一般問題

問:什麼是 AWS Config?

AWS Config 是全受管的服務,為您提供 AWS 資源清單、組態歷史記錄和組態變更通知,以啟用安全性和方便管理。使用 AWS Config 時,您可以找出現有的 AWS 資源、匯出 AWS 資源及所有組態詳細資訊的完整清單,以及判斷資源在任一時間點的設定方式。這些功能提供合規稽核、安全分析、資源變更追蹤和故障診斷。

問:什麼是組態規則?

組態規則代表資源所需的組態,它會比對相關資源的組態變更 (在 AWS Config 中記錄) 進行評估。比對資源組態和規則的評估結果會顯示在儀表板上。使用 Config Rules,您可以從組態的角度評估整體合規性及風險狀態、檢視一段時間內的合規趨勢,以及找出哪個組態變更造成資源偏離了規則的合規性。

問:AWS Config 有哪些好處?

AWS Config 可用於輕鬆地追蹤您的資源組態,無須前期投資,並且避開了安裝和更新代理器以進行資料收集或大型資料庫維護的複雜性。一旦啟用 AWS Config,您便可以查看與 AWS 資源相關的所有組態屬性的持續更新詳細資訊。您可以透過 Amazon Simple Notification Service (SNS) 取得每個組態變更的通知。

問:AWS Config 如何協助進行稽核?

AWS Config 可為您提供資源組態歷史記錄的存取權。您可以將組態變更與可能促成組態變更的 AWS CloudTrail 事件建立關聯。此資訊提供的內容從「誰進行變更?」、「從哪一個 IP 地址?」這類詳細資訊,到此變更對 AWS 資源及相關資源的影響,讓您有完整的了解。您可以使用此資訊產生報告,在一定時間內協助稽核和評估合規。

問:哪些人應該使用 AWS Config 和 Config Rules?

任何希望透過持續評估資源組態來改善 AWS 安全性及管控狀態的 AWS 客戶,都可以受益於這項功能。大型組織內建議使用資源設定最佳實務的管理員,可以將這些規則編製成 Config Rules,然後讓使用者進行自行管控。監控用量活動及組態以偵測漏洞的資訊安全專家可以受益於 Config Rules。工作負載必須符合特定標準 (例如 PCI-DSS 或 HIPAA) 的客戶,可以使用這項功能來評估 AWS 基礎設施組態的合規性,然後為他們的稽核者產生報告。管理大型 AWS 基礎設施或經常變更之元件的操作員,也可以在故障排除方面受益於 Config Rules。想追蹤資源組態變更、回答資源組態相關問題、示範合規、進行故障排除或執行安全分析的客戶都應開啟 AWS Config。

問:此服務可以確保我的組態永遠合規嗎?

Config Rules 可提供資源是否符合您指定之組態規則的資訊。只要 AWS Config 內有資源的已更新組態項目 (CI),就會評估規則。這無法保證資源一定合規,也不能阻止使用者採取不合規的動作。不僅如此,Config Rules 也無法讓不合規資源自動回復為合規。

問:這項服務會阻止使用者採取不合規的動作嗎?

Config Rules 無法直接影響使用者使用 AWS 的方式。它只會在組態變更完成並由 AWS Config 記錄之後才評估資源組態。Config Rules 無法阻止使用者進行不合規的變更。若要控制佈建期間使用者在 AWS 上可以佈建的項目以及允許的組態參數,請分別使用 AWS Identity and Access Management (IAM) 政策和 AWS Service Catalog

問:可以在佈建資源之前先評估規則嗎?

Config Rules 會在 AWS Config 擷取資源的組態項目 (CI) 之後評估規則。它無法在佈建資源之前或資源的組態變更之前評估規則。

問:AWS Config 如何與 AWS CloudTrail 搭配使用?

