什麼是 AWS Config?

AWS Config 是全受管的服務,為您提供 AWS 資源清單、組態歷史記錄和組態變更通知,以啟用安全性和方便管理。使用 AWS Config 時,您可以找出現有的 AWS 資源、匯出 AWS 資源及所有組態詳細資訊的完整清單,以及判斷資源在任一時間點的設定方式。這些功能提供合規稽核、安全分析、資源變更追蹤和故障診斷。

什麼是組態規則?

組態規則代表資源所需的組態,它會比對相關資源的組態變更 (在 AWS Config 中記錄) 進行評估。比對資源組態和規則的評估結果會顯示在儀表板上。使用 Config Rules,您可以從組態的角度評估整體合規性及風險狀態、檢視一段時間內的合規趨勢,以及找出哪個組態變更造成資源偏離了規則的合規性。

AWS Config 有哪些好處?

AWS Config 可用於輕鬆地追蹤您的資源組態,無須前期投資,並且避開了安裝和更新代理器以進行資料收集或大型資料庫維護的複雜性。一旦啟用 AWS Config,您便可以查看與 AWS 資源相關的所有組態屬性的持續更新詳細資訊。您可以透過 Amazon Simple Notification Service (SNS) 取得每個組態變更的通知。

 

AWS Config 如何協助進行稽核?

AWS Config 可為您提供資源組態歷史記錄的存取權。您可以將組態變更與可能促成組態變更的 AWS CloudTrail 事件建立關聯。此資訊提供的內容從「誰進行變更?」、「從哪一個 IP 地址?」這類詳細資訊,到此變更對 AWS 資源及相關資源的影響,讓您有完整的了解。您可以使用此資訊產生報告,在一定時間內協助稽核和評估合規。

哪些人應該使用 AWS Config 和 Config Rules?

任何希望透過持續評估資源組態來改善 AWS 安全性及管控狀態的 AWS 客戶,都可以受益於這項功能。大型組織內建議使用資源設定最佳實務的管理員,可以將這些規則編製成 Config Rules,然後讓使用者進行自行管控。監控用量活動及組態以偵測漏洞的資訊安全專家可以受益於 Config Rules。工作負載必須符合特定標準 (例如 PCI-DSS 或 HIPAA) 的客戶,可以使用這項功能來評估 AWS 基礎設施組態的合規性,然後為他們的稽核者產生報告。管理大型 AWS 基礎設施或經常變更之元件的操作員,也可以在故障排除方面受益於 Config Rules。想追蹤資源組態變更、回答資源組態相關問題、示範合規、進行故障排除或執行安全分析的客戶都應開啟 AWS Config。

此服務可以確保我的組態永遠合規嗎?

Config Rules 可提供資源是否符合您指定之組態規則的資訊。只要 AWS Config 內有資源的已更新組態項目 (CI),就會評估規則。這無法保證資源一定合規,也不能阻止使用者採取不合規的動作。不僅如此,Config Rules 也無法讓不合規資源自動回復為合規。

這項服務會阻止使用者採取不合規的動作嗎?

Config Rules 無法直接影響使用者使用 AWS 的方式。它只會在組態變更完成並由 AWS Config 記錄之後才評估資源組態。Config Rules 無法阻止使用者進行不合規的變更。若要控制佈建期間使用者在 AWS 上可以佈建的項目以及允許的組態參數,請分別使用 AWS Identity and Access Management (IAM) 政策和 AWS Service Catalog

可以在佈建資源之前先評估規則嗎?

Config Rules 會在 AWS Config 擷取資源的組態項目 (CI) 之後評估規則。它無法在佈建資源之前或資源的組態變更之前評估規則。

AWS Config 如何與 AWS CloudTrail 搭配使用?

AWS CloudTrail 會記錄您帳戶上的使用者 API 活動,並讓您能夠存取有關此活動的資訊。您可取得有關 API 動作的完整詳細資訊,如發起人的身分、該 API 呼叫的時間、請求參數和 AWS 服務傳回的回應元件。AWS Config 會將 AWS 資源的時間點組態詳細資訊以組態項目 (CI) 的形式加以記錄。您可以使用 CI 在某個時間點回答「我的 AWS 資源是什麼樣子?」。您可以使用 AWS CloudTrail 回答「誰呼叫 API 修改此資源?」例如,您可以使用 AWS 管理主控台讓 AWS Config 偵測安全群組 "Production-DB" 過去的設定是否不正確。使用整合的 AWS CloudTrail 資訊,您可以準確指出哪個使用者不正確的設定 "Production-DB" 安全群組。

 

開始免費使用 AWS

建立免費帳戶

 

獲得 12 個月的 AWS 免費方案,同時享受 AWS 的基本支援功能,包括全年無休的客戶服務、支援論壇等等。

進一步了解 AWS Config Rules 預覽版。

如何開始使用此服務?

