Вопросы и ответы по Amazon Config

Общие вопросы

AWS Config – это полностью управляемый сервис, который ведет учет ресурсов, предоставляет оповещения об изменениях конфигурации и ведет журнал таких изменений для обеспечения безопасности и организации управления. С AWS Config можно обнаруживать существующие ресурсы в AWS, записывать конфигурации для сторонних ресурсов, экспортировать полный реестр используемых ресурсов со всеми параметрами конфигурации и определять, как ресурс был настроен в любой момент времени. Благодаря этому становится возможным анализ безопасности, прослеживание изменения конфигурации ресурсов, аудит соответствия и диагностика неполадок.

Правило AWS Config представляет собой требование определенной конфигурации для ресурса. При изменении конфигурации на соответствующих ресурсах выполняется ее сравнение с правилами, сохраненными в AWS Config. Результаты применения правил конфигурации ресурса выводятся на панели управления. С помощью правил AWS Config можно оценить общее соответствие требованиям и возможные риски в отношении конфигурации, проследить тенденции соответствия с течением времени и точно определить, какое изменение конфигурации привело к расхождению ресурса с соответствующим правилом.

Пакетом соответствия называет набор правил AWS Config и действий по исправлению, которые собраны в единую модель упаковки на общей платформе AWS Config. Собрав перечисленные выше артефакты AWS Config в пакет, вы значительно упростите развертывание и отчетность по политикам нормативного регулирования и соответствия требованиям, применяемые к нескольким аккаунтам и регионам, а также сократите время пребывания ресурсов в состояниях, не обеспечивающих соответствие.

AWS Config позволяет отслеживать конфигурацию ресурсов просто и без предварительных капиталовложений, а также избегать сложностей при установке и обновлении агентов для сбора данных или обслуживании больших баз данных. После включения AWS Config можно просматривать непрерывно обновляемые сведения обо всех значениях конфигурации, связанных с ресурсами AWS. С помощью Простого сервиса уведомлений Amazon (SNS) клиентам отправляются оповещения о каждом изменении конфигурации.

AWS Config предоставляет доступ к истории изменения конфигурации ресурсов. Это позволяет связать изменения конфигурации с событиями AWS CloudTrail, которые, возможно, способствовали изменению конфигурации. Такая информация обеспечивает полную прозрачность процессов, начиная с ответов на вопросы о том, кто внес изменения и с какого IP‑адреса, и до понимания того, какое влияние оказали эти изменения на ресурсы AWS и сопутствующие ресурсы. Эту информацию можно использовать для создания отчетов с целью аудита и оценки соответствия требованиям за определенный период.

Использование этих средств для непрерывной оценки конфигурации ресурсов обеспечит преимущества любому клиенту AWS, который стремится к улучшению безопасности и оптимизации управления. Администраторы крупных организаций, которые формируют рекомендации по настройке корпоративных ресурсов, могут с помощью правил AWS Config создать свои правила и предоставить пользователям возможность самостоятельной проверки на соответствие им. Правила AWS Config пригодятся и специалистам по информационной безопасности, которые анализируют использование ресурсов и их конфигурацию на предмет возможных уязвимостей. Если ваши рабочие процессы должны отвечать определенным стандартам (например, PCI‑DSS или HIPAA), вы можете использовать эту возможность для оценки конфигураций инфраструктуры AWS на предмет соответствия требованиям и создания отчетов для аудиторов. Операторы, которые управляют крупными инфраструктурами или компонентами AWS, подверженными частым изменениям, могут использовать правила AWS Config для выявления и устранения сбоев. AWS Config рекомендуется использовать, если вы хотите отслеживать изменения в конфигурации ресурсов, знать ответы на вопросы о конфигурации ресурсов, демонстрировать соответствие нормативным требованиям, устранять неполадки или выполнять анализ безопасности.

