Вопросы и ответы по Amazon Config

Быстрее всего начать работу с AWS Config можно в Консоли управления AWS. Включить AWS Config можно с помощью нескольких вариантов. Дополнительные сведения см. в документации Начало работы.

Информацию о текущей и предыдущих конфигурациях ресурсов можно получить в Консоли управления AWS, с помощью интерфейса командной строки или SDK.

Дополнительные сведения см. в документации по AWS Config.

Включение AWS Config в аккаунте выполняется отдельно для каждого региона.

Да, AWS Config можно настроить для доставки данных об изменениях конфигурации из различных аккаунтов в одну корзину Простого сервиса хранения данных Amazon (S3), если для корзины Amazon S3 настроены соответствующие политики IAM. В пределах одного региона можно также публиковать оповещения в одной теме SNS, как только к этой теме будут применены соответствующие политики IAM.

Да. Все операции API, выполняемые в AWS Config, включая использование API AWS Config для считывания данных конфигурации, регистрируются сервисом AWS CloudTrail.

AWS Config отображает время, в которое элементы конфигурации (CI) были записаны для ресурса, на шкале времени. Все значения времени фиксируются по всемирному скоординированному времени (UTC). Когда шкала времени отображается в консоли управления, для отображения всех моментов времени в представлении временной шкалы сервисы используют часовой пояс клиента (с поправкой на летнее время, если применимо).

Единица конфигурации (CI) – это конфигурация ресурса в определенный момент времени. CI состоит из пяти разделов:

Основная информация о ресурсе, которая является общей для различных типов ресурсов (например, имена ресурсов Amazon и теги).

Данные конфигурации, характерные для ресурса (например, тип инстанса EC2).

Схема связи с другими ресурсами (например, том EC2 vol‑3434df43 подключен к инстансу EC2 i‑3432ee3a).

Идентификаторы событий CloudTrail, которые связаны с этим состоянием (только для ресурсов AWS).

Метаданные, которые помогают определить информацию о конфигурационной единице, например ее версию, а также момент сохранения.

Подробнее о единицах конфигурации.

Пользовательской единицей конфигурации (Configuration Item, CI) называется CI, относящаяся к ресурсу сторонних поставщиков или к пользовательскому ресурсу. Сюда относятся, например, локальные базы данных, серверы Active Directory, GitHub и другие системы контроля версий, Datadog и другие сторонние средства мониторинга.

При записи изменений AWS Config учитывает связи между ресурсами. Например, если новая группа безопасности EC2 связана с инстансом EC2, при изменении этих ресурсов AWS Config записывает обновленные конфигурации как основного ресурса (группы безопасности EC2), так и связанного ресурса.

AWS Config обнаруживает изменение в конфигурации ресурса и записывает состояние конфигурации, полученное в результате этого изменения. Если за короткий промежуток времени произошло несколько изменений в конфигурации ресурса, AWS Config запишет только последнюю конфигурацию для этого ресурса, которая будет представлять собой совокупный результат влияния нескольких изменений. В таких ситуациях в AWS Config будет отображаться только последнее изменение в поле relatedEvents единицы конфигурации. Это позволяет пользователям и программам непрерывно изменять конфигурации инфраструктуры, не дожидаясь записи промежуточных переходных состояний.

Периодическая запись позволяет вам решить, как часто записывать изменения в вашей среде, сокращая количество часто меняющихся элементов конфигурации ресурсов. Вместо постоянного получения обновлений вы можете периодически записывать изменения конфигурации каждые 24 часа в соответствии со своими сценариями использования. 

Периодическая запись позволяет вам решить, как часто получать обновления конфигураций ресурсов. При включении AWS Config предоставляет последнюю конфигурацию ресурса только по истечении 24 часов, если она была изменена, что сокращает частоту обработки данных конфигурации и делает затраты на сбор этих данных более предсказуемыми для таких примеров использования, как операционное планирование и аудит. Если в области безопасности и соответствия требованиям вам нужно постоянный мониторинг ресурсов, следует использовать непрерывную запись.

Да, AWS Config регулярно сканирует конфигурацию ресурсов для обнаружения изменений, которые еще не были записаны, и записывает их. В единицах конфигурации (CI), записанных в результате такого сканирования, не заполнено поле relatedEvent, при этом фиксируется только последнее состояние, которое отличается от ранее записанного.

Да. AWS Config позволяет регистрировать изменения конфигураций ПО на инстансах EC2, запущенных от имени аккаунта пользователя, а также на виртуальных машинах (VM) или серверах в локальной среде. Данные конфигурации, регистрируемые AWS Config, включают обновления операционной системы, сетевые конфигурации и установленные приложения. С помощью правил AWS Config можно оценить, соответствуют ли инстансы, ВМ и серверы предъявляемым требованиям. Возможности наглядного представления и непрерывного мониторинга, предоставляемые AWS Config, позволяют оценивать соответствие требованиям и устранять текущие проблемы.