開始使用 AWS Config 最快捷的方式就是使用 AWS 管理主控台。按幾下滑鼠即可開啟 AWS Config。有關其他詳細資訊,請參閱入門文件。

如何存取資源的組態?

您可以使用 AWS 管理主控台、AWS 命令列界面或軟體開發套件查詢目前和歷史資源組態。

有關其他詳細資訊,請參閱 AWS Config 文件

我是在區域還是全域開啟 AWS Config?

您是以區域為基礎為您的帳戶開啟 AWS Config。

AWS Config 是否可以跨不同 AWS 帳戶彙總資料?

是,一旦適當的 IAM 政策套用到 S3 儲存貯體,您就可以將 AWS Config 設定為將組態更新從不同的帳戶傳遞到一個 S3 儲存貯體。而適當的 IAM 政策套用到 SNS 主題時,您還可以向同一區域內的 SNS 主題發佈通知。

AWS CloudTrail 是否會記錄 AWS Config 上的 API 活動?

是。AWS CloudTrail 會記錄所有 AWS Config API 活動,包括 AWS Config API 的使用到閱讀組態資料。

資源的時間軸檢視中顯示哪些時間和時區?會顯示日光節約時間嗎?

AWS Config 會在時間軸上顯示資源組態項目 (CI) 記錄的時間。所有時間均以國際標準時間 (UTC) 為準。在管理主控台上顯示時間軸時,服務使用目前時區 (如果相關,會針對日光節約時間進行調整) 在時間軸檢視顯示所有的時間。

什麼是資源的組態?

資源的組態是由 AWS Config 的組態項目 (CI) 內含的資料來定義。首次發行的 Config Rules 將資源的 CI 提供給相關的規則。Config Rules 可以使用這項資訊搭配任何其他相關資訊 (例如其他連接的資源、上班時間等)。以評估資源組態的合規性。

什麼是規則?

規則代表資源所需的組態項目 (CI) 屬性值,它的評估方式是將這些屬性值與 AWS Config 記錄的 CI 進行比對。規則有兩種:

AWS 管理規則:AWS 管理的規則是預先建立的,由 AWS 管理。您只需要選擇想要啟用的規則,然後提供幾個組態參數即可開始使用。進一步了解 »

客戶管理規則:客戶管理規則是自訂規則,由您定義和建立。您可以在 AWS Lambda 中建立一個可當做自訂規則叫用的函數,而且這些函數會在您的帳戶中執行。進一步了解 »

開始使用 AWS Config 最快捷的方式就是使用 AWS 管理主控台。按幾下滑鼠即可開啟 AWS Config。有關其他詳細資訊,請參閱入門文件。

規則是如何建立的?

規則通常是由 AWS 帳戶管理員設定。可以利用 AWS 管理規則 (一組由 AWS 提供的預先定義規則) 或透過客戶管理規則建立這些規則。利用 AWS 管理規則,對規則所做的更新會自動套用至使用該規則的任何帳戶。在客戶管理模式中,客戶擁有完整的規則複本,並在自己的帳戶內執行規則。這些規則由客戶進行維護。

我可以建立幾個規則?

AWS 帳戶中預設最多可建立 50 個規則。此外,若要申請提高帳戶中規則數的限制,請瀏覽 AWS Service Limits 頁面。

如何評估規則?

任何規則都可以設定為由變更觸發的規則或週期性規則。變更觸發的規則會在 AWS Config 記錄指定之任何資源的組態變更時執行。此外,還必須指定下列其中一項:

標籤鍵值:(選用值):標籤鍵值:值意指包含指定的標籤鍵值:值的資源所記錄的任何組態變更,將會觸發評估規則。

資源類型:指定的資源類型內任何資源所記錄的任何組態變更,將會觸發評估規則。

資源 ID:依資源類型及資源 ID 指定的資源所記錄的任何變更,將會觸發評估規則。

週期性規則會以指定的頻率觸發。可用的頻率是 1 小時、3 小時、6 小時、12 小時或 24 小時。週期性規則包含該規則所有可用資源的目前組態項目 (CI) 的完整快照。

什麼是評估?