Если вы ищете платформу для создания и развертывания пакетов соответствия для конфигураций ресурсов AWS в нескольких аккаунтах, вам следует использовать пакеты соответствия. Эта платформа позволит создавать персонализированные пакеты для подразделений безопасности, DevOps и т. п., а вы сможете быстро приступить к работе с помощью шаблонов для пакетов соответствия.

Правила AWS Config и пакеты соответствия предоставляют информацию о том, соответствуют ли ресурсы выбранным пользователем правилам конфигурации. Они сравнивают конфигурацию ресурса с заданными правилами AWS Config по заданному расписанию и (или) при обнаружении изменений конфигурации. Это поведение вы можете определить при настройке правил. Правила не дают гарантии, что ресурсы будут соответствовать требованиям, и не ограждают от действий пользователей, противоречащих правилам. Но они могут возвращать ресурсы, не соответствующие требованиям, в состояние соответствия благодаря действиям по исправлению, которые можно настроить для каждого правила AWS Config.

Правила AWS Config не влияют напрямую на использование AWS конечными пользователями. Правила AWS Config выполняют применение правил к конфигурации ресурса только после того, как изменение в конфигурации было завершено и зафиксировано AWS Config. Правила AWS Config не предотвращает внесение пользователем изменений, которые могут не соответствовать правилам. Для контроля за доступом пользователей к выделению ресурсов AWS и разрешенными параметрами конфигурации выделяемых ресурсов рекомендуется использовать сервисы Управление идентификацией и доступом AWS (IAM) и Каталог сервисов AWS соответственно.

Да, правила AWS Config можно настроить только на проактивный, только на детективный или на проактивный и детективный режимы. Полный список этих правил см. в документации.

Можно использовать существующий API PutConfigRule или консоль AWS Config, чтобы включить проактивный режим для правила AWS Config в своем аккаунте.

AWS Config помогает записывать конфигурации сторонних ресурсов или настраиваемых типов ресурсов, таких как локальные серверы, инструменты мониторинга модели «программное обеспечение как услуга» (SaaS) и системы контроля версий. Для этого необходимо создать схему поставщика ресурсов, которая согласуется с конфигурацией типа ресурса и проверяет ее. Вам необходимо зарегистрировать пользовательский ресурс с помощью AWS CloudFormation или инструмента «инфраструктура как код» (IaC).

Если вы настроили AWS Config для записи всех типов ресурсов, сторонние ресурсы, которыми управляют (создают, обновляют или удаляют) через AWS CloudFormation, автоматически отслеживаются в AWS Config как единицы конфигурации. Чтобы подробнее ознакомиться с шагами, необходимыми для этого, и узнать, в каких регионах AWS это доступно, см. раздел Запись конфигурации для сторонних ресурсов в Руководстве для разработчиков по AWS Config.

AWS CloudTrail записывает все вызовы API для аккаунта и позволяет получить доступ к информации об этих действиях. Сервис предоставляет полную информацию о действиях, выполненных с помощью API: идентификационные данные оператора, время вызова API, параметры запроса и ответные данные, возвращенные сервисом AWS. AWS Config записывает данные конфигурации ресурсов AWS на определенный момент времени в виде единиц конфигурации (CI). CI можно использовать для ответа на вопрос, как выглядел тот или иной ресурс AWS в определенный момент времени. CloudTrail можно использовать для ответа на вопрос, кто выполнил вызов API для изменения того или иного ресурса. Например, с помощью Консоли управления AWS для AWS Config можно выяснить, что в какой‑то момент времени группе безопасности Production‑DB были заданы неправильные настройки. Используя связанную информацию CloudTrail, можно определить пользователя, который неправильно настроил группу безопасности Production‑DB.

AWS Config позволяет без труда отслеживать статус соответствия требованиям для разных аккаунтов и регионов с помощью возможности агрегации данных по нескольким аккаунтам и регионам. Можно создать агрегатор конфигурации в любом аккаунте и собирать данные о соответствии требованиям из других аккаунтов. Эта возможность также интегрирована с Организациями AWS, что позволяет собирать данные из всех аккаунтов организации.

