- Продукты›
- Инструменты управления›
- AWS Config
Вопросы и ответы по Amazon Config
Общие вопросы
Что представляет собой AWS Config?
AWS Config – это полностью управляемый сервис, который ведет учет ресурсов, предоставляет оповещения об изменениях конфигурации и ведет журнал таких изменений для обеспечения безопасности и организации управления. С AWS Config можно обнаруживать существующие ресурсы в AWS, записывать конфигурации для сторонних ресурсов, экспортировать полный реестр используемых ресурсов со всеми параметрами конфигурации и определять, как ресурс был настроен в любой момент времени. Благодаря этому становится возможным анализ безопасности, прослеживание изменения конфигурации ресурсов, аудит соответствия и диагностика неполадок.
Что такое правило AWS Config?
Правило AWS Config представляет собой требование определенной конфигурации для ресурса. При изменении конфигурации на соответствующих ресурсах выполняется ее сравнение с правилами, сохраненными в AWS Config. Результаты применения правил конфигурации ресурса выводятся на панели управления. С помощью правил AWS Config можно оценить общее соответствие требованиям и возможные риски в отношении конфигурации, проследить тенденции соответствия с течением времени и точно определить, какое изменение конфигурации привело к расхождению ресурса с соответствующим правилом.
Что такое пакет соответствия?
Пакетом соответствия называет набор правил AWS Config и действий по исправлению, которые собраны в единую модель упаковки на общей платформе AWS Config. Собрав перечисленные выше артефакты AWS Config в пакет, вы значительно упростите развертывание и отчетность по политикам нормативного регулирования и соответствия требованиям, применяемые к нескольким аккаунтам и регионам, а также сократите время пребывания ресурсов в состояниях, не обеспечивающих соответствие.
Каковы преимущества использования сервиса AWS Config?
AWS Config позволяет отслеживать конфигурацию ресурсов просто и без предварительных капиталовложений, а также избегать сложностей при установке и обновлении агентов для сбора данных или обслуживании больших баз данных. После включения AWS Config можно просматривать непрерывно обновляемые сведения обо всех значениях конфигурации, связанных с ресурсами AWS. С помощью Простого сервиса уведомлений Amazon (SNS) клиентам отправляются оповещения о каждом изменении конфигурации.
Как AWS Config может помочь с проведением аудита?
AWS Config предоставляет доступ к истории изменения конфигурации ресурсов. Это позволяет связать изменения конфигурации с событиями AWS CloudTrail, которые, возможно, способствовали изменению конфигурации. Такая информация обеспечивает полную прозрачность процессов, начиная с ответов на вопросы о том, кто внес изменения и с какого IP‑адреса, и до понимания того, какое влияние оказали эти изменения на ресурсы AWS и сопутствующие ресурсы. Эту информацию можно использовать для создания отчетов с целью аудита и оценки соответствия требованиям за определенный период.
Кому следует использовать AWS Config и правила AWS Config?
Использование этих средств для непрерывной оценки конфигурации ресурсов обеспечит преимущества любому клиенту AWS, который стремится к улучшению безопасности и оптимизации управления. Администраторы крупных организаций, которые формируют рекомендации по настройке корпоративных ресурсов, могут с помощью правил AWS Config создать свои правила и предоставить пользователям возможность самостоятельной проверки на соответствие им. Правила AWS Config пригодятся и специалистам по информационной безопасности, которые анализируют использование ресурсов и их конфигурацию на предмет возможных уязвимостей. Если ваши рабочие процессы должны отвечать определенным стандартам (например, PCI‑DSS или HIPAA), вы можете использовать эту возможность для оценки конфигураций инфраструктуры AWS на предмет соответствия требованиям и создания отчетов для аудиторов. Операторы, которые управляют крупными инфраструктурами или компонентами AWS, подверженными частым изменениям, могут использовать правила AWS Config для выявления и устранения сбоев. AWS Config рекомендуется использовать, если вы хотите отслеживать изменения в конфигурации ресурсов, знать ответы на вопросы о конфигурации ресурсов, демонстрировать соответствие нормативным требованиям, устранять неполадки или выполнять анализ безопасности.
