Что представляет собой AWS Config?

AWS Config – это полностью управляемый сервис учета ваших ресурсов в AWS, журнала конфигурации и оповещений об изменениях в конфигурации для обеспечения безопасности и организации управления. С AWS Config можно обнаруживать существующие ресурсы в AWS, экспортировать полный реестр ваших ресурсов в AWS со всеми параметрами конфигурации и определить, как ресурс был настроен в любой момент времени. Благодаря этим функциям становятся возможными анализ безопасности, прослеживание изменения конфигурации ресурсов, аудит соответствия и диагностика неполадок.

Что такое правило Config Rules?

Правило Config Rule представляет собой требование определенной конфигурации для ресурса. При изменении конфигурации на соответствующих ресурсах выполняется ее сравнение с правилами, сохраненными в AWS Config. Результаты применения правил конфигурации ресурса выводятся на панели управления. При помощи Config Rules можно оценить общее соответствие требованиям и возможные риски в отношении конфигурации, проследить тенденции соответствия с течением времени и точно определить, какое изменение конфигурации привело к расхождению ресурса с соответствующим правилом.

Каковы преимущества использования сервиса AWS Config?

AWS Config позволяет легко отслеживать конфигурацию ваших ресурсов без предварительных капиталовложений, а также избежать сложностей при установке и обновлении агентов для сбора данных или поддержании больших баз данных. После включения AWS Config вы можете просматривать непрерывно обновляемые сведения о всех значениях конфигурации, связанных с ресурсами AWS. С помощью службы Amazon Simple Notification Service (SNS) вы будете получать оповещения о каждом изменении конфигурации.

 

Как AWS Config может помочь с проведением аудита?

AWS Config предоставляет доступ к журналу конфигурации. Вы можете связать изменения конфигурации с событиями AWS CloudTrail, которые, возможно, способствовали изменению конфигурации. Эта информация обеспечивает полную наглядность процессов, начиная с ответов на вопросы о том, кто внес изменения и с какого IP-адреса,  и до понимания того, какое влияние оказали эти изменения на ресурсы AWS и сопутствующие ресурсы. Эту информацию можно использовать для создания отчетов с целью аудита и оценки соответствия нормативным требованиям в течение определенного периода времени.

Кому следует использовать AWS Config и Config Rules?

Использование этих средств для непрерывной оценки конфигурации ресурсов обеспечит преимущества для любого клиента AWS, который стремится к улучшению безопасности и оптимизации управления. Администраторы крупных организаций, которые формируют рекомендации по настройке корпоративных ресурсов, могут с помощью Config Rules создать свои правила и предоставить пользователям возможность самостоятельной проверки на соответствие им. Config Rules пригодятся и специалистам по информационной безопасности, которые анализируют активность использования ресурсов и их конфигурацию на предмет возможных уязвимостей. Клиенты, рабочие процессы которых должны отвечать определенным стандартам (например, PCI-DSS или HIPAA), могут использовать эту возможность для оценки их конфигураций инфраструктуры AWS на предмет соответствия требованиям и создания отчетов для аудиторов. Операторы, управляющие большой инфраструктурой AWS или часто изменяемыми компонентами, также ощутят преимущества использования Config Rules при устранении проблем. Сервис AWS Config следует включить и пользователям, желающим отслеживать настройки и изменения конфигурации ресурсов и получать данные о состоянии соответствия требованиям для решения проблем или анализа безопасности.

Дает ли этот сервис гарантию того, что конфигурации никогда не будут выходить за рамки соответствия?

Config Rules предоставляет информацию о том, соответствуют ли ресурсы выбранным пользователем правилам конфигурации. Сервис применяет правила, как только обновленные конфигурационные единицы (CI) для ресурса доступны в пределах AWS Config. Это не дает гарантии, что ресурсы будут соответствовать требованиям, и не ограждает от действий пользователей, противоречащих правилам. Config Rules не выполняет автоматического приведения несоответствующих ресурсов в соответствие с требованиями.

Защищает ли данный сервис от действий пользователей, противоречащих правилам?

Config Rules не имеет прямого влияния на использование AWS конечными пользователями. Он выполняет применение правил к конфигурации ресурса только после того, как изменение в конфигурации было завершено и зафиксировано AWS Config. Config Rules не предотвращает внесение пользователем изменений, которые могут не соответствовать правилам. Для контроля за доступом пользователя к выделению ресурсов AWS и разрешенными параметрами конфигурации рекомендуется использовать политики AWS Identity and Access Management (IAM) и AWS Service Catalog соответственно.

