Общие вопросы

Вопрос. Что такое AWS Config?

AWS Config – это полностью управляемый сервис, который ведет учет ресурсов, предоставляет оповещения об изменениях конфигурации и ведет журнал таких изменений для обеспечения безопасности и организации управления. С AWS Config можно обнаруживать существующие ресурсы в AWS, записывать конфигурации для сторонних ресурсов, экспортировать полный реестр используемых ресурсов со всеми параметрами конфигурации и определять, как ресурс был настроен в любой момент времени. Благодаря этому становится возможным анализ безопасности, прослеживание изменения конфигурации ресурсов, аудит соответствия и диагностика неполадок.

Вопрос. Что такое правило AWS Config?

Правило AWS Config представляет собой требование определенной конфигурации для ресурса. При изменении конфигурации на соответствующих ресурсах выполняется ее сравнение с правилами, сохраненными в AWS Config. Результаты применения правил конфигурации ресурса выводятся на панели управления. С помощью правил AWS Config можно оценить общее соответствие требованиям и возможные риски в отношении конфигурации, проследить тенденции соответствия с течением времени и точно определить, какое изменение конфигурации привело к расхождению ресурса с соответствующим правилом.

Вопрос. Что такое пакет соответствия?

Пакетом соответствия называет набор правил AWS Config и действий по исправлению, которые собраны в единую модель упаковки на общей платформе AWS Config. Собрав перечисленные выше артефакты AWS Config в пакет, вы значительно упростите развертывание и отчетность по политикам нормативного регулирования и соответствия требованиям, применяемые к нескольким аккаунтам и регионам, а также сократите время пребывания ресурсов в состояниях, не обеспечивающих соответствие.

Вопрос. Каковы преимущества использования сервиса AWS Config?

AWS Config позволяет отслеживать конфигурацию ресурсов просто и без предварительных капиталовложений, а также избегать сложностей при установке и обновлении агентов для сбора данных или обслуживании больших баз данных. После включения AWS Config можно просматривать непрерывно обновляемые сведения обо всех значениях конфигурации, связанных с ресурсами AWS. С помощью Простого сервиса уведомлений Amazon (SNS) клиентам отправляются оповещения о каждом изменении конфигурации.

Вопрос: Как AWS Config может помочь с проведением аудита?

AWS Config предоставляет доступ к истории изменения конфигурации ресурсов. Это позволяет связать изменения конфигурации с событиями AWS CloudTrail, которые, возможно, способствовали изменению конфигурации. Такая информация обеспечивает полную прозрачность процессов, начиная с ответов на вопросы о том, кто внес изменения и с какого IP‑адреса, и до понимания того, какое влияние оказали эти изменения на ресурсы AWS и сопутствующие ресурсы. Эту информацию можно использовать для создания отчетов с целью аудита и оценки соответствия требованиям за определенный период.

Вопрос. Кому следует использовать AWS Config и правила AWS Config?

Использование этих средств для непрерывной оценки конфигурации ресурсов обеспечит преимущества любому клиенту AWS, который стремится к улучшению безопасности и оптимизации управления. Администраторы крупных организаций, которые формируют рекомендации по настройке корпоративных ресурсов, могут с помощью правил AWS Config создать свои правила и предоставить пользователям возможность самостоятельной проверки на соответствие им. Правила AWS Config пригодятся и специалистам по информационной безопасности, которые анализируют использование ресурсов и их конфигурацию на предмет возможных уязвимостей. Если ваши рабочие процессы должны отвечать определенным стандартам (например, PCI‑DSS или HIPAA), вы можете использовать эту возможность для оценки их конфигураций инфраструктуры AWS на предмет соответствия требованиям и создания отчетов для аудиторов. Операторы, которые управляют крупными инфраструктурами или компонентами AWS, подверженными частым изменениям, могут использовать правила AWS Config для выявления и устранения сбоев. AWS Config рекомендуется использовать, если вы хотите отслеживать изменения в конфигурации ресурсов, знать ответы на вопросы о конфигурации ресурсов, демонстрировать соответствие нормативным требованиям, устранять неполадки или выполнять анализ безопасности.