Да. С помощью Коннектора управления сервисами AWS для ServiceNow и Jira Service Desk пользователи ServiceNow и Jira Service Desk могут выделять ресурсы AWS, управлять ими и работать с ними непосредственно через ServiceNow и Jira Service Desk. Пользователи ServiceNow могут отслеживать ресурсы в представлении единиц конфигурации на базе AWS Config при помощи ServiceNow и Коннектора управления сервисами AWS. Пользователи Jira Service Desk могут отслеживать ресурсы в рамках запроса задач с помощью AWS Service Management Connector. Это упрощает запрос продуктов AWS для пользователей ServiceNow и Jira Service Desk и позволяет администраторам ServiceNow и Jira Service Desk управлять продуктами AWS и контролировать их использование.

Коннектор управления сервисами AWS для ServiceNow можно бесплатно получить в магазине ServiceNow. Эта новая функция является общедоступной во всех регионах AWS, где имеется каталог сервисов AWS. Дополнительные сведения см. в документации.

Коннектор управления сервисами AWS для Jira Service Management доступен бесплатно на торговой площадке Atlassian. Эта новая функция является общедоступной во всех регионах AWS, где имеется каталог сервисов AWS. Дополнительные сведения см. в документации.

Начало работы

Быстрее всего начать работу с AWS Config можно в Консоли управления AWS. Включить AWS Config можно с помощью нескольких вариантов. Дополнительные сведения см. в документации Начало работы.

Информацию о текущей и предыдущих конфигурациях ресурсов можно получить в Консоли управления AWS, с помощью интерфейса командной строки или SDK.

Дополнительные сведения см. в документации по AWS Config.

Включение AWS Config в аккаунте выполняется отдельно для каждого региона.

Да, AWS Config можно настроить для доставки данных об изменениях конфигурации из различных аккаунтов в одну корзину Простого сервиса хранения данных Amazon (S3), если для корзины Amazon S3 настроены соответствующие политики IAM. В пределах одного региона можно также публиковать оповещения в одной теме SNS, как только к этой теме будут применены соответствующие политики IAM.

Да. Все операции API, выполняемые в AWS Config, включая использование API AWS Config для считывания данных конфигурации, регистрируются сервисом AWS CloudTrail.

AWS Config отображает время, в которое элементы конфигурации (CI) были записаны для ресурса, на шкале времени. Все значения времени фиксируются по всемирному скоординированному времени (UTC). Когда шкала времени отображается в консоли управления, для отображения всех моментов времени в представлении временной шкалы сервисы используют часовой пояс клиента (с поправкой на летнее время, если применимо).

Конфигурация ресурсов

Единица конфигурации (CI) – это конфигурация ресурса в определенный момент времени. CI состоит из пяти разделов:

Основная информация о ресурсе, которая является общей для различных типов ресурсов (например, имена ресурсов Amazon и теги).

Данные конфигурации, характерные для ресурса (например, тип инстанса EC2).

Схема связи с другими ресурсами (например, том EC2 vol‑3434df43 подключен к инстансу EC2 i‑3432ee3a).

Идентификаторы событий CloudTrail, которые связаны с этим состоянием (только для ресурсов AWS).

Метаданные, которые помогают определить информацию о конфигурационной единице, например ее версию, а также момент сохранения.

Подробнее о единицах конфигурации.

Пользовательской единицей конфигурации (Configuration Item, CI) называется CI, относящаяся к ресурсу сторонних поставщиков или к пользовательскому ресурсу. Сюда относятся, например, локальные базы данных, серверы Active Directory, GitHub и другие системы контроля версий, Datadog и другие сторонние средства мониторинга.

При записи изменений AWS Config учитывает связи между ресурсами. Например, если новая группа безопасности EC2 связана с инстансом EC2, при изменении этих ресурсов AWS Config записывает обновленные конфигурации как основного ресурса (группы безопасности EC2), так и связанного ресурса.

