AWS Config 文档
AWS 资源的配置历史记录
AWS Config 旨在记录您的 AWS 资源更改的详细信息,从而为您提供配置历史记录。您可以使用 AWS 管理控制台、API 或 CLI 获取过去的资源配置详情。AWS Config 还会将配置历史记录文件发送到您指定的 Amazon S3 存储桶。
软件配置历史记录
AWS Config 旨在帮您记录 Amazon EC2 实例、本地运行的服务器以及其他云提供商所提供环境中的服务器和虚拟机中的软件配置更改。借助 AWS Config,您可以查看操作系统(OS)配置、系统级别的更新、已安装的应用程序和网络配置等。AWS Config 还可提供操作系统和系统级别的配置更改历史记录,以及针对 EC2 实例记录的基础设施配置更改历史记录。
资源关系追踪
AWS Config 旨在发现、映射和跟踪您账户中的 AWS 资源关系。例如,如果一个新的 Amazon EC2 安全组与 Amazon EC2 实例相关,则 AWS Config 可记录 Amazon EC2 安全组和 Amazon EC2 实例的已更新配置。
可以配置和自定义的规则
AWS Config 为您提供预建规则,旨在评估您的 AWS 资源的预置和配置情况以及托管实例 (包括 Amazon EC2 实例和本地运行的服务器) 中的软件。您可以自定义预建规则,以评估您的 AWS 资源配置和配置更改;您也可以在 AWS Lambda 中自行创建自定义规则,从而定义您的资源配置内部最佳实践和指南。使用 AWS Config,您可以依据预建规则或自定义规则评测资源配置和资源更改的合规性。
一致性包
借助一致性包,您可以使用一个通用框架和打包模型大规模地管理 AWS 资源配置的合规性(从策略定义到审计与聚合报告)。一致性包已与 AWS Organizations 集成。使用一致性包作为合规框架,您可以将一组 AWS Config 规则和补救措施打包到单个实体(称为一致性包)中,然后将其部署到整个组织中。如果您需要以可扩展和高效的方式,针对组织中的多个账户快速建立一个与资源配置策略和最佳实践有关的通用基准,则此方法将特别有用。
一致性包还提供合规分数。合规性分数是一个基于百分比的分数,它可以帮助您辨别您的资源相对于一致性包范围内的一组要求的合规程度。合规性分数是根据在一致性包范围内符合规则-资源组合的数量来计算的。例如,一个有适用于 5 个资源的 5 条规则的一致性包有 25 (5x5) 种可能的规则-资源组合。如果有 2 个资源不符合 2 条规则,那么合规性分数将是 84%,这表明 25 个规则-资源组合中的 21 个目前是合规的。另外,合规性分数计入 Amazon CloudWatch 指标中,便于不断跟踪。合规性分数提供了衡量标准,以跟踪修复的进展情况,在不同的要求集之间进行比较,以及查看特定更改或部署对您的合规性态势的影响。
多账户、多区域数据聚合
多账户、多区域数据汇总是 AWS Config 中的一项功能,可实现集中审核和管理。它旨在为您提供企业范围的 AWS Config 规则合规性状态视图,并且允许您关联 AWS 组织以快速添加账户。AWS Config 中的聚合控制面板旨在显示您的组织中不合规的规则总数、资源数量排名前五位的不合规规则,以及不合规规则数量最多的前五个 AWS 账户。然后,您可以深入查看违反规则的资源的详细信息,以及帐户违反的规则列表。
查询配置状态
AWS Config 还提供基于生成式人工智能的自然语言查询(提供预览版),从而简化资源配置调查。AWS Config 会根据您的问题生成高级查询,您可以按原样执行该查询或进一步微调以检索 Config 数据。
可扩展性
AWS Config 允许您使用我们的公共 API 将第三方资源的配置发布到 AWS Config 中,从而支持可扩展性。第三方资源的示例包括版本控制系统,例如 GitHub、Microsoft Active Directory 资源或任何本地服务器。AWS Config 允许您使用 AWS Config 控制台和 API 查看与监控这些第三方资源的资源库存和配置历史记录,就像处理 AWS 资源一样。您还可以创建 AWS Config 规则或一致性包,助您根据最佳实践、内部策略和监管策略评估这些第三方资源。
配置快照
AWS Config 旨在为您提供配置快照,该快照可捕捉到某个时间点您的资源及其配置情况。配置快照通过 AWS CLI 或 API 按需生成,并会发送到您指定的 Amazon S3 存储桶。
