什么是 AWS Config?

AWS Config 是一项完全托管型的服务,为您提供了AWS 资源库存,配置历史记录和配置更改通知,以增强安全性和方便管理。使用 AWS Config 让您能够找到现有的 AWS 资源,导出您的 AWS 资源完整库存清单与所有配置的详细信息,并确定资源是如何在任何时间点上配置的。这些功能提供了合规性审计、安全分析、资源更改跟踪和故障排除。

什么是 Config 规则?

Config 规则代表某个资源的期望配置,其评估依据是 AWS Config 中记录的相关资源的配置更改。针对资源配置评估规则的结果可在仪表板中查看。通过使用 Config Rules,您可以从配置角度评估整体合规性和风险状态、查看一段时间内的合规性趋势,以及查明哪些配置导致资源脱离规则合规性。

AWS Config 有哪些好处?

AWS Config 可用于轻松地追踪您的资源配置,而无需前期投资,并且避开了安装和更新代理程序以进行数据收集或大型数据库维护的复杂性。一旦您启用了 AWS Config,您便可以查看与 AWS 资源相关的所有配置属性的持续更新详细信息。您可以通过 Amazon Simple Notification Service (SNS) 获得每个配置更改的通知。

 

AWS Config 如何帮助进行审计?

AWS Config 可为您提供资源配置历史的访问权。您可以将配置更改与可能对配置的更改做出了贡献的 AWS CloudTrail 事件关联起来。该信息为您提供了充分的可见性,从“谁进行的更改”、“从何 IP 地址”之类的详细信息处开始,让您能看到此更改对 AWS 资源及相关资源产生的影响。您可以用此信息生成报告,从而在一定的的时间内帮助审计和评估合规性。

哪些人应使用 AWS Config 和 Config Rules?

任何期望通过持续评估其资源配置以在 AWS 上改进安全性和管理状况的 AWS 客户都可以从此功能获益。在大型组织中推荐配置资源最佳实践的管理员可以将这些规则编写成 Config Rules,然后在用户中启用自管理。监视使用活动和检测漏洞配置的信息安全专家可以从 Config Rules 获益。其工作负载需要遵循特定标准(例如 PCI-DSS 或 HIPAA)的客户可以使用此功能评估其 AWS 基础设施配置,并为审核员生成报告。管理大型 AWS 基础设施或频繁更改的组件的操作员也能利用 Config Rules 进行问题排查,从中受益。希望跟踪资源配置更改、解答资源配置相关问题、展示合规性、排查问题或执行安全分析的客户应该启用 AWS Config。

该服务是否保证我的配置从不脱离合规性?

Config Rules 提供有关您的资源是否符合所指定的配置规则的信息。它将在资源的已更新配置项 (CI) 出现在 AWS Config 中时立即评估规则。它不能保证资源将符合规则或阻止用户执行非合规操作。此外,Config Rules 不会自动使非合规资源立刻重新恢复合规性。

该服务是否阻止用户执行非合规操作?

Config Rules 不会直接影响最终用户使用 AWS 的方式。它仅在配置更改已完成并由 AWS Config 记录之后才评估资源配置。Config Rules 不会阻止用户进行可能非合规的更改。若要控制用户可以对 AWS 进行的预置以及预配期间所允许的配置参数,请分别使用 AWS Identity and Access Management (IAM) 策略和 AWS Service Catalog

是否可以在预置资源之前评估规则?

Config Rules 在资源的配置项 (CI) 由 AWS Config 捕获之后评估规则。它不会在配置资源或更改资源配置之前评估规则。

AWS Config 如何与 AWS CloudTrail 协作?

AWS CloudTrail 会记录您账户上的用户 API 活动,并让您能够访问有关该活动的信息。您将获得有关 API 操作的完整详细信息,如发起人的身份、该 API 调用的时间、请求参数和 AWS 服务返回的响应元素。AWS Config 将您的 AWS 资源的时间点配置详细信息以配置项 (CI) 记录。您可以使用一个 CI 来在某个时间点回答“我的 AWS 资源是什么样子?”。您可以使用 AWS CloudTrail 回答“谁进行了修改此资源的 API 调用?”例如,您可以对 AWS Config 使用 AWS 管理控制台以检测安全组“生产数据库”过去的配置是否不正确。使用集成的 AWS CloudTrail 信息,您可以发现是哪个用户错误配置了“生产数据库”安全组。

 

开始免费使用 AWS

创建免费账户

 

获得 12 个月的 AWS 免费套餐,同时享受 AWS 的基本支持功能,包括全年全天候无休客户服务、支持论坛及更多。

了解更多关于 AWS Config Rules 预览版的信息。

如何开始使用该服务?