AWS Config обнаруживает изменение в конфигурации ресурса и записывает состояние конфигурации, полученное в результате этого изменения. Если за короткий промежуток времени произошло несколько изменений в конфигурации ресурса, AWS Config запишет только последнюю конфигурацию для этого ресурса, которая будет представлять собой совокупный результат влияния нескольких изменений. В таких ситуациях в AWS Config будет отображаться только последнее изменение в поле relatedEvents единицы конфигурации. Это позволяет пользователям и программам непрерывно изменять конфигурации инфраструктуры, не дожидаясь записи промежуточных переходных состояний.

Периодическая запись позволяет вам решить, как часто записывать изменения в вашей среде, сокращая количество часто меняющихся элементов конфигурации ресурсов. Вместо постоянного получения обновлений вы можете периодически записывать изменения конфигурации каждые 24 часа в соответствии со своими сценариями использования. 

Периодическая запись позволяет вам решить, как часто получать обновления конфигураций ресурсов. При включении AWS Config предоставляет последнюю конфигурацию ресурса только по истечении 24 часов, если она была изменена, что сокращает частоту обработки данных конфигурации и делает затраты на сбор этих данных более предсказуемыми для таких примеров использования, как операционное планирование и аудит. Если в области безопасности и соответствия требованиям вам нужно постоянный мониторинг ресурсов, следует использовать непрерывную запись.

Да, AWS Config регулярно сканирует конфигурацию ресурсов для обнаружения изменений, которые еще не были записаны, и записывает их. В единицах конфигурации (CI), записанных в результате такого сканирования, не заполнено поле relatedEvent, при этом фиксируется только последнее состояние, которое отличается от ранее записанного.

Да. AWS Config позволяет регистрировать изменения конфигураций ПО на инстансах EC2, запущенных от имени аккаунта пользователя, а также на виртуальных машинах (VM) или серверах в локальной среде. Данные конфигурации, регистрируемые AWS Config, включают обновления операционной системы, сетевые конфигурации и установленные приложения. С помощью правил AWS Config можно оценить, соответствуют ли инстансы, ВМ и серверы предъявляемым требованиям. Возможности наглядного представления и непрерывного мониторинга, предоставляемые AWS Config, позволяют оценивать соответствие требованиям и устранять текущие проблемы.

AWS Config отправляет уведомления только в случае, когда меняется статус соответствия требованиям. Если ранее ресурс не соответствовал требованиям и при проверке это состояние подтверждается, новые уведомления AWS Config отправляться не будут. Если же ресурс изменит свой статус и будет признан соответствующим требованиям, пользователь получит уведомление о таком изменении статуса.

Да, вы можете исключить ресурсы, перейдя на страницу Recorder Settings (Настройки рекордера) AWS Config в консоли, выбрав опцию Exclude Resource Types (Исключить типы ресурсов) и указав желаемые исключения. Кроме того, для доступа к этой функции можно использовать API PutConfigurationRecorder. Этот API отключит запись конфигурации для такого типа ресурсов. Также при настройке правил AWS Config можно указать, что правило должно выполнять оценку только определенных типов ресурсов или ресурсов с конкретным тегом.

Правила AWS Config

Конфигурация ресурса определяется данными, содержащимися в единице конфигурации (CI) AWS Config. Первоначальное применение правил AWS Config открывает CI ресурса для применения соответствующих правил. Правила AWS Config могут использовать эту информацию наряду с любой другой соответствующей информацией (данными другого связанного ресурса и рабочим временем) для оценки соответствия конфигурации ресурса требованиям.