Вопрос. Кому следует использовать пакеты соответствия AWS Config?

Если вы ищете платформу для создания и развертывания пакетов соответствия для конфигураций ресурсов AWS в нескольких аккаунтах, вам следует использовать пакеты соответствия. Эта платформа позволит создавать персонализированные пакеты для подразделений безопасности, DevOps и т. п., а вы сможете быстро приступить к работе с помощью шаблонов для пакетов соответствия.

Вопрос. Дает ли этот сервис гарантию того, что конфигурации никогда не будут выходить за рамки установленных требований?

Правила AWS Config и пакеты соответствия предоставляют информацию о том, соответствуют ли ресурсы выбранным пользователем правилам конфигурации. Они сравнивают конфигурацию ресурса с заданными правилами AWS Config по заданному расписанию и (или) при обнаружении изменений конфигурации. Это поведение вы можете определить при настройке правил. Правила не дают гарантии, что ресурсы будут соответствовать требованиям, и не ограждают от действий пользователей, противоречащих правилам. Но они могут возвращать ресурсы, не соответствующие требованиям, в состояние соответствия благодаря действиям по исправлению, которые можно настроить для каждого правила AWS Config.

Вопрос. Защищает ли данный сервис от действий пользователей, противоречащих правилам?

Правила AWS Config не влияют напрямую на использование AWS конечными пользователями. Правила AWS Config выполняют применение правил к конфигурации ресурса только после того, как изменение в конфигурации было завершено и зафиксировано AWS Config. Правила AWS Config не предотвращает внесение пользователем изменений, которые могут не соответствовать правилам. Для контроля за доступом пользователя к выделению ресурсов AWS и разрешенными параметрами конфигурации выделяемых ресурсов рекомендуется использовать Управление идентификацией и доступом AWS (IAM) и Каталог сервисов AWS соответственно.

Вопрос. Можно ли провести оценку соответствия правилам перед выделением ресурса?

Да, правила AWS Config можно настроить только на проактивный, только на детективный или на проактивный и детективный режимы. Полный список этих правил см. в документации.

Вопрос. Я уже использую правила AWS Config для своих ресурсов после предоставления. Как использовать те же правила в проактивном режиме?

Можно использовать существующий API PutConfigRule или консоль AWS Config, чтобы включить проактивный режим для правила AWS Config в своем аккаунте.

Вопрос. Может ли AWS Config записывать конфигурации ресурсов в локальной среде или в других облаках?

AWS Config помогает записывать конфигурации сторонних ресурсов или настраиваемых типов ресурсов, таких как локальные серверы, инструменты мониторинга модели «программное обеспечение как услуга» (SaaS) и системы контроля версий. Для этого необходимо создать схему поставщика ресурсов, которая согласуется с конфигурацией типа ресурса и проверяет ее. Необходимо зарегистрировать собственный ресурс с помощью AWS CloudFormation или инструмента модели «инфраструктура как код» (iAC).

Если вы настроили AWS Config для записи всех типов ресурсов, сторонние ресурсы, которыми управляют (создают, обновляют или удаляют) через AWS CloudFormation, автоматически отслеживаются в AWS Config как единицы конфигурации. Чтобы подробнее ознакомиться с шагами, необходимыми для этого, и понять, в каких регионах AWS это доступно, см. это руководство по AWS Config для разработчиков.

Вопрос. Как AWS Config работает с AWS CloudTrail?

AWS CloudTrail записывает все вызовы API для аккаунта и позволяет получить доступ к информации об этих действиях. Сервис предоставляет полную информацию о действиях, выполненных с помощью API: идентификационные данные оператора, время вызова API, параметры запроса и ответные данные, возвращенные сервисом AWS. AWS Config записывает данные конфигурации используемых ресурсов AWS на определенный момент времени в виде единиц конфигурации (CI). CI можно использовать для ответа на вопрос, как выглядел тот или иной ресурс AWS в определенный момент времени. CloudTrail можно использовать для ответа на вопрос, кто выполнил вызов API для изменения того или иного ресурса. Например, с помощью Консоли управления AWS для AWS Config можно выяснить, что в какой‑то момент времени группе безопасности Production‑DB были заданы неправильные настройки. Используя связанную информацию CloudTrail, можно определить пользователя, который неправильно настроил группу безопасности Production‑DB.

