AWS Config
AWS Config 提供了关于您的 AWS 账户中 AWS 资源配置的详细信息。这些信息包括资源之间的关联方式以及资源以前的配置方式,让您了解资源的配置和关系如何随着的时间的推移而更改。
AWS 资源 是您可以在 AWS 中使用的一种实体,例如 Amazon Elastic Compute Cloud (EC2) 实例、Amazon Elastic Block Store (EBS) 卷、安全组或 Amazon Virtual Private Cloud (VPC)。
使用场景
当您在 AWS 上运行应用程序时,您通常要使用 AWS 资源,这些资源必须共同创建与管理。随着对应用程序的需求的不断增加,记录您的 AWS 资源的需求也在不断增加。AWS Config 可以在以下场景中帮助您监督自己的应用程序资源:
资源管理
为了更好地管理您的资源配置并检测资源的错误配置,您需随时详细了解存在哪些资源以及这些资源的配置方式。AWS Config 可以在资源被创建、修改或删除时向您发送通知,不需要您通过对各个资源进行轮询来监控这些资源更改。
您可以使用 AWS Config 规则来评估您的 AWS 资源的配置设置。当 AWS Config 检测到不符合某项规则中的条件的资源时,AWS Config 会将其标记为不合规资源并发送通知。AWS Config 会在您的资源被创建、更改或删除时持续对其进行评估。
审计与合规性
您使用的数据可能需要频繁审计,以确保其符合内部策略与最佳实践。为了证实合规性,您需要了解资源的历史配置。AWS Config 可以提供这一信息。
对配置更改进行管理与故障排除
当您使用相互依赖的多个 AWS 资源时,一项资源配置的更改可能对相关资源造成意外后果。利用 AWS Config,您可以查看您准备修改的资源如何与其他资源相关联,并评估更改所产生的影响。
您也可以使用 AWS Config 提供的资源历史配置来解决问题,并确定问题资源的最后正确配置。
安全分析
要分析潜在的安全漏洞,您需要了解有关您的 AWS 资源配置的详细历史信息,例如向您的用户授予的 AWS Identity and Access Management (IAM) 权限或者控制对资源的访问的 Amazon EC2 安全组规则。
您可以使用 AWS Config 随时查看 AWS Config 正在记录的分配给 IAM 用户、组或角色的 IAM 策略。这一信息可以帮助您确定用户在特定时间内具备的权限:例如,您可以查看用户 John Doe 在 2015 年 1 月 1 日是否拥有修改 Amazon VPC 设置的权限。
您也可以使用 AWS Config 来查看您的 EC2 安全组的配置,包括在特定时间打开的端口规则。这一信息可以帮您确定安全组是否会阻止传入 TCP 流量传输至特定端口。
操作方式
首先在设置页面进行启动
要记录的资源类型:
- 记录所有资源,使用一个月后观察账单情况。(一周的费用大概是¥2.5)
- 记录指定资源,如
IAM: Group
指定 S3 存储桶:
- 您的存储桶将接收配置历史记录和配置快照文件,其中包含 AWS Config 记录的资源的详细信息。
将配置更改和通知流式传输到 Amazon SNS 主题:
- 创建
AWS_Config_Changed_Topic并进行邮件订阅,当被配置变化时会收到通知邮件。 - 同时每天也会收到
Configuration History Delivery Completed的邮件通知,表明配置历史记录已经存入 Amazon S3 存储桶。 - 每种资源对应一份历史记录,也就是说如果你对30种资源的配置进行记录,每天同一时间会收到30个
Configuration History Delivery Completed邮件。
查看规则
在规则列表中可以找到 iam-group-has-users-check 这条规则,这是一条针对 IAM: Group 资源的规则。为了测试这条规则,我们在 IAM 中创建一个组,并添加一个用户到这个组,过一会便收到了两封 Subject 为 AWS Notifications 的邮件,内容分别为发现了新的 IAM Group ,和 iam-group-has-users-check 该规则合规。
增删规则
增删规则不是指创建或者删除规则本身,而是指是否应用这条规则。以 iam-group-has-users-check 为例,如果不再想应用这条规则,可以在规则列表中找到相应的条目点击 编辑规则 进行移除。若想重新应用这条规则,点击 添加规则 在 AWS 托管的规则中找到这条规则,点击进入规则描述页,点击 保存 ,返回到规则列表页变会看到该规则又出现了。
提示
AWS Config 控制面板的数据不是实时变化的,有一定时延。