AWS CloudTrail 會記錄您帳戶上的使用者 API 活動,並讓您能夠存取有關此活動的資訊。您可取得有關 API 動作的完整詳細資訊,如發起人的身分、該 API 呼叫的時間、請求參數和 AWS 服務傳回的回應元件。AWS Config 會將 AWS 資源的時間點組態詳細資訊以組態項目 (CI) 的形式加以記錄。您可以使用 CI 在某個時間點回答「我的 AWS 資源是什麼樣子?」。您可以使用 AWS CloudTrail 回答「誰呼叫 API 修改此資源?」例如,您可以使用 AWS 管理主控台讓 AWS Config 偵測安全群組 "Production-DB" 過去的設定是否不正確。使用整合的 AWS CloudTrail 資訊,您可以準確指出哪個使用者不正確的設定 "Production-DB" 安全群組。

問:是否可以透過中央帳戶監控多個帳戶和區域的合規資訊?

AWS Config 使用多帳戶、多區域資料彙總功能,可以輕鬆監控多個帳戶和區域的合規狀態。您可以在任何帳戶中建立組態彙總器,並從其他帳戶彙總合規詳細資訊。這個功能還與 AWS Organizations 整合,因此您可以彙總組織內所有帳戶的資料。

入門

問:如何開始使用此服務?

開始使用 AWS Config 最快捷的方式就是使用 AWS 管理主控台。按幾下滑鼠即可開啟 AWS Config。有關其他詳細資訊,請參閱入門文件。

問:如何存取資源的組態?

您可以使用 AWS 管理主控台、AWS 命令列界面或軟體開發套件查詢目前和歷史資源組態。

有關其他詳細資訊,請參閱 AWS Config 文件

問:我是在區域還是全球開啟 AWS Config?

您是以區域為基礎為您的帳戶開啟 AWS Config。

問:AWS Config 是否可以跨不同 AWS 帳戶彙總資料?

是,一旦適當的 IAM 政策套用到 S3 儲存貯體,您就可以將 AWS Config 設定為將組態更新從不同的帳戶傳遞到一個 S3 儲存貯體。而適當的 IAM 政策套用到 SNS 主題時,您還可以向同一區域內的 SNS 主題發佈通知。

問:AWS CloudTrail 是否會記錄 AWS Config 上的 API 活動?

是。AWS CloudTrail 會記錄所有 AWS Config API 活動,包括 AWS Config API 的使用到閱讀組態資料。

問:資源的時間軸檢視中顯示哪些時間和時區?會顯示日光節約時間嗎?

AWS Config 會在時間軸上顯示資源組態項目 (CI) 記錄的時間。所有時間均以國際標準時間 (UTC) 為準。在管理主控台上顯示時間軸時,服務使用目前時區 (如果相關,會針對日光節約時間進行調整) 在時間軸檢視顯示所有的時間。

Config Rules

問:什麼是資源組態?

資源的組態是由 AWS Config 的組態項目 (CI) 內含的資料來定義。首次發行的 Config Rules 將資源的 CI 提供給相關的規則。Config Rules 可以使用這項資訊搭配任何其他相關資訊 (例如其他連接的資源、上班時間等)。以評估資源組態的合規性。

問:什麼是規則?

規則代表資源所需的組態項目 (CI) 屬性值,它的評估方式是將這些屬性值與 AWS Config 記錄的 CI 進行比對。規則有兩種:

AWS 受管規則:AWS 受管規則是預先建立的,由 AWS 管理。您只需要選擇想要啟用的規則,然後提供幾個組態參數即可開始使用。進一步了解 »

客戶受管規則:客戶受管規則是自訂規則,由您定義和建立。您可以在 AWS Lambda 中建立一個可當做自訂規則叫用的函數,而且這些函數會在您的帳戶中執行。進一步了解 »

開始使用 AWS Config 最快捷的方式就是使用 AWS 管理主控台。按幾下滑鼠即可開啟 AWS Config。有關其他詳細資訊,請參閱入門文件。

問:規則是如何建立的?

規則通常是由 AWS 帳戶管理員設定。可以利用 AWS 受管規則 (一組由 AWS 提供的預先定義規則) 或透過客戶受管規則建立這些規則。利用 AWS 受管規則,對規則所做的更新會自動套用至使用該規則的任何帳戶。在客戶管理模式中,客戶擁有完整的規則複本,並在自己的帳戶內執行規則。這些規則由客戶進行維護。

問:可以建立多少個規則?

AWS 帳戶中預設最多可建立 50 個規則。此外,若要申請提高帳戶中規則數的限制,請瀏覽 AWS Service Limits 頁面。

問:如何評估規則?