Кому следует использовать пакеты соответствия AWS Config?
Если вы ищете платформу для создания и развертывания пакетов соответствия для конфигураций ресурсов AWS в нескольких аккаунтах, вам следует использовать пакеты соответствия. Эта платформа позволит создавать персонализированные пакеты для подразделений безопасности, DevOps и т. п., а вы сможете быстро приступить к работе с помощью шаблонов для пакетов соответствия.
Дает ли этот сервис гарантию того, что конфигурации никогда не будут выходить за рамки соответствия?
Правила AWS Config и пакеты соответствия предоставляют информацию о том, соответствуют ли ресурсы выбранным пользователем правилам конфигурации. Они сравнивают конфигурацию ресурса с заданными правилами AWS Config по заданному расписанию и (или) при обнаружении изменений конфигурации. Это поведение вы можете определить при настройке правил. Правила не дают гарантии, что ресурсы будут соответствовать требованиям, и не ограждают от действий пользователей, противоречащих правилам. Но они могут возвращать ресурсы, не соответствующие требованиям, в состояние соответствия благодаря действиям по исправлению, которые можно настроить для каждого правила AWS Config.
Защищает ли данный сервис от действий пользователей, противоречащих правилам?
Правила AWS Config не влияют напрямую на использование AWS конечными пользователями. Правила AWS Config выполняют применение правил к конфигурации ресурса только после того, как изменение в конфигурации было завершено и зафиксировано AWS Config. Правила AWS Config не предотвращает внесение пользователем изменений, которые могут не соответствовать правилам. Для контроля за доступом пользователей к выделению ресурсов AWS и разрешенными параметрами конфигурации выделяемых ресурсов рекомендуется использовать сервисы Управление идентификацией и доступом AWS (IAM) и Каталог сервисов AWS соответственно.
Можно ли выполнить оценку правил перед выделением ресурса?
Да, правила AWS Config можно настроить только на проактивный, только на детективный или на проактивный и детективный режимы. Полный список этих правил см. в документации.
Я уже использую правила AWS Config для своих ресурсов после предоставления этих ресурсов. Как использовать те же правила в проактивном режиме?
Можно использовать существующий API PutConfigRule или консоль AWS Config, чтобы включить проактивный режим для правила AWS Config в своем аккаунте.
Может ли AWS Config регистрировать конфигурацию ресурсов в локальной среде или в других облаках?
AWS Config помогает записывать конфигурации сторонних ресурсов или настраиваемых типов ресурсов, таких как локальные серверы, инструменты мониторинга модели «программное обеспечение как услуга» (SaaS) и системы контроля версий. Для этого необходимо создать схему поставщика ресурсов, которая согласуется с конфигурацией типа ресурса и проверяет ее. Вам необходимо зарегистрировать пользовательский ресурс с помощью AWS CloudFormation или инструмента «инфраструктура как код» (IaC).
Если вы настроили AWS Config для записи всех типов ресурсов, сторонние ресурсы, которыми управляют (создают, обновляют или удаляют) через AWS CloudFormation, автоматически отслеживаются в AWS Config как единицы конфигурации. Чтобы подробнее ознакомиться с шагами, необходимыми для этого, и узнать, в каких регионах AWS это доступно, см. раздел Запись конфигурации для сторонних ресурсов в Руководстве для разработчиков по AWS Config.
Как AWS Config работает с AWS CloudTrail?
AWS CloudTrail записывает все вызовы API для аккаунта и позволяет получить доступ к информации об этих действиях. Сервис предоставляет полную информацию о действиях, выполненных с помощью API: идентификационные данные оператора, время вызова API, параметры запроса и ответные данные, возвращенные сервисом AWS. AWS Config записывает данные конфигурации ресурсов AWS на определенный момент времени в виде единиц конфигурации (CI). CI можно использовать для ответа на вопрос, как выглядел тот или иной ресурс AWS в определенный момент времени. CloudTrail можно использовать для ответа на вопрос, кто выполнил вызов API для изменения того или иного ресурса. Например, с помощью Консоли управления AWS для AWS Config можно выяснить, что в какой‑то момент времени группе безопасности Production‑DB были заданы неправильные настройки. Используя связанную информацию CloudTrail, можно определить пользователя, который неправильно настроил группу безопасности Production‑DB.
