Вопросы и ответы по AWS Config

Вопрос: Что такое AWS Config?

AWS Config – это полностью управляемый сервис, который ведет учет ресурсов в AWS, предоставляет оповещения об изменениях конфигурации и ведет журнал таких изменений для обеспечения безопасности и организации управления. С AWS Config можно обнаруживать существующие ресурсы в AWS, экспортировать полный реестр используемых ресурсов AWS со всеми параметрами конфигурации и определить, как ресурс был настроен в любой момент времени. Благодаря этому становится возможным анализ безопасности, прослеживание изменения конфигурации ресурсов, аудит соответствия и диагностика неполадок.

Вопрос: Что такое правило Config Rules?

Правило Config Rules представляет собой требование определенной конфигурации для ресурса. При изменении конфигурации на соответствующих ресурсах выполняется ее сравнение с правилами, сохраненными в AWS Config. Результаты применения правил конфигурации ресурса выводятся на панели управления. С помощью правил Config Rules можно оценить общее соответствие требованиям и возможные риски в отношении конфигурации, проследить тенденции соответствия с течением времени и точно определить, какое изменение конфигурации привело к расхождению ресурса с соответствующим правилом.

Вопрос: Что такое пакет соответствия?

Пакетом соответствия называет набор правил Config и действий по исправлению, которые собраны в единую модель упаковки на общей платформе AWS Config. Собрав перечисленные выше артефакты Config в пакет, вы значительно упростите развертывание и отчетность по политикам нормативного регулирования и соответствия требованиям, применяемые к нескольким аккаунтам и регионам, а также сократите время пребывания ресурсов в состояниях, не обеспечивающих соответствие.

Вопрос: Каковы преимущества использования сервиса AWS Config?

AWS Config позволяет отслеживать конфигурацию ресурсов просто и без предварительных капиталовложений, а также избегать сложностей при установке и обновлении агентов для сбора данных или обслуживании больших баз данных. После включения AWS Config можно просматривать непрерывно обновляемые сведения обо всех значениях конфигурации, связанных с ресурсами AWS. С помощью службы Amazon Simple Notification Service (SNS) клиентам отправляются оповещения о каждом изменении конфигурации.

Вопрос: Как AWS Config может помочь с проведением аудита?

AWS Config предоставляет доступ к истории изменения конфигурации ресурсов. Это позволяет связать изменения конфигурации с событиями AWS CloudTrail, которые, возможно, способствовали изменению конфигурации. Такая информация обеспечивает полную прозрачность процессов, начиная с ответов на вопросы о том, кто внес изменения и с какого IP‑адреса, и до понимания того, какое влияние оказали эти изменения на ресурсы AWS и сопутствующие ресурсы. Эту информацию можно использовать для создания отчетов с целью аудита и оценки соответствия требованиям за определенный период времени.

Вопрос: Кому следует использовать AWS Config и Config rules?

Использование этих средств для непрерывной оценки конфигурации ресурсов обеспечит преимущества любому клиенту AWS, который стремится к улучшению безопасности и оптимизации управления. Администраторы крупных организаций, которые формируют рекомендации по настройке корпоративных ресурсов, могут с помощью Config rules создать свои правила и предоставить пользователям возможность самостоятельной проверки на соответствие им. Config rules пригодятся и специалистам по информационной безопасности, которые анализируют использование ресурсов и их конфигурацию на предмет возможных уязвимостей. Клиенты, рабочие процессы которых должны отвечать определенным стандартам (например, PCI‑DSS или HIPAA), могут использовать эту возможность для оценки их конфигураций инфраструктуры AWS на предмет соответствия требованиям и создания отчетов для аудиторов. Операторы, которые управляют крупными инфраструктурами или компонентами AWS, подверженными частым изменениям, могут использовать Config rules для выявления и устранения сбоев. AWS Config рекомендуется использовать клиентам, которые хотят отслеживать изменения в конфигурации ресурсов, знать ответы на вопросы о конфигурации ресурсов, демонстрировать соответствие нормативным требованиям, устранять неполадки или выполнять анализ безопасности.

Вопрос: Кому следует использовать пакеты соответствия AWS Config?