Вопрос. Можно ли централизованно контролировать соответствие требованиям для разных аккаунтов и регионов из одного аккаунта?

AWS Config позволяет без труда отслеживать статус соответствия требованиям для разных аккаунтов и регионов с помощью возможности сбора данных по нескольким аккаунтам и регионам. Можно создать агрегатор конфигурации в любом аккаунте и собирать данные о соответствии требованиям из других аккаунтов. Эта возможность также интегрирована с Организациями AWS, что позволяет собирать данные из всех аккаунтов организации.

Вопрос: Можно ли подключить инстансы ServiceNow и Jira Service Desk к AWS Config?

Да. С помощью Коннектора управления сервисами AWS для ServiceNow и Jira Service Desk пользователи ServiceNow и Jira Service Desk могут выделять ресурсы AWS, управлять ими и работать с ними непосредственно через ServiceNow и Jira Service Desk. Пользователи ServiceNow могут отслеживать ресурсы в представлении единиц конфигурации на базе AWS Config при помощи ServiceNow и Коннектора управления сервисами AWS. Пользователи Jira Service Desk могут отслеживать ресурсы в рамках запроса задач с помощью AWS Service Management Connector. Это упрощает запрос продуктов AWS для пользователей ServiceNow и Jira Service Desk и позволяет администраторам ServiceNow и Jira Service Desk управлять продуктами AWS и контролировать их использование.

Коннектор управления сервисами AWS для ServiceNow доступен бесплатно в магазине ServiceNow Store. Эта новая возможность является общедоступной во всех регионах AWS, где предоставляется Каталог сервисов AWS. Дополнительные сведения см. в документации.

Коннектор управления сервисами AWS для Jira Service Desk доступен бесплатно в магазине Atlassian Marketplace. Эта новая возможность является общедоступной во всех регионах AWS, где предоставляется Каталог сервисов AWS. Дополнительные сведения см. в документации.

Начало работы

Вопрос: Как начать работу с сервисом?

Быстрее всего начать работу с AWS Config можно в Консоли управления AWS. Включить AWS Config можно с помощью нескольких вариантов. Дополнительные сведения см. в документации по началу работы.

Вопрос. Как получить доступ к конфигурации ресурсов?

Информацию о текущей и предыдущих конфигурациях ресурсов можно получить в Консоли управления AWS, с помощью интерфейса командной строки или SDK.

Дополнительные сведения см. в документации AWS Config.

Вопрос. Включение AWS Config выполняется отдельно для каждого региона или глобально?

Включение AWS Config в аккаунте выполняется отдельно для каждого региона.

Вопрос. Может ли AWS Config собирать данные из разных аккаунтов AWS?

Да, AWS Config можно настроить для доставки данных об изменениях конфигурации из различных аккаунтов в одну корзину Простого сервиса хранения данных Amazon (S3), если для корзины Amazon S3 настроены соответствующие политики IAM. В пределах одного региона можно также публиковать оповещения в одной теме SNS, как только к этой теме будут применены соответствующие политики IAM.

Вопрос. Записываются ли операции API, выполняемые в самом сервисе AWS Config, с помощью CloudTrail?

Да. Все операции API, выполняемые в AWS Config, включая использование API AWS Config для считывания данных конфигурации, регистрируются сервисом AWS CloudTrail.

Вопрос: Какое время и часовой пояс отображается на временной шкале в представлении ресурса? Учитывается ли переход на летнее время?

AWS Config отображает время, в которое элементы конфигурации (CI) были записаны для ресурса, на шкале времени. Все значения времени фиксируются по всемирному скоординированному времени (UTC). Когда шкала времени отображается в консоли управления, для отображения всех моментов времени в представлении временной шкалы сервисы используют часовой пояс клиента (с поправкой на летнее время, если применимо).

Правила AWS Config

Вопрос. Что такое конфигурация ресурса?