Можно ли централизованно контролировать соответствие требованиям для разных аккаунтов и регионов из одного аккаунта?
AWS Config позволяет без труда отслеживать статус соответствия требованиям для разных аккаунтов и регионов с помощью возможности агрегации данных по нескольким аккаунтам и регионам. Можно создать агрегатор конфигурации в любом аккаунте и собирать данные о соответствии требованиям из других аккаунтов. Эта возможность также интегрирована с Организациями AWS, что позволяет собирать данные из всех аккаунтов организации.
Можно ли подключить к AWS Config инстансы ServiceNow и Jira Service Desk?
Да. С помощью Коннектора управления сервисами AWS для ServiceNow и Jira Service Desk пользователи ServiceNow и Jira Service Desk могут выделять ресурсы AWS, управлять ими и работать с ними непосредственно через ServiceNow и Jira Service Desk. Пользователи ServiceNow могут отслеживать ресурсы в представлении единиц конфигурации на базе AWS Config при помощи ServiceNow и Коннектора управления сервисами AWS. Пользователи Jira Service Desk могут отслеживать ресурсы в рамках запроса задач с помощью AWS Service Management Connector. Это упрощает запрос продуктов AWS для пользователей ServiceNow и Jira Service Desk и позволяет администраторам ServiceNow и Jira Service Desk управлять продуктами AWS и контролировать их использование.
Коннектор управления сервисами AWS для ServiceNow можно бесплатно получить в магазине ServiceNow. Эта новая функция является общедоступной во всех регионах AWS, где имеется каталог сервисов AWS. Дополнительные сведения см. в документации.
Коннектор управления сервисами AWS для Jira Service Management доступен бесплатно на торговой площадке Atlassian. Эта новая функция является общедоступной во всех регионах AWS, где имеется каталог сервисов AWS. Дополнительные сведения см. в документации.
Начало работы
Как начать работу с этим сервисом?
Быстрее всего начать работу с AWS Config можно в Консоли управления AWS. Включить AWS Config можно с помощью нескольких вариантов. Дополнительные сведения см. в документации Начало работы.
Как получить доступ к конфигурации моих ресурсов?
Информацию о текущей и предыдущих конфигурациях ресурсов можно получить в Консоли управления AWS, с помощью интерфейса командной строки или SDK.
Дополнительные сведения см. в документации по AWS Config.
Включение AWS Config выполняется по регионам или в глобальном масштабе?
Включение AWS Config в аккаунте выполняется отдельно для каждого региона.
Может ли AWS Config осуществлять агрегирование данных из разных аккаунтов AWS?
Да, AWS Config можно настроить для доставки данных об изменениях конфигурации из различных аккаунтов в одну корзину Простого сервиса хранения данных Amazon (S3), если для корзины Amazon S3 настроены соответствующие политики IAM. В пределах одного региона можно также публиковать оповещения в одной теме SNS, как только к этой теме будут применены соответствующие политики IAM.
Регистрируются ли вызовы API, выполняемые в самом сервисе AWS Config, с помощью AWS CloudTrail?
Да. Все операции API, выполняемые в AWS Config, включая использование API AWS Config для считывания данных конфигурации, регистрируются сервисом AWS CloudTrail.
Какое время и часовой пояс отображается на временной шкале в представлении ресурса? Учитывается ли переход на летнее время?
AWS Config отображает время, в которое элементы конфигурации (CI) были записаны для ресурса, на шкале времени. Все значения времени фиксируются по всемирному скоординированному времени (UTC). Когда шкала времени отображается в консоли управления, для отображения всех моментов времени в представлении временной шкалы сервисы используют часовой пояс клиента (с поправкой на летнее время, если применимо).
Конфигурация ресурсов
Что такое единица конфигурации?
