Häufig gestellte Fragen zu AWS Config

F: Was ist AWS Config?

AWS Config ist ein vollständig verwalteter Service, der Ihnen einen AWS-Ressourcenbestand, einen Konfigurationsverlauf und Benachrichtigungen zu Konfigurationsänderungen bietet und so die Sicherheit und Governance gewährleistet. Mit AWS Config können Sie vorhandene AWS-Ressourcen entdecken, den gesamten Bestand Ihrer AWS-Ressourcen mit allen Konfigurationen exportieren und feststellen, wie eine Ressource zu einem gegebenen Zeitpunkt konfiguriert war. Diese Funktionen ermöglichen die Überwachung der Einhaltung von Vorschriften, eine Sicherheitsanalyse, die Nachverfolgung von Ressourcenänderungen und Problembehebung.

F: Was ist eine Konfigurationsregel?

Eine Konfigurationsregel enthält die gewünschten Konfigurationen für eine Ressource. Sie wird anhand von Konfigurationsänderungen an den relevanten Ressourcen gemäß Aufzeichnung in AWS Config ausgewertet. Die Ergebnisse der Auswertung einer Regel anhand der Konfiguration einer Ressource sind auf einem Dashboard einsehbar. Mit Config Rules können Sie Ihren allgemeinen Einhaltungs- und Risikostatus aus der Konfigurationsperspektive beurteilen, Einhaltungstrends im zeitlichen Verlauf anzeigen und erkennen, welche Konfigurationsänderung die Nichteinhaltung einer Regel durch eine Ressource verursacht hat.

F: Was ist ein Conformance Pack?

Ein Conformance Pack ist eine Sammlung von Konfigurationsregeln und Standardisierungsaktionen, die unter Verwendung eines gemeinsamen Frameworks und Paketmodells in AWS Config erstellt werden. Durch das Packen der oben genannten Konfigurationsartefakte können Sie die Bereitstellung und Berichterstellung von Governance-Richtlinien und die Konformität mit der Konfiguration für mehrere Konten und Regionen vereinfachen und die Zeit verkürzen, die eine Ressource in einem nicht konformen Zustand verbleibt.

F: Welche Vorteile bietet AWS Config?

Mit AWS Config können Sie problemlos die Konfiguration Ihrer Ressource nachverfolgen, ohne, dass dafür Vorabkosten anfallen und ohne, dass Sie Agenten für das Sammeln von Daten kompliziert installieren und aktualisieren oder umfangreiche Datenbanken warten müssen. Wenn Sie AWS Config aktivieren, können Sie laufend aktualisierte Details zu allen AWS-Ressourcen zugeordneten Konfigurationsattributen einsehen. Amazon Simple Notification Service (SNS) benachrichtigt Sie über jede Konfigurationsänderung.

F: Wie kann AWS Config die Prüfung unterstützen?

Mit AWS Config haben Sie Zugriff auf den Verlauf der Ressourcen-Konfiguration. Sie können Konfigurationsänderungen AWS CloudTrail-Ereignissen zuordnen, die möglicherweise zur Konfigurationsänderung beigetragen haben. Mit diesen Informationen haben Sie einen umfassenden Überblick, angefangen von Details wie "Wer hat die Änderung durchgeführt?" und "Von welcher IP-Adresse aus?" bis hin zur Auswirkung dieser Änderung auf AWS-Ressourcen und verwandte Ressourcen. Anhand dieser Informationen können Sie Berichte erstellen, die die Überwachung und Bewertung der Compliance für einen bestimmten Zeitraum unterstützen.

F: Wer sollte AWS Config und Config Rules verwenden?

AWS-Kunden, die ihre Sicherheit und Governance bei AWS durch kontinuierliche Auswertung der Konfiguration ihrer Ressourcen verbessern möchten. Administratoren in größeren Organisationen, die bewährte Methoden zur Konfiguration von Ressourcen empfehlen, können diese Regeln als Config Rules festschreiben und die Selbstverwaltung von Benutzern ermöglichen. Datensicherheitsexperten, die Nutzungsaktivität und Konfigurationen überwachen, um Schwachstellen zu finden, können von Config Rules profitieren. Kunden, deren Arbeitslasten bestimmten Standards (z. B. PCI-DSS oder HIPAA) entsprechen müssen, können diese Funktion zur Bewertung der Einhaltung ihrer AWS-Infrastrukturkonfigurationen verwenden und Berichte für Auditoren erstellen. Anwender, die große AWS-Infrastrukturen oder sich häufig ändernde Komponenten verwalten, können Config Rules zur Problembehebung einsetzen. Kunden sollten in folgenden Fällen AWS Config einschalten: wenn Sie Änderungen an Ressourcenkonfigurationen nachverfolgen, Fragen zu Ressourcenkonfigurationen beantworten, Compliance nachweisen, Probleme beheben oder eine Sicherheitsanalyse durchführen möchten.