Конфигурация ресурса определяется данными, содержащимися в единице конфигурации (CI) AWS Config. Первоначальное применение правил AWS Config открывает CI ресурса для применения соответствующих правил. Правила AWS Config могут использовать эту информацию наряду с любой другой соответствующей информацией (данными другого связанного ресурса и рабочим временем) для оценки соответствия конфигурации ресурса требованиям.

Вопрос. Что такое правило?

Правило представляет собой требуемые значения атрибутов единицы конфигурации для ресурсов и оценивается путем сравнения этих значений атрибутов с единицами конфигурации, записанными AWS Config. Существует два типа правил:

Правила, управляемые AWS: эти правила предварительно настроены и находятся под контролем AWS. Вы выбираете правило, которое необходимо активировать, после чего вводите несколько параметров конфигурации для начала работы. Подробнее »

Правила, управляемые пользователем: эти правила создаются и настраиваются пользователем. Сервис позволяет создать функцию в AWS Lambda для выполнения в соответствующем аккаунте, и она будет вызываться как часть пользовательского правила. Подробнее »

Быстрее всего начать работу с AWS Config можно в Консоли управления AWS. Включить AWS Config можно с помощью нескольких вариантов. Дополнительные сведения см. в документации по началу работы.

Вопрос: Как создаются правила?

Обычно правила настраиваются администратором аккаунта AWS. Они могут создаваться с помощью применения управляемых AWS правил (заранее настроенных правил, предоставляемых AWS) или с помощью пользовательских правил. Обновления правил, управляемых AWS, автоматически применяются к любому аккаунту, использующему данное правило. В модели с пользовательским управлением пользователи имеют полные права на правило и выполняют его в пределах собственных аккаунтов. Такие правила обслуживаются самими пользователями.

Вопрос. Сколько правил можно создать?

По умолчанию для одного аккаунта AWS можно создать 150 правил. Кроме того, можно запросить увеличение предельного количества правил для аккаунта на странице AWS Service Limits.

Вопрос. Как происходит применение правил?

Любое правило может быть настроено для применения после изменения конфигурации или для периодического применения. Правило, применяемое после изменений, применяется, если AWS Config регистрирует изменение в конфигурации для любого из указанных ресурсов. В дополнение к этому необходимо указать один из следующих параметров:

  • Тег в формате Key (обязательно):Value (необязательно). Тег key:value подразумевает, что любые изменения конфигурации, зарегистрированные для ресурсов с указанным тегом key:value, инициируют применение данного правила.
  • Тип(ы) ресурсов. Любые изменения, зарегистрированные для любых ресурсов указанных типов, инициируют применение данного правила.
  • ID ресурса. Любые изменения, зарегистрированные для ресурса c определенным типом и ID ресурса, инициируют применение данного правила.

Периодическое правило инициируется с заданным интервалом. Доступные интервалы: 1 час, 3 часа, 6 часов, 12 часов или 24 часа. Периодическое правило создает полный снимок состояния текущих единиц конфигурации (CI) для всех ресурсов, к которым данное правило применимо.

Вопрос: Что такое применение?

Применение правила определяет, соответствует ли состояние ресурса в определенный момент времени заданному правилу. Это является результатом сравнения правила с конфигурацией ресурса. Правила Config фиксируют и хранят результаты каждого применения правила. Результаты включают в себя ресурс, правило, время применения и ссылку на единицу конфигурации (CI), в которой выявлено несоответствие.

Вопрос. Что означает соответствие правилам?

Ресурс соответствует правилам, если он соблюдает все применимые к нему правила; в противном случае он не соответствует требованиям. Аналогичным образом, правило является соответствующим, если все ресурсы, охваченные данным правилом, соответствуют его требованиям; в противном случае он не соответствует требованиям. В некоторых случаях, например, когда для правила заданы несоответствующие разрешения, оно не может быть применено к определенному ресурсу, что приводит к состоянию недостаточности данных. Такое состояние исключается из определения статуса соответствия ресурса или правила.

Вопрос. Какую информацию предоставляет панель управления правил Config?