Единица конфигурации (CI) – это конфигурация ресурса в определенный момент времени. CI состоит из пяти разделов:
Основная информация о ресурсе, которая является общей для различных типов ресурсов (например, имена ресурсов Amazon и теги).
Данные конфигурации, характерные для ресурса (например, тип инстанса EC2).
Схема связи с другими ресурсами (например, том EC2 vol‑3434df43 подключен к инстансу EC2 i‑3432ee3a).
Идентификаторы событий CloudTrail, которые связаны с этим состоянием (только для ресурсов AWS).
Метаданные, которые помогают определить информацию о конфигурационной единице, например ее версию, а также момент сохранения.
Что такое пользовательская единица конфигурации?
Пользовательской единицей конфигурации (Configuration Item, CI) называется CI, относящаяся к ресурсу сторонних поставщиков или к пользовательскому ресурсу. Сюда относятся, например, локальные базы данных, серверы Active Directory, GitHub и другие системы контроля версий, Datadog и другие сторонние средства мониторинга.
Что такое связи AWS Config, и как они используются?
При записи изменений AWS Config учитывает связи между ресурсами. Например, если новая группа безопасности EC2 связана с инстансом EC2, при изменении этих ресурсов AWS Config записывает обновленные конфигурации как основного ресурса (группы безопасности EC2), так и связанного ресурса.
Регистрирует ли AWS Config каждое состояние, в котором находился ресурс?
AWS Config обнаруживает изменение в конфигурации ресурса и записывает состояние конфигурации, полученное в результате этого изменения. Если за короткий промежуток времени произошло несколько изменений в конфигурации ресурса, AWS Config запишет только последнюю конфигурацию для этого ресурса, которая будет представлять собой совокупный результат влияния нескольких изменений. В таких ситуациях в AWS Config будет отображаться только последнее изменение в поле relatedEvents единицы конфигурации. Это позволяет пользователям и программам непрерывно изменять конфигурации инфраструктуры, не дожидаясь записи промежуточных переходных состояний.
Как выбрать частоту записи изменений конфигурации в AWS Config?
Периодическая запись позволяет вам решить, как часто записывать изменения в вашей среде, сокращая количество часто меняющихся элементов конфигурации ресурсов. Вместо постоянного получения обновлений вы можете периодически записывать изменения конфигурации каждые 24 часа в соответствии со своими сценариями использования.
В каких случаях следует использовать периодическую запись вместо непрерывной?
Периодическая запись позволяет вам решить, как часто получать обновления конфигураций ресурсов. При включении AWS Config предоставляет последнюю конфигурацию ресурса только по истечении 24 часов, если она была изменена, что сокращает частоту обработки данных конфигурации и делает затраты на сбор этих данных более предсказуемыми для таких примеров использования, как операционное планирование и аудит. Если в области безопасности и соответствия требованиям вам нужно постоянный мониторинг ресурсов, следует использовать непрерывную запись.
Регистрирует ли AWS Config изменения конфигурации, которые произошли не в результате вызовов API для этого ресурса?
Да, AWS Config регулярно сканирует конфигурацию ресурсов для обнаружения изменений, которые еще не были записаны, и записывает их. В единицах конфигурации (CI), записанных в результате такого сканирования, не заполнено поле relatedEvent, при этом фиксируется только последнее состояние, которое отличается от ранее записанного.
Регистрирует ли AWS Config изменения конфигурации ПО в инстансах EC2?
Да. AWS Config позволяет регистрировать изменения конфигураций ПО на инстансах EC2, запущенных от имени аккаунта пользователя, а также на виртуальных машинах (VM) или серверах в локальной среде. Данные конфигурации, регистрируемые AWS Config, включают обновления операционной системы, сетевые конфигурации и установленные приложения. С помощью правил AWS Config можно оценить, соответствуют ли инстансы, ВМ и серверы предъявляемым требованиям. Возможности наглядного представления и непрерывного мониторинга, предоставляемые AWS Config, позволяют оценивать соответствие требованиям и устранять текущие проблемы.