Если вам нужна платформа для создания и развертывания пакетов соответствия для конфигураций ресурсов AWS в нескольких аккаунтах, а также включенные в эту платформу готовые правила и действия, созданные партнерами APN или непосредственно разработчиками AWS, вам стоит обратить внимание на пакеты соответствия. Эта платформа позволит создавать персонализированные пакеты для подразделений безопасности, DevOps и т. п., а клиенты смогут быстро приступить к работе с помощью шаблонов для пакетов соответствия.

Вопрос: Дает ли этот сервис гарантию того, что конфигурации никогда не будут выходить за рамки установленных требований?

Правила Config и пакеты соответствия предоставляют информацию о том, соответствуют ли ресурсы выбранным пользователем правилам конфигурации. Они сравнивают конфигурацию ресурса с заданными правилами Config по заданному расписанию и (или) при обнаружении изменений конфигурации. Это поведение вы можете определить при настройке правил. Правила не дают гарантии, что ресурсы будут соответствовать требованиям, и не ограждают от действий пользователей, противоречащих правилам. Но они могут возвращать ресурсы, не соответствующие требованиям, в состояние соответствия благодаря действиям по исправлению, которые можно настроить для каждого правила Config.

Вопрос: Защищает ли данный сервис от действий пользователей, противоречащих правилам?

Config rules не влияет напрямую на использование AWS конечными пользователями. Config rules выполняет применение правил к конфигурации ресурса только после того, как изменение в конфигурации было завершено и зафиксировано AWS Config. Config rules не предотвращает внесение пользователем изменений, которые могут не соответствовать правилам. Для контроля за доступом пользователя к выделению ресурсов AWS и разрешенными параметрами конфигурации выделяемых ресурсов рекомендуется использовать политики AWS Identity and Access Management (IAM) и AWS Service Catalog соответственно.

Вопрос: Можно ли провести оценку соответствия правилам перед выделением ресурса?

Config rules применяет правила для выявления соответствия после того, как конфигурационная единица (CI) для ресурса зарегистрирована с помощью AWS Config. Сервис не выполняет оценку соответствия до выделения ресурса или до применения изменений в конфигурации ресурса.

Вопрос: Как AWS Config работает с AWS CloudTrail?

AWS CloudTrail записывает все вызовы API для аккаунта и позволяет получить доступ к информации об этих действиях. Сервис предоставляет полную информацию о действиях, выполненных с помощью API: идентификационные данные оператора, время вызова API, параметры запроса и ответные данные, возвращенные сервисом AWS. AWS Config записывает данные конфигурации используемых ресурсов AWS на определенный момент времени в виде конфигурационных единиц (CI). CI можно использовать для ответа на вопрос, как выглядел тот или иной ресурс AWS в определенный момент времени. AWS CloudTrail можно использовать для ответа на вопрос, кто выполнил вызов API для изменения того или иного ресурса. Например, с помощью Консоли управления AWS для AWS Config можно выяснить, что в какой‑то момент времени группе безопасности Production‑DB были заданы неправильные настройки. Используя связанную информацию AWS CloudTrail, можно определить пользователя, который неправильно настроил группу безопасности Production‑DB.

Вопрос: Можно ли централизованно контролировать соответствие требованиям для разных аккаунтов и регионов из одного аккаунта?

AWS Config позволяет без труда отслеживать статус соответствия требованиям для разных аккаунтов и регионов с помощью возможности сбора данных по нескольким аккаунтам и регионам. Можно создать агрегатор конфигурации в любом аккаунте и собирать данные о соответствии требованиям из других аккаунтов. Эта возможность также интегрирована с AWS Organizations, что позволяет собирать данные из всех аккаунтов организации.

Вопрос: Можно ли подключить инстансы ServiceNow и Jira Service Desk к AWS Config?

Да. С помощью связующей библиотеки AWS Service Management Connector для ServiceNow и Jira Service Desk (прежнее название – AWS Service Catalog Connector) пользователи ServiceNow и Jira Service Desk могут выделять ресурсы AWS, управлять ими и работать с ними непосредственно через ServiceNow и Jira Service Desk. Пользователи ServiceNow могут отслеживать ресурсы в представлении элементов конфигурации на базе AWS Config при помощи ServiceNow и AWS Service Management Connector. Пользователи Jira Service Desk могут отслеживать ресурсы в рамках запроса задач с помощью AWS Service Management Connector. Это упрощает запрос продуктов AWS для пользователей ServiceNow и Jira Service Desk и позволяет администраторам ServiceNow и Jira Service Desk управлять продуктами AWS и контролировать их использование.

