一般性问题

问:什么是 AWS Config?

AWS Config 是一种完全托管的服务,可为您提供 AWS 资源库存、配置历史记录和配置更改通知,以确保安全性和方便管理。借助 AWS Config,您可以找到现有的 AWS 资源,导出 AWS 资源的完整库存清单与所有配置详细信息,并确定在任何时间点上配置资源的方式。这些功能提供了合规性审计、安全分析、资源更改跟踪和故障排除。

问:什么是 Config 规则?

Config 规则代表某个资源的期望配置,其评估依据是 AWS Config 中记录的相关资源的配置更改。针对资源配置评估规则的结果可在控制面板中查看。使用 Config 规则,您可以从配置角度评估整体合规性和风险状态、查看一段时间内的合规性趋势,以及查明哪些配置更改导致了资源脱离规则合规性。

问:AWS Config 有哪些好处?

AWS Config 可用于轻松追踪您的资源配置,而无需预先投资,并且避开了安装和更新代理程序以进行数据收集或大型数据库维护的复杂性。一旦您启用了 AWS Config,您便可以查看与 AWS 资源相关的所有配置属性的持续更新详细信息。您可以通过 Amazon Simple Notification Service (SNS) 获得每个配置更改的通知。

问:AWS Config 如何帮助进行审计?

AWS Config 可为您提供资源配置历史记录的访问权。您可以将配置更改与可能对配置的更改做出了贡献的 AWS CloudTrail 事件关联起来。通过此信息,您能够充分了解从“谁进行的更改”、“来自哪个 IP 地址”之类的详细信息乃至此更改对 AWS 资源及相关资源产生的影响。您可以使用此信息生成报告,从而在一定的时间内帮助审计和评估合规性。

问:哪些人应使用 AWS Config 和 Config 规则?

任何期望通过持续评估其资源配置以在 AWS 上改进安全性和管理状况的 AWS 客户都可以从此功能获益。在大型组织中推荐配置资源最佳实践的管理员可以将这些规则编写成 Config 规则,然后在用户中启用自管理。监视使用活动和检测漏洞配置的信息安全专家可以从 Config 规则获益。其工作负载需要遵循特定标准(例如 PCI-DSS 或 HIPAA)的客户可以使用此功能评估其 AWS 基础设施配置的合规性,并为审计人员生成报告。管理大型 AWS 基础设施或频繁更改的组件的操作员也能利用 Config 规则进行问题排查,从中受益。希望跟踪资源配置更改、解答资源配置相关问题、展示合规性、排查问题或执行安全分析的客户应该启用 AWS Config。

问:该服务能否保证我的配置永不偏离合规性?

Config 规则提供有关您的资源是否符合所指定的配置规则的信息。它将在资源的已更新配置项 (CI) 出现在 AWS Config 中时立即评估规则。它不能保证资源将符合规则或阻止用户执行非合规操作。此外,Config 规则不会自动使非合规资源立刻重新恢复合规性。

问:该服务能否阻止用户执行非合规操作?

Config 规则不会直接影响最终用户使用 AWS 的方式。它仅在配置更改已完成并由 AWS Config 记录之后才评估资源配置。Config 规则不会阻止用户进行可能非合规的更改。若要控制用户可以对 AWS 进行的预置以及预置期间所允许的配置参数,请分别使用 AWS Identity and Access Management (IAM) 策略和 AWS Service Catalog

问:能否在预置资源之前评估规则?

Config 规则在资源的配置项 (CI) 由 AWS Config 捕获之后评估规则。它不会在预置资源或更改资源配置之前评估规则。

问:AWS Config 如何与 AWS CloudTrail 协作?

AWS CloudTrail 会记录您账户上的用户 API 活动,并让您能够访问有关该活动的信息。您将获得有关 API 操作的完整详细信息,如调用者的身份、该 API 调用的时间、请求参数和 AWS 服务返回的响应元素。AWS Config 将您的 AWS 资源的时间点配置详细信息记录为配置项 (CI)。您可以使用 CI 在某个时间点回答“我的 AWS 资源是什么样的?”您可以使用 AWS CloudTrail 回答“谁进行了 API 调用来修改此资源?” 例如,您可以对 AWS Config 使用 AWS 管理控制台以检测安全组“生产数据库”过去的配置是否不正确。使用集成的 AWS CloudTrail 信息,您可以发现是哪个用户错误配置了“生产数据库”安全组。

问:我能否通过中央账户监控多个账户和地区的合规性信息?

