使用 AWS Config 追蹤組態變更 - Amazon CloudFront
使用 CloudFront 設定 AWS Config檢視 CloudFront 組態歷史記錄使用 AWS Config 規則評估 CloudFront 組態

使用 AWS Config 追蹤組態變更

若要記錄和評估 AWS 資源的組態,您可以使用 AWS Config 以詳細檢視分佈的組態。這包含資源彼此之間的關係和之前的組態方式,所以您可以檢閱其中的長期變化。

您可使用 AWS Config 來記錄 CloudFront 分佈設定變更的組態變更。您可以擷取對於分佈狀態、價格分級、來源、地理限制設定以及 Lambda@Edge 組態的變更。

注意

AWS Config 不會記錄 CloudFront 串流分佈的金鑰值標記。

使用 CloudFront 設定 AWS Config

您設定 AWS Config 時,可以選擇記錄所有支援的 AWS 資源,或是只記錄部分特定資源,例如只記錄 CloudFront 的變更。如需獲得支援的 CloudFront 資源清單,請參閱《AWS Config 開發人員指南》中支援資源類型主題的 Amazon CloudFront 章節。

備註

  • 若要追蹤對 CloudFront 分佈進行的組態變更,您必須登入位於美國東部 (維吉尼亞北部) AWS 區域 的 CloudFront 主控台。

  • 使用 AWS Config 記錄資源時可能會有延遲。AWS Config 僅在其搜尋資源之後才會進行記錄。

Console
使用 CloudFront 設定 AWS Config

  1. 登入 AWS 管理主控台 並開啟 AWS Config主控台

  2. 選擇 Get Started Now (立即開始)

  3. Settings (設定) 頁面上,針對 Resource types to record (要記錄的資源類型),指定您希望 AWS 記錄的 AWS Config 資源類型。如果您只想要記錄 CloudFront 的變更,請選擇特定類型,然後在 CloudFront 中,選擇您想追蹤其變更的分佈或串流分發。

    若要新增或變更想追蹤的分佈,請在完成初始設定後,選擇左側的 Settings (設定)

  4. 指定 AWS Config 的額外必要選項:設定通知、指定組態資訊的位置、以及新增評估資源類型的規則。

如需詳細資訊,請參閱 AWS Config 開發人員指南中的使用主控台設定 AWS Config

AWS CLI

若要以 CloudFront 使用 AWS CLI 設定 AWS Config,請參閱《AWS Config 開發人員指南》中的使用 AWS CLI 設定 AWS Config

AWS Config API

若要以 CloudFront 使用 AWS Config API 設定 AWS Config,請參閱 AWS Config API 參考中的 StartConfigurationRecorder API 操作。

檢視 CloudFront 組態歷史記錄

在 AWS Config 開始記錄對您的分佈所進行的組態變更之後,您就可以針對您為 CloudFront 設定的任何分佈,取得其組態歷程記錄。

您可以透過以下方式來檢視組態歷史記錄。

Console

對於每個記錄的資源,您可以查看時間軸頁面,其中提供組態詳細資訊的歷史記錄。若要查看此頁面,請選擇專用執行個體頁面中的 Config Timeline (組態時間軸) 欄內的灰色圖示。

如需詳細資訊,請參閱 AWS Config 開發人員指南中的在 AWS Config 主控台中檢視組態詳細資訊

AWS CLI

若要取得您所有分佈的清單,請執行 list-discovered-resources 命令,如以下範例所示。

aws configservice list-discovered-resources --resource-type AWS::CloudFront::Distribution

若要取得特定時間間隔內的分佈組態詳細資訊,請執行 get-resource-config-history 命令。

如需詳細資訊,請參閱AWS Config 開發人員指南中的使用 CLI 檢視組態詳細資訊

AWS Config API

若要取得您所有的分佈清單,請使用 ListDiscoveredResources API 操作。

若要取得特定時間間隔內的分佈組態詳細資訊,請使用 GetResourceConfigHistory API 操作。如需詳細資訊,請參閱 AWS Config API 參考

使用 AWS Config 規則評估 CloudFront 組態

您可以使用 AWS Config 規則根據所需組態來評估組態。例如 AWS Config 規則可協助您評估 CloudFront 資源是否符合常見的安全最佳實務。您可以選擇受管規則,例如檢視器政策 HTTPS、啟用 SNI、啟用 OAC、啟用原始伺服器容錯移轉、AWS WAF WebACL,或在組態變更時觸發的 AWS Shield Advanced 資源政策。

受管規則可以依您選擇的頻率定期執行評估。AWS Firewall Manager 依賴 AWS Config 進行自動提醒和修復。如需詳細資訊,請參閱《AWS Config 開發人員指南》中的使用 AWS Config 規則評估資源以及 AWS Config 受管規則清單