Amazon Config 常見問答集

Page Topics

一般問題
15
開始使用
6
資源組態
10
AWS Config Rules
8
一致性套件
6
多帳戶、多區域資料彙總
9
服務與區域支援
2
定價
3
合作夥伴解決方案
1

一般問題

AWS Config 是全受管的服務,為您提供資源清單、組態歷史記錄和組態變更通知,以使用安全性和方便管理。使用 AWS Config,您可以找出現有的 AWS 資源,記錄第三方資源的組態,輸出資源及所有配置詳細資訊的完整清單,以及判斷資源在任一時間點的配置方式。這些功能使用合規稽核、安全分析、資源變更追蹤和故障診斷。

AWS Config 規則代表資源所需的組態,它會比對相關資源的組態變更 (在 AWS Config 中記錄) 進行評估。比對資源組態和規則的評估結果會顯示在儀表板上。使用 AWS Config 規則,您可以從組態的角度評估整體合規性及風險狀態、檢視一段時間內的合規趨勢,以及找出哪個組態變更造成資源偏離了規則的合規性。

一致性套件是在 AWS Config 中使用常見架構和封裝模型建立的一組 AWS Config 規則和修正動作。透過封裝前述 AWS Config 成品,您可以針對管控政策與組態合規簡化跨多個帳戶和區域的部署和報告,並減少資源處於不合規狀態的時間。

AWS Config 可用於更輕鬆地追蹤您的資源組態,無須前期投資,並且避開了安裝和更新代理器以進行資料收集或大型資料庫維護的複雜性。一旦啟用 AWS Config,您便可以查看與 AWS 資源相關的所有組態屬性的持續更新詳細資訊。您可以透過 Amazon Simple Notification Service (SNS) 取得每個組態變更的通知。

AWS Config 可為您提供資源組態歷史記錄的存取權。您可以將組態變更與可能促成組態變更的 AWS CloudTrail 事件建立關聯。此資訊提供的內容從「誰進行變更?」、「從哪一個 IP 地址?」這類詳細資訊,到此變更對 AWS 資源及相關資源的影響,讓您有完整的了解。您可以使用此資訊產生報告,在一定時間段內協助稽核和評估合規。

任何希望透過持續評估資源組態來改善 AWS 安全性及管控狀態的 AWS 客戶,都可以受益於這項功能。大型組織內建議使用資源設定最佳實務的管理員,可以將這些規則編製成 AWS Config 規則,然在使用者之間灌輸自行管控的意識。監控用量活動及組態以偵測漏洞的資訊安全專家可以受益於 AWS Config 規則。如果您的工作負載必須符合特定標準 (例如 PCI-DSS 或 HIPAA) 的客戶,可以使用這項功能來評估 AWS 基礎設施組態的合規性,然後為他們的稽核者產生報告。管理經常變更的大型 AWS 基礎設施或元件的操作員,也可以在故障排除方面受益於 AWS Config 規則。如果您想追蹤資源組態變更、回答資源組態問題、示範合規、進行故障排除或執行安全分析的客戶都應開啟 AWS Config。

如果您正在尋求架構來為多個帳戶的 AWS 資源組態建立和部署合規套件,則應使用一致性套件。此架構可用來為安全、DevOps 和其他人員建立自訂的套件,而且您可以使用其中一個範例一致性套件範本快速上手。

AWS Config 規則和一致性套件可提供資源是否符合您指定之組態規則的資訊。它們將根據 AWS Config 規則定期評估資源組態,或在偵測到組態變更時評估資源組態,或兩者,這取決於您設定規則的方式。它們不保證資源一定合規,也不能阻止使用者採取不合規的動作。然而您可以使用它們,透過為每個 AWS Config 規則設定適當的修正動作,將不合規的資源變回合規。

AWS Config 規則無法直接影響使用者使用 AWS 的方式。AWS Config 規則只會在組態變更完成並由 AWS Config 記錄之後才評估資源組態。AWS Config 規則無法阻止使用者進行不合規的變更。若要控制佈建期間您在 AWS 上可以佈建的項目以及使用的組態參數,可分別使用 AWS Identity and Access Management (IAM) 政策和 AWS Service Catalog

可以,AWS Config 規則可以設定為僅主動、僅偵測,或同時設定主動和偵測模式。如需這些規則的完整清單,請參閱文件

您可以使用現有的 PutConfigRule API 或 AWS Config 主控台,在帳戶中的 AWS 組態規則上啟用主動模式。

AWS Config 可協助您記錄第三方資源或自訂資源類型的組態,例如內部部署伺服器、軟體即服務 (SaaS) 監控工具和版本控制系統。為此,您必須建立符合並驗證資源類型組態的資源提供者結構描述。您必須使用 AWS CloudFormation 或基礎設施即程式碼 (IaC) 工具註冊自訂資源。