Правило представляет собой требуемые значения атрибутов единицы конфигурации для ресурсов и оценивается путем сравнения этих значений атрибутов с единицами конфигурации, записанными AWS Config. Существует два типа правил:

Правила, управляемые AWS: эти правила предварительно настроены и находятся под контролем AWS. Вы выбираете правило, которое необходимо активировать, после чего вводите несколько параметров конфигурации для начала работы. Подробнее »

Правила, управляемые пользователем: эти правила создаются и настраиваются пользователем. Сервис позволяет создать функцию в AWS Lambda для выполнения в соответствующем аккаунте, и она будет вызываться как часть пользовательского правила. Подробнее »

Быстрее всего начать работу с AWS Config можно в Консоли управления AWS. Включить AWS Config можно с помощью нескольких вариантов. Дополнительные сведения см. в документации Начало работы.

Обычно правила настраиваются администратором аккаунта AWS. Они могут создаваться с помощью применения управляемых AWS правил (заранее настроенных правил, предоставляемых AWS) или с помощью пользовательских правил. Обновления правил, управляемых AWS, автоматически применяются к любому аккаунту, использующему данное правило. В модели с пользовательским управлением пользователи имеют полные права на правило и выполняют его в пределах собственных аккаунтов. Такие правила обслуживаются самими пользователями.

По умолчанию для одного аккаунта AWS можно создать 150 правил. Кроме того, на странице Лимиты сервисов AWS. можно запросить увеличение лимита количества правил для аккаунта.

Любое правило может быть настроено для применения после изменения конфигурации или для периодического применения. Правило, применяемое после изменений, применяется, если AWS Config регистрирует изменение в конфигурации для любого из указанных ресурсов. В дополнение к этому необходимо указать один из следующих параметров:

Тег в формате Key (обязательно):Value (необязательно). Тег key:value подразумевает, что любые изменения конфигурации, зарегистрированные для ресурсов с указанным тегом key:value, инициируют применение данного правила.

Тип(ы) ресурсов. Любые изменения, зарегистрированные для любых ресурсов указанных типов, инициируют применение данного правила.

ID ресурса. Любые изменения, зарегистрированные для ресурса c определенным типом и ID ресурса, инициируют применение данного правила.

Периодическое правило инициируется с заданным интервалом. Доступные интервалы: 1 час, 3 часа, 6 часов, 12 часов или 24 часа. Периодическое правило создает полный снимок состояния текущих единиц конфигурации (CI) для всех ресурсов, к которым данное правило применимо.

Применение правила определяет, соответствует ли состояние ресурса в определенный момент времени заданному правилу. Это является результатом сравнения правила с конфигурацией ресурса. Правила Config фиксируют и хранят результаты каждого применения правила. Результаты включают в себя ресурс, правило, время применения и ссылку на единицу конфигурации (CI), в которой выявлено несоответствие.

Ресурс соответствует требованиям, если он соблюдает все применимые к нему правила. В противном случае он не соответствует требованиям. Аналогичным образом, правило является соответствующим, если все ресурсы, охваченные данным правилом, соответствуют его требованиям; в противном случае он не соответствует требованиям. В некоторых случаях, например, когда для правила заданы несоответствующие разрешения, оно не может быть применено к определенному ресурсу, что приводит к состоянию недостаточности данных. Такое состояние исключается из определения статуса соответствия ресурса или правила.

Панель управления правил AWS Config обеспечивает обзор ресурсов, отслеживаемых AWS Config, и сводные данные о текущем статусе соответствия по ресурсу и правилу. При просмотре соответствия по ресурсу можно определить, есть ли в данный момент несоответствие какому‑либо правилу, применимому к данному ресурсу. Можно просматривать соответствие по правилу, получая информацию о том, не является ли какой‑либо ресурс в области действия данного правила несоответствующим. С помощью таких просмотров сводных данных можно глубже исследовать ресурсы AWS Config для определения того, какие параметры конфигурации изменились с течением времени. Панель управления позволяет начать с общего обзора и погрузиться в более подробные отчеты, которые дадут полную информацию о динамике состояния соответствия и о том, какие изменения стали причиной несоответствия.