規則的評估會判斷在特定時間點規則是否與資源合規。這是比對資源組態和規則的評估結果。Config Rules 將擷取和存放每個評估的結果。這個結果將包含資源、規則、評估時間以及導致不合規的組態項目 (CI) 連結。

合規是什麼意思?

如果資源符合所有適用的規則,則表示資源合規。否則就是不合規。同樣地,如果規則評估的所有資源都符合規則,則表示規則合規。否則就是不合規。在某些情況下,例如對規則提供不適當的許可,則無法對資源進行評估,而造成資料不足的狀態。判定資源或規則的合規狀態時,會排除此狀態。

Config Rules 儀表板提供哪些資訊?

Config Rules 儀表板為您提供 AWS Config 追蹤的資源概觀,以及目前合規的資源和規則的摘要。在檢視資源的合規時,您可以判斷套用至資源的任何規則目前是否不合規。您可以檢視規則的合規性,它可以告訴您規則範圍內目前是否有任何資源不合規。使用這些摘要檢視,您可以更深入查看資源的 Config 時間軸檢視,判斷哪些組態參數經過變更。使用此儀表板,您可以先從概觀開始,然後深入更精確的檢視,以了解合規性狀態中的變更完整資訊,以及哪些變更導致不合規。

AWS Config 涵蓋哪些 AWS 資源類型?

請參閱我們的文件以取得支援的資源類型的完整清單。

哪些區域提供 AWS Config?

有關在哪些區域可以使用 AWS Config 的詳細資訊,請瀏覽以下頁面:

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

 

什麼是組態項目?

組態項目 (CI) 是在指定時間點的資源組態。CI 由 5 個部分組成:

  1. 不同資源類型共同的資源相關基本資訊 (例如 Amazon Resource Name、標籤)、
  2. 資源特定的組態資料 (例如 EC2 執行個體類型)、
  3. 與其他資源的關係映射 (例如,EC2::Volume vol-3434df43 是 "附加到執行個體" EC2 Instance i-3432ee3a)、
  4. 與此狀態相關的 AWS CloudTrail 事件 ID、
  5. 協助您識別 CI 相關資訊的中繼資料,例如,此 CI 的版本、擷取此 CI 的時間。

進一步了解組態項目

什麼是 AWS Config 關係以及如何使用它們?

當記錄變更時,AWS Config 會將資源之間的關係納入考量。例如,如果新的 Amazon EC2 安全群組與 Amazon EC2 執行個體相關聯,AWS Config 會在主要資源 (Amazon EC2 安全群組) 和相關資源 (如 Amazon EC2 執行個體) 發生實際變更時,記錄它們更新後的組態。

AWS Config 會記錄資源曾經歷的每一個狀態嗎?

AWS Config 會偵測資源組態的變更並記錄該變更產生的組態狀態。如果資源接連快速的進行多次組態變更 (例如,在幾分鐘內),則 Config 將只記錄代表這一連串變更累積影響的最終組態。在這些情況下,Config 將在組態項目的 relatedEvents 欄位列出最新變更。這允許使用者和程式繼續變更基礎設施組態,而無須等待 Config 記錄中間過渡狀態。

AWS Config 是否會記錄不是由該資源的 API 活動引起的組態變更?

是,AWS Config 將定期掃描資源組態,找出尚未記錄的變更並加以記錄。從這些掃描所記錄的 CI 在承載中沒有 relatedEvent 欄位,而且只會挑選與已經記錄的狀態不同的最新狀態。

AWS Config 是否會記錄對 EC2 執行個體內軟體組態所作的變更?
是。AWS Config 讓您記錄 AWS 帳戶中 EC2 執行個體內軟體以及現場部署環境中虛擬機器 (VM) 或伺服器的組態變更。AWS Config 記錄的組態資訊包括作業系統更新、網路組態及已安裝的應用程式等等。使用 AWS Config Rules 可遵循指導方針來評估執行個體、VM 和伺服器是否合規。AWS Config 提供的深入查看和持續監控功能,讓您評估合規性並對操作問題進行故障排除。

如果之前不合規的資源在定期規則評估之後仍然不合規,AWS Config 是否會繼續傳送通知?AWS Config 只有在合規狀態變更時才會傳送通知。如果資源之前不合規,現在仍然不合規,Config 將不會傳送新的通知。如果合規狀態變更為「合規」,您將會收到狀態變更的通知。

我是否可以對資源設置旗標或是予以豁免,讓資源免於進行 Config 規則評估?當您設定 Config 規則時,可以指定是否對指定的資源類型或有特定標籤的資源執行規則評估。

此服務如何收費?

