Начните работать с AWS бесплатно

Создать бесплатный аккаунт

 

Получите доступ к уровню бесплатного пользования AWS на двенадцать месяцев и используйте возможности базовой поддержки AWS Support, в том числе круглосуточный доступ к сервису поддержки клиентов, форумы поддержки и многое другое.

Подробнее об AWS Config Rules (режим ознакомления).

Что представляет собой AWS Config?

AWS Config – это полностью управляемый сервис учета ваших ресурсов в AWS, журнала конфигурации и оповещений об изменениях в конфигурации для обеспечения безопасности и организации управления. С AWS Config можно обнаруживать существующие ресурсы в AWS, экспортировать полный реестр ваших ресурсов в AWS со всеми параметрами конфигурации и определить, как ресурс был настроен в любой момент времени. Благодаря этим функциям становятся возможными анализ безопасности, прослеживание изменения конфигурации ресурсов, аудит соответствия и диагностика неполадок.

Что такое правило Config Rules?

Правило Config Rule представляет собой требование определенной конфигурации для ресурса. При изменении конфигурации на соответствующих ресурсах выполняется ее сравнение с правилами, сохраненными в AWS Config. Результаты применения правил конфигурации ресурса выводятся на панели управления. При помощи Config Rules можно оценить общее соответствие требованиям и возможные риски в отношении конфигурации, проследить тенденции соответствия с течением времени и точно определить, какое изменение конфигурации привело к расхождению ресурса с соответствующим правилом.

Каковы преимущества использования сервиса AWS Config?

AWS Config позволяет легко отслеживать конфигурацию ваших ресурсов без предварительных капиталовложений, а также избежать сложностей при установке и обновлении агентов для сбора данных или поддержании больших баз данных. После включения AWS Config вы можете просматривать непрерывно обновляемые сведения о всех значениях конфигурации, связанных с ресурсами AWS. С помощью службы Amazon Simple Notification Service (SNS) вы будете получать оповещения о каждом изменении конфигурации.

Как AWS Config может помочь с проведением аудита?

AWS Config предоставляет доступ к журналу конфигурации. Вы можете связать изменения конфигурации с событиями AWS CloudTrail, которые, возможно, способствовали изменению конфигурации. Эта информация обеспечивает полную наглядность процессов, начиная с ответов на вопросы о том, кто внес изменения и с какого IP-адреса,  и до понимания того, какое влияние оказали эти изменения на ресурсы AWS и сопутствующие ресурсы. Эту информацию можно использовать для создания отчетов с целью аудита и оценки соответствия нормативным требованиям в течение определенного периода времени.

Кому следует использовать AWS Config и Config Rules?

Использование этих средств для непрерывной оценки конфигурации ресурсов обеспечит преимущества для любого клиента AWS, который стремится к улучшению безопасности и оптимизации управления. Администраторы крупных организаций, которые формируют рекомендации по настройке корпоративных ресурсов, могут с помощью Config Rules создать свои правила и предоставить пользователям возможность самостоятельной проверки на соответствие им. Config Rules пригодятся и специалистам по информационной безопасности, которые анализируют активность использования ресурсов и их конфигурацию на предмет возможных уязвимостей. Клиенты, рабочие процессы которых должны отвечать определенным стандартам (например, PCI-DSS или HIPAA), могут использовать эту возможность для оценки их конфигураций инфраструктуры AWS на предмет соответствия требованиям и создания отчетов для аудиторов. Операторы, управляющие большой инфраструктурой AWS или часто изменяемыми компонентами, также ощутят преимущества использования Config Rules при устранении проблем. Сервис AWS Config следует включить и пользователям, желающим отслеживать настройки и изменения конфигурации ресурсов и получать данные о состоянии соответствия требованиям для решения проблем или анализа безопасности.

Дает ли этот сервис гарантию того, что конфигурации никогда не будут выходить за рамки соответствия?

Config Rules предоставляет информацию о том, соответствуют ли ресурсы выбранным пользователем правилам конфигурации. Сервис применяет правила, как только обновленные конфигурационные единицы (CI) для ресурса доступны в пределах AWS Config. Это не дает гарантии, что ресурсы будут соответствовать требованиям, и не ограждает от действий пользователей, противоречащих правилам. Config Rules не выполняет автоматического приведения несоответствующих ресурсов в соответствие с требованиями.