AWS Config отправляет уведомления только в случае, когда меняется статус соответствия требованиям. Если ранее ресурс не соответствовал требованиям и при проверке это состояние подтверждается, новые уведомления AWS Config отправляться не будут. Если же ресурс изменит свой статус и будет признан соответствующим требованиям, пользователь получит уведомление о таком изменении статуса.

Да, вы можете исключить ресурсы, перейдя на страницу Recorder Settings (Настройки рекордера) AWS Config в консоли, выбрав опцию Exclude Resource Types (Исключить типы ресурсов) и указав желаемые исключения. Кроме того, для доступа к этой функции можно использовать API PutConfigurationRecorder. Этот API отключит запись конфигурации для такого типа ресурсов. Также при настройке правил AWS Config можно указать, что правило должно выполнять оценку только определенных типов ресурсов или ресурсов с конкретным тегом.

Конфигурация ресурса определяется данными, содержащимися в единице конфигурации (CI) AWS Config. Первоначальное применение правил AWS Config открывает CI ресурса для применения соответствующих правил. Правила AWS Config могут использовать эту информацию наряду с любой другой соответствующей информацией (данными другого связанного ресурса и рабочим временем) для оценки соответствия конфигурации ресурса требованиям.

Правило представляет собой требуемые значения атрибутов единицы конфигурации для ресурсов и оценивается путем сравнения этих значений атрибутов с единицами конфигурации, записанными AWS Config. Существует два типа правил:

Правила, управляемые AWS: эти правила предварительно настроены и находятся под контролем AWS. Вы выбираете правило, которое необходимо активировать, после чего вводите несколько параметров конфигурации для начала работы. Подробнее »

Правила, управляемые пользователем: эти правила создаются и настраиваются пользователем. Сервис позволяет создать функцию в AWS Lambda для выполнения в соответствующем аккаунте, и она будет вызываться как часть пользовательского правила. Подробнее »

Быстрее всего начать работу с AWS Config можно в Консоли управления AWS. Включить AWS Config можно с помощью нескольких вариантов. Дополнительные сведения см. в документации Начало работы.

Обычно правила настраиваются администратором аккаунта AWS. Они могут создаваться с помощью применения управляемых AWS правил (заранее настроенных правил, предоставляемых AWS) или с помощью пользовательских правил. Обновления правил, управляемых AWS, автоматически применяются к любому аккаунту, использующему данное правило. В модели с пользовательским управлением пользователи имеют полные права на правило и выполняют его в пределах собственных аккаунтов. Такие правила обслуживаются самими пользователями.

По умолчанию для одного аккаунта AWS можно создать 150 правил. Кроме того, на странице Лимиты сервисов AWS. можно запросить увеличение лимита количества правил для аккаунта.

Любое правило может быть настроено для применения после изменения конфигурации или для периодического применения. Правило, применяемое после изменений, применяется, если AWS Config регистрирует изменение в конфигурации для любого из указанных ресурсов. В дополнение к этому необходимо указать один из следующих параметров:

Тег в формате Key (обязательно):Value (необязательно). Тег key:value подразумевает, что любые изменения конфигурации, зарегистрированные для ресурсов с указанным тегом key:value, инициируют применение данного правила.

Тип(ы) ресурсов. Любые изменения, зарегистрированные для любых ресурсов указанных типов, инициируют применение данного правила.

ID ресурса. Любые изменения, зарегистрированные для ресурса c определенным типом и ID ресурса, инициируют применение данного правила.

Периодическое правило инициируется с заданным интервалом. Доступные интервалы: 1 час, 3 часа, 6 часов, 12 часов или 24 часа. Периодическое правило создает полный снимок состояния текущих единиц конфигурации (CI) для всех ресурсов, к которым данное правило применимо.

Применение правила определяет, соответствует ли состояние ресурса в определенный момент времени заданному правилу. Это является результатом сравнения правила с конфигурацией ресурса. Правила Config фиксируют и хранят результаты каждого применения правила. Результаты включают в себя ресурс, правило, время применения и ссылку на единицу конфигурации (CI), в которой выявлено несоответствие.

Ресурс соответствует требованиям, если он соблюдает все применимые к нему правила. В противном случае он не соответствует требованиям. Аналогичным образом, правило является соответствующим, если все ресурсы, охваченные данным правилом, соответствуют его требованиям; в противном случае он не соответствует требованиям. В некоторых случаях, например, когда для правила заданы несоответствующие разрешения, оно не может быть применено к определенному ресурсу, что приводит к состоянию недостаточности данных. Такое состояние исключается из определения статуса соответствия ресурса или правила.