Связующая библиотека AWS Service Management Connector для ServiceNow доступна бесплатно в магазине ServiceNow Store. Эта новая возможность является общедоступной во всех регионах AWS, где предоставляется сервис AWS Service Catalog. Дополнительные сведения см. в документации.

Соединитель AWS Service Management Connector для Jira Service Desk доступен бесплатно в магазине Atlassian Marketplace. Эта новая возможность является общедоступной во всех регионах AWS, где предоставляется сервис AWS Service Catalog. Дополнительные сведения см. в документации.

Вопрос: Как начать работу с сервисом?

Быстрее всего начать работу с AWS Config можно в Консоли управления AWS. Сервис AWS Config можно активировать с помощью нескольких щелчков мышью. Дополнительные сведения см. в документации по началу работы.

Вопрос: Как получить доступ к конфигурации ресурсов?

Информацию о текущей и предыдущих конфигурациях ресурсов можно получить в Консоли управления AWS, с помощью интерфейса командной строки или SDK.

Дополнительные сведения см. в документации AWS Config.

Вопрос: Включение AWS Config выполняется отдельно для каждого региона или глобально?

Включение AWS Config в аккаунте выполняется отдельно для каждого региона.

Вопрос: Может ли AWS Config собирать данные из разных аккаунтов AWS?

Да, AWS Config можно настроить для доставки данных об изменениях конфигурации из различных аккаунтов в одну корзину S3, если для корзины S3 настроены соответствующие политики IAM. В пределах одного региона можно также публиковать оповещения в одной теме SNS, как только к этой теме будут применены соответствующие политики IAM.

Вопрос: Записываются ли операции API, выполняемые в самом сервисе AWS Config, с помощью AWS CloudTrail?

Да. Все операции API, выполняемые в AWS Config, включая использование API AWS Config для считывания данных конфигурации, регистрируются сервисом AWS CloudTrail.

Вопрос: Какое время и часовой пояс отображается на временной шкале в представлении ресурса? Учитывается ли переход на летнее время?

AWS Config отображает время, в которое элементы конфигурации (CI) были записаны для ресурса, на шкале времени. Все значения времени фиксируются по всемирному скоординированному времени (UTC). Когда шкала времени отображается в консоли управления, для отображения всех моментов времени в представлении временной шкалы сервисы используют часовой пояс клиента (с поправкой на летнее время, если применимо).

Вопрос: Что такое конфигурация ресурса?

Конфигурация ресурса определяется данными, содержащимися в единице конфигурации (CI) AWS Config. Первоначальное применение Config rules открывает CI ресурса для применения соответствующих правил. Config rules может использовать эту информацию наряду с любой другой соответствующей информацией (данными другого связанного ресурса, рабочим временем и т. п.) для оценки соответствия конфигурации ресурса требованиям.

Вопрос: Что такое правило?

Правило представляет собой требуемые значения атрибутов единицы конфигурации для ресурсов и оценивается путем сравнения этих значений атрибутов с единицами конфигурации, записанными AWS Config. Существует два типа правил.

Правила, управляемые AWS: эти правила предварительно настроены и находятся под контролем AWS. Вы просто выбираете правило, которое необходимо активировать, после чего вводите несколько параметров конфигурации для начала работы. Подробнее »

Правила, управляемые пользователем: эти правила создаются и настраиваются пользователем. Сервис позволяет создать функцию в AWS Lambda для выполнения в соответствующем аккаунте, и она будет вызываться как часть пользовательского правила. Подробнее »

Быстрее всего начать работу с AWS Config можно в Консоли управления AWS. Сервис AWS Config можно активировать с помощью нескольких щелчков мышью. Дополнительные сведения см. в документации по началу работы.

Вопрос: Как создаются правила?

Обычно правила настраиваются администратором аккаунта AWS. Они могут создаваться с помощью применения управляемых AWS правил (заранее настроенных правил, предоставляемых AWS) или с помощью пользовательских правил. Обновления правил, управляемых AWS, автоматически применяются к любому аккаунту, использующему данное правило. В модели с пользовательским управлением пользователь имеет полные права на правило и выполняет его в пределах собственного аккаунта. Такие правила обслуживаются самим пользователем.

Вопрос. Сколько правил можно создать?

