Allgemeines

F: Was ist AWS Config?

AWS Config ist ein vollständig verwalteter Service, der Ihnen einen AWS-Ressourcenbestand, einen Konfigurationsverlauf und Benachrichtigungen zu Konfigurationsänderungen bietet und so die Sicherheit und Governance gewährleistet. Mit AWS Config können Sie vorhandene AWS-Ressourcen entdecken, den gesamten Bestand Ihrer AWS-Ressourcen mit allen Konfigurationen exportieren und feststellen, wie eine Ressource zu einem gegebenen Zeitpunkt konfiguriert war. Diese Funktionen ermöglichen die Überwachung der Einhaltung von Vorschriften, eine Sicherheitsanalyse, die Nachverfolgung von Ressourcenänderungen und Problembehebung.

F: Was ist eine Konfigurationsregel?

Eine Konfigurationsregel enthält die gewünschten Konfigurationen für eine Ressource. Sie wird anhand von Konfigurationsänderungen an den relevanten Ressourcen gemäß Aufzeichnung in AWS Config ausgewertet. Die Ergebnisse der Auswertung einer Regel anhand der Konfiguration einer Ressource sind auf einem Dashboard einsehbar. Mit Config Rules können Sie Ihren allgemeinen Einhaltungs- und Risikostatus aus der Konfigurationsperspektive beurteilen, Einhaltungstrends im zeitlichen Verlauf anzeigen und erkennen, welche Konfigurationsänderung die Nichteinhaltung einer Regel durch eine Ressource verursacht hat.

F: Welche Vorteile bietet AWS Config?

Mit AWS Config können Sie problemlos die Konfiguration Ihrer Ressource nachverfolgen, ohne, dass dafür Vorabkosten anfallen und ohne, dass Sie Agenten für das Sammeln von Daten kompliziert installieren und aktualisieren oder umfangreiche Datenbanken warten müssen. Wenn Sie AWS Config aktivieren, können Sie laufend aktualisierte Details zu allen AWS-Ressourcen zugeordneten Konfigurationsattributen einsehen. Amazon Simple Notification Service (SNS) benachrichtigt Sie über jede Konfigurationsänderung.

F: Wie kann AWS Config die Überwachung unterstützen?

Mit AWS Config haben Sie Zugriff auf den Verlauf der Ressourcen-Konfiguration. Sie können Konfigurationsänderungen AWS CloudTrail-Ereignissen zuordnen, die möglicherweise zur Konfigurationsänderung beigetragen haben. Mit diesen Informationen haben Sie einen umfassenden Überblick, angefangen von Details wie "Wer hat die Änderung durchgeführt?" und "Von welcher IP-Adresse aus?" bis hin zur Auswirkung dieser Änderung auf AWS-Ressourcen und verwandte Ressourcen. Anhand dieser Informationen können Sie Berichte erstellen, die die Überwachung und Bewertung der Compliance für einen bestimmten Zeitraum unterstützen.

F: Wer sollte AWS Config und Config Rules verwenden?

AWS-Kunden, die ihre Sicherheit und Governance bei AWS durch kontinuierliche Auswertung der Konfiguration ihrer Ressourcen verbessern möchten. Administratoren in größeren Organisationen, die bewährte Methoden zur Konfiguration von Ressourcen empfehlen, können diese Regeln als Config Rules festschreiben und die Selbstverwaltung von Benutzern ermöglichen. Datensicherheitsexperten, die Nutzungsaktivität und Konfigurationen überwachen, um Schwachstellen zu finden, können von Config Rules profitieren. Kunden, deren Arbeitslasten bestimmten Standards (z. B. PCI-DSS oder HIPAA) entsprechen müssen, können diese Funktion zur Bewertung der Einhaltung ihrer AWS-Infrastrukturkonfigurationen verwenden und Berichte für Auditoren erstellen. Betreiber großer AWS-Infrastrukturen oder Komponenten, die häufig geändert werden, profitieren bei der Fehlerbehebung von Config Rules. Kunden, die Änderungen der Ressourcenkonfiguration nachverfolgen, Fragen zur Ressourcenkonfiguration beantworten, Regeln einhalten, Fehler beheben oder Sicherheitsanalysen durchführen möchten, sollten AWS Config nutzen.