借助 AWS Config,您能够轻松使用多账户、多地区数据聚合功能来监控多个账户和地区的合规状态。您可以在任一账户中创建配置聚合器,并从其他账户聚合合规详情。该功能还与 AWS Organizations 相集成,因此您可以聚合组织内所有账户的数据。

入门

问:如何开始使用该服务?

开始使用 AWS Config 最快捷的方式就是使用 AWS 管理控制台。单击几下即可启用 AWS Config。有关其他详细信息,请参阅入门文档。

问:如何访问我的资源配置?

您可以使用 AWS 管理控制台、AWS 命令行界面或软件开发工具包查找当前和历史资源配置。

有关其他详细信息,请参阅 AWS Config 文档

问:我需要在地区范围内还是全球范围内启用 AWS Config?

您可以基于每个地区为您的账户启用 AWS Config。

问:AWS Config 能否在不同的 AWS 账户间聚合数据?

能,一旦适当的 IAM 策略应用到 S3 存储桶,您就可以将 AWS Config 设置为将配置更新从不同的账户发送到一个 S3 存储桶中。一旦适当的 IAM 策略应用到 SNS 主题,您还可以向同一地区内的一个 SNS 主题发布通知。

问:AWS Config 上的 API 活动自身会被 AWS CloudTrail 记录下来吗?

会。所有 AWS Config API 活动,包括 AWS Config API 的使用到阅读配置数据,都会被 AWS CloudTrail 记录下来。

问:资源的时间线视图中显示哪些时间和时区? 什么是夏令时?

AWS Config 显示在时间轴上记录资源的配置项 (CI) 的时间。所有时间均以国际协调时间 (UTC) 为准。在管理控制台上直观显示时间轴时,服务使用当前时区(若适用,已针对夏令时调整)在时间轴视图中显示所有时间。

Config 规则

问:什么是资源的配置?

资源的配置由 AWS Config 的配置项 (CI) 中所含的数据定义。Config 规则的初始版本为相关规则提供了资源的 CI。Config 规则可以将此信息与任何其他相关信息(例如其他附加资源、工作时间等)一起用于评估资源配置的合规性。

问:什么是规则?

规则表示用于资源的期望配置项 (CI) 属性值,并通过将这些属性值与 AWS Config 所记录的 CI 比较进行评估。规则有两种类型:

AWS 托管规则:AWS 托管规则由 AWS 预先生成和管理。您只需选择希望启用的规则,然后提供一些配置参数即可开始使用。了解更多 »

客户托管规则:客户托管规则为自定义规则,由您定义和生成。您可以在 AWS Lambda 中创建能够作为自定义规则的一部分来调用的函数,这些函数将在您的账户中执行。了解更多 »

开始使用 AWS Config 最快捷的方式就是使用 AWS 管理控制台。单击几下即可启用 AWS Config。有关其他详细信息,请参阅入门文档。

问:如何创建规则?

规则通常由 AWS 账户管理员建立。可以利用 AWS 托管规则(由 AWS 提供的一组预定义规则)或通过客户托管规则创建它们。借助 AWS 托管规则,对规则进行的更新将自动应用于任何使用该规则的账户。在客户托管模型中,客户具有该规则的完整副本,并在其自己的账户中执行该规则。这些规则由客户维护。

问:可以创建多少个规则?

默认情况下,您在 AWS 账户中最多可以创建 50 个规则。此外,您可以访问 AWS 服务限制页面,申请提高您的账户中的规则数量上限。

问:如何评估规则?