如果您已將 AWS Config 設定為記錄所有資源類型,則透過 AWS CloudFormation 管理 (建立、更新或刪除) 的第三方資源會作為組態項目自動追蹤。若要深入了解此功能所需的步驟,並了解可在哪些 AWS 區域使用此功能,請參閱 AWS Config 開發人員指南:記錄第三方資源的組態

AWS CloudTrail 會記錄您帳戶上的使用者 API 活動,並協助您存取有關此活動的資訊。您可取得有關 API 動作的完整詳細資訊,如發起人的身分、該 API 呼叫的時間、請求參數和 AWS 服務傳回的回應元件。AWS Config 會將 AWS 資源的時間點組態詳細資訊以組態項目 (CI) 的形式加以記錄。您可以使用 CI 在某個時間點回答「我的 AWS 資源是什麼樣子?」您可以使用 CloudTrail 回答「誰呼叫 API 修改此資源?」 例如,您可以使用 AWS 管理主控台讓 AWS Config 偵測安全群組 "Production-DB" 過去的設定是否不正確。使用整合的 CloudTrail 資訊,您可以準確指出哪個使用者不正確的設定 "Production-DB" 安全群組。

AWS Config 使用多帳戶、多區域資料彙總功能,可以更輕鬆地監控多個帳戶和區域的合規狀態。您可以在任何帳戶中建立組態彙總器,並從其他帳戶彙總合規詳細資訊。此功能還在 AWS Organizations 上得到利用,因此您可以彙總組織內所有帳戶的資料。

是。適用於 ServiceNow 和 Jira Service Desk 的 AWS Service Management Connector 協助 ServiceNow 和 Jira Service Desk 最終使用者使用 ServiceNow 和 Jira Service Desk 以原生方式佈建、管理及操作 AWS 資源。ServiceNow 使用者可以在 ServiceNow 上使用 AWS Service Management Connector 無縫地追蹤組態項目檢視 (採用 AWS Config 技術) 中的資源。Jira Service Desk 使用者可以透過 AWS Service Management Connector 追蹤問題請求內的資源。這可簡化 ServiceNow 和 Jira Service Desk 使用者的 AWS 產品請求動作,並為 ServiceNow 和 Jira Service Desk 管理員提供對 AWS 產品的控管和監督。

ServiceNow Store 中免費提供適用於 ServiceNow 的 AWS Service Management Connector。這項新功能在提供 AWS Service Catalog 的所有 AWS 區域皆可使用。如需詳細資訊,請瀏覽文件

Atlassian Marketplace 中免費提供適用於 Jira Service Desk 的 AWS Service Management Connector。這項新功能在提供 AWS Service Catalog 的所有 AWS 區域皆可使用。如需詳細資訊,請瀏覽文件

開始使用

開始使用 AWS Config 最快捷的方式就是使用 AWS 管理主控台。選取幾次即可開啟 AWS Config。有關其他詳細資訊,請參閱入門文件。

您可以使用 AWS 管理主控台、AWS 命令列界面或軟體開發套件查詢目前和歷史資源組態。

有關其他詳細資訊,請參閱 AWS Config 文件

您是以區域為基礎為您的帳戶開啟 AWS Config。

是,一旦適當的 IAM 政策套用到 Amazon S3 儲存貯體,您就可以將 AWS Config 設定為將組態更新從不同的帳戶傳遞到一個 Amazon Simple Storage Service (S3) 儲存貯體。而適當的 IAM 政策套用到 SNS 主題時,您還可以向同一區域內的 SNS 主題發佈通知。

是。CloudTrail 會記錄所有 AWS Config API 操作,包括 AWS Config API 的使用到閱讀組態資料。

AWS Config 會在時間軸上顯示資源組態項目 (CI) 記錄的時間。所有時間均以國際標準時間 (UTC) 為準。在管理主控台上顯示時間軸時,服務使用目前時區 (如果相關,會針對日光節約時間進行調整) 在時間軸視圖顯示所有的時間。

資源組態

組態項目 (CI) 是在指定時間點的資源組態。CI 由五個區段組成:

不同資源類型共同的資源相關基本資訊 (例如 Amazon Resource Name、標籤)、

資源特定的組態資料 (例如 EC2 執行個體類型)、

與其他資源的關係映射 (例如,EC2::Volume vol-3434df43 是「連接到執行個體」EC2 Instance i-3432ee3a)、

與此狀態相關的 CloudTrail 事件 ID (只適用於 AWS 資源)