开始使用 AWS Config 最快捷的方式就是使用 AWS 管理控制台。单击几次鼠标即可启用 AWS Config。有关其他详细信息,请参阅入门文档。

如何访问我的资源配置?

您可以使用 AWS 管理控制台、AWS 命令行接口或软件开发工具包查找当前和历史资源配置。

有关其他详细信息,请参阅 AWS Config 文档

我是要局部还是全局启用 AWS Config?

您可以以区域为基础为您的账户启用 AWS Config。

AWS Config 能否在多个不同的 AWS 账户间集合数据?

能,一旦适当的 IAM 策略应用到 S3 存储桶,您就可以将 AWS Config 设置为将配置更新从不同的账户发送到一个 S3 存储桶中。一旦适当的 IAM 策略应用到 SNS 主题,您还可以将向同一区域内的 SNS 主题发布通知。

AWS Config 上的 API 活动自身会被 AWS CloudTrail 记录下来吗?

会。所有 AWS Config API 活动,包括 AWS Config API 的使用到阅读配置数据,都会被 AWS CloudTrail 记录下来。

资源的时间线视图中显示哪些时间和时区?夏令时是什么?

AWS Config 显示在时间轴上记录资源配置所处的时间。所有时间均以国际协调时间 (UTC) 为准。在管理控制台上直观显示时间轴时,服务使用当前时区(若适用,已针对夏令时调整)在时间轴视图中显示其他所有记录的时间。

什么是资源的配置?

资源的配置由 AWS Config 的配置项 (CI) 中所含的数据定义。Config Rules 的初始版本为相关规则提供了资源的 CI。Config Rules 可以将此信息与任何其他相关信息(例如其他附加资源、工作时间等)一起用于评估资源配置的合规性。

什么是规则?

规则表示用于资源的期望配置项 (CI) 属性值,并通过将这些属性值与 AWS Config 所记录的 CI 比较进行评估。规则有两种类型:

AWS 托管规则:AWS 托管规则预先生成并受到 AWS 管理。您只需选择希望启用的规则,然后提供一些配置参数即可开始使用。了解更多 »

客户托管规则:客户托管规则为自定义规则,由您定义和生成。您可以在 AWS Lambda 中创建能够作为自定义规则的一部分来调用的函数,这些函数将在您的账户中执行。了解更多 »

开始使用 AWS Config 最快捷的方式就是使用 AWS 管理控制台。单击几次鼠标即可启用 AWS Config。有关其他详细信息,请参阅入门文档。

如何创建规则?

规则通常由 AWS 账户管理员建立。可以利用 AWS 托管规则(由 AWS 提供的一组预定义规则)或通过客户托管规则创建它们。借助 AWS 托管规则,对规则进行的更新将自动应用于任何使用该规则的账户。在客户托管模型中,客户具有该规则的完整副本,并在其自己的账户中执行该规则。这些规则由客户维护。

我可以创建多少个规则?

默认情况下,您在 AWS 账户中最多可以创建 50 个规则。此外,您可以访问 AWS 服务限制 页面,申请提高您的账户中的规则数量上限。

如何评估规则?

任何规则都可以作为由更改触发的规则或作为定期规则建立。由更改触发的规则在 AWS Config 为任何指定资源记录配置更改后执行。此外,还必须指定以下项之一:

标签键:(可选值):“标签键:值”意味着为带有指定“标签键:值”的资源记录的任何配置更改都将触发规则评估。

资源类型:为指定资源类型内的任何资源记录的任何配置更改都将触发规则评估。

资源 ID:为由资源类型和资源 ID 指定的资源记录的任何更改都将触发规则评估。

定期规则以指定的频率触发。可用频率为 1 小时、3 小时、6 小时、12 小时或 24 小时。定期规则具有适用于该规则的所有资源当前配置项 (CI) 的完整快照。

什么是评估?