F: Habe ich mit dem Dienst eine Garantie, dass meine Konfigurationen immer eingehalten werden?

Config Rules liefert Informationen darüber, ob Ihre Ressourcen mit den von Ihnen angegebenen Konfigurationsregeln eingehalten werden. Es bewertet Regeln, sobald die aktualisierten Konfigurationselemente (Configuration Items, CIs) für die Ressource in AWS Config verfügbar sind. Es kann nicht garantiert werden, dass Richtlinien von allen Ressourcen eingehalten werden oder Benutzer keine Aktionen durchführen, die außerhalb der Richtlinien liegen. Config Rules kann nicht automatisch dafür sorgen, dass Ressourcen, die außerhalb der Richtlinien liegen, diese sofort wieder einhalten.

F: Werden Benutzer durch den Dienst daran gehindert, Aktionen auszuüben, die außerhalb der Richtlinien liegen?

Config Rules kann die Nutzung von AWS durch Endbenutzer nicht direkt beeinflussen. Ressourcenkonfigurationen werden erst bewertet, nachdem eine Konfigurationsänderung abgeschlossen und von AWS Config aufgezeichnet wurde. Config Rules kann den Benutzer nicht von vornherein daran hindern, Änderungen außerhalb der Richtlinien durchzuführen. Um zu steuern, was eine Benutzer in AWS bereitstellen kann und welche Konfigurationsparameter für die Bereitstellung zulässig sind finden Sie in den AWS Identity and Access Management(IAM)-Richtlinien bzw. dem AWS Service Catalog.

F: Können Regeln schon vor der Bereitstellung einer Ressource ausgewertet werden?

Mit Config Rules werden Regeln ausgewertet, nachdem das Konfigurationselement (CI) AWS Config. für die Ressource erfasst wurde. Eine Auswertung findet erst nach der Bereitstellung einer Ressource und den Konfigurationsänderungen für die Ressource statt.

F: Wie funktioniert AWS Config mit AWS CloudTrail?

AWS CloudTrail zeichnet die Aktivität von Benutzer-APIs auf Ihrem Konto auf und ermöglicht Ihnen den Zugriff auf Informationen zu dieser Aktivität. Sie erhalten detaillierte Informationen zu API-Aktionen, wie etwa die Identität des Aufrufers, den Zeitpunkt des API-Aufrufs, die Anforderungsparameter und die Antwortelemente, die vom AWS-Service zurückgegeben werden. AWS Config zeichnet Zeitpunkt-Konfigurationsdetails für Ihre AWS-Ressourcen als Konfigurationselemente (Configuration Items, CIs) auf. Sie können ein CI verwenden, um herauszufinden, wie Ihre AWS-Ressource zu einem bestimmten Zeitpunkt aussah. Sie können mittels AWS CloudTrail herausfinden, wer den API-Aufruf zur Modifikation der Ressource gemacht hat. Beispielsweise können Sie die AWS Management Console für AWS Config verwenden, um herauszufinden, dass die Sicherheitsgruppe "Production-DB" in der Vergangenheit nicht korrekt konfiguriert war. Mithilfe der integrierten AWS CloudTrail-Informationen können Sie genau bestimmen, welcher Benutzer für die falsche Konfiguration der Sicherheitsgruppe "Production-DB" verantwortlich ist.

F: Kann ich Informationen zur Compliance mehrerer Konten und Regionen über ein zentrales Konto überwachen?

Mit AWS Config kann der Compliance-Status mithilfe von Funktionen zur Multi-Account- und Multi-Region-Datenaggregation über mehrere Konten und Regionen hinweg überwacht werden. Sie können einen Konfigurationsaggregator in einem beliebigen Konto erstellen und die Details zur Compliance anderer Konten aggregieren. Es besteht auch eine Integration dieser Funktion in den Unternehmen von AWS Organizations. Dadurch können Sie Daten aus allen Konten Ihres Unternehmens aggregieren.