Защищает ли данный сервис от действий пользователей, противоречащих правилам?

Config Rules не имеет прямого влияния на использование AWS конечными пользователями. Он выполняет применение правил к конфигурации ресурса только после того, как изменение в конфигурации было завершено и зафиксировано AWS Config. Config Rules не предотвращает внесение пользователем изменений, которые могут не соответствовать правилам. Для контроля за доступом пользователя к выделению ресурсов AWS и разрешенными параметрами конфигурации рекомендуется использовать политики AWS Identity and Access Management (IAM) и AWS Service Catalog соответственно.

Можно ли провести оценку соответствия правилам перед выделением ресурса?

Config Rules применяет правила для выявления соответствия после того, как конфигурационная единица (CI) для ресурса зарегистрирована с помощью AWS Config. Сервис не выполняет оценку соответствия до выделения ресурса или до применения изменений в конфигурации ресурса.

Как AWS Config работает с AWS CloudTrail?

AWS CloudTrail записывает все вызовы API для аккаунта и позволяет получить доступ к информации об этих действиях. Сервис предоставляет полную информацию о действиях, выполненных с помощью API: идентификационные данные оператора, время вызова API, параметры запроса и ответные данные, возвращенные сервисом AWS. AWS Config записывает данные конфигурации ваших ресурсов AWS на определенный момент времени в виде конфигурационных единиц (CI). CI можно использовать для ответа на вопрос, как выглядел тот или иной ресурс AWS.  в определенный момент времени. AWS CloudTrail можно использовать для ответа на вопрос, кто осуществлял вызов API для изменения того или иного ресурса. Например, с помощью Консоли управления AWS для AWS Config можно выяснить, что в какой-то момент времени группе безопасности Production-DB были заданы неправильные настройки. Используя связанную информацию AWS CloudTrail, можно определить пользователя, который неправильно настроил группу безопасности Production-DB.

Можно ли контролировать соответствие требованиям для разных аккаунтов и регионов из центрального аккаунта?

AWS Config позволяет без труда отслеживать статус соответствия требованиям для разных аккаунтов и регионов с помощью возможности сбора данных по разным аккаунтам и регионам. Можно создать агрегатор конфигурации в любом аккаунте и собирать данные о соответствии требованиям из других аккаунтов. Эта возможность также интегрирована с AWS Organizations, поэтому можно собирать данные из всех аккаунтов организации.

Как начать пользоваться этим сервисом?

Быстрее всего начать работу с AWS Config из Консоли управления AWS. Сервис AWS Config можно активировать с помощью нескольких щелчков мыши. Дополнительные сведения см. в документации по началу работы.

Как получить доступ к конфигурации моих ресурсов?

Информацию о текущей и предыдущих конфигурациях ресурсов можно получить в Консоли управления AWS, посредством интерфейса командной строки или SDK.

Дополнительные сведения см. в документации AWS Config.

Включение AWS Config выполняется отдельно для каждого региона или сразу для всего мира?

Вы включаете AWS Config в своем аккаунте отдельно для каждого региона.

Может ли AWS Config собирать данные из разных аккаунтов AWS?

Да, вы можете настроить AWS Config для доставки данных об изменениях конфигурации из различных аккаунтов в одну корзину S3, если для корзины S3 настроены соответствующие политики IAM. В пределах одного региона вы также можете публиковать оповещения в одной теме SNS, как только к этой теме будут применены соответствующие политики IAM.

Записываются ли действия с API, выполняемые в самом сервисе AWS Config, с помощью AWS CloudTrail?

Да. Все действия с API, выполняемые в AWS Config, включая использование API AWS Config для считывания данных конфигурации, регистрируются сервисом AWS CloudTrail.

Какое время и часовой пояс отображается в представлении временной шкалы ресурса? Учитывается ли переход на летнее время?

AWS Config отображает время, в которое элементы конфигурации (CI) были записаны для ресурса на шкале времени. Все значения времени фиксируются по всемирному скоординированному времени (UTC). Когда шкала времени отображается в консоли управления, для отображения всех моментов времени в представлении временной шкалы сервисы используют текущий часовой пояс (с поправкой на летнее время, если применимо).