规则的评估可确定某个规则是否在特定时间点与某个资源相符合。这是针对资源配置评估规则的结果。Config Rules 将捕获并存储每个评估的结果。此结果将包含资源、规则、评估时间和导致非合规的配置项 (CI) 链接。

合规性是什么意思?

如果资源符合对其应用的所有规则即为合规。否则为非合规。同样地,如果由规则评估的所有资源都符合该规则,则该规则为合规。否则为非合规。在某些情况下,例如为规则提供的权限不足时,可能不存在资源评估,从而导致数据不足的状态。此状态不能确定资源或规则的合规性状态。

Config Rules 仪表板提供哪些信息?

Config Rules 仪表板为您提供由 AWS Config 跟踪的资源概述以及按资源和按规则显示的当前合规性摘要。当您按资源查看合规性时,您可以确定适用于资源的任何规则当前是否为非合规。您可以按规则查看合规性,这将向您显示规则范围下的任何资源当前是否为非合规。通过使用这些摘要视图,您可以深入了解资源的 Config 时间线视图,从而确定哪些配置参数发生变更。您可以使用此仪表板从概述开始了解,然后深入查看细化视图,该视图提供有关合规性状态以及哪些更改导致非合规的完整信息。

AWS Config 覆盖了哪些 AWS 资源类型?

有关受支持资源类型的完整列表,请查看我们的文档

AWS Config 现已在哪些区域提供?

有关在哪些区域可以使用 AWS Config 的详细信息,请访问以下页面:

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

 

什么是配置项?

配置项 (CI) 指的是一项资源在给定时间点的配置。CI 由 5 个部分组成:

  1. 各不同资源类型共同的有关资源的基本信息(例如 Amazon Resource 名称、标签)、
  2. 资源特定的配置数据(例如 EC2 实例类型)、
  3. 与其他资源关系的映射(例如 EC2::Volume vol-3434df43“附加到实例”EC2 Instance i-3432ee3a)、
  4. 与此状态相关的 AWS CloudTrail 事件 ID、
  5. 帮助您识别 CI 有关信息的元数据,如该 CI 的版本、以及捕捉到该 CI 的时间。

了解有关配置项的更多信息

什么是 AWS Config 关系,如何使用它们?

当记录更改时,AWS Config 会把资源之间的关系考虑进去。例如,如果新的 Amazon EC2 安全组与 Amazon EC2 实例相关联,AWS Config 会在主要资源(Amazon EC2 安全组)和相关资源(如 Amazon EC2 实例)发生实际更改时,记录它们更新后的配置。

AWS Config 会记录资源曾经历的每一个状态吗?

AWS Config 探测资源配置的更改并记录由更改导致的配置状态。如果资源的几个配置接二连三地发生改变(例如,在几分钟内),则 Config 将只记录代表这一组更改累积影响的最终配置。在这些情况下,Config 将在配置项的 relatedEvents 字段列出最新更改。这就允许用户和程序继续更改配置,而无需等待 Config 记录中间过渡状态。

AWS Config 会记录不是由该资源的 API 活动引起的配置变化吗?

会的,AWS Config 将定期扫描资源配置,看是否存在尚未记录的更改并记录这些更改。从这些扫描记录的 CI 在费用负载中没有 relatedEvent 字段,并且将仅挑选尚未记录的最新状态进行记录。

AWS Config 能否记录 EC2 实例中软件的配置更改?
可以。借助 AWS Config,您可以记录 AWS 账户中的 EC2 实例内软件的配置更改,还可记录本地环境中虚拟机 (VM) 或服务器的配置更改。AWS Config 记录的配置信息包括操作系统更新、网络配置、已安装的应用程序等。您可以使用 AWS Config Rules 来评估您的实例、虚拟机和服务器是否符合相关指南。借助 AWS Config 提供的深入洞察和持续监控功能,您可以评估资源的合规情况,并针对操作问题进行故障排除。

如果在您进行定期规则评估后,之前不合规的某项资源仍不合规,AWS Config 是否会继续发送通知?只有在合规状态改变后,AWS Config 才会发送通知。如果之前不合规的某项资源仍不合规,Config 不会发送新通知。如果合规状态更改为“合规”,您将会收到关于状态更改的通知。

我能否标记或指定某些资源以使它们免受 Config 规则的评估?配置 Config 规则时,您可以指定您的规则是否评估指定的资源或带有特定标记的资源。

该服务如何收费?