Erste Schritte

F: Was sind die ersten Schritte mit diesem Service?

Die schnellste Möglichkeit zum Einstieg in AWS Config bietet die AWS Management Console. Mit nur wenigen Klicks können Sie AWS Config aktivieren. Weitere Informationen finden Sie in der Dokumentation Erste Schritte.

F: Wie kann ich auf die Konfiguration meiner Ressourcen zugreifen?

Sie können mit der AWS-Managementkonsole, der AWS-Befehlszeilenschnittstelle oder SDKs Einblick in die aktuelle oder eine frühere Konfiguration einer Ressource nehmen.

Weitere Informationen finden Sie in der AWS Config-Dokumentation.

F: Muss ich AWS Config regional oder global einschalten?

Sie schalten AWS Config für Ihr Konto auf regionaler Basis ein.

F: Kann AWS Config Daten von verschiedenen AWS-Konten sammeln?

Ja. Sie können AWS Config so einrichten, dass Konfigurations-Updates von verschiedenen Konten in einen S3-Bucket geliefert werden, sobald die entsprechenden IAM-Richtlinien auf den S3-Bucket angewendet werden. Sie können auch Benachrichtigungen zum SNS-Thema in derselben Region veröffentlichen, sobald entsprechende IAM-Richtlinien auf das SNS-Thema angewendet werden.

F: Wird die API-Aktivität in AWS Config selbst durch AWS CloudTrail protokolliert?

Ja. Alle AWS Config API-Aktivitäten, auch die der Lesevorgänge der AWS Config APIs zum Lesen der Konfigurationsdaten, werden von AWS CloudTrail protokolliert.

F: Welche Zeitangaben und Zeitzonen werden in der Timeline-Ansicht einer Ressource angezeigt? Wird die Sommerzeit berücksichtigt?

AWS Config zeigt die Uhrzeit an, zu der Konfigurationselemente (Configuration Items – CI) für eine Ressource in einer Timeline aufgezeichnet wurden. Alle Uhrzeiten werden in der koordinierten Weltzeit (Coordinated Universal Time, UTC) erfasst. Bei der Anzeige der Timeline auf der Management Console verwendet der Service die aktuelle Zeitzone (unter Berücksichtigung der Sommerzeit) für die Anzeige aller anderen Zeitpunkte.

Config Rules

F: Was ist eine Ressourcenkonfiguration?

Die Konfiguration einer Ressource wird durch die im Konfigurationselement (Configuration Item, CI) enthaltenen Daten von AWS Config definiert. In der ersten Version von Config Rules wird das CI einer Ressource den relevanten Regeln zur Verfügung gestellt. Config Rules nutzt diese und weitere relevante Informationen wie sonstige angefügte Ressourcen, Geschäftszeiten usw. für die Bewertung der Einhaltung einer Ressourcenkonfiguration.

F: Was ist eine Regel?

Eine Regel stellt gewünschte Attributwerte eines Konfigurationselements (Configuration Item, CI) für Ressourcen dar, welche anhand des Vergleichs mit von AWS Config erfassten Attributwerten verglichen werden. Es gibt zwei Regelarten:

AWS-verwaltete Regeln: Diese Regeln werden von AWS verwaltet und sind bereits vorkonfiguriert. Wählen Sie einfach die Regel aus, die Sie aktivieren möchten, und geben Sie einige Konfigurationsparameter ein, um zu beginnen. Weitere Informationen »

Kundenverwaltete Regeln: Diese Regeln werden vom Kunden verwaltet und vom Benutzer erstellt und definiert. Sie können in AWS Lambda eine Funktion erstellen, welche als Teil einer benutzerdefinierten Regel abrufbar und dann in Ihrem Konto ausführbar ist. Weitere Informationen »

Die schnellste Möglichkeit zum Einstieg in AWS Config bietet die AWS Management Console. Mit nur wenigen Klicks können Sie AWS Config aktivieren. Weitere Informationen finden Sie in der Dokumentation Erste Schritte.