任何規則都可以設定為由變更觸發的規則或週期性規則。變更觸發的規則會在 AWS Config 記錄指定之任何資源的組態變更時執行。此外,還必須指定下列其中一項:

標籤鍵值:(選用值):標籤鍵值:值意指包含指定的標籤鍵值:值的資源所記錄的任何組態變更,將會觸發評估規則。

資源類型:指定的資源類型內任何資源所記錄的任何組態變更,將會觸發評估規則。

資源 ID:依資源類型及資源 ID 指定的資源所記錄的任何變更,將會觸發評估規則。

週期性規則會以指定的頻率觸發。可用的頻率是 1 小時、3 小時、6 小時、12 小時或 24 小時。週期性規則包含該規則所有可用資源的目前組態項目 (CI) 的完整快照。

問:什麼是評估?

規則的評估會判斷在特定時間點規則是否與資源合規。這是比對資源組態和規則的評估結果。Config Rules 將擷取和存放每個評估的結果。這個結果將包含資源、規則、評估時間以及導致不合規的組態項目 (CI) 連結。

問:合規是什麼意思?

如果資源符合所有適用的規則,則表示資源合規。否則就是不合規。同樣地,如果規則評估的所有資源都符合規則,則表示規則合規。否則就是不合規。在某些情況下,例如對規則提供不適當的許可,則無法對資源進行評估,而造成資料不足的狀態。判定資源或規則的合規狀態時,會排除此狀態。

問:Config Rules 儀表板提供哪些資訊?

Config Rules 儀表板為您提供 AWS Config 追蹤的資源概觀,以及目前合規的資源和規則的摘要。在檢視資源的合規時,您可以判斷套用至資源的任何規則目前是否不合規。您可以檢視規則的合規性,它可以告訴您規則範圍內目前是否有任何資源不合規。使用這些摘要檢視,您可以更深入查看資源的 Config 時間軸檢視,判斷哪些組態參數經過變更。使用此儀表板,您可以先從概觀開始,然後深入更精確的檢視,以了解合規性狀態中的變更完整資訊,以及哪些變更導致不合規。

多帳戶、多區域資料彙總

問:什麼是多帳戶、多區域資料彙總?

AWS Config 中的資料彙總功能允許您將多個帳戶和區域的 AWS Config 資料彙總到一個帳戶中。多帳戶資料彙總對中央 IT 管理員監控企業中多個 AWS 帳戶的合規非常有用。

問:是否可以使用資料彙總功能在多個帳戶集中佈建 Config 規則?

資料彙總功能不可用於跨多個帳戶佈建規則。它純粹是一種報告功能,讓您能夠了解合規狀態。您可以使用 CloudFormation StackSets 跨帳戶和區域佈建規則。這裡是實用的部落格

問:如何在我的帳戶中啟用資料彙總?

在您的帳戶啟用 Config 和 Config 規則而且帳戶進行彙總之後,您就可以在帳戶中建立彙總器以啟用資料彙總。進一步了解

問:什麼是彙總器?

彙總器是一種 AWS Config 資源類型,用於從多個帳戶和區域收集 AWS Config 資料。使用彙總器可查看 AWS Config 針對多個帳戶和區域所記錄的資源組態和合規資料。

問:彙總的檢視提供哪些資訊?

彙總的檢視會顯示全組織的不合規規則總數、依資源數排序的前五個不合規規則,以及具有最多不合規規則的前五個 AWS 帳戶。然後,您可以向下切入以檢視違反規則之資源的更多詳細資訊,以及帳戶違反的規則清單。

問:我不是 AWS Organizations 的客戶。是否還是可以使用資料彙總功能?

您可以上傳檔案或逐一輸入帳戶,以指定帳戶來彙總 Config 資料。請注意,由於這些帳戶不屬於任何 AWS Organization,因此您需要每個帳戶明確授權該彙總器帳戶。進一步了解

問:我只有一個帳戶,是否仍然可以利用資料彙總功能?

資料彙總功能對於多區域彙總也很實用。因此,您可以使用這個功能為多個區域的帳戶彙總 Config 資料。

問:哪些區域可以使用多帳戶、多區域資料彙總功能?