F: Wer sollte AWS-Config-Conformance-Packs verwenden?

Wenn Sie ein Framework zum Erstellen und Bereitstellen von Compliance-Paketen für Ihre AWS-Ressourcenkonfigurationen über mehrere Konten hinweg suchen, das Regeln und Korrekturmaßnahmen enthält, die von AWS APN-Partnern oder sogar von ihnen selbst erstellt wurden, sollten diese Conformance-Packs verwenden. Mit diesem Framework können angepasste Pakete für Sicherheit, DevOps und andere Personen erstellt werden. Kunden können schnell mit einer der Mustervorlagen für Conformance Packs beginnen.

F: Habe ich mit dem Dienst eine Garantie, dass meine Konfigurationen immer eingehalten werden?

Config Rules und Conformance Packs liefern Informationen darüber, ob Ihre Ressourcen mit den von Ihnen angegebenen Konfigurationsregeln eingehalten werden. Je nachdem, wie Sie die Regel konfiguriert haben, werden die Ressourcenkonfigurationen entweder in regelmäßigen Abständen oder beim Erkennen von Konfigurationsänderungen oder in beiden Fällen anhand der Config Rules bewertet. Sie garantieren nicht, dass Ressourcen konform sind, oder verhindern, dass Benutzer nicht konforme Maßnahmen ergreifen. Sie können jedoch verwendet werden, um eine nicht konforme Ressource wieder in die Konformität zu versetzen, indem für jede Config Rule entsprechende Korrekturmaßnahmen konfiguriert werden.

F: Werden Benutzer durch den Service daran gehindert, Aktionen auszuüben, die außerhalb der Richtlinien liegen?

Config Rules kann die Nutzung von AWS durch Endbenutzer nicht direkt beeinflussen. Ressourcenkonfigurationen werden erst bewertet, nachdem eine Konfigurationsänderung abgeschlossen und von AWS Config aufgezeichnet wurde. Config Rules kann den Benutzer nicht von vornherein daran hindern, Änderungen außerhalb der Richtlinien durchzuführen. Um zu steuern, was ein Benutzer in AWS bereitstellen kann und welche Konfigurationsparameter für die Bereitstellung zulässig sind, nutzen Sie die AWS-Identity-and-Access-Management-Richtlinien (IAM) bzw. den AWS Service Catalog.

F: Können Regeln schon vor der Bereitstellung einer Ressource ausgewertet werden?

Mit Config Rules werden Regeln ausgewertet, nachdem das Konfigurationselement (Configuration Item, CI) AWS Config. für die Ressource erfasst wurde. Eine Auswertung findet erst nach der Bereitstellung einer Ressource und den Konfigurationsänderungen für die Ressource statt.

F: Wie funktioniert AWS Config mit AWS CloudTrail?

AWS CloudTrail zeichnet die Aktivität von Benutzer-APIs auf Ihrem Konto auf und ermöglicht Ihnen den Zugriff auf Informationen zu dieser Aktivität. Sie erhalten detaillierte Informationen zu API-Aktionen, wie etwa die Identität des Aufrufers, den Zeitpunkt des API-Aufrufs, die Anforderungsparameter und die Antwortelemente, die vom AWS-Service zurückgegeben werden. AWS Config zeichnet Zeitpunkt-Konfigurationsdetails für Ihre AWS-Ressourcen als Konfigurationselemente (Configuration Items, CIs) auf. Sie können ein CI verwenden, um herauszufinden, wie Ihre AWS-Ressource zu einem bestimmten Zeitpunkt aussah. Sie können mittels AWS CloudTrail herausfinden, wer den API-Aufruf zur Modifikation der Ressource gemacht hat. Beispielsweise können Sie die AWS-Managementkonsole für AWS Config verwenden, um herauszufinden, dass die Sicherheitsgruppe "Production-DB" in der Vergangenheit nicht korrekt konfiguriert war. Mithilfe der integrierten AWS CloudTrail-Informationen können Sie genau bestimmen, welcher Benutzer für die falsche Konfiguration der Sicherheitsgruppe "Production-DB" verantwortlich ist.

F: Kann ich Informationen zur Compliance mehrerer Konten und Regionen über ein zentrales Konto überwachen?

Mit AWS Config kann der Compliance-Status mithilfe von Funktionen zur Multi-Account- und Multi-Region-Datenaggregation über mehrere Konten und Regionen hinweg überwacht werden. Sie können einen Konfigurationsaggregator in einem beliebigen Konto erstellen und die Details zur Compliance anderer Konten aggregieren. Es besteht auch eine Integration dieser Funktion in den Unternehmen von AWS Organizations. Dadurch können Sie Daten aus allen Konten Ihres Unternehmens aggregieren.

