisce i dati di configurazione con cadenza di 24 ore, solo se si è verificata una modifica. Una valutazione di regola di AWS Config è un'analisi dello stato di conformità di una risorsa da parte di una regola di AWS Config nell'account AWS. Una valutazione di un pacchetto di conformità è la valutazione di una risorsa mediante una regola di AWS Config all'interno del pacchetto di conformità. Per ulteriori informazioni ed esempi, visita la pagina https://aws.amazon.com/config/pricing/.

È possibile scegliere tra un set di regole gestite fornite da AWS oppure creare le proprie regole utilizzando funzioni Lambda. Le regole gestite sono completamente mantenute da AWS e per tali regole non sarà addebitato alcun costo aggiuntivo di Lambda. Puoi abilitare le regole gestite fornendo eventuali parametri obbligatori. È prevista una tariffa unica per ciascuna regola di AWS Config. Le regole personalizzate consentono di avere un controllo totale perché vengono applicate come funzioni Lambda nell'account. In aggiunta alla tariffa mensile per regola attiva, alle regole personalizzate di AWS Config si applicano il piano gratuito Lambda* e le tariffe di applicazione delle funzioni Lambda.

*Il Piano gratuito AWS non è disponibile nelle Regioni AWS Cina (Pechino) e Cina (Ningxia).

Soluzioni di partner

Le soluzioni di partner APN, come Splunk, ServiceNow, Evident.io, CloudCheckr, Redseal e Red Hat CloudForms, offrono soluzioni completamente integrate con i dati provenienti da AWS Config. Anche alcuni provider di servizi gestiti, ad esempio 2nd Watch e Cloudnexa, hanno annunciato integrazioni con AWS Config. Con le regole di AWS Config, inoltre, partner come CloudHealth Technologies, Alert Logic e Trend Micro forniscono soluzioni integrate che i clienti possono utilizzare. Queste soluzioni includono funzionalità come la gestione delle modifiche e l'analisi della sicurezza e aiutano a visualizzare, monitorare e gestire le configurazioni delle risorse AWS.