使用 AWS Config 时,将根据您的 AWS 账户中为受支持资源记录的配置项 (CI) 数量收费。您只需为记录 CI 支付一次费用。保留 CI 没有任何附加费用,也没有任何预先消费承诺。您可以随时停止记录 CI 并能继续访问之前记录的 CI。每个 CI 的费用将记入您的月度账单中。查看定价详情

如果您使用的是 AWS Config Rules,则要基于当月的活动 Config Rules 付费。当规则与 AWS 资源比较时,结果就会被记录为一次评估。如果某个规则在一个月中进行一次或多次评估,则为活动规则。

配置快照和配置历史文件将传送到您选择的 Amazon S3 存储桶中,而配置更改通知将通过 Amazon Simple Notification Service (SNS) 发送。适用 Amazon S3 和 Amazon SNS 的标准费率。使用 AWS Lambda 编写客户管理规则。适用 AWS Lambda 的标准费率。

Config Rules 的定价是否包含 AWS Lambda 函数的费用?

您可以从一组由 AWS 提供的托管规则中进行选择,或者您可以编写自己的规则,以 AWS Lambda 函数的方式进行编写。托管规则完全由 AWS 管理和维护,您无需支付任何额外 AWS Lambda 费用即可运行它们。只需启用托管规则、提供任何所需参数,然后为每个 AWS Config 规则支付单一费率即可。而另一方面,客户托管规则使您通过在账户中将这些规则作为 AWS Lambda 函数执行从而获得完全控制权。除了活动规则的每月费用,客户托管规则还将适用标准 AWS Lambda 免费套餐和函数执行费率。

Config Rules 的共享配额指什么?

对于每个活动规则,您每月将收到 20000 次评估的配额。例如,如果您有 3 个 Config Rules,您的账户将获得 60000 次评估的配额。您可以选择以任何方式在规则之间共享将此限额。

未使用的评估是否可以转入下个月?

未使用的评估将会过期并在每个结算周期后进行重置。

您能通过示例提供费用细分情况吗?

定价示例 1:
AWS Config 将每个 AWS 资源和配置更改作为配置项 (CI) 进行记录。假设您每月记录了 7000 个 CI,并创建了 5 个活动规则(2 个为定期,3 个由更改触发),每天加起来总共报告 150 次评估。

AWS Config 费用:7000 * 0.003 USD = 21.00 USD
5 个活动规则费用 = 5 * 2.00 USD = 10.00 USD

评估结果配额 = 5 * 20000 = 100000
使用的评估结果数量 = 150 次评估 * 30 天 = 每月 4500 次评估
评估结果额外费用 = 0.0 USD

每月 AWS Config 费用总计 = 31.00 USD

您应付的服务费取决于您的资源所记录的 CI 数量。这取决于您账户中的资源数以及您对这些资源所做的配置更改。对于拥有数百资源的账户与标准的配置更改活动,AWS Config 每月捕获的 CI 少于 3000,或者每月少于 9 美元。


定价示例 2:
假设您每月记录了 50000 个 CI,并创建了 2 个活动规则,其中每个规则都要针对每个 CI 进行评估,并且每次都要报告结果。

AWS Config 费用:50000 * 0.003 USD = 150.00 USD
2 个活动规则费用 = 2 * 2.00 USD = 4.00 USD

评估结果配额 = 2 * 20000 = 40000
使用的评估结果数量 = 2 * 50000 = 100000
评估结果额外费用 = (100000 – 40000) = 60000 * 0.0001 = 6.00 USD

每月 AWS Config 费用总计 = 150.00 USD + 4.00 USD + 6.00 USD = 160.00 USD

AWS Config 可用哪些 AWS 合作伙伴解决方案?

Splunk、ServiceNow、Evident.IO、CloudCheckr、Redseal Networks 和 RedHat CloudForms 之类的生态系统合作伙伴提供与 AWS Config 中的数据完全集成的服务。2nd Watch 和 CloudNexa 之类的托管服务提供商发布了与 AWS Config 的集成。此外,借助 Config Rules,CloudHealth Technologies、AlertLogic 和 TrendMicro 等合作伙伴还可以提供可供客户使用的集成式产品/服务。这些解决方案包括更改管理和安全分析等功能,可使您可视化、监控和管理 AWS 资源配置。

有关更多信息,请参阅 AWS Config 合作伙伴解决方案