Domande frequenti su AWS Config

D: Cos'è AWS Config?

AWS Config è un servizio completamente gestito che offre un inventario di risorse AWS, uno storico delle configurazioni e notifiche di modifica delle configurazioni per ottimizzare la sicurezza e la governance. AWS Config consente di individuare le risorse AWS esistenti, esportarne l'elenco completo accompagnato da tutti i dettagli di configurazione e determinare il modo in cui una risorsa è stata configurata in un determinato momento. Queste funzionalità permettono l'esecuzione di controlli di conformità, analisi di sicurezza, monitoraggio delle modifiche alle risorse e risoluzione dei problemi.

D: Cos'è una regola di configurazione?

Una regola di configurazione rappresenta le configurazioni desiderate per una risorsa e viene valutata mettendola a confronto con le modifiche apportate alla configurazione delle risorse pertinenti, in base a quanto registrato da AWS Config. I risultati della valutazione della regola rispetto alla configurazione di una risorsa sono quindi disponibili nel pannello di controllo. Utilizzando Config Rules, è possibile prendere in esame conformità e livello di rischio dal punto di vista della configurazione, consultare tendenze di conformità nel corso del tempo e individuare quale modifica alla configurazione ha causato la mancata conformità di una risorsa a una determinata regola.

D: Cos'è un pacchetto di conformità?

Un pacchetto di conformità è una raccolta di regole di configurazione e di azioni correttive che viene creato in AWS Config utilizzando un framework e un modello di pacchetti comuni. La creazione di pacchetti di artefatti Config consente di semplificare gli aspetti inerenti la distribuzione e la creazione di report delle policy di governance e sulla conformità di configurazione in più account e regioni e di ridurre il tempo in cui una risorsa si trova in uno stato di non conformità.

D: Quali sono i vantaggi di AWS Config?

Con AWS Config è possibile monitorare la configurazione delle risorse con la massima semplicità senza investimenti iniziali e senza la complessità legata a installazione e aggiornamento di agenti per la raccolta dei dati o alla gestione di database di grandi dimensioni. Dopo avere abilitato AWS Config, puoi visualizzare continuamente informazioni dettagliate aggiornate su tutti gli attributi di configurazione associati alle risorse AWS. Per ogni modifica alla configurazione riceverai una notifica tramite Amazon Simple Notification Service (SNS).

D: In che modo AWS Config facilita gli audit?

AWS Config offre accesso allo storico delle configurazioni delle risorse. È possibile mettere in relazione le modifiche alla configurazione con eventi di AWS CloudTrail che possono aver contribuito alla modifica. Queste informazioni forniscono una visibilità completa, dai dettagli riguardanti, ad esempio, chi ha apportato la modifica e da quale indirizzo IP, agli effetti di tale modifica sulle risorse AWS e le risorse associate. Puoi utilizzare queste informazioni per generare report utili per il controllo e la valutazione della conformità in un periodo di tempo.

D: A chi sono destinati AWS Config e Config Rules?

A tutti i clienti AWS che desiderano migliorare la sicurezza e la governance aziendale su AWS analizzando in modo continuo la configurazione delle risorse. Agli amministratori di grandi organizzazioni che consigliano best practice per la configurazione delle risorse, i quali possono codificare regole in Config Rules e implementare così una forma di governance automatica tra gli utenti. Agli esperti di sicurezza informatica che monitorano le attività e le configurazioni per individuarne le vulnerabilità. Ai clienti con carichi di lavoro che devono sottostare a standard specifici (ad esempio PCI DSS o HIPAA), perché possano sfruttarne le funzionalità per verificare la conformità della configurazione della loro infrastruttura AWS e generare report per audit. Agli operatori che devono gestire infrastrutture AWS di grandi dimensioni o componenti che variano di frequente, per eseguirne la risoluzione dei problemi. L'attivazione di AWS Config è consigliata ai clienti che devono monitorare le modifiche alle risorse, rispondere a semplici domande sulle attività degli utenti, dimostrare la conformità, risolvere problemi o effettuare analisi di sicurezza si.