Панель управления правил AWS Config обеспечивает обзор ресурсов, отслеживаемых AWS Config, и сводные данные о текущем статусе соответствия по ресурсу и правилу. При просмотре соответствия по ресурсу можно определить, есть ли в данный момент несоответствие какому‑либо правилу, применимому к данному ресурсу. Можно просматривать соответствие по правилу, получая информацию о том, не является ли какой‑либо ресурс в области действия данного правила несоответствующим. С помощью таких просмотров сводных данных можно глубже исследовать ресурсы AWS Config для определения того, какие параметры конфигурации изменились с течением времени. Панель управления позволяет начать с общего обзора и погрузиться в более подробные отчеты, которые дадут полную информацию о динамике состояния соответствия и о том, какие изменения стали причиной несоответствия.

Пакеты соответствия

Вопрос. В каких случаях стоит использовать правила AWS Config вместо пакетов соответствия?

Вы можете использовать отдельные правила AWS Config для оценки конфигурации ресурсов на соответствие в одном или нескольких аккаунтах. Пакеты соответствия дают дополнительное преимущество, поскольку в них правила объединяются с действиями по исправлению в единую сущность, которую вы сможете распространять в масштабе всей организации одним вариантом. Пакеты соответствия предназначены для того, чтобы упростить управление соответствием и отчетность в больших масштабах, например при наличии нескольких аккаунтов. Пакеты соответствия разработаны для обеспечения совокупной отчетности о соответствии на уровне пакета и постоянства. Благодаря этому управляемые правила AWS Config и документы по устранению недостатков в пакете соответствия не подлежат изменению или удалению отдельными аккаунтами членов организации.

Вопрос. Каким образом AWS Config и правила AWS Config связаны с AWS Security Hub?

Центр безопасности AWS – это сервис безопасности и соответствия требованиям. Он обеспечивает управление безопасностью и принципами соответствия. Этот сервис использует AWS Config и правила AWS Config в качестве основного механизма оценки конфигурации ресурсов AWS. Правила AWS Config можно также использовать для непосредственной оценки конфигурации ресурсов. Правила AWS Config также используются другими сервисами AWS, например AWS Control Tower и Диспетчер брандмауэра AWS.

Вопрос. В каких случаях следует использовать пакеты соответствия Центра безопасности AWS и AWS Config?

Если стандарт соответствия, например PCI DSS, уже присутствует в Центре безопасности, тогда полностью управляемый Центр безопасности AWS является простым способом применения этого стандарта. Можно интегрировать Центр безопасности с Amazon Detective, чтобы проанализировать полученные данные, а также интегрировать Центр безопасности с Amazon EventBridge и создать автоматические или полуавтоматические действия по исправлению. Однако если необходимо создать собственный стандарт соответствия или безопасности, который может включать эксплуатационные проверки, а также проверки безопасности и оптимизации затрат, целесообразно использовать пакеты соответствия AWS Config. Пакеты соответствия AWS Config упрощают управление правилами AWS Config за счет объединения группы правил AWS Config и связанных действий по исправлению. Благодаря этому объединению упрощается развертывание правил и действий по исправлению в пределах организации. Кроме того, здесь имеется возможность составления сводных отчетов, поскольку сводки соответствия могут быть получены на уровне пакета. Для начала можно использовать образцы пакетов соответствия AWS Config, предоставляемые в сервисе, и настроить их по своему усмотрению.

Вопрос. Пакеты соответствия Центра безопасности и AWS Config поддерживают непрерывный контроль соответствия требованиям?

Да, пакеты соответствия Центра безопасности и AWS Config поддерживают непрерывный контроль соответствия требованиям, поскольку они основаны на использовании AWS Config и правил AWS Config. Используемые правила AWS Config могут запускаться периодически либо при обнаружении изменений в конфигурации ресурсов. Это позволяет непрерывно проводить аудит и оценку конфигураций ресурсов AWS на предмет общего соответствия установленным политикам и руководствам организации.

Вопрос: Как начать работу с пакетами соответствия?

Самым быстрым путем для начала работы будет создание пакета соответствия на основе одного из предоставленных нами шаблонов с помощью CLI или консоли AWS Config. Например, в число шаблонов входят операционные рекомендации для Amazon S3, Amazon DynamoDB и PCI. Эти шаблоны написаны на языке YAML. Вы можете скачать эти шаблоны с сайта документации и изменить их так, как потребуется для вашей среды, используя любой существующий текстовый редактор. Вы даже сможете добавить пользовательские правила AWS Config, которые вы уже включили в собственные пакет.