Можно ли провести оценку соответствия правилам перед выделением ресурса?

Config Rules применяет правила для выявления соответствия после того, как конфигурационная единица (CI) для ресурса зарегистрирована с помощью AWS Config. Сервис не выполняет оценку соответствия до выделения ресурса или до применения изменений в конфигурации ресурса.

Как AWS Config работает с Amazon CloudTrail?

AWS CloudTrail записывает все вызовы API для вашего аккаунта и позволяет получить доступ к информации об этих действиях. Вы получаете полную информацию о действиях, выполненных с помощью API: идентификационные данные оператора, время вызова API, параметры запроса и ответные данные, возвращенные сервисом AWS. AWS Config записывает данные конфигурации ваших ресурсов AWS на определенный момент времени в виде конфигурационных единиц (CI). CI можно использовать для ответа на вопрос, как выглядел тот или иной ресурс AWS.  в определенный момент времени. AWS CloudTrail можно использовать для ответа на вопрос, кто осуществлял вызов API для изменения того или иного ресурса. Например, с помощью Консоли управления AWS для AWS Config можно выяснить, что в какой-то момент времени группе безопасности Production-DB были заданы неправильные настройки. Используя связанную информацию AWS CloudTrail, можно определить пользователя, который неправильно настроил группу безопасности Production-DB.

 

Начните работать с AWS бесплатно

Создать бесплатный аккаунт

 

Получите доступ к уровню бесплатного пользования AWS на двенадцать месяцев и используйте возможности базовой поддержки AWS Support, в том числе круглосуточный доступ к сервису поддержки клиентов, форумы поддержки и многое другое.

Подробнее об AWS Config Rules (режим ознакомления).

Как начать пользоваться этим сервисом?

Быстрее всего начать работу с AWS Config из Консоли управления AWS. Сервис AWS Config можно активировать с помощью нескольких щелчков мыши. Дополнительные сведения см. в документации по началу работы.

Как получить доступ к конфигурации моих ресурсов?

Информацию о текущей и предыдущих конфигурациях ресурсов можно получить в Консоли управления AWS, посредством интерфейса командной строки или SDK.

Дополнительные сведения см. в документации AWS Config.

Включение AWS Config выполняется отдельно для каждого региона или сразу для всего мира?

Вы включаете AWS Config в своем аккаунте отдельно для каждого региона.

Может ли AWS Config собирать данные из разных аккаунтов AWS?

Да, вы можете настроить AWS Config для доставки данных об изменениях конфигурации из различных аккаунтов в одну корзину S3, если для корзины S3 настроены соответствующие политики IAM. В пределах одного региона вы также можете публиковать оповещения в одной теме SNS, как только к этой теме будут применены соответствующие политики IAM.

Записываются ли действия с API, выполняемые в самом сервисе AWS Config, с помощью AWS CloudTrail?

Да. Все действия с API, выполняемые в AWS Config, включая использование API AWS Config для считывания данных конфигурации, регистрируются сервисом AWS CloudTrail.

Какое время и часовой пояс отображается в представлении временной шкалы ресурса? Учитывается ли переход на летнее время?

AWS Config отображает время, в которое элементы конфигурации (CI) были записаны для ресурса на шкале времени. Все значения времени фиксируются по всемирному скоординированному времени (UTC). Когда шкала времени отображается в консоли управления, для отображения всех моментов времени в представлении временной шкалы сервисы используют текущий часовой пояс (с поправкой на летнее время, если применимо).

Что такое конфигурация ресурса?

Конфигурация ресурса определяется данными, содержащимися в единице конфигурации (CI) AWS Config. Первоначальное применение Config Rules открывает CI ресурса для применения соответствующих правил. Config Rules может использовать эту информацию наряду с любой другой соответствующей информацией (данными другого связанного ресурса, рабочим временем и т. п.). для оценки соответствия конфигурации ресурса.

Что такое правило?

Правило представляет собой требуемые значения атрибутов единицы конфигурации для ресурсов и оценивается путем сравнения этих значений атрибутов с единицами конфигурации, записанными AWS Config. Существует два типа правил.