Что такое конфигурация ресурса?

Конфигурация ресурса определяется данными, содержащимися в единице конфигурации (CI) AWS Config. Первоначальное применение Config Rules открывает CI ресурса для применения соответствующих правил. Config Rules может использовать эту информацию наряду с любой другой соответствующей информацией (данными другого связанного ресурса, рабочим временем и т. п.). для оценки соответствия конфигурации ресурса.

Что такое правило?

Правило представляет собой требуемые значения атрибутов единицы конфигурации для ресурсов и оценивается путем сравнения этих значений атрибутов с единицами конфигурации, записанными AWS Config. Существует два типа правил.

Правила, управляемые AWS: эти правила предварительно настроены и находятся под контролем AWS. Вы просто выбираете правило, которое необходимо активировать, после чего вводите несколько параметров конфигурации для начала работы. Подробнее »

Правила, управляемые пользователем: эти правила создаются и настраиваются пользователем. Можно создать функцию в AWS Lambda для выполнения в вашем аккаунте, и она будет вызываться как часть пользовательского правила. Подробнее »

Быстрее всего начать работу с AWS Config можно в Консоли управления AWS. Сервис AWS Config можно активировать с помощью нескольких щелчков мыши. Дополнительные сведения см. в документации по началу работы.

Как создаются правила?

Обычно правила настраиваются администратором аккаунта AWS. Они могут создаваться с помощью применения управляемых AWS правил (заранее настроенных правил, предоставляемых AWS) или с помощью пользовательских правил. Обновления правил, управляемых AWS, автоматически применяются к любому аккаунту, использующему данное правило. В модели с пользовательским управлением пользователь имеет полные права на правило и выполняет его в пределах собственного аккаунта. Такие правила обслуживаются самим пользователем.

Сколько правил можно создать?

По умолчанию для одного аккаунта AWS можно создать 50 правил. Кроме того, можно запросить увеличение предельного количества правил для аккаунта на странице Лимиты для сервисов AWS.

Как происходит применение правил?

Любое правило может быть настроено для применения после изменения конфигурации или периодического применения. Правило, применяемое после изменений, активируется, если AWS Config регистрирует изменение в конфигурации для любого из указанных ресурсов. В дополнение к этому, необходимо указать один из следующих параметров.

Тег Key (необязательное значение): тег key:value подразумевает, что любые изменения конфигурации, зарегистрированные для ресурсов с указанным тегом key:value, инициируют применение данного правила.

Типы ресурсов: любые изменения, зарегистрированные для любых ресурсов указанных типов, инициируют применение данного правила.

ID ресурса: любые изменения, зарегистрированные для ресурса c определенным типом и ID ресурса, инициируют применение данного правила.

Периодическое правило инициируется с заданным интервалом. Доступные интервалы: 1 ч, 3 ч, 6 ч, 12 ч или 24 ч. Периодическое правило создает полный снимок состояния текущих единиц конфигурации (CI) для всех ресурсов, к которым данное правило применимо.

Что подразумевает применение правила?

Применение правила определяет, соответствует ли состояние ресурса в определенный момент времени заданному правилу. Это является результатом сравнения правила с конфигурацией ресурса. Config Rules перехватывает и хранит результаты каждого применения правила. Результаты включают в себя ресурс, правило, время применения и ссылку на единицу конфигурации (CI), в которой выявлено несоответствие.

Что означает соответствие?

Ресурс является соответствующим, если он соответствует всем применимым к нему правилам. В противном случае он является несоответствующим. Аналогичным образом, правило является соответствующим, если все ресурсы, охваченный данным правилом, соответствуют его требованиям. В противном случае он является несоответствующим. В некоторых случаях, например, когда для правила заданы несоответствующие разрешения, оно не может быть применено к определенному ресурсу, что приводит к состоянию недостаточности данных. Такое состояние исключается из определения статуса соответствия ресурса или правила.

Какую информацию предоставляет панель управления Config Rules?