Вопрос. Является ли платным использование этой возможности в AWS Config?

Использование пакетов соответствия оплачивается по модели с гибким ценообразованием. Подробные сведения см. на странице цен на AWS Config.

Сбор данных по нескольким аккаунтам и регионам

Вопрос. Что такое сбор данных по нескольким аккаунтам и регионам?

Сбор данных в AWS Config позволяет объединить в одном аккаунте и одном регионе данные AWS Config из разных аккаунтов и регионов. Сбор данных по нескольким аккаунтам предоставляет центральным ИТ‑администраторам возможность отслеживать соответствие требованиям для всех аккаунтов AWS в масштабе компании.

Вопрос. Можно ли использовать возможность сбора данных для централизованного назначения правил AWS Config для разных аккаунтов?

Возможность сбора данных нельзя использовать для назначения правил для нескольких аккаунтов. Эта возможность предназначена исключительно для создания отчетов, позволяющих оценить соответствие требованиям. Назначать правила для нескольких аккаунтов и регионов можно с помощью AWS CloudFormation StackSets. Подробнее в блоге.

Вопрос. Как включить сбор данных в аккаунте?

Сбор данных можно включить после того, как для всех аккаунтов настроен сервис AWS Config и правила AWS Config. Для сбора данных необходимо создать агрегатор в центральном аккаунте. Подробнее.

Вопрос. Что такое агрегатор?

Агрегатор – это тип ресурса AWS Config, который собирает данные AWS Config из разных аккаунтов и регионов. Агрегатор можно использовать для просмотра данных AWS Config о конфигурации ресурсов и соответствии требованиям для нескольких аккаунтов и регионов.

Вопрос. Какую информацию дает сводное представление?

В сводном представлении приводится общее количество правил в масштабах всей организации, для которых обнаружены случаи несоответствия, пять правил, которым не соответствует наибольшее количество ресурсов, и пять аккаунтов AWS с наибольшим количеством правил, для которых обнаружены случаи несоответствия. Из сводной панели можно перейти к просмотру сведений о ресурсах, не соответствующих конкретному правилу, и к списку правил, нарушенных тем или иным аккаунтом.

Вопрос: Я не являюсь клиентом AWS Organizations. Могу ли я использовать возможность сбора данных?

Чтобы указать аккаунты, для которых необходимо собирать данные AWS Config, можно загрузить файл или ввести данные аккаунтов вручную. Так как эти аккаунты не входят в организацию AWS, необходимо явным образом авторизовать аккаунт агрегатора в каждом аккаунте. Подробнее.

Вопрос. У меня только один аккаунт. Могу ли я использовать возможность сбора данных?

Возможность сбора данных полезна также для сбора данных по нескольким регионам. Поэтому ее можно использовать в одном аккаунте для сбора данных AWS Config по разным регионам.

Вопрос. В каких регионах доступна возможность сбора данных по нескольким аккаунтам и регионам?

Подробнее о регионах, в которых доступен сбор данных с нескольких аккаунтов и регионов, см. в этом руководстве AWS Config для разработчиков.

Вопрос. Что делать, если в аккаунте есть регион, в котором эта возможность не поддерживается?

При создании агрегатора необходимо указать регионы, из которых можно собирать данные. В списке отображаются только те регионы, в которых доступна эта возможность. Кроме того, можно выбрать вариант «все регионы». В этом случае при добавлении поддержки других регионов сбор данных в них начнется автоматически.

Поддержка сервисов и регионов

Вопрос. Какие типы ресурсов AWS охватывает AWS Config?

Полный перечень поддерживаемых типов ресурсов см. в нашей документации.

Вопрос. В каких регионах доступен сервис AWS Config?

Дополнительные сведения о регионах AWS, в которых доступен AWS Config, см. в этой таблице.

Конфигурация ресурсов

Вопрос. Что такое единица конфигурации?