F: Wie werden Regeln erstellt?

Regeln werden meist vom Administrator des AWS-Kontos erstellt. Sie lassen sich mithilfe von AWS-verwalteten Regeln erstellen – einem vordefinierten Satz an Regeln, der sich aus AWS oder kundenverwalteten Regeln ergibt. Bei AWS-verwalteten Regeln werden Aktualisierungen einer Regel sofort auf alle Konten angewendet, die die jeweilige Regel nutzen. Beim kundenverwalteten Modell verfügt der Kunde über eine vollständige Kopie der Regel und führt diese innerhalb seines eigenen Kontos aus. Diese Regeln werden vom Kunden gepflegt.

F: Wie viele Regeln können erstellt werden?

Sie können standardmäßig bis zu 50 Rollen in Ihrem AWS-Konto erstellen. Zudem können Sie eine Erhöhung der Anzahl der Rollen in Ihrem Konto auf der Seite AWS Service Limits anfordern.

F: Wie werden Regeln bewertet?

Eine Regel kann als änderungs- oder periodenabhängige Regel eingerichtet werden. Eine änderungsabhängige Regel wird ausgeführt, sobald AWS Config eine Konfigurationsänderung bei einer der angegebenen Ressourcen registriert. Des Weiteren sind folgende Angaben erforderlich:

Tag-Schlüssel:(optionaler Wert): Ein Tag-Schlüssel:Wert gibt alle aufgezeichneten Konfigurationsänderungen einer Ressource mit einem speziellen Tag-Schlüssel:Wert an und löst die Auswertung der Regel aus.

Ressourcen-Typ(en): Alle Konfigurationsänderungen, die für eine Ressource innerhalb der angegebenen Ressourcen-Typen aufgezeichnet wurden, lösen die Auswertung der Regel aus.

Ressourcen-ID: Alle aufgezeichneten Änderungen an einer Ressource, die durch Ressourcen-Typ und Ressourcen-ID angegeben wurden, lösen die Auswertung der Regel aus.

Eine periodische Regel wird in regelmäßigen Abständen ausgelöst. Mögliche Abstände sind 1 Std., 3 Std., 6 Std., 12 Std. oder 24 Std. Eine periodische Regel hat einen vollständigen Snapshot der aktuellen Konfigurationselemente (Configuration Items, CIs) für alle für die Regel verfügbaren Ressourcen.

F: Was ist eine Auswertung?

Die Auswertung einer Regel bestimmt, ob eine Regel für eine Ressource zu einem bestimmten Zeitpunkt eingehalten wurde. Sie ist das Ergebnis der Auswertung einer Regel gemäß Konfiguration einer Ressource. Config Rules nimmt das Ergebnis jeder Auswertung auf und speichert dieses. In diesem Ergebnis sind Ressource, Regel, Zeitpunkt der Auswertung und Link zum Konfigurationselement (Configuration Item, CI), das die Nichteinhaltung verursacht hat, enthalten.

F: Was bedeutet "Einhaltung"?

Eine Ressource wird eingehalten, wenn diese alle auf sie zutreffenden Regeln einhält. Andernfalls wird sie nicht eingehalten. Gleichermaßen wird eine Regel eingehalten, wenn alle von der Regel ausgewerteten Ressourcen von der Regel eingehalten werden. Andernfalls wird sie nicht eingehalten. In einigen Fällen, z. B. wenn unzureichende Genehmigungen für eine Regel verfügbar sind, besteht für die Ressource keine Auswertung, was dann zu einem Zustand mit unzureichenden Daten führen kann. Dieser Status wird dann bei Bestimmung des Einhaltungsstatus einer Ressource oder einer Regel ausgeschlossen.

F: Welche Informationen können im Config Rules-Dashboard abgelesen werden?