Панель управления правил AWS Config обеспечивает обзор ресурсов, отслеживаемых AWS Config, и сводные данные о текущем статусе соответствия по ресурсу и правилу. При просмотре соответствия по ресурсу можно определить, есть ли в данный момент несоответствие какому‑либо правилу, применимому к данному ресурсу. Можно просматривать соответствие по правилу, получая информацию о том, не является ли какой‑либо ресурс в области действия данного правила несоответствующим. С помощью таких просмотров сводных данных можно глубже исследовать ресурсы AWS Config для определения того, какие параметры конфигурации изменились с течением времени. Панель управления позволяет начать с общего обзора и погрузиться в более подробные отчеты, которые дадут полную информацию о динамике состояния соответствия и о том, какие изменения стали причиной несоответствия.

Вы можете использовать отдельные правила AWS Config для оценки конфигурации ресурсов на соответствие в одном или нескольких аккаунтах. Пакеты соответствия дают дополнительное преимущество, поскольку в них правила объединяются с действиями по исправлению в единую сущность, которую вы сможете распространять в масштабе всей организации одним вариантом. Пакеты соответствия предназначены для того, чтобы упростить управление соответствием и отчетность в больших масштабах, например при наличии нескольких аккаунтов. Пакеты соответствия разработаны для обеспечения совокупной отчетности о соответствии на уровне пакета и постоянства. Благодаря этому управляемые правила AWS Config и документы по устранению недостатков в пакете соответствия не подлежат изменению или удалению отдельными аккаунтами членов организации.

Центр безопасности AWS – это сервис безопасности и соответствия требованиям. Он обеспечивает управление безопасностью и принципами соответствия. Этот сервис использует AWS Config и правила AWS Config в качестве основного механизма оценки конфигурации ресурсов AWS. Правила AWS Config можно также использовать для непосредственной оценки конфигурации ресурсов. Правила AWS Config также используются другими сервисами AWS, например AWS Control Tower и Диспетчер брандмауэра AWS.

Если стандарт соответствия, например PCI DSS, уже присутствует в Центре безопасности, тогда полностью управляемый Центр безопасности AWS является простым способом применения этого стандарта. Можно интегрировать Центр безопасности с Amazon Detective, чтобы проанализировать полученные данные, а также интегрировать Центр безопасности с Amazon EventBridge и создать автоматические или полуавтоматические действия по исправлению. Однако если необходимо создать собственный стандарт соответствия или безопасности, который может включать эксплуатационные проверки, а также проверки безопасности и оптимизации затрат, целесообразно использовать пакеты соответствия AWS Config. Пакеты соответствия AWS Config упрощают управление правилами AWS Config за счет объединения группы правил AWS Config и связанных действий по исправлению. Благодаря этому объединению упрощается развертывание правил и действий по исправлению в пределах организации. Кроме того, здесь имеется возможность составления сводных отчетов, поскольку сводки соответствия могут быть получены на уровне пакета. Для начала можно использовать образцы пакетов соответствия AWS Config, предоставляемые в сервисе, и настроить их по своему усмотрению.

Да, пакеты соответствия Центра безопасности и AWS Config поддерживают непрерывный контроль соответствия требованиям, поскольку они основаны на использовании AWS Config и правил AWS Config. Используемые правила AWS Config могут запускаться периодически либо при обнаружении изменений в конфигурации ресурсов. Это позволяет непрерывно проводить аудит и оценку конфигураций ресурсов AWS на предмет общего соответствия установленным политикам и руководствам организации.

Самым быстрым путем для начала работы будет создание пакета соответствия на основе одного из предоставленных нами шаблонов с помощью CLI или консоли AWS Config. Например, в число шаблонов входят операционные рекомендации для Amazon S3, Amazon DynamoDB и PCI. Эти шаблоны написаны на языке YAML. Вы можете скачать эти шаблоны с сайта документации и изменить их так, как потребуется для вашей среды, используя любой существующий текстовый редактор. Вы даже сможете добавить пользовательские правила AWS Config, которые вы уже включили в собственные пакет.

Использование пакетов соответствия оплачивается по модели с гибким ценообразованием. Подробные сведения см. на странице цен на AWS Config.

Сбор данных в AWS Config позволяет объединить в одном аккаунте и одном регионе данные AWS Config из разных аккаунтов и регионов. Сбор данных по нескольким аккаунтам предоставляет центральным ИТ‑администраторам возможность отслеживать соответствие требованиям для всех аккаунтов AWS в масштабе компании.