協助您識別 CI 相關資訊的中繼資料,例如,此 CI 的版本、擷取此 CI 的時間。

進一步了解組態項目。

自訂組態項目 (CI) 是適用於第三方或自訂資源的 CI。範例包含內部部署資料庫、Active Directory 伺服器、版本控制系統 (如 GitHub) 和第三方監控工具 (如 Datadog)。

當記錄變更時,AWS Config 會將資源之間的關係納入考量。例如,如果新的 EC2 安全群組與 EC2 執行個體相關聯,AWS Config 會在主要資源 (EC2 安全群組) 和相關資源發生變更時,記錄它們更新後的組態。

AWS Config 會偵測資源組態的變更並記錄該變更產生的組態狀態。如果資源接連快速的進行多次組態變更,則 AWS Config 將只記錄代表這一連串變更累積影響的最終組態。在這些情況下,AWS Config 將在組態項目的 relatedEvents 欄位中列出最新變更。這可協助使用者和程式繼續變更基礎設施組態,而無須等待 AWS Config 記錄中間過渡狀態。

定期記錄可讓您決定記錄環境中變更的頻率,從而減少頻繁變更的資源中的組態項目。您可以使用定期記錄來每 24 小時接收組態變更,而不是持續接收更新,從而符合您的使用案例。 

定期記錄可讓您選擇決定接收資源組態的更新頻率。啟用後,AWS Config 只會在 24 小時期間結束時提供資源的最新組態 (如果資源已變更),降低組態資料的頻率,並使收集這些資料的成本更為可預測 (針對營運規劃和稽核等使用案例)。如果您的安全性和合規需求要求持續監控您的資源,則應使用持續記錄。

是,AWS Config 將定期掃描資源組態,找出尚未記錄的變更並加以記錄。從這些掃描所記錄的 CI 在訊息中沒有 relatedEvent 欄位,而且只會選取與已經記錄的狀態不同的最新狀態。

是。AWS Config 協助您記錄 AWS 帳戶中 EC2 執行個體內軟體以及現場部署環境中虛擬機器 (VM) 或伺服器的組態變更。AWS Config 記錄的組態資訊包括作業系統更新、網路組態及已安裝的應用程式。使用 AWS Config 規則可遵循指導方針來評估執行個體、VM 和伺服器是否合規。AWS Config 提供的深入查看和持續監控功能,協助您評估合規性並對操作問題進行故障排除。

AWS Config 只有在合規狀態變更時才會傳送通知。如果資源之前不合規,現在仍然不合規,AWS Config 將不會傳送新的通知。如果合規狀態變更為「合規」,您將會收到狀態變更的通知。

是,您可以導覽至主控台中的 AWS Config「記錄器設定」頁面,選取「排除資源類型」選項,並指定所需的排除項目來排除資源。或者,您可以利用 PutConfigurationRecorder API 來存取此功能。此 API 將停用該資源類型的組態記錄。此外,設定 AWS Config 規則時,您可以指定是否對指定的資源類型或有特定標籤的資源執行規則評估。

AWS Config Rules

資源的組態是由 AWS Config 的組態項目 (CI) 內含的資料來定義。首次發行的 AWS Config 規則將資源的 CI 提供給相關的規則。AWS Config 規則可以使用這項資訊搭配任何其他相關資訊 (例如其他連接的資源、上班時間),以評估資源組態的合規性。

規則代表資源所需的組態項目 (CI) 屬性值,它的評估方式是將這些屬性值與 AWS Config 記錄的 CI 進行比對。規則有兩種:

AWS 受管規則:AWS 受管規則是預先建立的,由 AWS 管理。您可以選擇想要啟用的規則,然後提供幾個組態參數即可開始使用。進一步了解 »

客戶受管規則:客戶受管規則是自訂規則,由您定義和建立。您可以在 AWS Lambda 中建立一個可當做自訂規則叫用的函數,而且這些函數會在您的帳戶中套用。進一步了解 »

開始使用 AWS Config 最快捷的方式就是使用 AWS 管理主控台。選取幾次即可開啟 AWS Config。有關其他詳細資訊,請參閱入門文件。

規則通常是由 AWS 帳戶管理員設定。可以利用 AWS 受管規則 (一組由 AWS 提供的預先定義規則) 或透過客戶受管規則建立這些規則。利用 AWS 受管規則,對規則所做的更新會自動套用至使用該規則的任何帳戶。在客戶管理模式中,客戶擁有規則的完整副本,並在自己的帳戶中套用規則。這些規則由客戶進行維護。