Панель управления Config Rules обеспечивает обзор ресурсов, отслеживаемых AWS Config, и сводные данные о текущем соответствии по ресурсу и правилу. При просмотре соответствия по ресурсу, можно определить, есть ли в данный момент несоответствие какому-либо правилу, применимому к данному ресурсу. Можно просматривать соответствие по правилу, получая информацию о том, не является ли какой-либо ресурс в области действия данного правила несоответствующим. При помощи таких просмотров сводных данных можно глубже исследовать ресурсы Config для определения того, какие параметры конфигурации изменились с течением времени. Панель управления позволяет начать с общего обзора и погрузиться в более узкие отчеты, которые дадут полную информацию о динамике состояний соответствия и о том, какие изменения стали причиной несоответствия.

Что такое сбор данных по разным аккаунтам и регионам?

Сбор данных в AWS Config позволяет объединить в одном аккаунте данные AWS Config из разных аккаунтов и регионов. Сбор данных по разным аккаунтам предоставляет центральным ИТ-администраторам возможность отслеживать соответствие требованиям для всех аккаунтов AWS в масштабах предприятия.

Можно ли использовать возможность сбора данных для централизованного назначения правил AWS Config для разных аккаунтов?

Возможность сбора данных нельзя использовать для назначения правил для разных аккаунтов. Эта возможность предназначена исключительно для создания отчетов, позволяющих оценить соответствие требованиям. Назначать правила для разных аккаунтов и регионов можно с помощью наборов StackSets для CloudFormation. Полезную информацию об этом см. в блоге.

Как включить сбор данных в аккаунте?

Сбор данных можно включить после того, как для всех аккаунтов настроен сервис AWS Config и правила Config. Для сбора данных необходимо создать агрегатор в центральном аккаунте. Подробнее.

Что такое агрегатор?

Агрегатор – это тип ресурса AWS Config, который собирает данные AWS Config из разных аккаунтов и регионов. Агрегатор можно использовать для просмотра данных AWS Config о конфигурации ресурсов и соответствии требованиям для разных аккаунтов и регионов.

Какую информацию предоставляет сводное представление?

В сводном представлении приводятся: общее количество правил в масштабах всей организации, для которых обнаружены случаи несоответствия; пять правил, которым не соответствует наибольшее количество ресурсов; и пять аккаунтов AWS с наибольшим количеством правил, для которых обнаружены случаи несоответствия. Отсюда можно перейти к просмотру сведений о ресурсах, нарушающих правило, и списку правил, нарушенных тем или иным аккаунтом.

Я не являюсь клиентом AWS Organizations. Могу ли я использовать возможность сбора данных?

Чтобы указать аккаунты, для которых необходимо собирать данные AWS Config, можно загрузить файл или ввести данные аккаунтов вручную. Так как эти аккаунты не входят в организацию AWS, необходимо непосредственно авторизовать аккаунт агрегатора в каждом аккаунте. Подробнее.

У меня только один аккаунт. Могу ли я пользоваться возможностью сбора данных?

Возможность сбора данных полезна также для сбора данных по разным регионам. Поэтому ее можно использовать в одном аккаунте для сбора данных AWS Config по разным регионам.

В каких регионах доступна возможность сбора данных по разным аккаунтам и регионам?

Возможность сбора данных доступна в следующих девяти регионах: Восток США (Сев. Вирджиния), Восток США (Огайо), Запад США (Орегон), Запад США (Сан-Франциско), ЕС (Ирландия), ЕС (Франкфурт), Азия и Тихий океан (Токио), Азия и Тихий океан (Сидней) и Азия и Тихий океан (Сингапур).

Что делать, если в аккаунте есть регион, в котором эта возможность не поддерживается?

При создании агрегатора необходимо указать регионы, из которых можно собирать данные. В списке отображаются только те регионы, в которых доступна эта возможность. Кроме того, можно выбрать вариант «все регионы». В этом случае при добавлении поддержки других регионов сбор данных в них начнется автоматически.

Какие типы ресурсов AWS охватывает AWS Config?

Полный перечень поддерживаемых типов ресурсов см. в нашей документации.

В каких регионах доступен сервис AWS Config?

Для получения подробной информации о регионах, в которых доступен сервис AWS Config, посетите следующую страницу:

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

Что такое конфигурационная единица?

Конфигурационная единица (CI) – это конфигурация ресурса в заданный момент времени. Конфигурационная единица состоит из 5 частей.