Будет ли AWS Config продолжать отправлять уведомления, если ресурс, который ранее не соответствовал требованиям, после очередной проверки правил по-прежнему не соответствует требованиям?
AWS Config отправляет уведомления только в случае, когда меняется статус соответствия требованиям. Если ранее ресурс не соответствовал требованиям и при проверке это состояние подтверждается, новые уведомления AWS Config отправляться не будут. Если же ресурс изменит свой статус и будет признан соответствующим требованиям, пользователь получит уведомление о таком изменении статуса.
Можно ли обозначить ресурсы для оценки на соответствие правилам AWS Config, освободить или исключить определенные ресурсы от такой проверки?
Да, вы можете исключить ресурсы, перейдя на страницу Recorder Settings (Настройки рекордера) AWS Config в консоли, выбрав опцию Exclude Resource Types (Исключить типы ресурсов) и указав желаемые исключения. Кроме того, для доступа к этой функции можно использовать API PutConfigurationRecorder. Этот API отключит запись конфигурации для такого типа ресурсов. Также при настройке правил AWS Config можно указать, что правило должно выполнять оценку только определенных типов ресурсов или ресурсов с конкретным тегом.
Правила AWS Config
Что такое конфигурация ресурса?
Конфигурация ресурса определяется данными, содержащимися в единице конфигурации (CI) AWS Config. Первоначальное применение правил AWS Config открывает CI ресурса для применения соответствующих правил. Правила AWS Config могут использовать эту информацию наряду с любой другой соответствующей информацией (данными другого связанного ресурса и рабочим временем) для оценки соответствия конфигурации ресурса требованиям.
Что такое правило?
Правило представляет собой требуемые значения атрибутов единицы конфигурации для ресурсов и оценивается путем сравнения этих значений атрибутов с единицами конфигурации, записанными AWS Config. Существует два типа правил:
Правила, управляемые AWS: эти правила предварительно настроены и находятся под контролем AWS. Вы выбираете правило, которое необходимо активировать, после чего вводите несколько параметров конфигурации для начала работы. Подробнее »
Правила, управляемые пользователем: эти правила создаются и настраиваются пользователем. Сервис позволяет создать функцию в AWS Lambda для выполнения в соответствующем аккаунте, и она будет вызываться как часть пользовательского правила. Подробнее »
Быстрее всего начать работу с AWS Config можно в Консоли управления AWS. Включить AWS Config можно с помощью нескольких вариантов. Дополнительные сведения см. в документации Начало работы.
Как осуществляется создание правил?
Обычно правила настраиваются администратором аккаунта AWS. Они могут создаваться с помощью применения управляемых AWS правил (заранее настроенных правил, предоставляемых AWS) или с помощью пользовательских правил. Обновления правил, управляемых AWS, автоматически применяются к любому аккаунту, использующему данное правило. В модели с пользовательским управлением пользователи имеют полные права на правило и выполняют его в пределах собственных аккаунтов. Такие правила обслуживаются самими пользователями.
Сколько правил можно создать?
По умолчанию для одного аккаунта AWS можно создать 150 правил. Кроме того, на странице Лимиты сервисов AWS. можно запросить увеличение лимита количества правил для аккаунта.
Как осуществляется оценка правил?
Любое правило может быть настроено для применения после изменения конфигурации или для периодического применения. Правило, применяемое после изменений, применяется, если AWS Config регистрирует изменение в конфигурации для любого из указанных ресурсов. В дополнение к этому необходимо указать один из следующих параметров:
Тег в формате Key (обязательно):Value (необязательно). Тег key:value подразумевает, что любые изменения конфигурации, зарегистрированные для ресурсов с указанным тегом key:value, инициируют применение данного правила.
Тип(ы) ресурсов. Любые изменения, зарегистрированные для любых ресурсов указанных типов, инициируют применение данного правила.
ID ресурса. Любые изменения, зарегистрированные для ресурса c определенным типом и ID ресурса, инициируют применение данного правила.
Периодическое правило инициируется с заданным интервалом. Доступные интервалы: 1 час, 3 часа, 6 часов, 12 часов или 24 часа. Периодическое правило создает полный снимок состояния текущих единиц конфигурации (CI) для всех ресурсов, к которым данное правило применимо.