D: A chi sono destinati i pacchetti di conformità di AWS Config?

I pacchetti di conformità rispondono alle esigenze di coloro che intendono utilizzare un framework, che comprenda regole e azioni correttive create dai partner di AWS APN o dagli utenti stessi, per creare e distribuire pacchetti di conformità per la configurazione di risorse AWS presenti in diversi account. Tale framework permette di creare pacchetti personalizzati per le funzioni di sicurezza, DevOps e altri profili, così che i clienti possano essere rapidamente operativi iniziando a utilizzare uno dei modelli di pacchetti di conformità di esempio.

D: Il servizio garantisce la conformità delle configurazioni?

Le regole e i pacchetti di conformità di Config forniscono informazioni sulla conformità delle risorse alle regole di configurazione specificate. Le configurazioni delle risorse vengono confrontate con le regole di configurazione su base periodica o se viene rilevata una modifica della configurazione oppure in entrambi i casi, a seconda di come è stata configurata la regola. Non viene garantita la conformità delle risorse, né viene impedito agli utenti di eseguire azioni che vanno contro la conformità. Il servizio consente tuttavia di ripristinare la conformità di una risorsa non conforme mediante la definizione di opportune azioni correttive per ogni regola di configurazione.

D: Il servizio è in grado di impedire agli utenti di eseguire azioni che vanno contro le regole di conformità?

Config Rules non agisce direttamente sul comportamento degli utenti finali in AWS. Le regole di Config valutano le configurazioni delle risorse solo dopo che una modifica alla configurazione è stata completata e registrata da AWS Config. Config rules non impedisce all'utente di apportare modifiche che potrebbero non essere conformi. Per avere il controllo sul provisioning in AWS e sui parametri di configurazione consentiti durante il provisioning da parte degli utenti, consigliamo di utilizzare rispettivamente le policy di AWS Identity and Access Management (IAM) e AWS Service Catalog.

D: È possibile valutare le regole prima del provisioning di una risorsa?

Config rules valuta le regole dopo che l'Elemento di Configurazione (CI) per la risorsa è stato acquisito da AWS Config. Non valuta quindi le regole prima del provisioning o prima che vengano apportate modifiche alla configurazione della risorsa.

D: In che modo è possibile utilizzare AWS Config con AWS CloudTrail?

AWS CloudTrail registra l'attività delle API utente nell'account e consente di accedere alle informazioni su tale attività. Puoi ottenere informazioni complete sulle azioni delle API, ad esempio l'identità del chiamante, l'ora della chiamata, i parametri della richiesta e gli elementi di risposta rinviati dal servizio AWS. AWS Config registra i dettagli di configurazione per le risorse AWS in momenti specifici come elementi di configurazione. Puoi utilizzare un elemento di configurazione per sapere come era una risorsa AWS in un momento specifico. Puoi utilizzare AWS CloudTrail per sapere chi ha effettuato una chiamata a un'API per modificare la risorsa. Puoi ad esempio utilizzare la Console di gestione AWS per AWS Config per rilevare che il gruppo di sicurezza "Production-DB" non era configurato correttamente in passato. Utilizzando le informazioni integrate di AWS CloudTrail, puoi individuare l'utente che ha configurato in modo errato il gruppo di sicurezza "Production-DB".

D: È possibile monitorare le informazioni relative alla conformità da diversi account e regioni tramite un account centrale?

AWS Config facilita il monitoraggio dello stato di conformità tra più account e regioni utilizzando la funzionalità di aggregazione di dati da più account e regioni. Puoi creare un aggregatore di configurazione in qualsiasi account e aggregare i dettagli di conformità da altri account. Questa funzionalità è inoltre integrata con AWS Organizations, per consentire l'aggregazione di dati da tutti gli account all'interno di una organizzazione.