F: Kann ich meine ServiceNow- und Jira Service Desk-Instances mit AWS Config verbinden?

Ja. Der AWS Service Management Connector für ServiceNow und Jira Service Desk (früher AWS Service Catalog Connector) ermöglicht ServiceNow und Jira Service Desk-Endbenutzern die Bereitstellung, Verwaltung und Ausführung von AWS-Ressourcen direkt über ServiceNow und Jira Service Desk. Benutzer von ServiceNow können mit dem AWS Service Management Connector Ressourcen in einer Konfigurationselementansicht, die von AWS Config unterstützt wird, nahtlos auf ServiceNow verfolgen. Benutzer des Jira Service Desk können Ressourcen in der Anforderung zum Problem mit dem Service Management Connector verfolgen. Dies vereinfacht die Anforderung von AWS-Produkten für ServiceNow- und Jira Service Desk-Benutzer und bietet ServiceNow- und Jira Service Desk-Administratoren Governance und Überblick über AWS-Produkte.

Der AWS Service Management Connector für ServiceNow ist kostenlos im ServiceNow Store verfügbar. Diese neue Funktion ist in allen AWS-Regionen verfügbar, in denen AWS Service Catalog angeboten wird. Weitere Informationen finden Sie in der Dokumentation.

Der AWS Service Management Connector für Jira Service Desk ist im Atlassian Marketplace kostenlos erhältlich. Diese neue Funktion ist generell in allen AWS-Regionen verfügbar, in denen der AWS Service Catalog, Weitere Informationen finden Sie in der Dokumentation.

F: Was sind die ersten Schritte mit diesem Service?

Die schnellste Möglichkeit zum Einstieg in AWS Config bietet die AWS-Managementkonsole. Mit nur wenigen Klicks können Sie AWS Config aktivieren. Weitere Informationen finden Sie in der Dokumentation Erste Schritte.

F: Wie kann ich auf die Konfiguration meiner Ressourcen zugreifen?

Sie können mit der AWS-Managementkonsole, der AWS-Befehlszeilenschnittstelle oder SDKs Einblick in die aktuelle oder eine frühere Konfiguration einer Ressource nehmen.

Weitere Informationen finden Sie in der AWS Config-Dokumentation.

F: Muss ich AWS Config regional oder global einschalten?

Sie schalten AWS Config für Ihr Konto auf regionaler Basis ein.

F: Kann AWS Config Daten von verschiedenen AWS-Konten sammeln?

Ja. Sie können AWS Config so einrichten, dass Konfigurations-Updates von verschiedenen Konten in einen S3-Bucket geliefert werden, sobald die entsprechenden IAM-Richtlinien auf den S3-Bucket angewendet werden. Sie können auch Benachrichtigungen zum SNS-Thema in derselben Region veröffentlichen, sobald entsprechende IAM-Richtlinien auf das SNS-Thema angewendet werden.

F: Wird die API-Aktivität in AWS Config selbst durch AWS CloudTrail protokolliert?

Ja. Alle AWS Config API-Aktivitäten, auch die der Lesevorgänge der AWS Config APIs zum Lesen der Konfigurationsdaten, werden von AWS CloudTrail protokolliert.

F: Welche Zeitangaben und Zeitzonen werden in der Timeline-Ansicht einer Ressource angezeigt? Wird die Sommerzeit berücksichtigt?

AWS Config zeigt die Uhrzeit an, zu der Konfigurationselemente (Configuration Items – CI) für eine Ressource in einer Timeline aufgezeichnet wurden. Alle Uhrzeiten werden in der koordinierten Weltzeit (Coordinated Universal Time, UTC) erfasst. Bei der Anzeige der Timeline auf der Managementkonsole verwendet der Service die aktuelle Zeitzone (unter Berücksichtigung der Sommerzeit) für die Anzeige aller anderen Zeitpunkte.

F: Was ist eine Ressourcenkonfiguration?

Die Konfiguration einer Ressource wird durch die im Konfigurationselement (Configuration Item, CI) enthaltenen Daten von AWS Config definiert. In der ersten Version von Config Rules wird das CI einer Ressource den relevanten Regeln zur Verfügung gestellt. Config Rules nutzt diese und weitere relevante Informationen wie sonstige angefügte Ressourcen, Geschäftszeiten usw. für die Bewertung der Einhaltung einer Ressourcenkonfiguration.

F: Was ist eine Regel?