Что такое оценка?
Применение правила определяет, соответствует ли состояние ресурса в определенный момент времени заданному правилу. Это является результатом сравнения правила с конфигурацией ресурса. Правила Config фиксируют и хранят результаты каждого применения правила. Результаты включают в себя ресурс, правило, время применения и ссылку на единицу конфигурации (CI), в которой выявлено несоответствие.
Что означает «соответствие»?
Ресурс соответствует требованиям, если он соблюдает все применимые к нему правила. В противном случае он не соответствует требованиям. Аналогичным образом, правило является соответствующим, если все ресурсы, охваченные данным правилом, соответствуют его требованиям; в противном случае он не соответствует требованиям. В некоторых случаях, например, когда для правила заданы несоответствующие разрешения, оно не может быть применено к определенному ресурсу, что приводит к состоянию недостаточности данных. Такое состояние исключается из определения статуса соответствия ресурса или правила.
Какую информацию предоставляет информационная панель правил Config?
Панель управления правил AWS Config обеспечивает обзор ресурсов, отслеживаемых AWS Config, и сводные данные о текущем статусе соответствия по ресурсу и правилу. При просмотре соответствия по ресурсу можно определить, есть ли в данный момент несоответствие какому‑либо правилу, применимому к данному ресурсу. Можно просматривать соответствие по правилу, получая информацию о том, не является ли какой‑либо ресурс в области действия данного правила несоответствующим. С помощью таких просмотров сводных данных можно глубже исследовать ресурсы AWS Config для определения того, какие параметры конфигурации изменились с течением времени. Панель управления позволяет начать с общего обзора и погрузиться в более подробные отчеты, которые дадут полную информацию о динамике состояния соответствия и о том, какие изменения стали причиной несоответствия.
Пакеты соответствия
В каких случаях следует использовать правила AWS Config вместо пакетов соответствия?
Вы можете использовать отдельные правила AWS Config для оценки конфигурации ресурсов на соответствие в одном или нескольких аккаунтах. Пакеты соответствия дают дополнительное преимущество, поскольку в них правила объединяются с действиями по исправлению в единую сущность, которую вы сможете распространять в масштабе всей организации одним вариантом. Пакеты соответствия предназначены для того, чтобы упростить управление соответствием и отчетность в больших масштабах, например при наличии нескольких аккаунтов. Пакеты соответствия разработаны для обеспечения совокупной отчетности о соответствии на уровне пакета и постоянства. Благодаря этому управляемые правила AWS Config и документы по устранению недостатков в пакете соответствия не подлежат изменению или удалению отдельными аккаунтами членов организации.
Каким образом AWS Config и правила AWS Config связаны с Центром безопасности AWS?
Центр безопасности AWS – это сервис безопасности и соответствия требованиям. Он обеспечивает управление безопасностью и принципами соответствия. Этот сервис использует AWS Config и правила AWS Config в качестве основного механизма оценки конфигурации ресурсов AWS. Правила AWS Config можно также использовать для непосредственной оценки конфигурации ресурсов. Правила AWS Config также используются другими сервисами AWS, например AWS Control Tower и Диспетчер брандмауэра AWS.
В каких случаях следует использовать пакеты соответствия Центра безопасности AWS и AWS Config?
Если стандарт соответствия, например PCI DSS, уже присутствует в Центре безопасности, тогда полностью управляемый Центр безопасности AWS является простым способом применения этого стандарта. Можно интегрировать Центр безопасности с Amazon Detective, чтобы проанализировать полученные данные, а также интегрировать Центр безопасности с Amazon EventBridge и создать автоматические или полуавтоматические действия по исправлению. Однако если необходимо создать собственный стандарт соответствия или безопасности, который может включать эксплуатационные проверки, а также проверки безопасности и оптимизации затрат, целесообразно использовать пакеты соответствия AWS Config. Пакеты соответствия AWS Config упрощают управление правилами AWS Config за счет объединения группы правил AWS Config и связанных действий по исправлению. Благодаря этому объединению упрощается развертывание правил и действий по исправлению в пределах организации. Кроме того, здесь имеется возможность составления сводных отчетов, поскольку сводки соответствия могут быть получены на уровне пакета. Для начала можно использовать образцы пакетов соответствия AWS Config, предоставляемые в сервисе, и настроить их по своему усмотрению.
