入門概念 | AWS Config 是什么?
基本概念
AWS Config 是一種完全托管的服務,可提供資源庫存、配置歷史記錄和配置更改通知,用于增強安全性和方便管理。借助 AWS Config 可以找到現有的 AWS 資源,記錄第三方資源的配置,導出資源的完整庫存清單與所有配置詳細信息,并確定在任何時間點上配置資源的方式。這些功能使用合規性審計、安全分析、資源更改跟蹤和故障排除。
主要功能
1. 可配置和可自定義規則
Amazon Config 提供預建規則,用于評估用戶的 AWS 資源的預置和配置情況以及托管實例(包括 Amazon EC2 實例和本地運行的服務器)中的軟件。用戶可以自定義預建規則,也可以在 Amazon Lambda 中創建您自己的自定義規則,從而定義資源配置的內部最佳實踐和指南。使用 Config 可以依據預建規則或自定義規則評估資源配置和資源更改的合規性。
2. 軟件的配置歷史記錄
Amazon Config 允許記錄 Amazon EC2 實例和本地運行的服務器,以及其他云提供商提供的環境中服務器和虛擬機內的軟件配置更改。借助 Config 您可以查看操作系統 (OS) 配置、系統級別的更新、已安裝的應用程序和網絡配置等。Config 還提供操作系統和系統級別的配置更改歷史記錄,以及針對 EC2 實例記錄的基礎設施配置更改。
3. 配置快照
Amazon Config 可提供配置快照,即在某個時間點捕獲的用戶所有資源及其配置。配置快照通過 Amazon CLI 或 API 按需生成,并會發送到指定的 Amazon S3 存儲桶中。
工作原理
首先,AWS Config會列出當前AWS賬戶下所有支持的AWS資源,如EC2實例、安全組、VPC等,并為每個資源創建一個配置項(Configuration Item, CI)。配置項包含了資源的元數據、屬性、關系、當前配置和相關事件等信息。
其次,當某個資源的配置發生更改時,AWS Config會為該資源創建一個新的配置項,并保留從記錄開始到當前的所有配置項信息。這些配置項信息會定期發送到用戶指定的Amazon S3存儲桶中,供用戶后續查看和分析。
再次,AWS Config還支持用戶定義規則(AWS Config Rules)來評估資源的配置是否符合特定的合規性或最佳實踐要求。當資源違反規則時,AWS Config會通過Amazon SNS發送通知,幫助用戶及時發現并處理不合規的配置。
AWS Config通過持續監控和記錄AWS資源的配置更改,提供了一份完整的配置歷史記錄,幫助用戶更好地管理和審計AWS資源。
