AWS Config 术语和概念
为了帮助您了解,AWS Config本主题介绍了一些主要概念。
目录
AWS Config 接口
AWS Config 控制台
您可以使用 AWS Config 控制台管理服务。有关 AWS 管理控制台 的更多信息,请参阅 AWS 管理控制台
AWS Config CLI
AWS Command Line Interface 是一个可用于从命令行与 AWS Config 交互的统一工具。有关更多信息,请参阅《AWS Command Line Interface 用户指南》。有关 AWS Config CLI 命令的完整列表,请参阅可用命令。
AWS Config API
除了控制台和 CLI 之外,您还可以使用 AWS Config RESTful API 来直接对 AWS Config 进行编程。有关更多信息,请参阅 AWS Config API 参考。
AWS Config SDK
作为使用 AWS Config API 的替代方案,您可以使用某个 AWS 软件开发工具包。每个软件开发工具包均包含适用于各种编程语言和平台的库和示例代码。这些开发工具包提供了一种简便方法,以使用编程方式访问。AWS Config例如,您可以使用开发工具包以加密方式对请求进行签名,管理错误并自动重试请求。有关更多信息,请参阅用于 Amazon Web Services 的工具
资源管理
了解 AWS Config 的基本组件将帮助您跟踪资源清单以及更改并评估 AWS 资源的配置。
AWS 资源
AWS 资源 是您使用、AWS 管理控制台AWS Command Line Interface(CLI)、AWS 开发工具包或 AWS 合作伙伴工具创建和管理的实体。AWS 资源的示例包括 Amazon EC2 实例、安全组、Amazon VPC 和 Amazon Elastic Block Store。AWS Config 使用其唯一标识符(例如,资源 ID 或 Amazon 资源名称(ARN))来参考每个资源。有关 AWS Config 支持的资源类型列表,请参阅 AWS Config 支持的资源类型
资源关系
AWS Config 会查找您账户中的 AWS 资源,然后创建 AWS 资源关系图。例如,关系可能包括附加到与安全组 sg-ef678hk 关联的 Amazon EC2 实例 i-a1b2c3d4 的 Amazon EBS 卷。vol-123ab45d
有关更多信息,请参阅 AWS Config 支持的资源类型
配置记录器
配置记录器以配置项的形式存储资源类型的配置更改。有关更多信息,请参阅 使用配置记录器
有两种类型的配置记录器。
| 类型 | 描述 |
|---|---|
| 客户管理的配置记录器 | 您管理的配置记录器。范围内的资源类型由您设置。默认情况下,客户管理的配置记录器会记录正在运行 AWS Config 的 AWS 区域内所有受支持的资源。 |
| 服务相关配置记录器 | 关联到特定 AWS 服务的配置记录器。范围内的资源类型由相关服务设置。 |
传输通道
由于 AWS Config 会持续记录您的 AWS 资源发生的更改,因此,它会通过传递通道 发送通知和更新后的配置状态。您可以管理传递通道,从而控制 AWS Config 在哪里发送配置更新。
配置项
配置项 代表您账户中受支持的 AWS 资源在特定时间点具备的各种属性。配置项的组成部分包括元数据、属性、关系、当前配置以及相关事件。只要检测到正在记录的资源类型发生变更,AWS Config 就会创建配置项。例如,如果 AWS Config 正在记录 Amazon S3 存储桶,则只要创建、更新或删除存储桶,AWS Config 就会创建配置项。您也可以选择让 AWS Config 以您设置的记录频率创建配置项。
有关更多信息,请参阅Components of a Configuration Item和记录频率。
配置历史
配置历史记录是指定资源在某个时间段的配置项集合。配置历史记录包含多种信息,例如资源首次创建的时间、过去一个月的资源配置情况以及昨天上午 9 点发生了哪些配置更改等。配置历史记录具有多种格式供您使用。AWS Config 可以将正在记录的各种资源类型的配置历史记录文件自动传输到您指定的 Amazon S3 存储桶。您可以在 AWS Config 控制台中选择一项资源,并使用时间线浏览该资源以前的所有配置项。此外,您还可以从 API 访问资源的历史配置项。
有关更多信息,请参阅查看合规性历史记录和查询合规性历史记录。
配置快照
配置快照是您账户中受支持资源的配置项的集合。配置快照可以完整展示被记录的资源及其配置的相关信息。配置快照是验证您的配置的有效工具。例如,您可以定期检查配置快照,以便找出配置错误的资源或可能不应存在的资源。配置快照具有多种格式。您可以将配置快照传输到您指定的 Amazon Simple Storage Service(Amazon S3)存储桶。此外,您可以在 AWS Config 控制台中选择一个时间点,并按照资源之间的关系浏览不同配置项的快照。
有关更多信息,请参阅传送配置快照、查看配置快照和示例配置快照。
配置流
配置流是一个自动更新的列表,列出了 AWS Config 正在记录的资源的所有配置项。每当资源被创建、修改或删除时,AWS Config 会创建一条配置项并将其添加到配置流。配置流使用您选择的 Amazon Simple Notification Service(Amazon SNS)主题工作。配置流可以帮助您随时观察配置更改,以便发现潜在的问题、在特定资源发生更改时生成通知,或更新需要反映您的 AWS 资源配置的外部系统。
AWS Config 规则