D: È possibile collegare le istanze Jira Service Desk al mio ServiceNow?

Sì. AWS Service Management Connector per ServiceNow e Jira Service Desk (in precedenza chiamato AWS Service Catalog Connector) consente agli utenti finali di ServiceNow e Jira Service Desk di effettuare il provisioning, gestire e utilizzare le risorse AWS in modo nativo tramite ServiceNow e Jira Service Desk. Gli utenti ServiceNow possono facilmente tenere traccia delle risorse in una vista degli elementi di configurazione disponibile in AWS Config su ServiceNow grazie ad AWS Service Management Connector. Gli utenti Jira Service Desk possono tenere traccia delle risorse all'interno della richiesta di problema con AWS Service Management Connector. Questo semplifica le operazioni di richiesta dei prodotti AWS per gli utenti ServiceNow e Jira Service Desk e fornisce agli amministratori dei due servizi governance e visibilità sui prodotti AWS.

AWS Service Management Connector per ServiceNow è disponibile senza costa aggiuntivi sullo store di ServiceNow. Questa nuova funzionalità è generalmente disponibile in tutte le regioni AWS in cui è presente AWS Service Catalog. Per ulteriori informazioni consulta la documentazione.

AWS Service Management Connector per Jira Service Desk è disponibile senza costi aggiuntivi su Atlassian Marketplace. Questa nuova funzione è generalmente disponibile in tutte le regioni AWS con AWS Service Catalog. Per ulteriori informazioni, è possibile consultare la documentazione.

D: Come si inizia a usare questo servizio?

Il modo più rapido per iniziare a usare AWS Config consiste nell'utilizzare la Console di gestione AWS. Puoi attivare AWS Config in pochi clic. Per ulteriori dettagli, vedi la documentazione sulle nozioni di base.

D: In che modo è possibile accedere alla configurazione delle risorse?

È possibile visualizzare la configurazione corrente e lo storico delle configurazioni utilizzando la Console di gestione AWS, l'interfaccia a riga di comando di AWS o i kit SDK.

Per ulteriori dettagli, consulta la documentazione di AWS Config.

D: AWS Config viene attivato a livello regionale o globale?

AWS Config può essere attivato anche solo per singole regioni di un account.

D: AWS Config può aggregare dati provenienti da diversi account AWS?

Sì, è possibile configurare AWS Config in modo che fornisca aggiornamenti sulla configurazione da diversi account a un bucket S3 dopo aver applicato le policy IAM appropriate al bucket S3. Puoi anche pubblicare notifiche in un argomento di SNS nella stessa regione, una volta che le policy IAM appropriate sono state applicate all'argomento di SNS.

D: L'attività delle API in AWS Config viene registrata da AWS CloudTrail?

Sì. Tutta l'attività delle API AWS Config, incluso l'utilizzo delle API AWS Config per la lettura dei dati di configurazione, viene registrata da AWS CloudTrail.

D: Quale ora e fuso orario vengono visualizzati nella visualizzazione sequenza temporale di una risorsa? Sono influenzati dall'ora legale?

AWS Config visualizza l'ora di registrazione degli elementi di configurazione per una risorsa lungo una sequenza temporale. Tutti gli orari vengono espressi in base al fuso UTC (Coordinated Universal Time, tempo coordinato universale). Quando la sequenza temporale viene visualizzata nella console di gestione, il servizio utilizza il fuso orario corrente (modificato in base all'ora legale, se pertinente) per visualizzare tutti gli orari nella vista della sequenza temporale.

D: Cos'è la configurazione di una risorsa?

La configurazione di una risorsa è definita dai dati inclusi nell'elemento di configurazione di AWS Config. Il rilascio iniziale di Config Rules rende l'elemento di configurazione di una risorsa disponibile per il confronto con le regole pertinenti. Config Rules può utilizzare questi dati e qualsiasi altra informazione rilevante, ad esempio altre risorse collegate, orari lavorativi e così via, per valutare la conformità della configurazione di una risorsa.

