入门概念 | AWS Config 是什么?
基本概念
AWS Config 是一种完全托管的服务,可提供资源库存、配置历史记录和配置更改通知,用于增强安全性和方便管理。借助 AWS Config 可以找到现有的 AWS 资源,记录第三方资源的配置,导出资源的完整库存清单与所有配置详细信息,并确定在任何时间点上配置资源的方式。这些功能使用合规性审计、安全分析、资源更改跟踪和故障排除。
主要功能
1. 可配置和可自定义规则
Amazon Config 提供预建规则,用于评估用户的 AWS 资源的预置和配置情况以及托管实例(包括 Amazon EC2 实例和本地运行的服务器)中的软件。用户可以自定义预建规则,也可以在 Amazon Lambda 中创建您自己的自定义规则,从而定义资源配置的内部最佳实践和指南。使用 Config 可以依据预建规则或自定义规则评估资源配置和资源更改的合规性。
2. 软件的配置历史记录
Amazon Config 允许记录 Amazon EC2 实例和本地运行的服务器,以及其他云提供商提供的环境中服务器和虚拟机内的软件配置更改。借助 Config 您可以查看操作系统 (OS) 配置、系统级别的更新、已安装的应用程序和网络配置等。Config 还提供操作系统和系统级别的配置更改历史记录,以及针对 EC2 实例记录的基础设施配置更改。
3. 配置快照
Amazon Config 可提供配置快照,即在某个时间点捕获的用户所有资源及其配置。配置快照通过 Amazon CLI 或 API 按需生成,并会发送到指定的 Amazon S3 存储桶中。
工作原理
首先,AWS Config会列出当前AWS账户下所有支持的AWS资源,如EC2实例、安全组、VPC等,并为每个资源创建一个配置项(Configuration Item, CI)。配置项包含了资源的元数据、属性、关系、当前配置和相关事件等信息。
其次,当某个资源的配置发生更改时,AWS Config会为该资源创建一个新的配置项,并保留从记录开始到当前的所有配置项信息。这些配置项信息会定期发送到用户指定的Amazon S3存储桶中,供用户后续查看和分析。
再次,AWS Config还支持用户定义规则(AWS Config Rules)来评估资源的配置是否符合特定的合规性或最佳实践要求。当资源违反规则时,AWS Config会通过Amazon SNS发送通知,帮助用户及时发现并处理不合规的配置。
AWS Config通过持续监控和记录AWS资源的配置更改,提供了一份完整的配置历史记录,帮助用户更好地管理和审计AWS资源。