Пакеты соответствия

Вы можете использовать отдельные правила AWS Config для оценки конфигурации ресурсов на соответствие в одном или нескольких аккаунтах. Пакеты соответствия дают дополнительное преимущество, поскольку в них правила объединяются с действиями по исправлению в единую сущность, которую вы сможете распространять в масштабе всей организации одним вариантом. Пакеты соответствия предназначены для того, чтобы упростить управление соответствием и отчетность в больших масштабах, например при наличии нескольких аккаунтов. Пакеты соответствия разработаны для обеспечения совокупной отчетности о соответствии на уровне пакета и постоянства. Благодаря этому управляемые правила AWS Config и документы по устранению недостатков в пакете соответствия не подлежат изменению или удалению отдельными аккаунтами членов организации.

Если стандарт соответствия, например PCI DSS, уже присутствует в Центре безопасности, тогда полностью управляемый Центр безопасности AWS является простым способом применения этого стандарта. Можно интегрировать Центр безопасности с Amazon Detective, чтобы проанализировать полученные данные, а также интегрировать Центр безопасности с Amazon EventBridge и создать автоматические или полуавтоматические действия по исправлению. Однако если необходимо создать собственный стандарт соответствия или безопасности, который может включать эксплуатационные проверки, а также проверки безопасности и оптимизации затрат, целесообразно использовать пакеты соответствия AWS Config. Пакеты соответствия AWS Config упрощают управление правилами AWS Config за счет объединения группы правил AWS Config и связанных действий по исправлению. Благодаря этому объединению упрощается развертывание правил и действий по исправлению в пределах организации. Кроме того, здесь имеется возможность составления сводных отчетов, поскольку сводки соответствия могут быть получены на уровне пакета. Для начала можно использовать образцы пакетов соответствия AWS Config, предоставляемые в сервисе, и настроить их по своему усмотрению.

Да, пакеты соответствия Центра безопасности и AWS Config поддерживают непрерывный контроль соответствия требованиям, поскольку они основаны на использовании AWS Config и правил AWS Config. Используемые правила AWS Config могут запускаться периодически либо при обнаружении изменений в конфигурации ресурсов. Это позволяет непрерывно проводить аудит и оценку конфигураций ресурсов AWS на предмет общего соответствия установленным политикам и руководствам организации.

Самым быстрым путем для начала работы будет создание пакета соответствия на основе одного из предоставленных нами шаблонов с помощью CLI или консоли AWS Config. Например, в число шаблонов входят операционные рекомендации для Amazon S3, Amazon DynamoDB и PCI. Эти шаблоны написаны на языке YAML. Вы можете скачать эти шаблоны с сайта документации и изменить их так, как потребуется для вашей среды, используя любой существующий текстовый редактор. Вы даже сможете добавить пользовательские правила AWS Config, которые вы уже включили в собственные пакет.

Использование пакетов соответствия оплачивается по модели с гибким ценообразованием. Подробные сведения см. на странице цен на AWS Config.

Сбор данных по нескольким аккаунтам и регионам

Сбор данных в AWS Config позволяет объединить в одном аккаунте и одном регионе данные AWS Config из разных аккаунтов и регионов. Сбор данных по нескольким аккаунтам предоставляет центральным ИТ‑администраторам возможность отслеживать соответствие требованиям для всех аккаунтов AWS в масштабе компании.

Возможность сбора данных нельзя использовать для назначения правил для нескольких аккаунтов. Эта возможность предназначена исключительно для создания отчетов, позволяющих оценить соответствие требованиям. Назначать правила для нескольких аккаунтов и регионов можно с помощью AWS CloudFormation StackSets. Подробнее в этом блоге по ссылке.

Сбор данных можно включить после того, как для всех аккаунтов настроен сервис AWS Config и правила AWS Config. Для сбора данных необходимо создать агрегатор в центральном аккаунте. Подробнее.

Агрегатор – это тип ресурса AWS Config, который собирает данные AWS Config из разных аккаунтов и регионов. Агрегатор можно использовать для просмотра данных AWS Config о конфигурации ресурсов и соответствии требованиям для нескольких аккаунтов и регионов.