資料彙總功能可在以下 9 個區域使用:美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (奧勒岡)、美國西部 (舊金山)、歐洲 (愛爾蘭)、歐洲 (法蘭克福)、亞太區域 (東京)、亞太區域 (雪梨) 以及亞太區域 (新加坡)。

問:如果我的帳戶包含不支援此功能的區域,該怎麼辦?

當您建立彙總器時,可以指定要彙總資料的區域。這個清單只會顯示提供這個功能的區域。您也可以選擇「所有區域」,在這種情況下,只要在其他區域新增支援,它就會自動彙總資料。

服務與區域支援

問:AWS Config 涵蓋哪些 AWS 資源類型?

請參閱我們的文件以取得支援的資源類型的完整清單。

問:哪些區域提供 AWS Config?

有關在哪些區域可以使用 AWS Config 的詳細資訊,請瀏覽以下頁面:

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

資源組態

問:什麼是組態項目?

組態項目 (CI) 是在指定時間點的資源組態。CI 由 5 個部分組成:

  1. 不同資源類型共同的資源相關基本資訊 (例如 Amazon Resource Name、標籤)、
  2. 資源特定的組態資料 (例如 EC2 執行個體類型)、
  3. 與其他資源的關係映射 (例如,EC2::Volume vol-3434df43 是 "連接到執行個體" EC2 Instance i-3432ee3a)、
  4. 與此狀態相關的 AWS CloudTrail 事件 ID、
  5. 協助您識別 CI 相關資訊的中繼資料,例如,此 CI 的版本、擷取此 CI 的時間。

進一步了解組態項目

問:什麼是 AWS Config 關係以及如何使用它們?

當記錄變更時,AWS Config 會將資源之間的關係納入考量。例如,如果新的 Amazon EC2 安全群組與 Amazon EC2 執行個體相關聯,AWS Config 會在主要資源 (Amazon EC2 安全群組) 和相關資源 (如 Amazon EC2 執行個體) 發生實際變更時,記錄它們更新後的組態。

問:AWS Config 會記錄資源曾經歷的每一個狀態嗎?

AWS Config 會偵測資源組態的變更並記錄該變更產生的組態狀態。如果資源接連快速的進行多次組態變更 (例如,在幾分鐘內),則 Config 將只記錄代表這一連串變更累積影響的最終組態。在這些情況下,Config 將在組態項目的 relatedEvents 欄位列出最新變更。這允許使用者和程式繼續變更基礎設施組態,而無須等待 Config 記錄中間過渡狀態。

問:AWS Config 是否會記錄不是由該資源的 API 活動引起的組態變更?

是,AWS Config 將定期掃描資源組態,找出尚未記錄的變更並加以記錄。從這些掃描所記錄的 CI 在承載中沒有 relatedEvent 欄位,而且只會挑選與已經記錄的狀態不同的最新狀態。

問:AWS Config 是否會記錄對 EC2 執行個體內軟體組態所作的變更?

是。AWS Config 讓您記錄 AWS 帳戶中 EC2 執行個體內軟體以及現場部署環境中虛擬機器 (VM) 或伺服器的組態變更。AWS Config 記錄的組態資訊包括作業系統更新、網路組態及已安裝的應用程式等等。使用 AWS Config Rules 可遵循指導方針來評估執行個體、VM 和伺服器是否合規。AWS Config 提供的深入查看和持續監控功能,讓您評估合規性並對操作問題進行故障排除。

問:如果之前不合規的資源在定期規則評估之後仍然不合規,AWS Config 是否會繼續傳送通知?

AWS Config 只有在合規狀態變更時才會傳送通知。如果資源之前不合規,現在仍然不合規,Config 將不會傳送新的通知。如果合規狀態變更為「合規」,您將會收到狀態變更的通知。

問:我是否可以對資源設置旗標或是予以豁免,讓資源免於進行 Config 規則評估?

當您設定 Config 規則時,可以指定是否對指定的資源類型或有特定標籤的資源執行規則評估。

定價

問:此服務如何收費?