Eine Regel stellt gewünschte Attributwerte eines Konfigurationselements (Configuration Item, CI) für Ressourcen dar, welche anhand des Vergleichs mit von AWS Config erfassten Attributwerten verglichen werden. Es gibt zwei Regelarten:

AWS-verwaltete Regeln: Diese Regeln werden von AWS verwaltet und sind bereits vorkonfiguriert. Wählen Sie einfach die Regel aus, die Sie aktivieren möchten, und geben Sie einige Konfigurationsparameter ein, um zu beginnen. Weitere Informationen »

Kundenverwaltete Regeln: Diese Regeln werden vom Kunden verwaltet und vom Benutzer erstellt und definiert. Sie können in AWS Lambda eine Funktion erstellen, welche als Teil einer benutzerdefinierten Regel abrufbar und dann in Ihrem Konto ausführbar ist. Weitere Informationen »

Die schnellste Möglichkeit zum Einstieg in AWS Config bietet die AWS-Managementkonsole. Mit nur wenigen Klicks können Sie AWS Config aktivieren. Weitere Informationen finden Sie in der Dokumentation Erste Schritte.

F: Wie werden Regeln erstellt?

Regeln werden meist vom Administrator des AWS-Kontos erstellt. Sie lassen sich mithilfe von AWS-verwalteten Regeln erstellen – einem vordefinierten Satz an Regeln, der von AWS geliefert wird oder sich aus kundenverwalteten Regeln ergibt. Bei AWS-verwalteten Regeln werden Aktualisierungen einer Regel sofort auf alle Konten angewendet, die die jeweilige Regel nutzen. Beim kundenverwalteten Modell verfügt der Kunde über eine vollständige Kopie der Regel und führt diese innerhalb seines eigenen Kontos aus. Diese Regeln werden vom Kunden gepflegt.

F: Wie viele Regeln können erstellt werden?

Sie können standardmäßig bis zu 150 Regeln in Ihrem AWS-Konto erstellen. Zudem können Sie eine Erhöhung der Anzahl der Regeln in Ihrem Konto auf der Seite AWS Service Limits anfordern.

F: Wie werden Regeln bewertet?

Eine Regel kann als änderungs- oder periodenabhängige Regel eingerichtet werden. Eine änderungsabhängige Regel wird ausgeführt, sobald AWS Config eine Konfigurationsänderung bei einer der angegebenen Ressourcen registriert. Des Weiteren sind folgende Angaben erforderlich:

Tag-Schlüssel:(optionaler Wert): Ein Tag key:value gibt alle aufgezeichneten Konfigurationsänderungen einer Ressource mit einem speziellen Tag key:value an und löst die Auswertung der Regel aus.

Ressourcen-Typ(en): Alle Konfigurationsänderungen, die für eine Ressource innerhalb der angegebenen Ressourcen-Typen aufgezeichnet wurden, lösen die Auswertung der Regel aus.

Ressourcen-ID: Alle aufgezeichneten Änderungen an einer Ressource, die durch Ressourcen-Typ und Ressourcen-ID angegeben wurden, lösen die Auswertung der Regel aus.

Eine periodische Regel wird in regelmäßigen Abständen ausgelöst. Mögliche Abstände sind 1 Std., 3 Std., 6 Std., 12 Std. oder 24 Std. Eine periodische Regel hat einen vollständigen Snapshot der aktuellen Konfigurationselemente (Configuration Items, CIs) für alle für die Regel verfügbaren Ressourcen.

F: Was ist eine Auswertung?

Die Auswertung einer Regel bestimmt, ob eine Regel für eine Ressource zu einem bestimmten Zeitpunkt eingehalten wurde. Sie ist das Ergebnis der Auswertung einer Regel gemäß Konfiguration einer Ressource. Config Rules nimmt das Ergebnis jeder Auswertung auf und speichert dieses. In diesem Ergebnis sind Ressource, Regel, Zeitpunkt der Auswertung und Link zum Konfigurationselement (CI), das die Nichteinhaltung verursacht hat, enthalten.

F: Was bedeutet "Einhaltung"?

Eine Ressource wird eingehalten, wenn diese alle auf sie zutreffenden Regeln einhält. Andernfalls wird sie nicht eingehalten. Gleichermaßen wird eine Regel eingehalten, wenn alle von der Regel ausgewerteten Ressourcen von der Regel eingehalten werden. Andernfalls wird sie nicht eingehalten. In einigen Fällen, z. B. wenn unzureichende Genehmigungen für eine Regel verfügbar sind, besteht für die Ressource keine Auswertung, was dann zu einem Zustand mit unzureichenden Daten führen kann. Dieser Status wird dann bei Bestimmung des Einhaltungsstatus einer Ressource oder einer Regel ausgeschlossen.