В сводном представлении приводится общее количество правил в масштабах всей организации, для которых обнаружены случаи несоответствия, пять правил, которым не соответствует наибольшее количество ресурсов, и пять аккаунтов AWS с наибольшим количеством правил, для которых обнаружены случаи несоответствия. Из сводной панели можно перейти к просмотру сведений о ресурсах, не соответствующих конкретному правилу, и к списку правил, нарушенных тем или иным аккаунтом.

Чтобы указать аккаунты, для которых необходимо собирать данные AWS Config, можно загрузить файл или ввести данные аккаунтов вручную. Так как эти аккаунты не входят в организацию AWS, необходимо явным образом авторизовать аккаунт агрегатора в каждом аккаунте. Подробнее.

Возможность сбора данных полезна также для сбора данных по нескольким регионам. Поэтому ее можно использовать в одном аккаунте для сбора данных AWS Config по разным регионам.

Подробнее о регионах, в которых доступно агрегирование данных из нескольких аккаунтов и регионов, см. раздел Агрегирование данных по нескольким аккаунтам и регионам в Руководстве для разработчиков по AWS Config.

При создании агрегатора необходимо указать регионы, из которых можно собирать данные. В этом списке отображаются только те регионы, в которых доступна эта функция. Кроме того, можно выбрать вариант «все регионы». В этом случае при добавлении поддержки других регионов сбор данных в них начнется автоматически.

Поддержка сервисов и регионов

Полный перечень поддерживаемых типов ресурсов см. в нашей документации.

Дополнительные сведения о регионах AWS, в которых доступен сервис AWS Config, см. в таблице сведений орегионах AWS.

Цены

При использовании AWS Config стоимость рассчитывается в зависимости от количества записанных единиц конфигурации и активных применений правил AWS Config в аккаунте. Единица конфигурации – это запись конфигурации ресурса в аккаунте AWS. AWS Config может обновлять элементы конфигурации в двух режимах: непрерывном и периодическом. В непрерывном режиме изменения конфигурации записываются и передаются при каждом изменении. Периодическая запись позволяет получать данные конфигурации каждые 24 часа, только если в ней происходили изменения. Применение правила AWS Config – это оценка ресурса с помощью правила AWS Config в аккаунте AWS на соответствие требованиям. Применением пакета соответствия считается любая оценка ресурса по одному правилу AWS Config, входящему в пакет соответствия. Дополнительные сведения и примеры вы найдете на странице https://aws.amazon.com/config/pricing/.

Правила можно выбирать из набора правил, предоставляемых AWS, или создать свои собственные правила в виде функций Lambda. Управляемые правила полностью обслуживаются AWS и не требуют дополнительных затрат на Lambda для их работы. Вы можете активировать управляемые правила, ввести любые необходимые параметры и платить по единому тарифу за каждое активное правило AWS Config за расчетный месяц. Пользовательские правила обеспечивают клиентам полный контроль, поскольку применяются в соответствующем аккаунте как функции Lambda. В дополнение к ежемесячной плате за каждое активное правило, к пользовательским правилам AWS Config применяются стандартные тарифы бесплатного уровня Lambda* и тарифы на функции приложений.

* Уровень бесплатного пользования AWS недоступен в регионах AWS Китай (Пекин) и Китай (Нинся).

Решения партнеров

Партнеры APN, такие как Splunk, ServiceNow, Evident.io, CloudCheckr, Redseal и Red Hat CloudForms, предлагают решения, которые полностью интегрированы с данными AWS Config. Поставщики управляемых услуг, такие как 2nd Watch и Cloudnexa, также объявили об интеграции с AWS Config. Кроме того, использовать интегрированные решения для работы с правилами AWS Config предлагают такие партнеры, как CloudHealth Technologies, AlertLogic и TrendMicro. Эти решения включают в себя такие возможности, как управление изменениями и анализ безопасности. Они также позволяют визуализировать и контролировать конфигурации ресурсов AWS и осуществлять управление ими.