По умолчанию для одного аккаунта AWS можно создать 150 правил. Кроме того, можно запросить увеличение предельного количества правил для аккаунта на странице AWS Service Limits.

Вопрос: Как происходит применение правил?

Любое правило может быть настроено для применения после изменения конфигурации или для периодического применения. Правило, применяемое после изменений, активируется, если AWS Config регистрирует изменение в конфигурации для любого из указанных ресурсов. В дополнение к этому необходимо указать один из следующих параметров.

Тег в формате Key (обязательно):Value (необязательно). Тег key:value подразумевает, что любые изменения конфигурации, зарегистрированные для ресурсов с указанным тегом key:value, инициируют применение данного правила.

Тип(ы) ресурсов. Любые изменения, зарегистрированные для любых ресурсов указанных типов, инициируют применение данного правила.

ID ресурса. Любые изменения, зарегистрированные для ресурса c определенным типом и ID ресурса, инициируют применение данного правила.

Периодическое правило инициируется с заданным интервалом. Доступные интервалы: 1 ч, 3 ч, 6 ч, 12 ч или 24 ч. Периодическое правило создает полный снимок состояния текущих единиц конфигурации (CI) для всех ресурсов, к которым данное правило применимо.

Вопрос: Что такое применение?

Применение правила определяет, соответствует ли состояние ресурса в определенный момент времени заданному правилу. Это является результатом сравнения правила с конфигурацией ресурса. Config rules фиксирует и хранит результаты каждого применения правила. Результаты включают в себя ресурс, правило, время применения и ссылку на единицу конфигурации (CI), в которой выявлено несоответствие.

Вопрос: Что означает соответствие правилам?

Ресурс является соответствующим, если он соответствует всем применимым к нему правилам. В противном случае он является несоответствующим. Аналогичным образом, правило является соответствующим, если все ресурсы, охваченный данным правилом, соответствуют его требованиям. В противном случае оно является несоответствующим. В некоторых случаях, например когда для правила заданы несоответствующие разрешения, оно не может быть применено к определенному ресурсу, что приводит к состоянию недостаточности данных. Такое состояние исключается из определения статуса соответствия ресурса или правила.

Вопрос: Какую информацию предоставляет панель управления Config rules?

Панель управления Config rules обеспечивает обзор ресурсов, отслеживаемых AWS Config, и сводные данные о текущем статусе соответствия по ресурсу и правилу. При просмотре соответствия по ресурсу можно определить, есть ли в данный момент несоответствие какому‑либо правилу, применимому к данному ресурсу. Можно просматривать соответствие по правилу, получая информацию о том, не является ли какой‑либо ресурс в области действия данного правила несоответствующим. С помощью таких просмотров сводных данных можно глубже исследовать ресурсы Config для определения того, какие параметры конфигурации изменились с течением времени. Панель управления позволяет начать с общего обзора и погрузиться в более подробные отчеты, которые дадут полную информацию о динамике состояния соответствия и о том, какие изменения стали причиной несоответствия.

Вопрос: В каких случаях стоит использовать AWS Config вместо пакетов соответствия?

Вы можете использовать отдельные правила AWS Config для оценки конфигурации ресурсов на соответствие в одном или нескольких аккаунтах. Пакеты соответствия дают дополнительное преимущество, поскольку в них правила объединяются с действиями по исправлению в единую сущность, которую вы сможете распространять в масштабе всей организации одним щелчком мыши. Пакеты соответствия предназначены для того, чтобы упростить управление соответствием и отчетность в больших масштабах, например при наличии нескольких аккаунтов. Пакеты соответствия нацелены на создание агрегированных отчетов о соответствии на уровне пакетов, и сохраняются неизменяемыми, то есть не допускают изменение или удаление отдельных правил AWS Config или схем по исправлению обычными пользователями аккаунта организации.

Вопрос. Каким образом AWS Config и правила AWS Config связаны с AWS Security Hub?

AWS Security Hub – это сервис безопасности и соответствия требованиям. Он обеспечивает управление безопасностью и принципами соответствия. Этот сервис использует AWS Config и правила AWS Config в качестве основного механизма оценки конфигурации ресурсов AWS. Правила AWS Config можно также использовать для непосредственной оценки конфигурации ресурсов. Правила AWS Config также используются другими сервисами AWS, например AWS Control Tower и AWS Firewall Manager.