D: Che cos'è una regola?

Una regola rappresenta i valori degli attributi di un elemento di configurazione desiderati per le risorse e viene valutata confrontando tali valori degli attributi con gli elementi di configurazione registrati da AWS Config. Sono previsti due tipi di regola:

Regole gestite da AWS: le regole gestite da AWS sono predefinite e gestite da AWS. Per abilitarle, è sufficiente selezionare una regola che si desidera abilitare, quindi fornire alcuni parametri di configurazione. Ulteriori informazioni »

Regole gestite dal cliente: le regole gestite dal cliente sono regole personalizzate, create e definite interamente dall'utente. Puoi creare funzioni in AWS Lambda che possono essere richiamate come parte di una regola personalizzata. Queste funzioni vengono eseguite nel tuo account. Ulteriori informazioni »

Il modo più rapido per iniziare a usare AWS Config consiste nell'utilizzare la Console di gestione AWS. Puoi attivare AWS Config in pochi clic. Per ulteriori dettagli, vedi la documentazione sulle nozioni di base.

D: In che modo vengono create le regole?

Generalmente, le regole vengono importate dall'amministratore dell'account AWS. Possono essere create a partire da regole gestite da AWS, un set di regole predefinito fornito da AWS, oppure da regole gestite dal cliente. Con le regole gestite da AWS, gli aggiornamenti di una regola vengono applicati automaticamente a tutti gli account che la utilizzano. Con le regole gestite dal cliente, il cliente ha una copia completa della regola e la esegue nell'account. La manutenzione di queste regole è inoltre responsabilità del cliente.

D: Quante regole è possibile creare?

Di default è possibile creare fino a 150 regole in un account AWS. Inoltre è possibile richiedere di aumentare questo limite per il proprio account visitando la pagina AWS Service Limits.

D: Come vengono valutate le regole?

Le regole possono essere attivate da una modifica oppure su base periodica. Una regola attivata da una modifica viene valutata quando AWS Config rileva una modifica alla configurazione di una qualsiasi delle risorse specificate. È inoltre necessario specificare uno dei seguenti valori:

Tag chiave:(valore opzionale): la valutazione della regola viene attivata da qualsiasi modifica alla configurazione registrata per le risorse con il tag chiave:valore specificato.

Tipo o tipi di risorsa: la valutazione della regola viene attivata da qualsiasi modifica alla configurazione registrata per le risorse che appartengono al tipo o ai tipi di risorsa specificati.

ID risorsa: la valutazione della regola viene attivata da qualsiasi modifica registrata alle risorse specificate dal tipo e dall'ID di risorsa.

Una regola periodica viene attivata in base a una frequenza specificata. Le frequenze disponibili sono: 1 ora, 3 ore, 6 ore, 12 ore o 24 ore. Una regola periodica potrà avere uno snapshot completo degli elementi di configurazione correnti per tutte le risorse disponibili per tale regola.

D: Cos'è una valutazione?

La valutazione di una regola determina lo stato di conformità tra la regola e una risorsa in un determinato momento. È il risultato della valutazione di una regola in base alla configurazione di una risorsa. Config Rules acquisisce e archivia il risultato della valutazione. Questo risultato include la risorsa, la regola, l'ora della valutazione e un collegamento all'elemento di configurazione che ha causato la violazione della conformità.

D: Cosa si intende per conformità?

Una risorsa è conforme se rispetta tutte le regole applicabili. In caso contrario, viene considerata non conforme. Analogamente, una regola è conforme se viene rispettata da tutte le risorse valutate da tale regola. In caso contrario, viene considerata non conforme. In alcuni casi, ad esempio quando a una regola non vengono assegnati i permessi appropriati, potrebbe non essere possibile completare una valutazione per una risorsa e viene generato uno stato di dati insufficienti. Tale stato viene escluso quando viene determinata la conformità di una risorsa o di una regola.