任何规则都可以作为由更改触发的规则或作为定期规则建立。由更改触发的规则在 AWS Config 为任何指定资源记录配置更改后执行。此外,还必须指定以下项之一:

标签键:(可选值):“标签键:值”意味着为带有指定“标签键:值”的资源记录的任何配置更改都将触发规则评估。

资源类型:为指定资源类型内的任何资源记录的任何配置更改都将触发规则评估。

资源 ID:为由资源类型和资源 ID 指定的资源记录的任何更改都将触发规则评估。

定期规则以指定的频率触发。可用频率为 1 小时、3 小时、6 小时、12 小时或 24 小时。定期规则具有适用于该规则的所有资源当前配置项 (CI) 的完整快照。

问:什么是评估?

规则的评估可确定某个规则是否在特定时间点与某个资源相符合。这是针对资源配置评估规则的结果。Config 规则将捕获并存储每个评估的结果。此结果将包含资源、规则、评估时间和导致非合规的配置项 (CI) 链接。

问:合规性是什么意思?

如果资源符合对其应用的所有规则即为合规。否则为非合规。同样地,如果由规则评估的所有资源都符合该规则,则该规则为合规。否则为非合规。在某些情况下,例如为规则提供的权限不足时,可能不存在资源评估,从而导致数据不足的状态。此状态不能确定资源或规则的合规性状态。

问:Config 规则控制面板提供哪些信息?

Config 规则控制面板为您提供由 AWS Config 跟踪的资源概述以及按资源和按规则显示的当前合规性摘要。当您按资源查看合规性时,您可以确定适用于资源的任何规则当前是否为非合规。您可以按规则查看合规性,这将向您显示规则范围下的任何资源当前是否为非合规。通过使用这些摘要视图,您可以深入了解资源的 Config 时间线视图,从而确定哪些配置参数发生变更。您可以使用此控制面板从概述开始了解,然后深入查看细化视图,该视图提供有关合规性状态以及哪些更改导致非合规的完整信息。

多账户、多地区数据聚合

问:什么是多账户、多地区数据聚合?

AWS Config 中的数据聚合功能允许您将多个账户和地区的 AWS Config 数据聚合到单个账户中。多账户数据聚合功能适用于中央 IT 管理员,可以监控企业中多个 AWS 账户的合规性。

问:我能否使用数据聚合功能跨多个账户集中预置 Config 规则?

数据聚合功能不能用于跨多个账户预置规则。它只是一种报告功能,供您了解合规性信息。您可以使用 CloudFormation StackSets 跨账户和地区预置规则。本博客会有所帮助。

问:如何在账户中启用数据聚合功能?

如果您在账户中启用了 Config 和 Config 规则,并且账户经过聚合,您便可通过在账户中创建聚合器来启用数据聚合功能。了解更多

问:什么是聚合器?

聚合器是一种 AWS Config 资源类型,可从多个账户和地区收集 AWS Config 数据。您可以使用聚合器来查看 AWS Config 中针对多个账户和地区记录的资源配置和合规性数据。

问:聚合视图提供哪些信息?

聚合视图将显示整个组织的非合规规则总数、按资源数排序的前五个非合规规则以及具有最多非合规规则的前五个 AWS 账户。然后,您可以深入查看有关违反规则的资源的更多详细信息以及账户违反的规则列表。

问:我不是 AWS Organizations 客户,还能使用数据聚合功能吗?

您可以通过上传文件或单独输入账户来指定要聚合其 Config 数据的账户。请注意,这些账户不属于任何 AWS 组织,因此您需要让每个账户均显式授权聚合器账户。了解更多

问:我只有一个账户,还能使用数据聚合功能吗?

数据聚合功能对于多地区聚合也很有用。因此,您可以使用该功能跨多个地区聚合您账户的 Config 数据。

问:多账户、多地区数据聚合功能可在哪些地区使用?

数据聚合功能可在以下九个地区使用:美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部(俄勒冈)、美国西部(旧金山)、欧洲(爱尔兰)、欧洲(法兰克福)、亚太地区(东京)、亚太地区(悉尼)以及亚太地区(新加坡)。

问:如果我的账户包含一个不受该功能支持的地区,该怎么办?

在创建聚合器时,您需要指定可从其聚合数据的地区。该列表仅显示可以使用该功能的地区。您还可以选择“所有地区”,在这种情况下,只要在其他地区添加支持,它就会自动聚合数据。

服务和地区支持

问:AWS Config 覆盖了哪些 AWS 资源类型?

