Nachverfolgen der Änderungen an der Konfiguration mit AWS Config - Amazon CloudFront
Einrichten von AWS Config mit CloudFrontAnzeigen des CloudFront-KonfigurationsverlaufsBewerten von CloudFront-Konfigurationen mit AWS Config-Regeln

Nachverfolgen der Änderungen an der Konfiguration mit AWS Config

Um Konfigurationen Ihrer AWS-Ressourcen aufzuzeichnen und zu bewerten, können Sie AWS Config verwenden, um einen detaillierten Überblick über die Konfiguration Ihrer Distributionen zu erhalten. Dazu gehört auch, wie die Ressourcen jeweils zueinander in Beziehung stehen und wie sie in der Vergangenheit konfiguriert wurden, damit Sie Änderungen im Laufe der Zeit einsehen können.

Sie können auch AWS Config zum Aufzeichnen von Konfigurationsänderungen für Ihre CloudFront-Distributionseinstellungen verwenden. Sie können Distributionsstatusänderungen sowie Änderungen an Preisklassen, Ursprüngen, geografischen Einschränkungseinstellungen und Lambda@Edge-Konfigurationen erfassen.

Anmerkung

AWS Config zeichnet keine Schlüssel-Wert-Tags für CloudFront-Sreaming-Verteilungen auf.

Einrichten von AWS Config mit CloudFront

Beim Einrichten von AWS Config können Sie festlegen, dass alle unterstützten AWS-Ressourcen oder nur bestimmte Ressourcen aufgezeichnet werden sollen, z. B. nur Änderungen für CloudFront. Eine Liste der unterstützten CloudFront-Ressourcen finden Sie im Abschnitt Amazon CloudFront unter „Unterstützte Ressourcentypen“ im Entwicklerhandbuch für AWS Config.

Hinweise

  • Um die Konfigurationsänderungen an der CloudFront-Distribution nachzuverfolgen, müssen Sie sich bei der CloudFront-Konsole in der AWS-Region USA Ost (Nord-Virginia) anmelden.

  • Es könnte eine Verzögerung bei der Aufzeichnung von Ressourcen mit AWS Config geben. AWS Config zeichnet Ressourcen erst auf, nachdem die Ressourcen entdeckt wurden.

Console
So richten Sie AWS Config mit CloudFront ein

  1. Melden Sie sich bei der AWS-Managementkonsole an, und öffnen Sie die AWS Config-Konsole.

  2. Wählen Sie Get Started Now.

  3. Geben Sie auf der Seite Einstellungen für Resource types to record (Ressourcentypen, die aufgezeichnet werden sollen) die AWS-Ressourcentypen an, die AWS Config aufzeichnen soll. Wenn Sie nur CloudFront-Änderungen aufzeichnen möchten, klicken Sie auf Specific types (Bestimmte Typen) und wählen Sie unter CloudFront die Verteilung oder Streaming-Verteilung aus, für die Sie Änderungen nachverfolgen möchten.

    Wählen Sie nach der Ersteinrichtung zum Hinzufügen oder Ändern der nachzuverfolgenden Verteilungen Einstellungen auf der linken Seite aus.

  4. Geben Sie zusätzliche erforderliche Optionen für AWS Config an: Richten Sie eine Benachrichtigung ein, geben Sie einen Speicherort für die Konfigurationsinformationen an und fügen Sie Regeln für die Bewertung von Ressourcentypen hinzu.

Weitere Informationen finden Sie unter Einrichten von AWS Config mit der Konsole im AWS Config-Entwicklerhandbuch.

AWS CLI

Informationen zur Einrichtung von AWS Config mit CloudFront anhand der AWS CLI finden Sie unter Einrichten von AWS Config mit der AWS CLI im Entwicklerhandbuch für AWS Config.

AWS Config API

Informationen zur Einrichtung von AWS Config mit CloudFront anhand der AWS Config API finden Sie unter der API-Operation StartConfigurationRecorder in der API-Referenz für AWS Config.

Anzeigen des CloudFront-Konfigurationsverlaufs

Nachdem AWS Config mit der Aufzeichnung der Konfigurationsänderungen an Ihren Verteilungen beginnt, können Sie den Konfigurationsverlauf jeder Verteilung abrufen, die Sie für CloudFront konfiguriert haben.

Sie können die Konfigurationsverläufe auf die folgenden Arten anzeigen.

Console

Für jede aufgenommene Ressource können Sie eine Timeline-Seite anzeigen, die einen Verlauf der Konfigurationsdetails bietet. Wählen Sie zum Anzeigen dieser Seite das graue Symbol in der Spalte Config Timeline (Konfig.-Timeline) der Seite Dedicated Hosts.

Weitere Informationen finden Sie unter Anzeigen von Konfigurationsdetails in der AWS Config-Konsole im AWS Config-Developerhandbuch.

AWS CLI

Um eine Liste aller Ihrer Distributionen abzurufen, führen Sie den Befehl list-discovered-resources aus, wie im folgenden Beispiel dargestellt.

aws configservice list-discovered-resources --resource-type AWS::CloudFront::Distribution

Führen Sie den Befehl get-resource-config-history aus, um die Konfigurationsdetails einer Distribution für ein spezifisches Zeitintervall abzurufen.

Weitere Informationen finden Sie unter View Configuration Details Using the CLI (Anzeigen von Konfigurationsdetails mithilfe der Befehlszeilenschnittstelle (CLI)) im AWS Config-Developerhandbuch.

AWS Config API

Um eine Liste aller Distributionen abzurufen, verwenden Sie die API-Operation ListDiscoveredResources.

Verwenden Sie die API-Operation GetResourceConfigHistory, um die Konfigurationsdetails einer Distribution für ein spezifisches Zeitintervall abzurufen. Weitere Informationen finden Sie in der AWS Config-API-Referenz.

Bewerten von CloudFront-Konfigurationen mit AWS Config-Regeln

Mithilfe von AWS Config-Regeln können Sie Konfigurationen anhand der gewünschten Konfigurationen auswerten. Mit AWS Config-Regeln können Sie beispielsweise beurteilen, ob Ihre CloudFront-Ressourcen den gängigen bewährten Sicherheitsmethoden entsprechen. Sie können verwaltete Regeln wie Viewer-Richtlinie HTTPS, SNI aktiviert, OAC aktiviert, Origin Failover aktiviert, AWS WAF WebACL oder AWS Shield Advanced-Ressourcenrichtlinien auswählen, die ausgelöst werden, wenn sich die Konfiguration ändert.

Mit verwalteten Regeln können in regelmäßigen Abständen Bewertungen mit einer von Ihnen festgelegten Häufigkeit durchgeführt werden. AWS Firewall Manager stützt sich auf AWS Config für automatische Warnmeldungen und Abhilfemaßnahmen. Weitere Informationen finden Sie unter Bewerten von Ressourcen mit AWS Config-Regeln und Liste der von AWS Config verwalteten Regeln im Entwicklerhandbuch für AWS Config.