Im Config Rules-Dashboard erhalten Sie eine Übersicht über die von AWS Config aufgezeichneten Ressourcen und eine Zusammenfassung über die aktuelle Regelüberwachung nach Ressource und nach Regel. Wenn Sie die Regelüberwachung nach Ressource ansehen, können Sie feststellen, ob Regeln für Ressourcen momentan nicht eingehalten werden. Sie können die Regelüberwachung auch nach Regel ansehen und so feststellen, ob eine Ressource im Bereich der Regel momentan nicht eingehalten wird. Von dieser Zusammenfassung aus können Sie tiefer in die Ressourcenansicht der Config-Zeitachse einsteigen, um festzustellen, welche Konfigurationsparameter verändert wurden. Vom Dashboard aus starten Sie mit der Übersicht und können in immer tiefere und detailliertere Ansichten vordringen, um vollständige Informationen über Änderungen beim Einhaltungsstatus und darüber, welche Änderungen die Nichteinhaltung verursacht haben, zu erhalten.

Multi-Account- und Multi-Region-Datenaggregation

F: Was ist eine Multi-Account- und Multi-Region-Datenaggregation?

Mit einer Datenaggregation in AWS Config können Sie AWS Config-Daten von mehreren Konten und Regionen in einem einzelnen Konto aggregieren. Eine Multi-Account-Datenaggregation ist für zentrale IT-Administratoren nützlich und hilft ihnen bei der Compliance-Überwachung mehrerer AWS-Konten im Unternehmen.

F: Kann ich die Datenaggregationsfunktion für eine zentrale Bereitstellung von Config-Regeln über mehrere Konten hinweg nutzen?

Die Datenaggregationsfunktion kann nicht für die Bereitstellung von Regeln über mehrere Konten hinweg genutzt werden. Es handelt sich um eine reine Berichterstellungsfunktion, die einen Einblick in die Compliance ermöglicht. Sie können CloudFormation StackSets für die Bereitstellung von Regeln über Konten und Regionen hinweg verwenden. Hier finden Sie nützliche Blogeinträge.

F: Wie aktiviere ich die Datenaggregation in meinem Konto?

Sobald Config und die Config-Regeln in Ihrem Konto aktiviert sind und die Konten zusammengeführt werden, können Sie die Datenaggregation aktivieren, indem Sie einen Aggregator in Ihrem Konto erstellen. Weitere Informationen.

F: Was ist ein Aggregator?

Ein Aggregator ist ein AWS Config-Ressourcentyp, der AWS Config-Daten aus mehreren Konten und Regionen erfasst. Verwenden Sie einen Aggregator, um die Ressourcenkonfiguration und die in AWS Config aufgezeichneten Compliance-Daten mehrerer Konten und Regionen anzuzeigen.

F: Welche Informationen stellt die aggregierte Ansicht bereit?

Die aggregierte Ansicht zeigt die Gesamtzahl der nicht konformen Regeln im gesamten Unternehmen, die fünf wichtigsten nicht konformen Regeln nach Anzahl der Ressourcen und die fünf wichtigsten AWS-Konten mit den meisten nicht konformen Regeln an. Sie können dann einen Drilldown durchführen, um mehr Details zu den Ressourcen anzuzeigen, die gegen die Regel verstoßen, sowie die Liste der Regeln, die von einem Konto verletzt werden.

F: Ich bin kein Kunde von AWS Organizations. Kann ich trotzdem die Datenaggregationsfunktion nutzen?

Sie können die Konten festlegen, deren Config-Daten zusammengeführt werden sollen, indem Sie eine Datei hochladen oder auf die einzelnen Konten zugreifen. Beachten Sie, dass das Aggregator-Konto von jedem einzelnen dieser Konten autorisiert werden muss, da diese Konten zu keiner AWS-Organisationen gehören. Weitere Informationen.

F: Ich habe nur ein einzelnes Konto. Kann ich trotzdem die Datenaggregationsfunktion nutzen?

Die Datenaggregationsfunktion ist auch bei einer Aggregation mit mehreren Regionen hilfreich. Sie können also die Config-Daten für Ihr Konto über mehrere Regionen hinweg aggregieren, wenn Sie die Funktion nutzen.