D: Quali informazioni contiene il pannello di controllo di Config Rules?

Il pannello di controllo di Config Rules offre una panoramica delle risorse monitorate da AWS Config e un riepilogo della conformità corrente, ordinato per risorsa e per regola. Quando consulti lo stato di conformità in base alle risorse, puoi determinare se una regola applicata a una determinata risorsa non è conforme. Consultando lo stato di conformità in base alle regole, puoi invece analizzare quali risorse a cui si applica la regola sono al momento non conformi. A partire da queste visualizzazioni di riepilogo, è possibile accedere alla vista della sequenza temporale delle risorse, per determinare quali parametri di configurazione sono stati modificati. La panoramica generale delle risorse offerta dal pannello di controllo può essere approfondita fino a ottenerne una visione granulare, che consente di ottenere informazioni complete sulle modifiche allo stato di conformità e su quali modifiche hanno provocato una violazione.

D: Quando è opportuno utilizzare le regole di AWS Config invece dei pacchetti di conformità?

È possibile utilizzare singole regole di AWS Config per valutare la conformità della configurazione delle risorse in uno o più account. I pacchetti di conformità offrono l'ulteriore vantaggio di includere nello stesso pacchetto regole e azioni correttive che possono così essere distribuite all'intera organizzazione con un singolo clic. I pacchetti di conformità intendono semplificare la gestione della conformità e la generazione di report su larga scala quando si gestiscono numerosi account. I pacchetti di conformità offrono la generazione di report di conformità aggregati a livello di pacchetto nonché l'immutabilità per garantire che le regole gestite di AWS Config e i documenti di correzioni presenti nel pacchetto di conformità non vengano modificati o eliminati dagli account dei singoli membri di un'organizzazione.

D: Come sono collegati AWS Config e le regole di AWS Config ad AWS Security Hub?

AWS Security Hub è un servizio di sicurezza e conformità che offre la gestione dell'assetto di sicurezza e conformità sotto forma di servizio. Impiega AWS Config e le regole di configurazione come meccanismo principale per valutare la configurazione delle risorse AWS. Le regole di AWS Config possono essere utilizzate anche per valutare direttamente la configurazione delle risorse. Le regole di configurazione sono utilizzate anche da altri servizi AWS, come AWS Control Tower e AWS Firewall Manager.

D: Quando vanno utilizzati i pacchetti di conformità AWS Security Hub e AWS Config?

Se in AWS Security Hub è già presente uno standard di conformità, come PCI DSS, il servizio AWS Security Hub completamente gestito è il modo più facile per azionarlo. Puoi analizzare i risultati attraverso l'integrazione di Security Hub con Amazon Detective e creare azioni correttive automatizzate o semi-automatizzate utilizzando l'integrazione di Security Hub con Amazon EventBridge. Tuttavia, se desideri assemblare uno standard di conformità o sicurezza su misura, che potrebbe includere controlli di sicurezza, operativi o di ottimizzazione dei costi, i pacchetti di conformità di AWS Config sono la soluzione giusta. I pacchetti di conformità di Config semplificano la gestione delle regole di configurazione riunendo in una sola entità un gruppo di regole di configurazione e le azioni correttive associate. La creazione di un pacchetto semplifica la distribuzione delle regole e delle azioni correttive all'interno dell'organizzazione. Inoltre, consente di creare report aggregati, dato che i riepiloghi di conformità possono essere riferiti a livello di pacchetto. Puoi iniziare con i nostri i pacchetti di conformità di esempio per Config e personalizzarli secondo le tue necessità.

D: I pacchetti di conformità AWS Security Hub e AWS Config supportano entrambi il monitoraggio della conformità?

Sì, i pacchetti di conformità AWS Security Hub e AWS Config supportano entrambi il monitoraggio continuo della conformità perché fanno affidamento su AWS Config e sulle regole di configurazione. Le regole di AWS Config sottostanti possono essere attivate a intervalli periodici oppure quando vengono rilevate modifiche nella configurazione o nelle risorse. In questo modo, è possibile analizzare e valutare continuamente lo stato di conformità generale delle configurazioni delle risorse AWS rispetto a policy e linee guida aziendali.