Вопрос. В каких случаях следует использовать пакеты соответствия AWS Security Hub и AWS Config?

Если стандарт соответствия, например PCI DSS, уже присутствует в AWS Security Hub, тогда полностью управляемый сервис AWS Security Hub является простейшим способом применения этого стандарта. Можно интегрировать Security Hub с Amazon Detective, чтобы проанализировать полученные результаты, а также интегрировать Security Hub с Amazon EventBridge и создать автоматические или полуавтоматические действия по исправлению. Однако если необходимо создать собственный стандарт соответствия или безопасности, который может включать эксплуатационные проверки, а также проверки безопасности и оптимизации затрат, целесообразно использовать пакеты соответствия AWS Config. Пакеты соответствия AWS Config упрощают управление правилами Config за счет объединения группы правил Config и связанных действий по исправлению. Благодаря этому объединению упрощается развертывание правил и действий по исправлению в пределах организации. Кроме того, здесь имеется возможность составления сводных отчетов, поскольку сводки соответствия могут быть получены на уровне пакета. Для начала можно использовать образцы пакетов соответствия Config, предоставляемые в сервисе, и настроить их по своему усмотрению.

Вопрос. Пакеты соответствия AWS Security Hub и AWS Config поддерживают непрерывный контроль соответствия требованиям?

Да, пакеты соответствия AWS Security Hub и AWS Config поддерживают непрерывный контроль соответствия требованиям, поскольку они основаны на использовании AWS Config и правил Config. Используемые правила AWS Config могут запускаться периодически либо при обнаружении изменений в конфигурации ресурсов. Это позволяет непрерывно проводить аудит и оценку конфигураций ресурсов AWS на предмет общего соответствия установленным политикам и руководствам организации.

Вопрос: Как начать работу с пакетами соответствия?

Самым быстрым путем для начала работы будет создание пакета соответствия на основе одного из предоставленных нами шаблонов с помощью CLI или консоли AWS Config. Например, в число шаблонов входят операционные рекомендации для Amazon S3, Amazon DynamoDB и PCI. Эти шаблоны написаны на языке YAML. Вы можете скачать эти шаблоны с сайта документации и изменить их так, как потребуется для вашей среды, используя любой существующий текстовый редактор. Вы даже сможете добавить пользовательские правила AWS Config, которые вы уже включили в собственные пакет.

Вопрос: Является ли платным использование этой возможности в Config?

Использование пакетов соответствия оплачивается по модели с гибким ценообразованием. Подробные сведения см. на странице цен на AWS Config.

Вопрос: Что такое сбор данных по нескольким аккаунтам и регионам?

Сбор данных в AWS Config позволяет объединить в одном аккаунте и одном регионе данные AWS Config из разных аккаунтов и регионов. Сбор данных по нескольким аккаунтам предоставляет центральным ИТ‑администраторам возможность отслеживать соответствие требованиям для всех аккаунтов AWS в масштабе компании.

Вопрос: Можно ли использовать возможность сбора данных для централизованного назначения правил AWS Config для нескольких аккаунтов?

Возможность сбора данных нельзя использовать для назначения правил для нескольких аккаунтов. Эта возможность предназначена исключительно для создания отчетов, позволяющих оценить соответствие требованиям. Назначать правила для нескольких аккаунтов и регионов можно с помощью наборов StackSets для CloudFormation. Полезную информацию об этом см. в блоге.

Вопрос: Как включить сбор данных в аккаунте?

Сбор данных можно включить после того, как для всех аккаунтов настроен сервис AWS Config и правила Config. Для сбора данных необходимо создать агрегатор в центральном аккаунте. Подробнее.

Вопрос: Что такое агрегатор?

Агрегатор – это тип ресурса AWS Config, который собирает данные AWS Config из разных аккаунтов и регионов. Агрегатор можно использовать для просмотра данных AWS Config о конфигурации ресурсов и соответствии требованиям для нескольких аккаунтов и регионов.

Вопрос: Какую информацию дает сводное представление?

В сводном представлении приводится общее количество правил в масштабах всей организации, для которых обнаружены случаи несоответствия, пять правил, которым не соответствует наибольшее количество ресурсов, и пять аккаунтов AWS с наибольшим количеством правил, для которых обнаружены случаи несоответствия. Из сводной панели можно перейти к просмотру сведений о ресурсах, не соответствующих конкретному правилу, и к списку правил, нарушенных тем или иным аккаунтом.