  1. Основная информация о ресурсе, которая является общей для различных типов ресурсов (например имена ресурсов Amazon и теги).
  2. Данные конфигурации, характерные для ресурса (например тип инстанса EC2).
  3. Схема связи с другими ресурсами (например том EC2 vol-3434df43 подключен к инстансу EC2 i-3432ee3a).
  4. Идентификаторы событий AWS CloudTrail, которые связаны с этим состоянием.
  5. Метаданные, которые помогают вам определить информацию о конфигурационной единице, например ее версию, а также момент захвата.

Подробнее о единицах конфигурации

Что такое связи AWS Config и для чего они используются?

При записи изменений AWS Config учитывает связи между ресурсами. Например, если новая группа безопасности Amazon EC2 связана с инстансом Amazon EC2, то при изменении этих ресурсов AWS Config записывает обновленные конфигурации как основного ресурса (группы безопасности Amazon EC2), так и связанного ресурса (инстанса Amazon EC2).

Записывает ли AWS Config каждое состояние, в котором находился ресурс?

AWS Config обнаруживает изменение в конфигурации ресурса и записывает состояние конфигурации, полученное в результате этого изменения. Если за короткий промежуток времени (например в течение нескольких минут) произошло несколько изменений в конфигурации ресурса, Config запишет только последнюю конфигурацию для этого ресурса, которая будет представлять собой совокупный результат влияния нескольких изменений. В подобных ситуациях Config будет отображать в поле элемента конфигурации relatedEvents только последние изменения. Это позволяет пользователям и программам продолжать изменять конфигурацию инфраструктуры без необходимости ждать, пока Config запишет промежуточные переходные состояния.

Записывает ли AWS Config изменения конфигурации, которые произошли не в результате действий с API для этого ресурса?

Да, AWS Config регулярно сканирует конфигурацию ресурсов для обнаружения изменений, которые еще не были записаны, и записывает эти изменения. В конфигурационных единицах, записанных в результате такого сканирования, не будет заполнено поле relatedEvent , при этом будет фиксироваться только последнее состояние, которое отличается от ранее записанного состояния.

Регистрирует ли AWS Config изменения конфигураций ПО в инстансах EC2?
Да. AWS Config позволяет регистрировать изменения конфигураций ПО на инстансах EC2, запущенных от имени аккаунта пользователя, а также на виртуальных машинах (ВМ) или серверах в локальной среде. Данные конфигурации, регистрируемые AWS Config, включают обновления операционной системы, сетевые конфигурации, установленные приложения и т. д. С помощью AWS Config Rules можно оценить, соответствуют ли инстансы, ВМ и серверы предъявляемым требованиям. Возможности наглядного представления и непрерывного мониторинга, предоставляемые AWS Config, позволяют оценивать соответствие требованиям и устранять текущие проблемы.

Будет ли AWS Config продолжать отправлять уведомления, если ресурс, который ранее не соответствовал требованиям, после очередной проверки по-прежнему не соответствует требованиям? AWS Config отправляет уведомления только в случае, когда меняется статус соответствия требованиям. Если ранее ресурс не соответствовал требованиям и при проверке это состояние подтверждается, новые уведомления Config отправляться не будут. Если же ресурс изменит свой статус и будет признан соответствующим требованиям, пользователь получит уведомление о таком изменении статуса.

Можно ли пометить ресурсы для оценки на соответствие правилам Config или освободить определенные ресурсы от такой проверки? При настройке правил Config можно указать, что правило должно выполнять оценку только определенных типов ресурсов или ресурсов с определенным тегом.

Каков принцип оплаты пользования этим сервисом?

При использовании AWS Config стоимость рассчитывается по количеству конфигурационных единиц (CI), записанных для поддерживаемых ресурсов вашего аккаунта AWS. Плата за запись CI взимается однократно. Хранение CI не подразумевает никаких дополнительных затрат или предварительных обязательств. Вы в любой момент можете прекратить запись CI с сохранением доступа к ранее записанным CI. Плата за CI включается в ваш ежемесячный счет. См. сведения о ценах.

При использовании AWS Config Rules плата начисляется исходя из количества активных правил Config Rules в отчетном месяце. При сравнении правила с ресурсом AWS результат записывается как применение. Правило считается активным, если оно используется для оценки хотя бы один раз в месяц.