有关受支持资源类型的完整列表,请查看我们的文档

问:AWS Config 在哪些地区提供?

有关在哪些地区可以使用 AWS Config 的详细信息,请访问以下页面:

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

资源配置

问:什么是配置项?

配置项 (CI) 指的是一项资源在给定时间点的配置。CI 由 5 个部分组成:

  1. 各不同资源类型共同的有关资源的基本信息(例如 Amazon Resource 名称、标签)、
  2. 资源特定的配置数据(例如 EC2 实例类型)、
  3. 与其他资源关系的映射(例如 EC2::Volume vol-3434df43“附加到实例”EC2 Instance i-3432ee3a)、
  4. 与此状态相关的 AWS CloudTrail 事件 ID、
  5. 帮助您识别 CI 有关信息的元数据(如该 CI 的版本)以及捕捉到该 CI 的时间。

了解有关配置项的更多信息

问:什么是 AWS Config 关系,如何使用它们?

当记录更改时,AWS Config 会将资源之间的关系考虑进去。例如,如果新的 Amazon EC2 安全组与 Amazon EC2 实例相关联,AWS Config 会在主要资源(Amazon EC2 安全组)和相关资源(如 Amazon EC2 实例)发生实际更改时,记录它们更新后的配置。

问:AWS Config 会记录资源曾经历的每一个状态吗?

AWS Config 检测资源配置的更改并记录由更改导致的配置状态。如果接二连三地(例如,在几分钟内)对资源进行多次配置更改,则 Config 将只记录代表这一组更改累积影响的最终配置。在这些情况下,Config 将在配置项的 relatedEvents 字段列出最新更改。这就允许用户和程序继续更改基础设施配置,而无需等待 Config 记录中间过渡状态。

问:AWS Config 会记录不是由该资源的 API 活动引起的配置更改吗?

会。AWS Config 将定期扫描资源配置,以获取尚未记录的更改并记录这些更改。从这些扫描记录的 CI 在负载中没有 relatedEvent 字段,并且将仅挑选尚未记录的最新状态进行记录。

问:AWS Config 能否记录 EC2 实例中软件的配置更改?

能。借助 AWS Config,您可以记录 AWS 账户中的 EC2 实例内软件的配置更改,还可记录本地环境中虚拟机 (VM) 或服务器的配置更改。AWS Config 记录的配置信息包括操作系统更新、网络配置、已安装的应用程序等。您可以使用 AWS Config 规则来评估您的实例、虚拟机和服务器是否符合相关指南。借助 AWS Config 提供的深入洞察和持续监控功能,您可以评估资源的合规情况,并针对操作问题进行故障排除。

问:如果在您进行定期规则评估后,之前不合规的某项资源仍不合规,AWS Config 是否会继续发送通知?

只有在合规状态改变后,AWS Config 才会发送通知。如果之前不合规的某项资源仍不合规,Config 不会发送新通知。如果合规状态更改为“合规”,您将会收到关于状态更改的通知。

问:我能否标记或指定某些资源以使它们免受 Config 规则的评估?

配置 Config 规则时,您可以指定您的规则是否评估指定的资源或带有特定标记的资源。

定价

问:使用 AWS Config 和 AWS Config 规则时,我将如何付费?

使用 AWS Config 时,您需要根据您 AWS 账户中为受支持资源记录的配置项 (CI) 数量付费。每当 AWS Config 检测到其记录的资源类型发生更改时,就会创建配置项。

例如,如果 AWS Config 正在记录 Amazon S3 存储桶,AWS Config 会在创建、更新或删除存储桶时创建配置项。记录 CI 需要付费,因为其代表更改。保留 CI 没有任何附加费用,也没有任何预先消费承诺。您可以随时停止记录 CI 并能继续访问之前记录的 CI。每个 CI 的费用将记入您的月度账单中。查看定价详情