使用 AWS Config,您需要根據 AWS 帳戶中記錄的已支援資源組態項目 (CI) 數量支付費用。記錄 CI 只需支付一次費用。保留 CI 無須支付額外的費用,也沒有任何前期承諾。您隨時可以停止記錄並繼續存取之前記錄的 CI。每個 CI 的費用將記入您的每月帳單中。請參閱定價詳情

如果您使用 AWS Config Rules,則需按照該月所使用 Config Rules 付費。每一次規則與 AWS 資源比對時,會將其結果記錄為一次評估。如果規則在一個月中有一次或多次評估,則視為作用中。

組態快照和組態歷史記錄檔會傳送到您選擇的 Amazon S3 儲存貯體,而組態變更通知則透過 Amazon Simple Notification Service (SNS) 傳送。適用 Amazon S3 和 Amazon SNS 的標準費率。客戶受管規則使用 AWS Lambda 撰寫。需依 AWS Lambda 標準費率計費。

問:Config Rules 的定價是否包含 AWS Lambda 函數的費用?

您可以從一組 AWS 提供的受管規則或以 AWS Lambda 函數自己撰寫的規則中選擇。受管規則完全由 AWS 管理和維護,您不需要額外支付任何 AWS Lambda 費用就能執行它們。您只需要啟用受管規則、提供任何必要的參數,然後為每個 AWS Config 規則支付單一費率即可。另一方面,在帳戶中將客戶受管規則當作 AWS Lambda 函數執行,可讓您擁有這些規則的完整控制權。除了作用中規則的每月費用以外,客戶受管規則還需要支付標準 AWS Lambda 免費方案* 和函數執行費率。

*AWS 免費方案不適用於 AWS 中國 (北京) 區域或 AWS 中國 (寧夏) 區域

問:是否可以使用範例來提供費用明細?

定價範例 1:

假設您在維吉尼亞北部區域,每個月記錄 1000 個組態項目,且擁有 15 個作用中規則。您的月費如下:

AWS Config 費用:1,000 * 0.003 USD = 3.00 USD

AWS Config 規則:

美國東部 (維吉尼亞北部) 區域的前 10 個規則,每個作用中 Config 規則 2.00 USD:10*2.00 USD = 20.00 USD

美國東部 (維吉尼亞北部) 區域的後 40 個規則,每個作用中 Config 規則 1.50 USD:5*1.50 USD = 7.50 USD

AWS Config 每月費用總計 = 30.50 USD

定價範例 2:

假設您在維吉尼亞北部區域,每個月記錄 1000 個組態項目,且擁有 100 個作用中規則,而在歐洲 (愛爾蘭) 區域有 400 個組態項目和 5 個作用中規則。您的月費如下:

AWS Config 成本 (維吉尼亞北部):1,000 * 0.003 USD = 3.00 USD

AWS Config 規則 (維吉尼亞北部):

美國東部 (維吉尼亞北部) 區域的前 10 個規則,每個作用中 Config 規則 2.00 USD:10*2.00 USD = 20.00 USD

美國東部 (維吉尼亞北部) 區域的後 40 個規則,每個作用中 Config 規則 1.50 USD:40*1.50 USD = 60.00 USD

美國東部 (維吉尼亞北部) 區域中超過 50 個規則,每個作用中 Config 規則 1.00 USD:50*1.00 USD = 50.00 USD

AWS Config 成本 (歐洲愛爾蘭):400 * 0.003 USD = 1.20 USD

歐洲 (愛爾蘭) 區域的前 10 個規則,每個作用中 Config 規則 2.00 USD:5*2.00 USD = 10.00 USD

AWS Config 每月費用總計 = 144.20 USD

合作夥伴解決方案

問:AWS Config 可使用哪些 AWS 合作夥伴解決方案?

Splunk、ServiceNow、Evident.IO、CloudCheckr、Redseal Networks 和 RedHat CloudForms 這些生態系統合作夥伴提供與 AWS Config 資料完全整合的服務。2nd Watch 和 CloudNexa 這些受管服務供應商也宣布與 AWS Config 整合。不僅如此,CloudHealth Technologies、AlertLogic 和 TrendMicro 等 Config Rules 合作夥伴也會提供客戶可以使用的整合服務。這些解決方案包括變更管理和安全分析等功能,讓您能夠視覺化、監控和管理 AWS 資源組態。

如需詳細資訊,按一下這裡

進一步了解 AWS Config

瀏覽合作夥伴頁面
準備好開始建立?
開始使用 AWS Config
還有其他問題嗎?
聯絡我們