AWS 帳戶中預設最多可建立 150 個規則。此外,若要申請提高帳戶中規則數的限制,請瀏覽 AWS Service Limits 頁面。

任何規則都可以設定為由變更觸發的規則或週期性規則。變更觸發的規則會在 AWS Config 記錄指定之任何資源的組態變更時套用。此外,還必須指定下列其中一項:

標籤鍵值:(選用值):標籤鍵值:值意指包含指定的標籤鍵值:值的資源所記錄的任何組態變更,將會啟動評估規則。

資源類型:指定的資源類型內任何資源所記錄的任何組態變更,將會啟動評估規則。

資源 ID:依資源類型及資源 ID 指定的資源所記錄的任何變更,將會啟動評估規則。

週期性規則會以指定的頻率啟動。可用頻率為 1 小時、3 小時、6 小時、12 小時或 24 小時。週期性規則包含該規則所有可用資源的目前組態項目 (CI) 的完整快照。

規則的評估會判斷在特定時間點規則是否與資源合規。這是比對資源組態和規則的評估結果。AWS Config 規則將擷取和存放每個評估的結果。這個結果將包含資源、規則、評估時間以及導致不合規的組態項目 (CI) 連結。

如果資源觀察到適用於資源的所有規則,則該資源合規;否則就是不合規。同樣,如果規則評估的所有資源都符合規則,則表示規則合規;否則就是不合規。在某些情況下,例如對規則提供不適當的許可,則無法對資源進行評估,而造成資料不足的狀態。判定資源或規則的合規狀態時,會排除此狀態。

AWS Config 規則儀表板為您提供 AWS Config 追蹤的資源概觀,以及目前合規的資源和規則的摘要。在檢視資源的合規時,您可以判斷套用至資源的任何規則目前是否不合規。您可以檢視規則的合規性,它可以告訴您規則範圍內目前是否有任何資源不合規。使用這些摘要檢視,您可以進一步探索資源的 AWS Config 時間軸檢視,判斷哪些組態參數經過變更。使用此儀表板,您可以先從概觀開始,然後深入更精確的檢視,以了解合規性狀態中的變更完整資訊,以及哪些變更導致不合規。

一致性套件

您可以使用個別的 AWS Config 規則來評估一或多個帳戶的資源組態合規。一致性套件提供了將規則和修正動作封裝成單一實體的額外好處,只要選取一次就可以在整個組織中部署該實體。當您管理數個帳戶時,一致性套件旨在簡化合規管理和大規模報告。一致性套件旨在提供套件層級和不變性的彙總合規報告。這有助於組織的個別成員帳戶不會修改或刪除一致性套件中的受管 AWS Config 規則和修復文件。

AWS Security Hub 是安全與合規服務,可提供安全和合規狀態管理即服務。其使用 AWS Config 和 AWS Config 規則作為其主要機制,來評估 AWS 資源的組態。AWS Config 規則也可用於直接評估資源的組態。其他 AWS 服務 (像是 AWS Control Tower 和 AWS Firewall Manager) 也使用 AWS Config 規則。

如果 Security Hub 中已有類似於 PCI-DSS 的合規標準,則全受管的 Security Hub 服務是更輕鬆的操作方式。您可以透過 Security Hub 的整合搭配 Amazon Detective 來調查發現結果,而且您可以使用 Security Hub 整合搭配 Amazon EventBridge,來建立自動化或半自動化的修正動作。然而,如果您想要收集自己的合規或安全性標準,其中可以包含安全性、操作或成本最佳化檢查,AWS Config 一致性套件是最適合的方式。AWS Config 一致性套件可將一組 AWS Config 規則和關聯的修正動作封裝為單一實體,來簡化 AWS Config 規則的管理。此封裝簡化組織間規則和修正動作的部署。您也能夠彙總報告,因為合規摘要的報告可在封裝層級執行。您可以從我們提供的 AWS Config 一致性套件範例開始,並依需求自訂。

是的,Security Hub 和 AWS Config 一致性套件都支援持續合規監控 (兩者都仰賴 AWS Config 和 AWS Config 規則)。基礎 AWS Config 規則的觸發時機可為定期或在偵測到對資源組態的變更時。這可協助您依據組織的政策和指導方針,持續稽核和評定 AWS 資源組態的整體合規情況。

開始使用一致性套件的最快方法,就是透過 CLI 或 AWS Config 主控台,使用我們其中一個範例範本建立一致性套件。一些範例範本包含 S3 操作最佳實務、Amazon DynamoDB 操作最佳實務和 PCI 操作最佳實務。這些範本是用 YAML 撰寫。您可以從我們的文件網站下載這些範本,並以您偏好的文字編輯器自行修改以符合您的環境。您甚至可以加入之前在套件中撰寫的自訂 AWS Config 規則。