F: In welchen Regionen ist die Funktion zur Multi-Account- und Multi-Region-Datenaggregation verfügbar?

Die Datenaggregationsfunktion ist in den folgenden neun Regionen verfügbar: USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon), USA West (San Francisco), EU (Irland), EU (Frankfurt), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney) und Asien-Pazifik (Singapur).

F: Was ist, wenn ich ein Konto habe, das eine Region einschließt, die von der Funktion nicht unterstützt wird?

Wenn Sie einen Aggregator erstellen, legen Sie Regionen fest, von denen Sie Daten aggregieren können. Auf dieser Liste sind nur Regionen aufgeführt, in denen die Funktion verfügbar ist. Sie können auch "all regions" auswählen. Sobald andere Regionen unterstützt werden, werden die Daten automatisch aggregiert.

Unterstützung von Services und Regionen

F: Welche AWS-Ressource-Typen sind durch AWS Config abgedeckt?

In unserer Dokumentation sind alle unterstützten Ressourcenarten aufgeführt.

F: In welchen Regionen ist AWS Config verfügbar?

Details zu den Regionen, in denen AWS Config verfügbar ist, finden Sie auf dieser Seite:

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

Ressourcenkonfiguration

F: Was ist ein Konfigurationselement?

Ein Konfigurationselement (Configuration Item, CI) ist die Konfiguration einer Ressource zu einem gegebenen Zeitpunkt. Ein CI besteht aus 5 Abschnitten:

  1. Grundlegenden Informationen zur Ressource, die verschiedenen Ressourcentypen gemeinsam sind (z. B. Amazon Resource Names, Tags)
  2. Spezifischen Konfigurationsdaten zur Ressource (z. B. EC2-Instance-Typ)
  3. Zuordnung von Beziehungen zu anderen Ressourcen (z. B. EC2::Volume vol-3434df43 ist "attached to instance" EC2 Instance i-3432ee3a),
  4. AWS CloudTrail-Ereignis-IDs, die in Zusammenhang mit diesem Zustand stehen,
  5. Metadaten, die die Identifikation von Informationen zu CIs – etwa der jeweiligen Version und des Zeitpunkts der Erfassung – erleichtern.

Weitere Informationen über Konfigurationselemente.

F: Was sind AWS Config-Beziehungen und wie werden sie eingesetzt?

AWS Config berücksichtigt beim Aufzeichnen von Änderungen die Beziehungen zwischen Ressourcen. Wenn zum Beispiel einer Amazon EC2 Instance eine neue Amazon EC2 Sicherheitsgruppe zugeordnet wird, zeichnet AWS Config die aktualisierten Konfigurationen der primären Ressource, der Amazon EC2 Sicherheitsgruppe und der verwandten Ressourcen, wie der Amazon EC2 Instance, auf, sofern diese Ressourcen tatsächlich geändert wurden.

F: Protokolliert AWS Config jeden Status, in dem eine Ressource war?

AWS Config erkennt eine Änderung an der Konfiguration einer Ressource und protokolliert den Konfigurationsstatus, der sich aus dieser Änderung ergeben hat. In Fällen, in denen mehrere Konfigurationsänderungen an einer Ressource in schneller Aufeinanderfolge durchgeführt werden (z. B. binnen weniger Minuten), protokolliert Config nur die letzte Konfiguration dieser Ressource, die eine kumulative Auswirkungen auf die Gruppe der Änderungen hat. In diesen Fällen listet Config nur die letzte Änderung im Feld relatedEvents des Konfigurationselements auf. Damit werden Benutzer und Programme in die Lage versetzt, Infrastrukturkonfigurationen zu ändern, ohne darauf warten zu müssen, dass Config die temporären Zwischenstatus protokolliert.

F: Protokolliert AWS Config Konfigurationsänderungen, die sich nicht aus API-Aktivitäten für diese Ressource ergeben?