如果您使用的是 AWS Config 规则,将基于活动 AWS Config 规则的数量支付月度费用。当规则针对资源运行检查时,结果将基于当月活动 AWS Config 规则记录为“评估”。如果某个规则在一个月中进行一次或多次评估,则为活动规则。

使用 AWS Config 规则的定价等级设计为适应大规模的使用。由于每月跨组织中的多个账户评估规则,给定地区中的前 10 个活动规则按每个 2.00 USD 的价格收费,接下来 40 个活动规则按每个 1.50 USD 的价格收费,任何其他活动规则按每个 1.00 USD 的价格收费。类似等级适用于其他地区。AWS Config 定价页面上提供了按地区定价的详细信息。

AWS Config 还向 Amazon S3 存储桶提供配置快照和历史记录文件,并向 Amazon SNS 主题发送通知。Amazon S3 和 Amazon SNS 适用的标准费率。如果您要创建自己的 AWS Lambda 函数用于编写自定义 AWS Config 规则,那么 AWS Lambda 适用标准费率。

问:AWS Config 规则的定价是否包含 AWS Lambda 函数的费用?

您可以从一组由 AWS 提供的托管规则中进行选择,或者您可以编写自己的规则,以 AWS Lambda 函数的方式进行编写。托管规则完全由 AWS 维护,您无需支付任何额外的 AWS Lambda 费用即可运行它们。只需启用托管规则、提供任何所需参数,然后在给定月份为每个活动的 AWS Config 规则支付单一费率即可。自定义规则使您具有完全控制权,因为它们作为 AWS Lambda 函数在您的账户中执行。除了活动规则的月度费用外,自定义 AWS Config 规则还将按照标准的 AWS Lambda 免费套餐*和函数执行费率计费。


*AWS 中国(北京)地区和 AWS 中国(宁夏)地区不提供 AWS 免费套餐。

问:我想更改我的自定义 AWS Config 规则的 Lambda 函数。建议方法是什么?

每当创建新规则且新规则处于活动状态时,都会产生费用。如果您需要更新或替换与规则关联的 Lambda 函数,建议的方法是更新规则,而不是将其删除并创建新规则。

问:我要跨每个 AWS 地区中的 100 个账户在两个 AWS 地区中设置 10 个 AWS Config 规则。您能否帮助我了解我的 AWS Config 规则的月度费用?

通过整合账单,将基于每个 AWS 地区的分级定价向您收费(如果适用)。

在此示例中,如果所有规则在所有账户中均为活动状态,则可能发生的最大费用为:

10 个规则 X 100 个账户 = 每个地区 1000 个规则

前 10 个规则,每个 2.00 USD = 10 X 2 USD = 20 USD

接下来 40 个规则,每个 1.50 USD = 40 X 1.5 USD = 60 USD

接下来 950 个规则,每个 1.00 USD = 950 USD

每个地区可能的总费用 = 20 USD + 60 USD + 950 USD = 1030 USD

2 个地区可能的总费用 = 1030 USD X2 = 2060 USD

注意:此价格仅供说明使用。有关实际定价,请参阅 AWS Config 定价页面

特定月份的活动规则百分比可能会显著不同。在上述示例中,如果账户中总规则的 30% 在给定月份处于活动状态,则分层将仅适用于地区中的 300 个活动规则,从而使该地区的总费用达到 330 USD。

合作伙伴解决方案

问:AWS Config 可用哪些 AWS 合作伙伴解决方案?

Splunk、ServiceNow、Evident.IO、CloudCheckr、Redseal Networks 和 RedHat CloudForms 之类的生态系统合作伙伴提供与 AWS Config 中的数据完全集成的服务。2nd Watch 和 CloudNexa 之类的托管服务提供商也宣布了与 AWS Config 的集成。此外,借助 Config 规则,CloudHealth Technologies、AlertLogic 和 TrendMicro 等合作伙伴还可以提供可供客户使用的集成式产品/服务。这些解决方案包括更改管理和安全分析等功能,可使您可视化、监控和管理 AWS 资源配置。

有关更多信息,请单击此处

了解有关 AWS Config 的更多信息

访问合作伙伴页面
准备好开始构建了吗?
开始使用 AWS Config
还有更多问题?
联系我们