F: Welche Informationen können im Config-Rules-Dashboard abgelesen werden?

Im Config-Rules-Dashboard erhalten Sie eine Übersicht über die von AWS Config aufgezeichneten Ressourcen und eine Zusammenfassung über die aktuelle Regelüberwachung nach Ressource und nach Regel. Wenn Sie die Regelüberwachung nach Ressource ansehen, können Sie feststellen, ob Regeln für Ressourcen momentan nicht eingehalten werden. Sie können die Regelüberwachung auch nach Regel ansehen und so feststellen, ob eine Ressource im Bereich der Regel momentan nicht eingehalten wird. Von dieser Zusammenfassung aus können Sie tiefer in die Ressourcenansicht der Config-Zeitachse einsteigen, um festzustellen, welche Konfigurationsparameter verändert wurden. Vom Dashboard aus starten Sie mit der Übersicht und können in immer tiefere und detailliertere Ansichten vordringen, um vollständige Informationen über Änderungen beim Einhaltungsstatus und darüber, welche Änderungen die Nichteinhaltung verursacht haben, zu erhalten.

F: Wann sollte ich AWS Config Rules oder Conformance Packs verwenden?

Sie können einzelne AWS Config Rules verwenden, um die Kompatibilität der Ressourcenkonfiguration in einem oder mehreren Konten zu bewerten. Conformance Packs bieten den zusätzlichen Vorteil von Verpackungsregeln zusammen mit Korrekturmaßnahmen in einer einzelnen Entität, die mit einem einzigen Klick in einer gesamten Organisation bereitgestellt werden können. Conformance Packs sollen das Compliance-Management und die Berichterstellung vereinfachen, wenn Sie mehrere Konten verwalten. Conformance Packs bieten aggregierte Compliance-Berichte auf Paket-Ebene sowie Unveränderlichkeit, um sicherzustellen, dass die verwalteten AWS Config Rules und Korrekturdokumente im Conformance Pack nicht von den einzelnen Mitgliedskonten einer Organisation geändert oder gelöscht werden können.

F: Wie sind AWS Config und AWS Config-Regeln mit dem AWS Security Hub verbunden?

Der AWS Security Hub ist ein Sicherheits- und Compliance-Service, der Sicherheits- und Compliance-Status-Management als Service anbietet. Dabei werden AWS Config und Config-Regeln als primärer Mechanismus zur Bewertung der Konfiguration von AWS-Ressourcen verwendet. AWS Config-Regeln können außerdem zur direkten Bewertung der Ressourcenkonfiguration genutzt werden. Config-Regeln werden außerdem von anderen AWS-Services wie AWS Control Tower und AWS Firewall Manager verwendet.

F: Wann verwende ich den AWS Security Hub und AWS Config Conformance Packs?

Wenn ein Compliance-Standard wie PCI DSS im AWS Security Hub bereits vorhanden ist, dann ist der vollständig verwaltete AWS Security Hub der einfachste Weg zur Operationalisierung. Sie können Ergebnisse zur Integration des Security Hub mit Amazon Detective analysieren und automatisierte oder teilautomatisierte Korrekturmaßnahmen mit der Security Hub-Integration in Amazon EventBridge entwickeln. Wenn Sie jedoch ihren eigenen Compliance- oder Sicherheitsstandard zusammenstellen möchten, der Prüfungen zu Sicherheit, Betriebsabläufen oder Kostenoptimierung enthält, empfehlen sich AWS Config Conformace Packs. Config Conformance Packs ermöglichen die einfache Verwaltung von Config-Regeln durch die Bündelung einer Gruppe an Config-Regeln und damit verbundenen Korrekturmaßnahmen in einer einzelnen Entität. Diese Bündelung erleichtert die Bereitstellung von Regeln und Korrekturmaßnahmen im gesamten Unternehmen. Außerdem wird aggregiertes Reporting ermöglicht, da Compliance-Zusammenfassungen auf Pack-Ebene gemeldet werden können. Sie können mit den Beispielen für Config Conformance Pack beginnen und diese wie gewünscht anpassen.

F: Unterstützen sowohl AWS Security Hub als auch AWS Config Conformance Packs die kontinuierliche Compliance-Überwachung?

Ja. Sowohl AWS Security Hub als auch AWS Config Conformance Packs unterstützen die kontinuierliche Compliance-Überwachung, da sie auf AWS Config und Config-Regeln aufbauen. Die zugrunde liegenden AWS Config-Regeln können entweder in regelmäßigen Abständen oder mit der Erkennung von Veränderungen bei der Ressourcenkonfiguration ausgelöst werden. Somit können Sie die Gesamtkonformität Ihrer AWS-Ressourcenkonfigurationen mit den Vorschriften und Richtlinien Ihrer Organisation kontinuierlich prüfen und bewerten.