Правила, управляемые AWS: эти правила предварительно настроены и находятся под контролем AWS. Вы просто выбираете правило, которое необходимо активировать, после чего вводите несколько параметров конфигурации для начала работы. Подробнее »

Правила, управляемые пользователем: эти правила создаются и настраиваются пользователем. Можно создать функцию в AWS Lambda для выполнения в вашем аккаунте, и она будет вызываться как часть пользовательского правила. Подробнее »

Быстрее всего начать работу с AWS Config можно в Консоли управления AWS. Сервис AWS Config можно активировать с помощью нескольких щелчков мыши. Дополнительные сведения см. в документации по началу работы.

Как создаются правила?

Обычно правила настраиваются администратором аккаунта AWS. Они могут создаваться с помощью применения управляемых AWS правил (заранее настроенных правил, предоставляемых AWS) или с помощью пользовательских правил. Обновления правил, управляемых AWS, автоматически применяются к любому аккаунту, использующему данное правило. В модели с пользовательским управлением пользователь имеет полные права на правило и выполняет его в пределах собственного аккаунта. Такие правила обслуживаются самим пользователем.

Сколько правил можно создать?

По умолчанию для одного аккаунта AWS можно создать 50 правил. Кроме того, можно запросить увеличение предельного количества правил для аккаунта на странице Лимиты для сервисов AWS.

Как происходит применение правил?

Любое правило может быть настроено для применения после изменения конфигурации или периодического применения. Правило, применяемое после изменений, активируется, если AWS Config регистрирует изменение в конфигурации для любого из указанных ресурсов. В дополнение к этому, необходимо указать один из следующих параметров.

Тег Key (необязательное значение): тег key:value подразумевает, что любые изменения конфигурации, зарегистрированные для ресурсов с указанным тегом key:value, инициируют применение данного правила.

Типы ресурсов: любые изменения, зарегистрированные для любых ресурсов указанных типов, инициируют применение данного правила.

ID ресурса: любые изменения, зарегистрированные для ресурса c определенным типом и ID ресурса, инициируют применение данного правила.

Периодическое правило инициируется с заданным интервалом. Доступные интервалы: 1 ч, 3 ч, 6 ч, 12 ч или 24 ч. Периодическое правило создает полный снимок состояния текущих единиц конфигурации (CI) для всех ресурсов, к которым данное правило применимо.

Что подразумевает применение правила?

Применение правила определяет, соответствует ли состояние ресурса в определенный момент времени заданному правилу. Это является результатом сравнения правила с конфигурацией ресурса. Config Rules перехватывает и хранит результаты каждого применения правила. Результаты включают в себя ресурс, правило, время применения и ссылку на единицу конфигурации (CI), в которой выявлено несоответствие.

Что означает соответствие?

Ресурс является соответствующим, если он соответствует всем применимым к нему правилам. В противном случае он является несоответствующим. Аналогичным образом, правило является соответствующим, если все ресурсы, охваченный данным правилом, соответствуют его требованиям. В противном случае он является несоответствующим. В некоторых случаях, например, когда для правила заданы несоответствующие разрешения, оно не может быть применено к определенному ресурсу, что приводит к состоянию недостаточности данных. Такое состояние исключается из определения статуса соответствия ресурса или правила.

Какую информацию предоставляет панель управления Config Rules?

Панель управления Config Rules обеспечивает обзор ресурсов, отслеживаемых AWS Config, и сводные данные о текущем соответствии по ресурсу и правилу. При просмотре соответствия по ресурсу, можно определить, есть ли в данный момент несоответствие какому-либо правилу, применимому к данному ресурсу. Можно просматривать соответствие по правилу, получая информацию о том, не является ли какой-либо ресурс в области действия данного правила несоответствующим. При помощи таких просмотров сводных данных можно глубже исследовать ресурсы Config для определения того, какие параметры конфигурации изменились с течением времени. Панель управления позволяет начать с общего обзора и погрузиться в более узкие отчеты, которые дадут полную информацию о динамике состояний соответствия и о том, какие изменения стали причиной несоответствия.

Какие типы ресурсов AWS охватывает AWS Config?

Полный перечень поддерживаемых типов ресурсов см. в нашей документации.

В каких регионах доступен сервис AWS Config?

Для получения подробной информации о регионах, в которых доступен сервис AWS Config, посетите следующую страницу:

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

 

Что такое конфигурационная единица?

Конфигурационная единица (CI) – это конфигурация ресурса в заданный момент времени. Конфигурационная единица состоит из 5 частей.