Поддерживают ли непрерывный контроль соответствия требованиям пакеты соответствия Центра безопасности и AWS Config?
Да, пакеты соответствия Центра безопасности и AWS Config поддерживают непрерывный контроль соответствия требованиям, поскольку они основаны на использовании AWS Config и правил AWS Config. Используемые правила AWS Config могут запускаться периодически либо при обнаружении изменений в конфигурации ресурсов. Это позволяет непрерывно проводить аудит и оценку конфигураций ресурсов AWS на предмет общего соответствия установленным политикам и руководствам организации.
Как начать работу с пакетами соответствия?
Самым быстрым путем для начала работы будет создание пакета соответствия на основе одного из предоставленных нами шаблонов с помощью CLI или консоли AWS Config. Например, в число шаблонов входят операционные рекомендации для Amazon S3, Amazon DynamoDB и PCI. Эти шаблоны написаны на языке YAML. Вы можете скачать эти шаблоны с сайта документации и изменить их так, как потребуется для вашей среды, используя любой существующий текстовый редактор. Вы даже сможете добавить пользовательские правила AWS Config, которые вы уже включили в собственные пакет.
Является ли платным использование этой функции в AWS Config?
Использование пакетов соответствия оплачивается по модели с гибким ценообразованием. Подробные сведения см. на странице цен на AWS Config.
Сбор данных по нескольким аккаунтам и регионам
Что такое агрегирование данных по нескольким аккаунтам и регионам?
Сбор данных в AWS Config позволяет объединить в одном аккаунте и одном регионе данные AWS Config из разных аккаунтов и регионов. Сбор данных по нескольким аккаунтам предоставляет центральным ИТ‑администраторам возможность отслеживать соответствие требованиям для всех аккаунтов AWS в масштабе компании.
Можно ли использовать возможность агрегирования данных для централизованного назначения правил AWS Config по нескольким аккаунтам?
Возможность сбора данных нельзя использовать для назначения правил для нескольких аккаунтов. Эта возможность предназначена исключительно для создания отчетов, позволяющих оценить соответствие требованиям. Назначать правила для нескольких аккаунтов и регионов можно с помощью AWS CloudFormation StackSets. Подробнее в этом блоге по ссылке.
Как включить агрегирование данных в аккаунте?
Сбор данных можно включить после того, как для всех аккаунтов настроен сервис AWS Config и правила AWS Config. Для сбора данных необходимо создать агрегатор в центральном аккаунте. Подробнее.
Что такое агрегатор?
Агрегатор – это тип ресурса AWS Config, который собирает данные AWS Config из разных аккаунтов и регионов. Агрегатор можно использовать для просмотра данных AWS Config о конфигурации ресурсов и соответствии требованиям для нескольких аккаунтов и регионов.
Какая информация отображается в сводном представлении?
В сводном представлении приводится общее количество правил в масштабах всей организации, для которых обнаружены случаи несоответствия, пять правил, которым не соответствует наибольшее количество ресурсов, и пять аккаунтов AWS с наибольшим количеством правил, для которых обнаружены случаи несоответствия. Из сводной панели можно перейти к просмотру сведений о ресурсах, не соответствующих конкретному правилу, и к списку правил, нарушенных тем или иным аккаунтом.
Я не являюсь клиентом сервиса «Организации AWS». Могу ли я использовать возможность сбора данных?
Чтобы указать аккаунты, для которых необходимо собирать данные AWS Config, можно загрузить файл или ввести данные аккаунтов вручную. Так как эти аккаунты не входят в организацию AWS, необходимо явным образом авторизовать аккаунт агрегатора в каждом аккаунте. Подробнее.