Снимки состояния конфигурации и файлы журнала конфигурации сохраняются в выбранную вами корзину сервиса Amazon S3, а оповещения об изменениях в конфигурации доставляются с помощью сервиса Amazon Simple Notification Service (SNS). Плата за использование Amazon S3 и Amazon SNS взимается по стандартным тарифам. Пользовательские правила формируются при помощи AWS Lambda. Плата за использование AWS Lambda взимается по стандартным тарифам.

Включены ли в стоимость сервиса Config Rules расходы на функции AWS Lambda?

Правила можно выбирать из набора правил, предоставляемых AWS, или создать свои собственные правила в виде функций AWS Lambda. Управляемые правила полностью создаются и обслуживаются AWS и не требуют дополнительных затрат на AWS Lambda для их работы. Просто активируйте управляемые правила, введите любые необходимые параметры и платите по единому тарифу за каждое правило AWS Config. С другой стороны, управляемый пользователем правила дают более полный контроль за исполнением этих правил в качестве функций AWS Lambda в аккаунте пользователя. К управляемым пользователем правилам в дополнение к ежемесячной плате за каждое активное правило применяются условия стандартного уровня бесплатного пользования AWS Lambda* и тарифы на выполнение функций.

* Уровень бесплатного пользования AWS недоступен в регионах AWS Китай (Пекин) и Китай (Нинся)

Не могли бы вы описать составляющие расходов на примере?

Пример расчета стоимости 1.

Допустим, вы записываете 1000 единиц конфигурации в месяц и используете 15 активных правил в регионе Сев. Вирджиния. Расходы за месяц будут рассчитываться следующим образом.

Стоимость AWS Config: 1000 x 0,003 USD = 3,00 USD

Правила AWS Config:

2,00 USD за каждое активное правило AWS Config из первых 10 правил в регионе Восток США (Сев. Вирджиния): 10 x 2,00 USD = 20,00 USD

1,50 USD за каждое активное правило AWS Config из последующих 40 правил в регионе Восток США (Сев. Вирджиния): 5 x 1,50 USD = 7,50 USD

Общая стоимость AWS Config за месяц = 30,50 USD

Пример расчета стоимости 2.

Допустим, вы записываете 1000 единиц конфигурации в месяц, используете 100 активных правил в регионе Сев. Вирджиния и 400 единиц конфигурации с 5 активными правилами в регионе ЕС (Ирландия). Расходы за месяц будут рассчитываться следующим образом.

Стоимость AWS Config (Сев. Вирджиния): 1000 x 0,003 USD = 3,00 USD

Правила AWS Config (Сев. Вирджиния):

2,00 USD за каждое активное правило AWS Config из первых 10 правил в регионе Восток США (Сев. Вирджиния): 10 x 2,00 USD = 20,00 USD

1,50 USD за каждое активное правило AWS Config из последующих 40 правил в регионе Восток США (Сев. Вирджиния): 40 x 1,50 USD = 60,00 USD

1,00 USD за каждое активное правило AWS Config при наличии более 50 правил в регионе Восток США (Сев. Вирджиния): 50 x 1,00 USD = 50,00 USD

Стоимость AWS Config (ЕС Ирландия): 400 x 0,003 USD = 1,20 USD

2,00 USD за каждое активное правило AWS Config из первых 10 правил в регионе ЕС (Ирландия): 5 x 2,00 USD = 10,00 USD

Общая стоимость AWS Config за месяц = 144,20 USD

Какие решения партнеров AWS доступны для AWS Config?

Партнеры, предоставляющие взаимосвязанную систему сервисов, такие как Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks и RedHat CloudForms, предлагают решения, которые полностью интегрированы с данными AWS Config. Поставщики управляемых услуг, такие как 2nd Watch и CloudNexa, также объявили об интеграции с AWS Config. Кроме того, такие партнеры, как CloudHealth Technologies, AlertLogic и TrendMicro предоставляют нашим клиентам возможность использовать интегрированные решения для работы с сервисом Config Rules. Эти решения включают в себя такие возможности, как управление изменениями и анализ безопасности. Они также позволяют визуализировать и контролировать конфигурации ресурсов AWS и осуществлять управление ими.

Дополнительные сведения см. на странице Решения от партнеров для AWS Config.