  1. Основная информация о ресурсе, которая является общей для различных типов ресурсов (например имена ресурсов Amazon и теги).
  2. Данные конфигурации, характерные для ресурса (например тип инстанса EC2).
  3. Схема связи с другими ресурсами (например том EC2 vol-3434df43 подключен к инстансу EC2 i-3432ee3a).
  4. Идентификаторы событий AWS CloudTrail, которые связаны с этим состоянием.
  5. Метаданные, которые помогают вам определить информацию о конфигурационной единице, например ее версию, а также момент захвата.

Подробнее о единицах конфигурации

Что такое связи AWS Config и для чего они используются?

При записи изменений AWS Config учитывает связи между ресурсами. Например, если новая группа безопасности Amazon EC2 связана с инстансом Amazon EC2, то при изменении этих ресурсов AWS Config записывает обновленные конфигурации как основного ресурса (группы безопасности Amazon EC2), так и связанного ресурса (инстанса Amazon EC2).

Записывает ли AWS Config каждое состояние, в котором находился ресурс?

AWS Config обнаруживает изменение в конфигурации ресурса и записывает состояние конфигурации, полученное в результате этого изменения. Если за короткий промежуток времени (например в течение нескольких минут) произошло несколько изменений в конфигурации ресурса, Config запишет только последнюю конфигурацию для этого ресурса, которая будет представлять собой совокупный результат влияния нескольких изменений. В подобных ситуациях Config будет отображать в поле элемента конфигурации relatedEvents только последние изменения. Это позволяет пользователям и программам продолжать изменять конфигурацию инфраструктуры без необходимости ждать, пока Config запишет промежуточные переходные состояния.

Записывает ли AWS Config изменения конфигурации, которые произошли не в результате действий с API для этого ресурса?

Да, AWS Config регулярно сканирует конфигурацию ресурсов для обнаружения изменений, которые еще не были записаны, и записывает эти изменения. В конфигурационных единицах, записанных в результате такого сканирования, не будет заполнено поле relatedEvent , при этом будет фиксироваться только последнее состояние, которое отличается от ранее записанного состояния.

Регистрирует ли AWS Config изменения конфигураций ПО в инстансах EC2?
Да. AWS Config позволяет регистрировать изменения конфигураций ПО на инстансах EC2, запущенных от имени аккаунта пользователя, а также на виртуальных машинах (ВМ) или серверах в локальной среде. Данные конфигурации, регистрируемые AWS Config, включают обновления операционной системы, сетевые конфигурации, установленные приложения и т. д. С помощью AWS Config Rules можно оценить, соответствуют ли инстансы, ВМ и серверы предъявляемым требованиям. Возможности наглядного представления и непрерывного мониторинга, предоставляемые AWS Config, позволяют оценивать соответствие требованиям и устранять текущие проблемы.

Будет ли AWS Config продолжать отправлять уведомления, если ресурс, который ранее не соответствовал требованиям, после очередной проверки по-прежнему не соответствует требованиям? AWS Config отправляет уведомления только в случае, когда меняется статус соответствия требованиям. Если ранее ресурс не соответствовал требованиям и при проверке это состояние подтверждается, новые уведомления Config отправляться не будут. Если же ресурс изменит свой статус и будет признан соответствующим требованиям, пользователь получит уведомление о таком изменении статуса.

Можно ли пометить ресурсы для оценки на соответствие правилам Config или освободить определенные ресурсы от такой проверки? При настройке правил Config можно указать, что правило должно выполнять оценку только определенных типов ресурсов или ресурсов с определенным тегом.

Каков принцип оплаты пользования этим сервисом?

При использовании AWS Config стоимость рассчитывается по количеству конфигурационных единиц (CI), записанных для поддерживаемых ресурсов вашего аккаунта AWS. За запись CI плата взимается однократно. Хранение CI не подразумевает никаких дополнительных затрат или предварительных обязательств. Вы в любой момент можете прекратить запись CI с сохранением доступа к ранее записанным CI. Плата за CI включается в ваш ежемесячный счет. См. сведения о ценах.

При использовании AWS Config Rules плата начисляется исходя из количества активных правил Config Rules в отчетном месяце. При сравнении правила с ресурсом AWS результат записывается как применение. Правило считается активным, если оно применяется не менее одного раза в месяц.