Вопрос: Я не являюсь клиентом AWS Organizations. Могу ли я использовать возможность сбора данных?

Чтобы указать аккаунты, для которых необходимо собирать данные AWS Config, можно загрузить файл или ввести данные аккаунтов вручную. Так как эти аккаунты не входят в организацию AWS, необходимо явным образом авторизовать аккаунт агрегатора в каждом аккаунте. Подробнее.

Вопрос: У меня только один аккаунт. Могу ли я использовать возможность сбора данных?

Возможность сбора данных полезна также для сбора данных по нескольким регионам. Поэтому ее можно использовать в одном аккаунте для сбора данных AWS Config по разным регионам.

Вопрос: В каких регионах доступна возможность сбора данных по нескольким аккаунтам и регионам?

Подробные сведения о регионах, в которых доступен сбор данных по нескольким аккаунтам и регионам, см. на этой странице:

https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html

Вопрос: Что делать, если в аккаунте есть регион, в котором эта возможность не поддерживается?

При создании агрегатора необходимо указать регионы, из которых можно собирать данные. В списке отображаются только те регионы, в которых доступна эта возможность. Кроме того, можно выбрать вариант «все регионы». В этом случае при добавлении поддержки других регионов сбор данных в них начнется автоматически.

Вопрос: Какие типы ресурсов AWS охватывает AWS Config?

Полный перечень поддерживаемых типов ресурсов см. в нашей документации.

Вопрос: В каких регионах доступен сервис AWS Config?

Для получения подробной информации о регионах, в которых доступен сервис AWS Config, посетите следующую страницу:

http://aws.amazon.com/about‑aws/global‑infrastructure/regional-product-services/

Вопрос: Что такое единица конфигурации?

Единица конфигурации (CI) – это конфигурация ресурса в определенный момент времени. Конфигурационная единица состоит из 5 частей.

1. Основная информация о ресурсе, которая является общей для различных типов ресурсов (например, имена ресурсов Amazon и теги).
   
2. Данные конфигурации, характерные для ресурса (например, тип инстанса EC2).
   
3. Схема связи с другими ресурсами (например, том EC2 vol‑3434df43 подключен к инстансу EC2 i‑3432ee3a).
   
4. Идентификаторы событий AWS CloudTrail, которые связаны с этим состоянием (только для ресурсов AWS).
   
5. Метаданные, которые помогают определить информацию о конфигурационной единице, например ее версию, а также момент сохранения.
   

Подробнее о единицах конфигурации.

Вопрос: Что такое пользовательская единица конфигурации?

Пользовательской единицей конфигурации (Configuration Item, CI) называется CI, относящаяся к ресурсу сторонних поставщиков или к пользовательскому ресурсу. Сюда относятся, например, локальные базы данных, серверы Active Directory, GitHub и другие системы контроля версий, Datadog и другие сторонние средства мониторинга.

Вопрос: Что такое связи AWS Config и для чего они используются?

При записи изменений AWS Config учитывает связи между ресурсами. Например, если новая группа безопасности Amazon EC2 связана с инстансом Amazon EC2, при изменении этих ресурсов AWS Config записывает обновленные конфигурации как основного ресурса (группы безопасности Amazon EC2), так и связанного ресурса (инстанса Amazon EC2).

Вопрос: Записывает ли AWS Config каждое состояние, в котором находился ресурс?

AWS Config обнаруживает изменение в конфигурации ресурса и записывает состояние конфигурации, полученное в результате этого изменения. Если за короткий промежуток времени (например, в течение нескольких минут) произошло несколько изменений в конфигурации ресурса, Config запишет только последнюю конфигурацию для этого ресурса, которая будет представлять собой совокупный результат влияния нескольких изменений. В таких ситуациях в Config будет отображаться только последнее изменение в поле relatedEvents конфигурационной единицы. Это позволяет пользователям и программам непрерывно изменять конфигурации инфраструктуры, не дожидаясь записи промежуточных переходных состояний.

Вопрос: Записывает ли AWS Config изменения конфигурации ресурса, которые произошли не в результате вызовов API?