D: Come si iniziano a utilizzare i pacchetti di conformità?

Il modo più rapido per iniziare a utilizzare questo servizio è creare un pacchetto di conformità utilizzando uno dei modelli di esempio disponibili tramite l'interfaccia a riga di comando o la console AWS Config. Alcuni dei modelli di esempio includono le best practice operative di Amazon S3, le best practice operative di Amazon DynamoDB e le best practice operative per PCI. Questi modelli sono scritti nel linguaggio YAML. È possibile scaricare i modelli dal nostro sito della documentazione e modificarli in base all'ambiente di lavoro utilizzando l'editor di testo preferito. Si possono inoltre aggiungere al pacchetto eventuali regole AWS Config scritte in precedenza.

D: È previsto un costo per l'utilizzo di questa funzionalità di Config?

Ai pacchetti di conformità è associato un piano tariffario a scaglioni. Per ulteriori informazioni, visita la pagina Prezzi di AWS Config.

D: Cosa si intende per aggregazione di dati da più account e regioni?

L'aggregazione di dati in AWS Config consente di aggregare i dati di AWS Config provenienti da più account e regioni in un unico account e in un'unica regione. L'aggregazione di dati da più account è utile per gli amministratori del reparto IT per monitorare la conformità di più account AWS di un'azienda.

D: È possibile utilizzare la funzione di aggregazione dei dati per assegnare in modo centralizzato regole di Config su più account?

La funzione di aggregazione di dati non può essere utilizzata per effettuare il provisioning delle regole di più account. Si tratta esclusivamente una funzionalità di reportistica utile a fornire visibilità sulla conformità. È possibile utilizzare StackSet di CloudFormation per effettuare il provisioning di regole su più account e regioni. A questo scopo, puoi consultare questo utile blog.

D: In che modo è possibile abilitare l'aggregazione dei dati in un account?

Una volta abilitati Config e Config Rules nell'account, nonché gli account da aggregare, è possibile abilitare l'aggregazione di dati creando un aggregatore sull'account centrale. Ulteriori informazioni.

D: Cos'è un aggregatore?

Un aggregatore è un tipo di risorsa di AWS Config che raccoglie i dati di AWS Config da più account e regioni. L'aggregatore consente di visualizzare i dati di configurazione e conformità delle risorse registrati in AWS Config per più account e regioni.

Quali informazioni fornisce la schermata Aggregated view?

La schermata Aggregated view mostra il conteggio totale delle regole non conformi a livello di organizzazione, le prime cinque regole non conformi per numero di risorse e i primi cinque account AWS con il maggior numero di regole non conformi. Quindi è possibile scendere nel dettaglio selezionando le statistiche delle risorse che violano una determinata regola e l'elenco di regole in violazione per un account.

D: Non sono un cliente di AWS Organizations. Posso utilizzare ugualmente la funzionalità di aggregazione dei dati?

È possibile specificare gli account da aggregare nel modulo dati di Config caricando un file o inserendo singolarmente gli account. Occorre tenere presente che, poiché questi account non fanno parte di alcuna Organizzazione AWS, è necessario che ciascun account autorizzi esplicitamente l'account aggregatore. Ulteriori informazioni.

D: Ho un solo account, posso utilizzare ugualmente la funzionalità di aggregazione dei dati?

La funzionalità di aggregazione dei dati è inoltre utile per l'aggregazione tra più regioni. In questo modo è possibile aggregare i dati di Config per il tuo account tra più regioni.

D: In quali regioni è disponibile l'aggregazione dei dati tra più account e regioni?

Per i dettagli sulle regioni in cui è disponibile l'aggregazione dei dati tra più account e regioni, visita la seguente pagina:

https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html

D: Cosa accade se un account include una regione non supportata da questa funzionalità?