Ja. AWS Config prüft regelmäßig die Konfiguration von Ressourcen auf Änderungen, die noch nicht protokolliert wurden, und protokolliert sie. CIs, die nach diesen Prüfungen protokolliert werden, haben kein Feld relatedEvent in den Nutzdaten und nur der letzte Status, der sich vom bereits protokollierten Status unterscheidet, wird aufgezeichnet.

F: Reagiert AWS Config mit einer Aufzeichnung, wenn an Software in EC2-Instances Konfigurationen geändert werden?

Ja. AWS Config ermöglicht Ihnen, Konfigurationsänderungen an Software aus EC2-Instances Ihres AWS-Kontos aufzuzeichnen. Gleiches gilt für virtuelle Maschinen (VM) sowie Server in Ihrer lokalen Umgebung. AWS Config startet beispielsweise eine Aufzeichnung, wenn Ihr Betriebssystem aktualisiert wird, Netzwerkkonfigurationen angepasst werden oder Anwendungen installiert werden. Mit AWS Config Rules untersuchen Sie beispielsweise, ob Ihre Instanzen, VM und Server mit Ihren Richtlinien konform sind. Weil Sie mit AWS Config Rules Vorgänge auch in tiefen Systemebenen transparent darstellen und überwachen können, erhalten Sie ein aussagekräftiges Bild zur Compliance und können betriebstechnische Probleme beseitigen.

F: Sendet AWS Config auch weiterhin Benachrichtigungen, wenn eine bisher nicht konforme Ressource auch nach einer periodischen Regelevaluierung noch nicht konform ist?

AWS Config sendet nur Benachrichtigungen, wenn sich der Compliance-Status ändert. Wenn eine Ressource bisher nicht konform war und es auch weiterhin nicht ist, sendet Config keine neue Benachrichtigung. Wenn Sich der Compliance-Status in „konform“ ändert, erhalten Sie eine Benachrichtigung hinsichtlich der Statusänderung.

F: Kann ich Ressourcen markieren oder von der Evaluierung durch Config-Regeln ausschließen?

Bei der Konfiguration von Config-Regeln können Sie angeben, ob Ihre Regeln Evaluierungen bestimmter Ressourcentypen oder Ressourcen mit einer bestimmten Markierung ausführen.

Preise

F: Wie wird mir die Nutzung dieses Service in Rechnung gestellt?

AWS Config wird entsprechend der Anzahl der für unterstützte Ressourcen in Ihrem AWS-Konto gespeicherten Konfigurationselemente (Configuration Items, CIs) verrechnet. Die Aufzeichnung der CIs wird Ihnen nur einmal in Rechnung gestellt. Für das Speichern der CIs entstehen weder zusätzliche Kosten noch Vorauskosten. Sie können das Aufzeichnen von CIs jederzeit stoppen und weiterhin auf die bereits gespeicherten CIs zugreifen. Die Kosten pro CI werden in die Monatsrechnung einbezogen. Siehe Preisdetails.

Falls Sie AWS Config Rules verwenden, werden Sie auf der Basis der aktiven Config Rules für den jeweiligen Monat belastet. Wenn eine Regel mit einer AWS-Ressource verglichen wird, wird das Ergebnis als Bewertung aufgezeichnet. Eine Regel gilt als aktiv, wenn sie mindestens eine Auswertung pro Monat hat.

Konfigurations-Snapshots und Konfigurationsverlauf-Dateien werden Ihnen im Amazon S3 Bucket Ihrer Wahl bereitgestellt, Benachrichtigungen zu Konfigurationsänderungen werden über Amazon Simple Notification Service (SNS) geliefert. Es fallen die Standardtarife für Amazon S3 und Amazon SNS an. Die Erstellung kundenverwalteter Regeln erfolgt mit AWS Lambda. Es gilt der Standardtarif für AWS Lambda.

F: Sind im Preis für Config Rules bereits die Kosten für die Funktionen von AWS Lambda enthalten?