У меня есть только один аккаунт. Могу ли я воспользоваться возможностью агрегирования данных?
Возможность сбора данных полезна также для сбора данных по нескольким регионам. Поэтому ее можно использовать в одном аккаунте для сбора данных AWS Config по разным регионам.
В каких регионах доступна возможность агрегирования данных по нескольким аккаунтам и регионам?
Подробнее о регионах, в которых доступно агрегирование данных из нескольких аккаунтов и регионов, см. раздел Агрегирование данных по нескольким аккаунтам и регионам в Руководстве для разработчиков по AWS Config.
Что делать, если в аккаунте есть регион, в котором эта функция не поддерживается?
При создании агрегатора необходимо указать регионы, из которых можно собирать данные. В этом списке отображаются только те регионы, в которых доступна эта функция. Кроме того, можно выбрать вариант «все регионы». В этом случае при добавлении поддержки других регионов сбор данных в них начнется автоматически.
Поддержка сервисов и регионов
Какие типы ресурсов AWS охватывает AWS Config?
Полный перечень поддерживаемых типов ресурсов см. в нашей документации.
В каких регионах доступен сервис AWS Config?
Дополнительные сведения о регионах AWS, в которых доступен сервис AWS Config, см. в таблице сведений орегионах AWS.
Цены
Как оплачивается использование AWS Config?
При использовании AWS Config стоимость рассчитывается в зависимости от количества записанных единиц конфигурации и активных применений правил AWS Config в аккаунте. Единица конфигурации – это запись конфигурации ресурса в аккаунте AWS. AWS Config может обновлять элементы конфигурации в двух режимах: непрерывном и периодическом. В непрерывном режиме изменения конфигурации записываются и передаются при каждом изменении. Периодическая запись позволяет получать данные конфигурации каждые 24 часа, только если в ней происходили изменения. Применение правила AWS Config – это оценка ресурса с помощью правила AWS Config в аккаунте AWS на соответствие требованиям. Применением пакета соответствия считается любая оценка ресурса по одному правилу AWS Config, входящему в пакет соответствия. Дополнительные сведения и примеры вы найдете на странице https://aws.amazon.com/config/pricing/.
Включены ли в стоимость правил AWS Config расходы на функции Lambda?
Правила можно выбирать из набора правил, предоставляемых AWS, или создать свои собственные правила в виде функций Lambda. Управляемые правила полностью обслуживаются AWS и не требуют дополнительных затрат на Lambda для их работы. Вы можете активировать управляемые правила, ввести любые необходимые параметры и платить по единому тарифу за каждое активное правило AWS Config за расчетный месяц. Пользовательские правила обеспечивают клиентам полный контроль, поскольку применяются в соответствующем аккаунте как функции Lambda. В дополнение к ежемесячной плате за каждое активное правило, к пользовательским правилам AWS Config применяются стандартные тарифы бесплатного уровня Lambda* и тарифы на функции приложений.
* Уровень бесплатного пользования AWS недоступен в регионах AWS Китай (Пекин) и Китай (Нинся).
Я хочу изменить функцию Lambda для своего пользовательского правила AWS Config. Какой подход вы рекомендуете?
Плата взимается каждый раз, когда правило создается и становится активным. Если необходимо обновить или заменить функцию Lambda, связанную с правилом, рекомендуем обновить это правило, а не удалять его и создавать новое.
Решения партнеров
Какие решения партнеров AWS доступны для AWS Config?
Партнеры APN, такие как Splunk, ServiceNow, Evident.io, CloudCheckr, Redseal и Red Hat CloudForms, предлагают решения, которые полностью интегрированы с данными AWS Config. Поставщики управляемых услуг, такие как 2nd Watch и Cloudnexa, также объявили об интеграции с AWS Config. Кроме того, использовать интегрированные решения для работы с правилами AWS Config предлагают такие партнеры, как CloudHealth Technologies, AlertLogic и TrendMicro. Эти решения включают в себя такие возможности, как управление изменениями и анализ безопасности. Они также позволяют визуализировать и контролировать конфигурации ресурсов AWS и осуществлять управление ими.