F: Was sind die ersten Schritte mit Conformance Packs? >>

Am schnellsten können Sie ein Conformance Pack erstellen, indem Sie eine unserer Beispielvorlagen über die CLI oder die AWS Config-Konsole verwenden. Einige der Beispielvorlagen enthalten Best Practices für Amazon S3-Betrieb, Best Practices für Amazon DynamoDB-Betrieb und Best Practices für den Betrieb für PCI. Diese Vorlagen sind in YAML geschrieben. Sie können diese Vorlagen von unserer Dokumentationsseite herunterladen und mit Ihrem bevorzugten Texteditor an Ihre Umgebung anpassen. Sie können sogar benutzerdefinierte AWS-Config-Regeln hinzufügen, die Sie möglicherweise zuvor in das Paket geschrieben haben.

F: Fallen mit der Verwendung dieser Funktion in Config Kosten an?

Conformance Packs werden nach einem abgestuften Preismodell berechnet. Weitere Informationen finden Sie auf der AWS-Config-Preisseite.

F: Was ist die Multi-Account- und Multi-Region-Datenaggregation?

Mit Datenaggregation in AWS Config können Sie AWS-Config-Daten von mehreren Konten und Regionen in einem einzelnen Konto und einer einzelnen Region aggregieren. Multi-Account-Datenaggregation ist für zentrale IT-Administratoren nützlich zwecks Compliance-Überwachung mehrerer AWS-Konten im Unternehmen.

F: Kann ich die Datenaggregationsfunktion für eine zentrale Bereitstellung von Config-Regeln über mehrere Konten hinweg nutzen?

Die Datenaggregationsfunktion kann nicht für die Bereitstellung von Regeln über mehrere Konten hinweg genutzt werden. Es handelt sich um eine reine Berichterstellungsfunktion, die einen Einblick in die Compliance ermöglicht. Sie können CloudFormation StackSets für die Bereitstellung von Regeln über Konten und Regionen hinweg verwenden. Hier finden Sie nützliche Blogeinträge.

F: Wie aktiviere ich die Datenaggregation in meinem Konto?

Sobald Config und die Config-Regeln in Ihrem Konto aktiviert sind und die Konten zusammengeführt werden, können Sie die Datenaggregation aktivieren, indem Sie einen Aggregator in Ihrem Konto erstellen. Weitere Informationen.

F: Was ist ein Aggregator?

Ein Aggregator ist ein AWS Config-Ressourcentyp, der AWS Config-Daten aus mehreren Konten und Regionen erfasst. Verwenden Sie einen Aggregator, um die Ressourcenkonfiguration und die in AWS Config aufgezeichneten Compliance-Daten mehrerer Konten und Regionen anzuzeigen.

F: Welche Informationen stellt die aggregierte Ansicht bereit?

Die aggregierte Ansicht zeigt die Gesamtzahl der nicht konformen Regeln im gesamten Unternehmen, die fünf wichtigsten nicht konformen Regeln nach Anzahl der Ressourcen und die fünf wichtigsten AWS-Konten mit den meisten nicht konformen Regeln an. Sie können dann Detailinformationen zu den Ressourcen anzeigen, die gegen die Regel verstoßen, sowie die Liste der Regeln, gegen die ein Konto verstößt.

F: Ich bin kein Kunde von AWS Organizations. Kann ich trotzdem die Datenaggregationsfunktion nutzen?

Sie können die Konten festlegen, deren Config-Daten zusammengeführt werden sollen, indem Sie eine Datei hochladen oder auf die einzelnen Konten zugreifen. Beachten Sie, dass das Aggregator-Konto von jedem einzelnen dieser Konten autorisiert werden muss, da diese Konten zu keiner AWS-Organisationen gehören. Weitere Informationen.

F: Ich habe nur ein einzelnes Konto. Kann ich trotzdem die Datenaggregationsfunktion nutzen?

Die Datenaggregationsfunktion ist auch bei einer Aggregation mit mehreren Regionen hilfreich. Sie können also die Config-Daten für Ihr Konto über mehrere Regionen hinweg aggregieren, wenn Sie die Funktion nutzen.

F: In welchen Regionen ist die Funktion zur Multi-Account- und Multi-Region-Datenaggregation verfügbar?

Details der Regionen, in denen Multi-Account- und Multi-Region-Datenaggregation verfügbar ist, finden Sie auf der folgenden Seite:

https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html

F: Was ist, wenn ich ein Konto habe, das eine Region einschließt, die von der Funktion nicht unterstützt wird?