Единица конфигурации (CI) – это конфигурация ресурса в определенный момент времени. CI состоит из пяти разделов:

  1. Основная информация о ресурсе, которая является общей для различных типов ресурсов (например, имена ресурсов Amazon и теги).
  2. Данные конфигурации, характерные для ресурса (например, тип инстанса EC2).
  3. Схема связи с другими ресурсами (например, том EC2 vol‑3434df43 подключен к инстансу EC2 i‑3432ee3a).
  4. Идентификаторы событий CloudTrail, которые связаны с этим состоянием (только для ресурсов AWS).
  5. Метаданные, которые помогают определить информацию о конфигурационной единице, например ее версию, а также момент сохранения.

Подробнее о единицах конфигурации.

Вопрос: Что такое пользовательская единица конфигурации?

Пользовательской единицей конфигурации (Configuration Item, CI) называется CI, относящаяся к ресурсу сторонних поставщиков или к пользовательскому ресурсу. Сюда относятся, например, локальные базы данных, серверы Active Directory, GitHub и другие системы контроля версий, Datadog и другие сторонние средства мониторинга.

Вопрос: Что такое связи AWS Config и для чего они используются?

При записи изменений AWS Config учитывает связи между ресурсами. Например, если новая группа безопасности EC2 связана с инстансом EC2, при изменении этих ресурсов AWS Config записывает обновленные конфигурации как основного ресурса (группы безопасности EC2), так и связанного ресурса.

Вопрос. Записывает ли AWS Config каждое состояние, в котором находился ресурс?

AWS Config обнаруживает изменение в конфигурации ресурса и записывает состояние конфигурации, полученное в результате этого изменения. Если за короткий промежуток времени произошло несколько изменений в конфигурации ресурса, AWS Config запишет только последнюю конфигурацию для этого ресурса, которая будет представлять собой совокупный результат влияния нескольких изменений. В таких ситуациях в AWS Config будет отображаться только последнее изменение в поле relatedEvents единицы конфигурации. Это позволяет пользователям и программам непрерывно изменять конфигурации инфраструктуры, не дожидаясь записи промежуточных переходных состояний.

Вопрос. Как выбрать частоту записи изменений конфигурации в AWS Config?

Периодическая запись позволяет вам решить, как часто записывать изменения в вашей среде, сокращая количество часто меняющихся элементов конфигурации ресурсов. Вместо постоянного получения обновлений вы можете периодически записывать изменения конфигурации каждые 24 часа в соответствии со своими сценариями использования. 

Вопрос. В каких случаях следует использовать периодическую запись вместо непрерывной? 

Периодическая запись позволяет вам решить, как часто получать обновления конфигураций ресурсов. При включении AWS Config предоставляет последнюю конфигурацию ресурса только по истечении 24 часов, если она была изменена, что сокращает частоту обработки данных конфигурации и делает затраты на сбор этих данных более предсказуемыми для таких примеров использования, как операционное планирование и аудит. Если в области безопасности и соответствия требованиям вам нужно постоянный мониторинг ресурсов, следует использовать непрерывную запись.

Вопрос: Записывает ли AWS Config изменения конфигурации ресурса, которые произошли не в результате вызовов API?

Да, AWS Config регулярно сканирует конфигурацию ресурсов для обнаружения изменений, которые еще не были записаны, и записывает их. В единицах конфигурации, записанных в результате такого сканирования, не будет заполнено поле relatedEvent, при этом будет фиксироваться только последнее состояние, которое отличается от ранее записанного.

Вопрос: Регистрирует ли AWS Config изменения конфигураций ПО на инстансах EC2?

Да. AWS Config позволяет регистрировать изменения конфигураций ПО на инстансах EC2, запущенных от имени аккаунта пользователя, а также на виртуальных машинах (VM) или серверах в локальной среде. Данные конфигурации, регистрируемые AWS Config, включают обновления операционной системы, сетевые конфигурации и установленные приложения. С помощью правил AWS Config можно оценить, соответствуют ли инстансы, ВМ и серверы предъявляемым требованиям. Возможности наглядного представления и непрерывного мониторинга, предоставляемые AWS Config, позволяют оценивать соответствие требованиям и устранять текущие проблемы.