Sie können in AWS aus einer Reihe verwalteter Regeln auswählen oder Ihre eigenen Regeln als AWS Lambda-Funktionen schreiben. Verwaltete Regeln werden von AWS vollständig verwaltet und gewartet und es müssen für die Ausführung keine weiteren AWS Lambda-Gebühren bezahlt werden. Aktivieren Sie die verwalteten Regeln einfach, geben Sie die notwendigen Parameter ein und bezahlen Sie einen einfachen Tarif pro AWS Config-Regel. Mit benutzerverwalteten Regeln hingegen haben Sie volle Kontrolle durch Ausführen dieser Regeln als AWS Lambda-Funktionen in Ihrem Konto. Zusätzlich zu monatlichen Gebühren für aktive Regeln gelten für die benutzerverwalteten Regeln die Standardgebühren für kostenloses Kontingent* und Funktionsausführung von AWS Lambda.

*In der AWS-Region China (Peking) und der AWS-Region China (Ningxia) ist kein kostenloses Nutzungskontingent für AWS verfügbar.

F: Können Sie ein Beispiel für die Kostenaufschlüsselung geben?

Preisbeispiel 1:

Nehmen Sie an, Sie verzeichnen 1 000 Konfigurationselemente pro Monat und haben 15 aktive Regeln in der Region N. Virginia. Ihre monatlichen Gebühren liegen bei

AWS Config-Kosten: 1 000 * 0,003 USD = 3,00 USD

AWS Config-Regeln:

2,00 USD pro aktiver Config-Regel für die ersten 10 Regeln in der Region USA Ost (N. Virginia): 10 * 2,00 USD = 20,00 USD

1,50 USD pro aktiver Config-Regel für die nächsten 40 Regeln in der Region USA Ost (N. Virginia): 5 * 1,50 USD = 7,50 USD

Monatliche Gebühren für AWS Config, gesamt = 30,50 USD

Preisbeispiel 2:

Nehmen Sie an, Sie verzeichnen 1 000 Konfigurationselemente pro Monat und haben 100 aktive Regeln in der Region N. Virginia und 400 Konfigurationselemente mit 5 aktiven Regeln in der Region EU (Irland). Ihre monatlichen Gebühren liegen bei

AWS Config-Kosten (N. Virginia): 1 000 * 0,003 USD = 3,00 USD

AWS Config-Regeln (N. Virginia):

2,00 USD pro aktiver Config-Regel für die ersten 10 Regeln in der Region USA Ost (N. Virginia): 10 * 2,00 USD = 20,00 USD

1,50 USD pro aktiver Config-Regel für die nächsten 40 Regeln in der Region USA Ost (N. Virginia): 40 * 1,50 USD = 60,00 USD

1,00 USD pro aktiver Config-Regel für die nächsten 50 Regeln in der Region USA Ost (N. Virginia): 50 * 1,00 USD = 50,00 USD

AWS Config-Kosten (EU (Irland)): 400 * 0,003 USD = 1,20 USD

2,00 USD pro aktiver Config-Regel für die ersten 10 Regeln in der Region EU (Irland): 5 * 2,00 USD = 10,00 USD

Monatliche Gebühren für AWS Config, gesamt = 144,20 USD

Partnerlösungen

F: Welche AWS-Partnerlösungen sind für AWS Config verfügbar?

Ökosystempartner wie Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks und RedHat CloudForms stellen für Daten aus AWS Config voll integrierte Angebote bereit. Anbieter verwalteter Services, etwa 2nd Watch und CloudNexa, haben ebenfalls die Integration in AWS Config angekündigt. Außerdem bieten Partner wie CloudHealth Technologies, AlertLogic und TrendMicro mit Config Rules integrierte Angebote, die von den Kunden verwendet werden können. Diese Lösungen beinhalten Funktionen für Änderungsmanagement und Sicherheitsanalyse. Sie können damit die Konfiguration von AWS-Ressourcen visualisieren, überwachen und verwalten.

Weitere Informationen finden Sie hier.

Weitere Informationen zu AWS Config

Besuchen Sie die Partnerseite
Bereit zum Entwickeln?
Erste Schritte mit AWS Config
Sind noch Fragen offen?
Kontakt