Wenn Sie einen Aggregator erstellen, legen Sie Regionen fest, von denen Sie Daten aggregieren können. Auf dieser Liste sind nur Regionen aufgeführt, in denen die Funktion verfügbar ist. Sie können auch „Alle Regionen“ auswählen. Sobald andere Regionen unterstützt werden, werden die Daten automatisch aggregiert.

F: Welche AWS-Ressource-Typen sind durch AWS Config abgedeckt?

In unserer Dokumentation sind alle unterstützten Ressourcenarten aufgeführt.

F: In welchen Regionen ist AWS Config verfügbar?

Details zu den Regionen, in denen AWS Config verfügbar ist, finden Sie auf dieser Seite:

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

F: Was ist ein Konfigurationselement?

Ein Konfigurationselement (Configuration Item, CI) ist die Konfiguration einer Ressource zu einem gegebenen Zeitpunkt. Ein CI besteht aus 5 Abschnitten:

1. Grundlegenden Informationen zur Ressource, die verschiedenen Ressourcentypen gemeinsam sind (z. B. Amazon Resource Names, Tags)
   
2. Spezifischen Konfigurationsdaten zur Ressource (z. B. EC2-Instance-Typ)
   
3. Zuordnung von Beziehungen zu anderen Ressourcen (z. B. EC2::Volume vol-3434df43 ist "attached to instance" EC2 Instance i-3432ee3a),
   
4. AWS CloudTrail-Ereignis-IDs, die in Zusammenhang mit diesem Zustand stehen (nur für AWS-Ressourcen)
   
5. Metadaten, die die Identifikation von Informationen zu CI – etwa der jeweiligen Version und des Zeitpunkts der Erfassung – erleichtern.
   

Weitere Informationen über Konfigurationselemente.

F: Was ist ein benutzerdefiniertes Konfigurationselement?

Ein benutzerdefiniertes Konfigurationselement (CI) ist das Konfigurationselement für einen Drittanbieter oder eine benutzerdefinierte Ressource. Beispiele hierfür sind lokale Datenbanken, Active Directory-Server, Versionskontrollsysteme wie GitHub und Überwachungstools von Drittanbietern wie Datadog.

F: Was sind AWS Config-Beziehungen und wie werden sie eingesetzt?

AWS Config berücksichtigt beim Aufzeichnen von Änderungen die Beziehungen zwischen Ressourcen. Wenn zum Beispiel einer Amazon EC2-Instance eine neue Amazon EC2 Sicherheitsgruppe zugeordnet wird, zeichnet AWS Config die aktualisierten Konfigurationen der primären Ressource, der Amazon EC2 Sicherheitsgruppe und der verwandten Ressourcen, wie der Amazon EC2-Instance, auf, sofern diese Ressourcen tatsächlich geändert wurden.

F: Protokolliert AWS Config jeden Status, in dem eine Ressource war?

AWS Config erkennt eine Änderung an der Konfiguration einer Ressource und protokolliert den Konfigurationsstatus, der sich aus dieser Änderung ergeben hat. In Fällen, in denen mehrere Konfigurationsänderungen an einer Ressource in schneller Aufeinanderfolge durchgeführt werden (z. B. binnen weniger Minuten), protokolliert Config nur die letzte Konfiguration dieser Ressource, die eine kumulative Auswirkungen auf die Gruppe der Änderungen hat. In solchen Situationen listet Config nur die letzte Änderung im relatedEvents-Feld des Konfigurationselements auf. Dies erlaubt es dem Benutzer und Programmen, weiterhin Infrastruktur-Konfigurationen zu wechseln, ohne darauf warten zu müssen, dass Config den temporären Zwischenstatus aufnimmt.

F: Protokolliert AWS Config Konfigurationsänderungen, die sich nicht aus API-Aktivitäten für diese Ressource ergeben?

Ja. AWS Config prüft regelmäßig die Konfiguration von Ressourcen auf Änderungen, die noch nicht protokolliert wurden, und protokolliert sie. CIs, die nach diesen Prüfungen protokolliert werden, haben kein relatedEvent-Feld in den Nutzdaten und nur der letzte Status, der sich vom bereits protokollierten Status unterscheidet, wird aufgezeichnet.

F: Reagiert AWS Config mit einer Aufzeichnung, wenn an Software in EC2-Instances Konfigurationen geändert werden?