Да, AWS Config регулярно сканирует конфигурацию ресурсов для обнаружения изменений, которые еще не были записаны, и записывает эти изменения. В единицах конфигурации, записанных в результате такого сканирования, не будет заполнено поле relatedEvent, при этом будет фиксироваться только последнее состояние, которое отличается от ранее записанного состояния.

Вопрос: Регистрирует ли AWS Config изменения конфигураций ПО на инстансах EC2?

Да. AWS Config позволяет регистрировать изменения конфигураций ПО на инстансах EC2, запущенных от имени аккаунта пользователя, а также на виртуальных машинах (ВМ) или серверах в локальной среде. Данные конфигурации, регистрируемые AWS Config, включают обновления операционной системы, сетевые конфигурации, установленные приложения и т. д. С помощью AWS Config rules можно оценить, соответствуют ли инстансы, ВМ и серверы предъявляемым требованиям. Возможности наглядного представления и непрерывного мониторинга, предоставляемые AWS Config, позволяют оценивать соответствие требованиям и устранять текущие проблемы.

Вопрос: Будет ли AWS Config отправлять дальнейшие уведомления, если ресурс, который ранее не соответствовал требованиям, после очередной проверки по‑прежнему не соответствует требованиям?

AWS Config отправляет уведомления только в случае, когда меняется статус соответствия требованиям. Если ранее ресурс не соответствовал требованиям и при проверке это состояние подтверждается, новые уведомления Config отправляться не будут. Если же ресурс изменит свой статус и будет признан соответствующим требованиям, пользователь получит уведомление о таком изменении статуса.

Вопрос: Можно ли обозначить ресурсы для оценки на соответствие правилам Config или освободить определенные ресурсы от такой проверки?

При настройке правил Config можно указать, что правило должно выполнять оценку только определенных типов ресурсов или ресурсов с определенным тегом.

Вопрос: Как оплачивается использование AWS Config?

При использовании AWS Config стоимость рассчитывается в зависимости от количества записанных единиц конфигурации и активных применений правил AWS Config в аккаунте. Единица конфигурации – это запись конфигурации ресурса в аккаунте AWS. Применением правила AWS Config называется оценка соответствия для состояния определенного ресурса по одному правилу AWS Config из аккаунта AWS, а применением пакета соответствия считается оценка ресурса по одному правилу AWS Config, входящему в состав пакета соответствия. Дополнительные сведения и примеры вы найдете на странице https://aws.amazon.com/config/pricing/

Вопрос: Включены ли в стоимость сервиса AWS Config Rules расходы на функции AWS Lambda?

Правила можно выбирать из набора правил, предоставляемых AWS, или создать свои собственные правила в виде функций AWS Lambda. Управляемые правила полностью обслуживаются AWS и не требуют дополнительных затрат на AWS Lambda для их работы. Просто активируйте управляемые правила, введите любые необходимые параметры и платите по единому тарифу за каждое активное правило AWS Config за расчетный месяц. Пользовательские правила обеспечивают клиентам полный контроль, поскольку выполняются в соответствующем аккаунте как функции AWS Lambda. К управляемым пользователем правилам в дополнение к ежемесячной плате за каждое активное правило применяются условия стандартного уровня бесплатного пользования AWS Lambda* и тарифы на пользовательские правила AWS Config.

* Уровень бесплатного пользования AWS недоступен в регионах AWS Китай (Пекин) и Китай (Нинся).

Вопрос: Я хочу изменить функцию Lambda для своего пользовательского правила AWS Config. Какой подход вы рекомендуете?

Плата взимается каждый раз, когда правило создается и становится активным. Если необходимо обновить или заменить функцию Lambda, связанную с правилом, рекомендуем обновить это правило, а не удалять его и создавать новое.

Вопрос: Какие решения партнеров AWS доступны для AWS Config?

Партнеры APN, такие как Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks и RedHat CloudForms, предлагают решения, которые полностью интегрированы с данными AWS Config. Поставщики управляемых услуг, такие как 2ndWatch и CloudNexa, также объявили об интеграции с AWS Config. Кроме того, использовать интегрированные решения для работы с сервисом Config Rules предлагают нашим клиентам такие партнеры, как CloudHealth Technologies, AlertLogic и TrendMicro. Эти решения включают в себя такие возможности, как управление изменениями и анализ безопасности. Они также позволяют визуализировать и контролировать конфигурации ресурсов AWS и осуществлять управление ими.

Подробнее см. по ссылке.