Возможность сбора данных нельзя использовать для назначения правил для нескольких аккаунтов. Эта возможность предназначена исключительно для создания отчетов, позволяющих оценить соответствие требованиям. Назначать правила для нескольких аккаунтов и регионов можно с помощью AWS CloudFormation StackSets. Подробнее в этом блоге по ссылке.

Сбор данных можно включить после того, как для всех аккаунтов настроен сервис AWS Config и правила AWS Config. Для сбора данных необходимо создать агрегатор в центральном аккаунте. Подробнее.

Агрегатор – это тип ресурса AWS Config, который собирает данные AWS Config из разных аккаунтов и регионов. Агрегатор можно использовать для просмотра данных AWS Config о конфигурации ресурсов и соответствии требованиям для нескольких аккаунтов и регионов.

В сводном представлении приводится общее количество правил в масштабах всей организации, для которых обнаружены случаи несоответствия, пять правил, которым не соответствует наибольшее количество ресурсов, и пять аккаунтов AWS с наибольшим количеством правил, для которых обнаружены случаи несоответствия. Из сводной панели можно перейти к просмотру сведений о ресурсах, не соответствующих конкретному правилу, и к списку правил, нарушенных тем или иным аккаунтом.

Чтобы указать аккаунты, для которых необходимо собирать данные AWS Config, можно загрузить файл или ввести данные аккаунтов вручную. Так как эти аккаунты не входят в организацию AWS, необходимо явным образом авторизовать аккаунт агрегатора в каждом аккаунте. Подробнее.

Возможность сбора данных полезна также для сбора данных по нескольким регионам. Поэтому ее можно использовать в одном аккаунте для сбора данных AWS Config по разным регионам.

Подробнее о регионах, в которых доступно агрегирование данных из нескольких аккаунтов и регионов, см. раздел Агрегирование данных по нескольким аккаунтам и регионам в Руководстве для разработчиков по AWS Config.

При создании агрегатора необходимо указать регионы, из которых можно собирать данные. В этом списке отображаются только те регионы, в которых доступна эта функция. Кроме того, можно выбрать вариант «все регионы». В этом случае при добавлении поддержки других регионов сбор данных в них начнется автоматически.

Полный перечень поддерживаемых типов ресурсов см. в нашей документации.

Дополнительные сведения о регионах AWS, в которых доступен сервис AWS Config, см. в таблице сведений орегионах AWS.

При использовании AWS Config стоимость рассчитывается в зависимости от количества записанных единиц конфигурации и активных применений правил AWS Config в аккаунте. Единица конфигурации – это запись конфигурации ресурса в аккаунте AWS. AWS Config может обновлять элементы конфигурации в двух режимах: непрерывном и периодическом. В непрерывном режиме изменения конфигурации записываются и передаются при каждом изменении. Периодическая запись позволяет получать данные конфигурации каждые 24 часа, только если в ней происходили изменения. Применение правила AWS Config – это оценка ресурса с помощью правила AWS Config в аккаунте AWS на соответствие требованиям. Применением пакета соответствия считается любая оценка ресурса по одному правилу AWS Config, входящему в пакет соответствия. Дополнительные сведения и примеры вы найдете на странице https://aws.amazon.com/config/pricing/.

Правила можно выбирать из набора правил, предоставляемых AWS, или создать свои собственные правила в виде функций Lambda. Управляемые правила полностью обслуживаются AWS и не требуют дополнительных затрат на Lambda для их работы. Вы можете активировать управляемые правила, ввести любые необходимые параметры и платить по единому тарифу за каждое активное правило AWS Config за расчетный месяц. Пользовательские правила обеспечивают клиентам полный контроль, поскольку применяются в соответствующем аккаунте как функции Lambda. В дополнение к ежемесячной плате за каждое активное правило, к пользовательским правилам AWS Config применяются стандартные тарифы бесплатного уровня Lambda* и тарифы на функции приложений.

* Уровень бесплатного пользования AWS недоступен в регионах AWS Китай (Пекин) и Китай (Нинся).

Плата взимается каждый раз, когда правило создается и становится активным. Если необходимо обновить или заменить функцию Lambda, связанную с правилом, рекомендуем обновить это правило, а не удалять его и создавать новое.

Партнеры APN, такие как Splunk, ServiceNow, Evident.io, CloudCheckr, Redseal и Red Hat CloudForms, предлагают решения, которые полностью интегрированы с данными AWS Config. Поставщики управляемых услуг, такие как 2nd Watch и Cloudnexa, также объявили об интеграции с AWS Config. Кроме того, использовать интегрированные решения для работы с правилами AWS Config предлагают такие партнеры, как CloudHealth Technologies, AlertLogic и TrendMicro. Эти решения включают в себя такие возможности, как управление изменениями и анализ безопасности. Они также позволяют визуализировать и контролировать конфигурации ресурсов AWS и осуществлять управление ими.