Ja. AWS Config ermöglicht Ihnen, Konfigurationsänderungen an Software aus EC2-Instances Ihres AWS-Kontos aufzuzeichnen. Gleiches gilt für virtuelle Maschinen (VM) sowie Server in Ihrer lokalen Umgebung. AWS Config startet beispielsweise eine Aufzeichnung, wenn Ihr Betriebssystem aktualisiert wird, Netzwerkkonfigurationen angepasst werden oder Anwendungen installiert werden. Mit AWS Config Rules untersuchen Sie beispielsweise, ob Ihre Instanzen, VM und Server mit Ihren Richtlinien konform sind. Weil Sie mit AWS Config Rules Vorgänge auch in tiefen Systemebenen transparent darstellen und überwachen können, erhalten Sie ein aussagekräftiges Bild zur Compliance und können betriebstechnische Probleme beseitigen.

F: Sendet AWS Config auch weiterhin Benachrichtigungen, wenn eine bisher nicht konforme Ressource auch nach einer periodischen Regelevaluierung noch nicht konform ist?

AWS Config sendet nur Benachrichtigungen, wenn sich der Compliance-Status ändert. Wenn eine Ressource bisher nicht konform war und es auch weiterhin nicht ist, sendet Config keine neue Benachrichtigung. Wenn Sich der Compliance-Status in „konform“ ändert, erhalten Sie eine Benachrichtigung hinsichtlich der Statusänderung.

F: Kann ich Ressourcen markieren oder von der Evaluierung durch Config-Regeln ausschließen?

Bei der Konfiguration von Config-Regeln können Sie angeben, ob Ihre Regeln Evaluierungen bestimmter Ressourcentypen oder Ressourcen mit einer bestimmten Markierung ausführen.

F: Wie wird mir AWS Config in Rechnung gestellt?

Bei AWS Config werden Ihnen Gebühren basierend auf der Anzahl der aufgezeichneten Konfigurationselemente, der Anzahl der aktiven AWS Config-Regelbewertungen und der Anzahl der Comformance Pack-Bewertungen in Ihrem Konto berechnet. Ein Konfigurationselement ist eine Aufzeichnung des Konfigurationsstatus einer Ressource in Ihrem AWS-Konto. Eine AWS Config-Regelbewertung ist eine Konformitätsstatusbewertung einer Ressource durch eine AWS Config-Regel in Ihrem AWS-Konto, und eine Conformance Pack-Bewertung ist die Bewertung einer Ressource durch eine AWS Config-Regel innerhalb des Conformance Packs. Weitere Informationen und Beispiele finden Sie unter https://aws.amazon.com/config/pricing/.

F: Sind im Preis für AWS Config Rules bereits die Kosten für AWS-Lambda-Funktionen enthalten? >>

Sie können in AWS aus einer Reihe verwalteter Regeln auswählen oder Ihre eigenen Regeln als AWS Lambda-Funktionen schreiben. Verwaltete Regeln werden von AWS vollständig gewartet und es müssen für die Ausführung keine weiteren AWS Lambda-Gebühren bezahlt werden. Aktivieren Sie die verwalteten Regeln einfach, geben Sie die notwendigen Parameter ein und bezahlen Sie einen einfachen Tarif pro aktiver AWS Config-Regel im Monat. Benutzerdefinierte Regeln geben Ihnen die volle Kontrolle, da sie als AWS Lambda-Funktionen in Ihrem Konto ausgeführt werden. Zusätzlich zu monatlichen Gebühren für aktive Regeln gelten für die benutzerdefinierten AWS-Config-Regeln die Standardgebühren für das kostenlose Kontingent* und die Funktionsausführung von AWS Lambda.

*In der AWS-Region China (Peking) und der AWS-Region China (Ningxia) ist kein kostenloses Kontingent für AWS verfügbar.

F: Ich möchte die Lambda-Funktion für meine eigene AWS Config-Regel ändern. Wie sollte ich vorgehen?

Gebühren fallen an, wenn eine neue Regel erstellt wird und diese aktiv wird. Wenn Sie die mit einer Regel verbundene Lambda-Funktion aktualisieren oder ersetzen müssen, empfiehlt es sich, die Regel zu aktualisieren, anstatt sie zu löschen und eine neue Regel zu erstellen.

F: Welche AWS-Partnerlösungen sind für AWS Config verfügbar?

APN-Partnerlösungen wie Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks und RedHat CloudForms stellen für Daten aus AWS Config voll integrierte Angebote bereit. Anbieter verwalteter Services, etwa 2ndWatch Watch und CloudNexa, haben ebenfalls die Integration in AWS Config angekündigt. Außerdem bieten Partner wie CloudHealth Technologies, AlertLogic und TrendMicro mit Config Rules integrierte Angebote, die von den Kunden verwendet werden können. Diese Lösungen beinhalten Funktionen für Änderungsmanagement und Sicherheitsanalyse. Sie können damit die Konfiguration von AWS-Ressourcen visualisieren, überwachen und verwalten.

Weitere Informationen finden Sie hier.