Quando crei un aggregatore, specifica le regioni dalle quali puoi aggregare i dati. Questo elenco include solamente le regioni in cui è disponibile la funzionalità. Puoi inoltre selezionare "all regions", in modo tale che, non appena vengono supportate nuove regioni, i dati provenienti da queste verranno aggregati automaticamente.

D: Quali tipi di risorsa AWS sono compatibili con AWS Config?

Per un elenco completo dei tipi di risorse supportate, consulta la documentazione.

D: In quali regioni è disponibile AWS Config?

Per informazioni dettagliate sulle regioni in cui è disponibile AWS Config, visita la pagina seguente:

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

D: Cos'è un elemento di configurazione?

Un elemento di configurazione corrisponde alla configurazione di una risorsa in un momento specifico. Un elemento di configurazione è costituito da cinque sezioni:

1. Informazioni di base sulla risorsa, comuni per tipi di risorsa diversi, ad esempio nomi ARN (Amazon Resource Name) e tag,
   
2. dati di configurazione specifici della risorsa (ad esempio tipo di istanza EC2),
   
3. mappa delle relazioni con altre risorse (ad esempio la risorsa EC2::Volume vol-3434df43 è "collegata all'istanza" EC2 i-3432ee3a),
   
4. ID degli eventi AWS CloudTrail correlati a questo stato (solo per risorse AWS)
   
5. Metadata che aiutano a identificare le informazioni sull'elemento di configurazione, ad esempio la versione dell'elemento di configurazione e quando l'elemento è stato acquisito.
   

Ulteriori informazioni sugli elementi di configurazione.

D: Cos'è un elemento di configurazione personalizzato?

Un elemento di configurazione personalizzato (CI) è l'elemento della configurazione per una risorsa di terze parti o personalizzata. Gli esempi includono database on-premises, server Active Directory, sistemi per il controllo di versione come GitHub e strumenti di monitoraggio di terza parte come Datadog.

D: Cosa sono le relazioni di AWS Config e come vengono utilizzate?

AWS Config prende in considerazione le relazioni fra le risorse mentre registra le modifiche. Se, ad esempio, un nuovo gruppo di sicurezza Amazon EC2 è associato a un'istanza Amazon EC2, AWS Config registra le configurazioni aggiornate sia della risorsa principale, ovvero il gruppo di sicurezza Amazon EC2, sia delle risorse correlate, ad esempio l'istanza Amazon EC2, se tali risorse vengono effettivamente modificate.

D: AWS Config registra ogni singolo stato di ciascuna risorsa?

AWS Config rileva una modifica alla configurazione di una risorsa e registra lo stato di configurazione risultante da tale modifica. Nei casi in cui vengono apportate diverse modifiche alla configurazione di una risorsa in rapida successione (ad esempio nell'arco di pochi minuti), Config registra solo la configurazione più recente della risorsa che rappresenta l'impatto cumulativo del set di modifiche. In queste situazioni, Config elencherà solo l'ultima modifica nel camporelatedEvents dell'elemento di configurazione. Ciò permette a utenti e programmi di continuare a modificare le configurazioni dell'infrastruttura senza dover attendere che Config registri gli stati transitori intermedi.

D: AWS Config registra anche le modifiche alla configurazione non risultanti da attività delle API in una risorsa?

Sì, AWS Config eseguirà regolarmente la scansione della configurazione delle risorse alla ricerca di modifiche non ancora registrate e registrerà tali modifiche. Gli elementi di configurazione registrati da queste analisi non disporranno di un campo relatedEvent nel payload e verrà acquisito solo lo stato più recente diverso dallo stato già registrato.

D: AWS Config registra anche le modifiche alla configurazione di software all'interno di istanze EC2?