Вопрос: Будет ли AWS Config отправлять дальнейшие уведомления, если ресурс, который ранее не соответствовал требованиям, после очередной проверки по‑прежнему не соответствует требованиям?

AWS Config отправляет уведомления только в случае, когда меняется статус соответствия требованиям. Если ранее ресурс не соответствовал требованиям и при проверке это состояние подтверждается, новые уведомления AWS Config отправляться не будут. Если же ресурс изменит свой статус и будет признан соответствующим требованиям, пользователь получит уведомление о таком изменении статуса.

Вопрос. Можно ли обозначить ресурсы для оценки на соответствие правилам Config, освободить определенные ресурсы от такой проверки или исключить их?

Да, вы можете исключить ресурсы, перейдя на страницу Recorder Settings (Настройки рекордера) AWS Config в консоли, выбрав опцию Exclude Resource Types (Исключить типы ресурсов) и указав желаемые исключения. Кроме того, вы можете использовать API PutConfigurationRecorder для доступа к этой функции. Этот API отключит запись конфигурации для такого типа ресурсов. Также при настройке правил AWS Config можно указать, что правило должно выполнять оценку только определенных типов ресурсов или ресурсов с конкретным тегом.

Цены

Вопрос. Как оплачивается использование AWS Config?

При использовании AWS Config стоимость рассчитывается в зависимости от количества записанных единиц конфигурации и активных применений правил AWS Config в аккаунте. Единица конфигурации – это запись конфигурации ресурса в аккаунте AWS. AWS Config может обновлять элементы конфигурации в двух режимах: непрерывном и периодическом. В непрерывном режиме изменения конфигурации записываются и передаются при каждом изменении. Периодическая запись позволяет получать данные конфигурации каждые 24 часа, только если в ней происходили изменения. Применение правила AWS Config – это оценка ресурса с помощью правила AWS Config в аккаунте AWS на соответствие требованиям. Применением пакета соответствия считается любая оценка ресурса по одному правилу AWS Config, входящему в пакет соответствия. Дополнительные сведения и примеры вы найдете на странице https://aws.amazon.com/config/pricing/.

Вопрос. Включены ли в стоимость правил AWS Config расходы на функции AWS Lambda?

Правила можно выбирать из набора правил, предоставляемых AWS, или создать свои собственные правила в виде функций Lambda. Управляемые правила полностью обслуживаются AWS и не требуют дополнительных затрат на Lambda для их работы. Вы можете активировать управляемые правила, ввести любые необходимые параметры и платить по единому тарифу за каждое активное правило AWS Config за расчетный месяц. Пользовательские правила обеспечивают клиентам полный контроль, поскольку применяются в соответствующем аккаунте как функции Lambda. К управляемым пользователем правилам в дополнение к ежемесячной плате за каждое активное правило применяются условия стандартного уровня бесплатного пользования Lambda* и тарифы на пользовательские правила AWS Config.

* Уровень бесплатного пользования AWS недоступен в регионах AWS Китай (Пекин) и Китай (Нинся).

Вопрос: Я хочу изменить функцию Lambda для своего пользовательского правила AWS Config. Какой подход вы рекомендуете?

Плата взимается каждый раз, когда правило создается и становится активным. Если необходимо обновить или заменить функцию Lambda, связанную с правилом, рекомендуем обновить это правило, а не удалять его и создавать новое.

Решения партнеров

Вопрос: Какие решения партнеров AWS доступны для AWS Config?

Партнеры APN, такие как Splunk, ServiceNow, Evident.io, CloudCheckr, Redseal и Red Hat CloudForms, предлагают решения, которые полностью интегрированы с данными AWS Config. Поставщики управляемых услуг, такие как 2nd Watch и Cloudnexa, также объявили об интеграции с AWS Config. Кроме того, использовать интегрированные решения для работы с правилами AWS Config предлагают такие партнеры, как CloudHealth Technologies, AlertLogic и TrendMicro. Эти решения включают в себя такие возможности, как управление изменениями и анализ безопасности. Они также позволяют визуализировать и контролировать конфигурации ресурсов AWS и осуществлять управление ими.

Подробнее см. здесь.

Готовы приступить к разработке?
Начать работу с AWS Config
Есть вопросы?
Связаться с нами