AWS Config 规则是一种合规性检查,可帮助您管理特定 AWS 资源的理想配置设置。AWS Config 用于评估资源配置是否遵从相关规则,并显示合规性结果。
评估结果
以下是 AWS Config 规则四个可能的评估结果。
| 评估结果 | 描述 |
|---|---|
COMPLIANT |
规则通过了合规性检查的条件。 |
NON_COMPLIANT |
此规则未通过合规性检查的条件。 |
ERROR |
其中一个必选/可选参数无效,或者类型不正确,或者格式不正确。 |
NOT_APPLICABLE |
用于筛选出无法应用规则逻辑的资源。例如,alb-desync-mode-check 规则仅检查应用程序负载均衡器,而忽略网络负载均衡器和网关负载均衡器。 |
规则类型
有两种类型的规则。有关规则定义和规则元数据的结构的更多信息,请参阅 AWS Config 规则的组成部分。
| 类型 | 描述 | 更多信息 |
|---|---|---|
| 托管规则 | AWS Config 创建的预定义、可自定义规则。 | 有关托管规则的列表,请参阅 AWS Config 托管规则列表。 |
| 自定义规则 | 您从头开始创建的规则。有两种方法可以创建 AWS Config 自定义规则:使用 Lambda 函数(AWS Lambda 开发人员指南)和使用 Guard(Guard GitHub 存储库 |
有关更多信息,请参阅创建 AWS Config 自定义策略规则和创建 AWS Config 自定义 Lambda 规则。 |
触发器类型
将规则添加到账户后,AWS Config 会将您的资源与规则的条件进行比较。完成这一初始评估后,AWS Config 会在每次触发评估时继续执行评估。规则中会定义评估触发器,可以包括以下类型。
| 触发器类型 | 描述 |
|---|---|
| 配置更改 | 当存在与规则范围匹配的资源,并且资源配置发生变化时,AWS Config 会对规则进行评估。在 AWS Config 发送配置项更改通知后,评估便会运行。 通过定义规则的范围来选择哪些资源启动评估。范围可以包括:
AWS Config 在检测到与规则的范围匹配的资源发生更改时运行评估。您可以使用范围来定义哪些资源启动评估。 |
| 定期 | AWS Config 会按照您选择的频率运行规则评估(例如,每 24 小时)。 |
| 混合 | 有些规则既有配置更改也有定期触发器。对于这些规则,AWS Config 会在检测到配置更改时以及按照您指定的频率评估您的资源。 |
评估模式
AWS Config 规则有两种评估模式。
| 评估模式 | 描述 |
|---|---|
| 主动 | 使用主动评估在资源部署之前对其进行评估。这使您可以根据您所在区域的账户中的主动规则集,评估一组资源属性(如果用于定义 AWS 资源)是 COMPLIANT 还是 NON_COMPLIANT。 有关更多信息,请参阅评估模式。有关支持主动评估的托管规则列表,请参阅按评估模式列出的 AWS Config 托管规则列表。 |
| 侦查 | 使用侦查评估来评估已部署的资源。这允许您评估现有资源的配置设置。 |
注意
主动规则不会修复标记为 NON_COMPLIANT 的资源,也不会阻止部署这些资源。
合规包
合规包是 AWS Config 规则和补救操作的集合,可作为账户和区域中的单个实体轻松部署,也可以跨 AWS Organizations 中的整个组织部署。
通过编写一个包含 AWS Config 规则(托管或自定义)和修复操作列表的 YAML 模板,可以创建合规包。您可以使用 AWS Config 控制台或 AWS CLI 部署模板。
要快速开始使用并评估您的 AWS 环境,请使用其中一个示例合规包模板。您也可以基于自定义合规包,从头开始创建合规包 YAML 文件。自定义合规包是 AWS Config 规则和修正措施的唯一集合,可以一起部署在账户和 AWS 区域中,也可以在 AWS Organizations 中跨组织部署。
流程检查是一种 AWS Config 规则,允许您跟踪需要作为合规包的一部分进行验证的外部和内部任务。可以将这些检查添加到现有合规包或新的合规包中。您可以在一个位置跟踪所有合规性,包括 AWS Config 配置和手动检查。
多账户多区域数据聚合
AWS Config 中多账户多区域数据聚合可让您将来自多个账户和区域的 AWS Config 配置和合规性数据聚合到单个账户中。多账户、多区域数据聚合用于中心 IT 管理员监控企业中多个 AWS 账户的合规性。使用聚合器不会产生任何额外费用。
源账户
源账户 是您要从中聚合 AWS Config 资源配置和合规性数据的。AWS 账户源账户可以是 AWS Organizations 中的个人账户或组织。您可以单独提供源账户,也可以通过 AWS Organizations 检索它们。
源区域
源区域是您要从中聚合 AWS Config 配置和合规性数据的 AWS 区域。
聚合器
聚合器可从多个源账户和区域收集 AWS Config 配置和合规性数据。在要查看聚合的 AWS Config 配置和合规性数据的区域中创建聚合器。
注意
聚合器通过将数据从源账户复制到聚合器账户,提供源账户和聚合器有权查看的区域的只读视图。聚合器不提供对源账户或区域的可变访问权限。例如,这意味着您不能通过聚合器部署规则,也不能通过聚合器将快照文件推送到源账户或区域。
服务相关聚合器
服务相关聚合器与特定 AWS 服务相关联。范围内的配置和合规性数据由相关服务设置。
聚合器账户
聚合账户是您在其中创建聚合器的账户。
授权
作为源账户所有者,授权是指您向聚合器账户和区域授予收集 AWS Config 配置和合规性数据的权限。如果要聚合的源账户是 AWS Organizations 的一部分,则不需要授权。