一致性套件將使用分級定價模型收費。如需詳細資訊,請瀏覽 AWS Config 定價頁面

多帳戶、多區域資料彙總

AWS Config 中的資料彙總功能可協助您將多個帳戶和區域的 AWS Config 資料彙總到單一帳戶和區域中。多帳戶資料彙總對中央 IT 管理員監控企業中多個 AWS 帳戶的合規非常有用。

資料彙總功能不可用於跨多個帳戶佈建規則。它純粹是一種報告功能,讓您能夠了解合規狀態。您可以使用 AWS CloudFormation StackSets 跨帳戶和區域佈建規則。在此部落格連結中進一步了解。

在您的帳戶啟用 AWS Config 和 AWS Config 規則而且帳戶進行彙總之後,您就可以在帳戶中建立彙總器以啟用資料彙總。進一步了解

彙總器是一種 AWS Config 資源類型,用於從多個帳戶和區域收集 AWS Config 資料。使用彙總器可查看 AWS Config 針對多個帳戶和區域所記錄的資源組態和合規資料。

彙總的視圖會顯示全組織的不合規規則總數、依資源數排序的前五個不合規規則,以及具有最多不合規規則的前五個 AWS 帳戶。然後,您可以進一步檢視違反規則的資源和帳戶違反的規則清單詳細資訊。

您可以上傳檔案或逐一輸入帳戶,以指定帳戶來彙總 AWS Config 資料。請注意,由於這些帳戶不屬於任何 AWS Organization,因此您需要每個帳戶明確授權該彙總器帳戶。進一步了解

資料彙總功能對於多區域彙總也很實用。因此,您可以使用這個功能為多個區域的帳戶彙總 AWS Config 資料。

如需提供多帳戶、多區域資料彙總的區域詳細資訊,請參閱 AWS Config 開發人員指南:多帳戶多區域資料彙總

當您建立彙總器時,可以指定要彙總資料的區域。這個清單只顯示提供這個功能的區域。您也可以選取「所有區域」,在這種情況下,只要在其他區域新增支援,它就會自動彙總資料。

服務與區域支援

請參閱我們的文件以取得支援的資源類型的完整清單。

如需有關提供 AWS Config 之 AWS 區域的詳細資訊,請參閱 AWS 區域表。

定價

使用 AWS Config 時,依據所記錄的組態項目數、帳戶中的作用中 AWS Config 規則評估數和一致性套件評估數計費。組態項目是您 AWS 帳戶內資源的組態狀態記錄。AWS Config 可以提供組態項目的兩個頻率:連續和定期。持續記錄會在發生變更時記錄並提供組態變更。定期記錄每 24 小時才會提供一次組態資料,並且僅在發生變更時才會提供一次。AWS Config 規則評估是依據 AWS 帳戶中的 AWS Config 規則執行的資源合規狀態評估。一致性套件評估是一致性套件中,由 AWS Config 規則對資源進行的評估。如需詳細資訊和範例,請瀏覽 https://aws.amazon.com/config/pricing/

您可以從一組 AWS 提供的受管規則或以 Lambda 函數自己撰寫的規則中選擇。受管規則完全由 AWS 維護,您不需要額外支付任何 Lambda 費用就能執行它們。您可以啟用受管規則、提供任何必要的參數,然後為每個作用中 AWS Config 規則支付指定月份的單一費率即可。自訂規則可以當作帳戶中的 Lambda 函數套用,因此您擁有完整控制權。除了作用中規則的每月費用以外,自訂 Config 規則還需要支付標準 Lambda 免費方案* 和函數執行費率。

*AWS 免費方案不適用於 AWS 中國 (北京) 區域或 AWS 中國 (寧夏) 區域。

新規則只要建立並成為作用中狀態,就會產生費用。如果必須更新或替換與規則相關的 Lambda 函數,建議的方法是更新規則,而不是刪除後建立新的規則。

合作夥伴解決方案

Splunk、ServiceNow、Evident.io、CloudCheckr、Redseal 和 RedHat CloudForms 等 APN 合作夥伴解決方案提供與 AWS Config 資料完全整合的服務。2nd Watch 和 Cloudnexa 這些受管服務供應商也宣布與 AWS Config 整合。不僅如此,CloudHealth Technologies、AlertLogic 和 TrendMicro 等 AWS Config 規則合作夥伴也會提供可使用的整合服務。這些解決方案包括變更管理和安全分析等功能,協助您視覺化、監控和管理 AWS 資源組態。