云治理控制面板
AWS Config 为您提供可视化控制面板,帮助您快速发现不合规资源并采取相应措施。IT 管理员、安全专家和合规官可以共同查看您的 AWS 资源的合规状况。
合作伙伴解决方案
您可以从众多可提供集成 AWS Config 解决方案的 AWS 合作伙伴网络(APN)合作伙伴中进行选择,从而发现资源、进行更改管理、获得合规性或安全性。
集成
与 ITSM/ITOM 软件连接 – IT 服务管理(ITSM)工具(如 Jira Service Desk)可与 AWS Config 连接,因此 ITSM 平台用户能够更轻松地请求与管理 AWS 服务和资源。AWS Service Management Connector for Jira Service Desk 可让 Jira Service Desk 管理员监管和监督 AWS 产品。
AWS CloudTrail – AWS Config 与集成,帮助您将账户中特定事件的配置更改互相关联。您可以使用 CloudTrail 日志来了解调用更改的事件的详细信息,包括是谁在什么时间从哪个 IP 地址发出了请求。您可以从 AWS CloudTrail 控制台打开 AWS Config 时间线,以便查看与您的 AWS API 活动相关的配置更改。
AWS Security Hub – AWS 安全中心旨在集中来自其他 AWS 服务(包括 AWS 配置规则)的安全检查。Security Hub 支持和控制 Config 规则,帮助确保您的资源配置是否符合最佳实践。在 Security Hub 所在的所有区域的所有账户上启用 Config,以便对环境资源进行安全检查。
AWS Audit Manager – AWS Audit Manager 帮助持续审计您的 AWS 使用情况,以简化评测风险以及针对相关法规与行业标准的合规性的方式。Audit Manager 可提供证据收集,因此您可以配置控制数据来源(例如 AWS Config)以收集证据。
AWS Systems Manager – AWS Config 与 AWS Systems Manager 集成,帮助记录您的 Amazon EC2 实例和本地环境中的服务器上的软件发生的配置更改。利用这一集成,您可以查看操作系统 (OS) 配置、系统级别的更新、已安装的应用程序和网络配置等信息。AWS Config 还可提供操作系统和系统级别的配置更改历史记录,以及针对 EC2 实例记录的基础设施配置更改历史记录。您可以从 Systems Manager 控制台打开 AWS Config 时间线,以便查看您托管的 EC2 实例发生的配置更改。
Amazon EC2 专属主机 – AWS Config 与 Amazon EC2 专属主机集成,可帮助您评测许可证合规性。AWS Config 会在专属主机上的实例启动、停止或终止时进行记录,并将此信息与和软件许可相关的主机和实例级信息配对,例如主机 ID、亚马逊机器映像(AMI)ID 以及套接字和物理内核的数量。这一功能让您可以将 AWS Config 用作许可证报告的数据来源。您可以从 Amazon EC2 专属主机控制台打开配置时间线,以便查看您的 Amazon EC2 专用主机发生的配置更改。
应用程序负载均衡器 – AWS Config 与弹性负载均衡(ELB)服务集成,可以记录应用程序负载均衡器发生的配置更改。AWS Config 还包含与关联的 EC2 安全组、VPC 和子网之间的关系信息。您可以将这一信息用于安全分析和故障排除工作。例如,您可以随时查看哪些安全组与您的应用程序负载均衡器关联。您可以从 ELB 控制台打开 AWS Config 时间线,以便查您的应用程序负载均衡器发生的配置更改。
AWS Organizations – 您可以使用 AWS Organizations 来帮助定义要用于 AWS Config 的多账户、多区域数据汇总功能的账户。通过提供您的 AWS Organizations 详细信息,此服务旨在监控整个组织的合规性状态。
其他信息
有关服务控制、安全特征和功能的更多信息,包括有关存储、检索、修改、限制和删除数据的信息(如适用),请参阅 https://docs.aws.amazon.com/index.html。对于 http://aws.amazon.com/agreement 上的《AWS 客户协议》或者您与 AWS 之间签订的用于管理您使用 AWS 服务的其他协议而言,这些其他信息并不构成此文档的一部分。