使用 AWS Config,您需要根據 AWS 帳戶中記錄的已支援資源組態項目 (CI) 數量支付費用。記錄 CI 只需支付一次費用。保留 CI 或任何前期承諾不需另外付費。您隨時可以停止記錄並繼續存取之前記錄的 CI。每個 CI 的費用將記入您的每月帳單中。請參閱定價詳情

如果您使用 AWS Config Rules,則需按照該月所使用 Config Rules 付費。每一次規則與 AWS 資源比對時,會將其結果記錄為一次評估。如果規則在一個月中有一次或多次評估,則為作用中。

組態快照和組態歷史記錄檔會傳送到您選擇的 Amazon S3 儲存貯體,而組態變更通知則透過 Amazon Simple Notification Service (SNS) 傳送。適用 Amazon S3 和 Amazon SNS 的標準費率。客戶管理規則使用 AWS Lambda 撰寫。需依 AWS Lambda 標準費率計費。

Config Rules 的定價是否包含 AWS Lambda 函數的費用?

您可以從一組 AWS 提供的管理規則或以 AWS Lambda 函數自己撰寫的規則中選擇。管理規則完全由 AWS 管理和維護,您不需要額外支付任何 AWS Lambda 費用就能執行它們。您只需要啟用管理規則,提供任何必要的參數,然後為每個 AWS Config 規則支付單一費率即可。另一方面,在帳戶中將客戶管理規則當作 AWS Lambda 函數執行,可讓您擁有這些規則的完整控制權。除了為每個作用中規則支付每月的費用以外,客戶管理規則還需要支付標準 AWS Lambda 免費方案和函數執行費率。

Config Rules 的共用配額是什麼意思?

您每個月會收到每個作用中規則 20,000 個評估的配額。舉例來說,如果您有 3 個 Config Rules,則該帳戶將有 60,000 個評估配額。您可以選擇以任何方式將這個允許的數量平均分配給所有規則。

未使用的評估可以延續到下個月嗎?

未使用的評估會過期,然後在每個帳單週期重新計算。

您可以使用範例來提供費用明細嗎?

定價範例 1:
AWS Config 將每個 AWS 資源和組態變更記錄為組態項目 (CI)。假設您每月記錄 7,000 個 CI 並建立了 5 個作用中規則 (2 個定期和 3 個變更觸發),則報告中每天總計 150 個評估。

AWS Config 費用:7,000 * 0.003 USD = 21.00 USD
5 個作用中規則的費用 = 5 * 2.00 USD = 10.00 USD

評估結果配額 = 5 * 20,000 = 100,000
使用的評估結果數 = 150 個評估 * 30 天 = 每月 4,500 個評估
評估結果的額外費用 = 0.0 USD

AWS Config 每月費用總計 = 31.00 USD

產生的服務費用取決於資源所記錄的 CI 數量。這取決於帳戶中的資源數量,以及您對這些資源所做的組態變更。對於擁有數百資源的帳戶與標準的組態變更活動,AWS Config 每月擷取的 CI 少於 3,000 個,或者每月少於 9 USD。


定價範例 2:
假設您每月記錄 50,000 個 CI 並建立了 2 個作用中規則,而且會在每個 CI 上評估這些規則,並回報每次的結果。

AWS Config 費用:50,000 * 0.003 USD = 150.00 USD
2 個作用中規則的費用 = 2 * 2.00 USD = 4.00 USD

評估結果配額 = 2 * 20,000 = 40,000
使用的評估結果數 = 2 * 50,000 = 100,000
評估結果的額外費用 = (100,000 – 40,000) = 60,000 * 0.0001 = 6.00 USD

AWS Config 每月費用總計 = 150.00 USD + 4.00 USD + 6.00 USD = 160.00 USD

AWS Config 可使用哪些 AWS 合作夥伴解決方案?

Splunk、ServiceNow、Evident.IO、CloudCheckr、Redseal Networks 和 RedHat CloudForms 這些生態系統合作夥伴提供與 AWS Config 資料完全整合的服務。2nd Watch 和 CloudNexa 這些受管服務供應商也宣布與 AWS Config 整合。不僅如此,CloudHealth Technologies、AlertLogic 和 TrendMicro 等 Config Rules 合作夥伴也會提供客戶可以使用的整合服務。這些解決方案包括變更管理和安全分析等功能,讓您能夠視覺化、監控和管理 AWS 資源組態。

如需詳細資訊,請參閱 AWS Config 合作夥伴解決方案