AWS Config のアイコン

AWS Config 经典2014年〜

记录和评估 AWS 资源配置变更并持续监控合规性的服务

阅读约需 1 分钟

它能做什么

AWS Config 是一项持续记录 AWS 资源配置变更、评估配置是否符合期望状态的服务。记录每个资源的配置历史,可以追溯“这个资源在某个时间点是什么配置”。通过 Config Rules 定义期望的配置标准,自动检测不合规的资源。

使用场景

用于安全合规审计(确认所有 S3 存储桶是否启用了加密)、配置变更的追踪和故障排除、企业安全基线的持续监控、PCI DSS 和 HIPAA 等法规合规的证明等。

日常类比

可以将其比作房屋的定期检查服务。检查员(Config)定期巡视房屋(AWS 资源),记录所有变更(“窗户被打开了”“锁被更换了”)。同时对照检查清单(Config Rules)确认“所有窗户是否关好”“门锁是否正常”,发现问题时发出通知。

什么是 Config

AWS Config 是一项记录 AWS 资源配置并监控合规性的服务。在云环境中,资源的配置经常变更,难以追踪“谁在什么时候改了什么”。Config 持续记录所有资源的配置状态,提供完整的配置历史和变更时间线。

Config Rules

Config Rules 是定义资源期望配置的规则。AWS 提供了 300 多个预定义的托管规则(如“S3 存储桶必须启用加密”“安全组不得开放 0.0.0.0/0 的 SSH”等)。还可以使用 Lambda 函数创建自定义规则。资源配置变更时或定期评估规则,不合规的资源会被标记。

修复操作

Config 不仅检测不合规资源,还可以自动修复。通过修复操作(Remediation Action),可以在检测到不合规时自动执行 Systems Manager Automation 文档来修复配置。例如,检测到未加密的 S3 存储桶时自动启用加密。可以选择自动修复或手动审批后修复。 关于修复操作的实践方法,也可以参考相关书籍(Amazon)

开始使用

在 Config 控制台中启用记录,选择要记录的资源类型(建议选择所有资源)。指定配置快照的保存目标 S3 存储桶。然后添加 Config Rules,从托管规则中选择适合组织安全策略的规则。启用后,Config 会立即开始记录资源配置并评估合规性。

注意事项

  • Config 按记录的配置项数量和规则评估次数计费,大量资源和规则会增加成本
  • Config Rules 的评估结果是“合规”或“不合规”的二元判断,复杂的合规要求可能需要多个规则组合
  • 启用 Config 记录后会持续产生费用,不需要时请停止记录
共有するXB!

相关服务

AWS CloudTrail 图标AWS CloudTrail记录和监控 AWS 账户 API 活动的服务AWS Security Hub 图标AWS Security Hub集中管理 AWS 安全状态和合规性的服务AWS Organizations 图标AWS Organizations集中管理多个 AWS 账户的服务AWS Systems Manager 图标AWS Systems Manager统一管理 AWS 资源和本地服务器的运维管理服务

相关文章

架构评审 - 使用 AWS Well-Architected Tool 系统化评估工作负载详解使用 AWS Well-Architected Tool 进行工作负载架构评审。介绍基于 6 大支柱的评估、改进计划的制定以及自定义透镜的应用。使用 AWS Artifact 获取合规报告 - 审计应对与合同管理按需获取 SOC、PCI DSS、ISO 审计报告,并将 BAA 和 GDPR DPA 一键应用到整个 Organizations 的操作步骤。审计自动化 - 使用 AWS Audit Manager 持续收集合规证据详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。审计日志的设计与运维 - 使用 CloudTrail 完整记录 API 活动详解使用 AWS CloudTrail 设计审计日志的方法,介绍 API 活动记录、S3 长期保存以及与 Config 联动实现合规应对。标签设计决定运维 - AWS 资源标签策略的冷知识与实践命名规则解析 AWS 资源标签不仅是简单标记,更是成本分配、访问控制、自动化基础的原因,以及标签键命名规则、50 个上限的使用方法、标签策略的治理。

本分类的更多服务

AWS AppFabric 图标AWS AppFabric 新服务标准化并集中聚合 SaaS 应用程序审计日志的服务AWS AppConfig 图标AWS AppConfig 专业安全部署和管理应用程序配置的服务AWS Chatbot 图标AWS Chatbot 专业在 Slack 和 Microsoft Teams 中接收 AWS 资源通知并进行操作的交互式代理AWS CloudFormation 图标AWS CloudFormation 经典通过模板以代码方式定义和配置 AWS 资源的 IaC 服务AWS CloudTrail 图标AWS CloudTrail 经典记录和监控 AWS 账户 API 活动的服务Amazon CloudWatch 图标Amazon CloudWatch 经典提供 AWS 资源和应用程序的监控、日志管理和告警的服务AWS Control Tower 图标AWS Control Tower 专业自动化多账户环境设置和治理的服务Amazon CloudWatch RUM 图标Amazon CloudWatch RUM 专业通过真实用户监控收集 Web 应用程序客户端性能和错误数据的服务

相似的文章与服务

AWS Config持续记录和评估 AWS 资源配置变更的服务,基于合规规则实现自动审计和配置历史追踪使用 AWS Config 实现持续合规监控 - 规则评估与自动修复详解 AWS Config 的资源配置记录、Config 规则的合规评估以及自动修复操作的设置。审计日志的设计与运维 - 使用 CloudTrail 完整记录 API 活动详解使用 AWS CloudTrail 设计审计日志的方法,介绍 API 活动记录、S3 长期保存以及与 Config 联动实现合规应对。AWS 事件响应工具链 - 从 CloudTrail 到 Security Hub 的集成调查平台解析 CloudTrail、Config、Detective、Security Hub 组合而成的 AWS 事件响应工具链,并与 Azure Sentinel 的调查方法进行比较。通过 AWS Firewall Manager 集中管理安全规则 - WAF 与 Security Group 的组织级部署介绍如何集中管理 Organizations 全组织的 WAF 规则、Security Group 和 Network Firewall 策略,并通过自动应用到新账户来维护组织整体的安全基线。