Снимки состояния конфигурации и файлы журнала конфигурации сохраняются в выбранную вами корзину сервиса Amazon S3, а оповещения об изменениях в конфигурации доставляются с помощью сервиса Amazon Simple Notification Service (SNS). Плата за использование Amazon S3 и Amazon SNS взимается по стандартным тарифам. Пользовательские правила формируются при помощи AWS Lambda. Плата за использование AWS Lambda взимается по стандартным тарифам.

Включены ли в стоимость сервиса Config Rules расходы на функции AWS Lambda?

Правила можно выбирать из набора правил, предоставляемых AWS, или создать свои собственные правила в виде функций AWS Lambda. Управляемые правила полностью создаются и обслуживаются AWS и не требуют дополнительных затрат на AWS Lambda для их работы. Просто активируйте управляемые правила, введите любые необходимые параметры и платите по единому тарифу за каждое правило AWS Config. С другой стороны, управляемый пользователем правила дают более полный контроль за исполнением этих правил в качестве функций AWS Lambda в аккаунте пользователя. Тарифы стандартного уровня бесплатного пользования AWS Lambda и стоимость выполнения функций применяются к управляемым пользователем правилам в дополнение к ежемесячной оплате за каждое активное правило.

Что такое распределенная квота Config Rules?

Вы получаете квоту в 20 000 применений на каждое активное правило в месяц. Например, если у вас есть 3 правила Config Rules, вы получаете квоту в 60 000 применений для своего аккаунта. Вы можете распределять это количество между своими правилами произвольным образом.

Переносятся ли неиспользованные применения на следующий месяц?

Неиспользованные применения прекращают действие и сбрасываются по истечении каждого расчетного периода пользования.

Не могли бы вы описать составляющие расходов на примере?

Пример стоимости 1.
AWS Config регистрирует каждый ресурс AWS и изменение конфигурации в качестве единицы конфигурации (CI). Предположим, вы записываете 7 000 единиц конфигурации в месяц и создали 5 активных правил (2 периодических и 3 правила, инициируемых изменениями), с общим объемом отчетности в 150 применений в день.

Стоимость AWS Config: 7 000 * 0,003 USD = 21,00 USD
Стоимость 5 активных правил = 5 * 2,00 USD = 10,00 USD

Квота на применение = 5 * 20 000 = 100 000
Количество использованных применений = 150 применений * 30 дней = 4500 применений в месяц
Дополнительная плата по результатам применения = 0,0 USD

Общая стоимость AWS Config за месяц = 31,00 USD

Плата за пользование сервисом рассчитывается по количеству конфигурационных единиц, записанных вашими ресурсами. Она зависит от количества ресурсов в вашем аккаунте, а также от числа изменений конфигурации, которое вы осуществляете для этих ресурсов. Для аккаунта с несколькими сотнями ресурсов, а также типичными действиями по изменению конфигураций, AWS Config будет захватывать менее 3000 CI в месяц, что составит менее 9 USD в месяц.


Пример стоимости 2:
Предположим, вы записываете 50 000 единиц конфигурации в месяц и создали 2 активных правила, каждое из которых оценивается по каждой единице конфигурации и каждый раз дает отчет о результатах.

Стоимость AWS Config: 50 000 * 0,003 USD = 150,00 USD
Стоимость двух активных правил = 2 * 2,00 USD = 4,00 USD

Квота на применение = 2 * 20 000 = 40 000
Количество использованных применений = 2 * 50 000 = 100 000
Дополнительная плата по результатам применения = (100 000 – 40 000) = 60 000 * 0,0001 = 6,00 USD

Общая стоимость AWS Config за месяц = 150,00 USD + 4,00 USD + 6,00 USD = 160,00 USD

Какие решения партнеров AWS доступны для AWS Config?

Партнеры, предоставляющие взаимосвязанную систему сервисов, такие как Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks и RedHat CloudForms, предлагают решения, которые полностью интегрированы с данными AWS Config. Поставщики управляемых услуг, такие как 2nd Watch и CloudNexa, также объявили об интеграции с AWS Config. Кроме того, такие партнеры, как CloudHealth Technologies, AlertLogic и TrendMicro предоставляют нашим клиентам возможность использовать интегрированные решения для работы с сервисом Config Rules. Эти решения включают в себя такие возможности, как управление изменениями и анализ безопасности. Они также позволяют визуализировать и контролировать конфигурации ресурсов AWS и осуществлять управление ими.

Дополнительные сведения см. на странице Решения от партнеров для AWS Config.