Sì. AWS Config consente di registrare le modifiche alla configurazione del software all’interno delle istanze EC2 nell’account AWS e anche nelle macchine virtuali (VM) o server nell’ambiente locale. Le informazioni sulla configurazione registrate da AWS Config includono aggiornamenti al sistema operativo, configurazione della rete, applicazioni installate e così via. È possibile valutare se le istanze, le VM e i server sono conformi alle linee guida utilizzando le regole di AWS Config. La visibilità approfondita e il monitoraggio continuo offerti da AWS Config consentono di valutare la conformità e risolvere i problemi operativi.

D: AWS Config continua a inviare notifiche anche quando una risorsa già registrata come non conforme non corregge il proprio stato dopo una valutazione periodica delle regole?

AWS Config invia notifiche solo quando lo stato di conformità cambia. Se una risorsa precedentemente non conforme lo è ancora, Config non invia una nuova notifica. Se lo stato di conformità cambia in "conforme", si riceve una notifica del cambiamento di stato.

D: È possibile contrassegnare risorse per attivarne o disattivarne la valutazione da parte di Config Rules?

Quando vengono configurate delle regole, occorre specificare se devono essere eseguite valutazioni su un tipo specifico di risorse o su risorse con un tag specifico.

D: Quali sono i costi addebitati per l'utilizzo del servizio AWS Config?

In AWS Config i costi vengono calcolati in base agli elementi di configurazione registrati, al numero di valutazioni di regola di AWS Config attive e al numero di valutazioni di pacchetti di conformità per il proprio account. Un elemento di configurazione è un record dello stato di configurazione di una risorsa nell'account AWS. La valutazione di una regola di AWS Config è la valutazione dello stato di conformità di una risorsa tramite una regola di AWS Config nell'account AWS, mentre la valutazione di un pacchetto di conformità è la valutazione di una risorsa tramite una regola di AWS Config contenuta nel pacchetto di conformità. Per ulteriori informazioni ed esempi, visita la pagina https://aws.amazon.com/config/pricing/

D: I prezzi delle regole di AWS Config includono i costi delle funzioni AWS Lambda?

È possibile scegliere tra un set di regole gestite fornite da AWS oppure creare le proprie regole utilizzando funzioni AWS Lambda. Le regole gestite sono completamente mantenute da AWS e per tali regole non sarà addebitato alcun costo aggiuntivo di AWS Lambda. È sufficiente abilitare le regole gestite fornendo eventuali parametri obbligatori. È prevista una tariffa unica per ciascuna regola di AWS Config. Le regole personalizzate consentono di avere un controllo totale perché vengono eseguite come funzioni AWS Lambda sul proprio account. In aggiunta alla tariffa mensile per regola attiva, si applicano il piano gratuito standard* e le tariffe di esecuzione delle funzioni di AWS Lambda alle regole personalizzate di AWS Config.

* Il piano gratuito di AWS non è disponibile nelle regioni AWS Cina (Pechino) e Cina (Ningxia).

D: Qual è la procedura consigliata se si desidera modificare la funzione Lambda per una regola AWS Config personalizzata?

La creazione e la conseguente attivazione di una nuova regola comporta dei costi. Se si desidera aggiornare o sostituire la funzione Lambda associata a una regola, la procedura consigliata prevede che si aggiorni la regola esistente piuttosto che crearne una nuova.

D: Quali soluzioni di partner AWS sono disponibili per AWS Config?

Le soluzioni di partner AWS, come Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks e RedHat CloudForms, offrono soluzioni completamente integrate con i dati di AWS Config. Anche i provider di servizi gestiti, come 2ndWatch Watch e CloudNexa, hanno annunciato integrazioni con AWS Config. Con Config Rules, inoltre, partner come CloudHealth Technologies, AlertLogic e TrendMicro forniscono soluzioni integrate che possono essere utilizzate dai clienti. Queste soluzioni includono funzionalità come la gestione delle modifiche e l'analisi della sicurezza e consentono di visualizzare, monitorare e gestire le configurazioni delle risorse AWS.

Per ulteriori informazioni, fai clic qui.