AWS Config

AWS Config neem hulpbronveranderinge op, sodat enige verandering aan 'n hulpbron wat deur Config ondersteun word, opgeneem kan word, wat opgeneem sal word wat verander het saam met ander nuttige metadata, alles in 'n lêer wat bekend staan as 'n konfigurasie-item, 'n CI. Hierdie diens is streekspesifiek.

'n Konfigurasie-item of CI soos dit bekend is, is 'n sleutelkomponent van AWS Config. Dit bestaan uit 'n JSON-lêer wat die konfigurasie-inligting, verhoudingsinligting en ander metadata bevat as 'n punt-in-tyd-snapshot-aansig van 'n ondersteunde hulpbron. Alle inligting wat AWS Config vir 'n hulpbron kan opneem, word binne die CI vasgevang. 'n CI word elke keer geskep as 'n ondersteunde hulpbron op enige manier 'n verandering aan sy konfigurasie ondergaan. Bo en behalwe om die besonderhede van die betrokke hulpbron op te neem, sal AWS Config ook CIs vir enige direk verwante hulpbronne opneem om te verseker dat die verandering nie daardie hulpbronne ook beïnvloed het nie.

• Metadata: Bevat besonderhede oor die konfigurasie-item self. 'n Weergawe-ID en 'n konfigurasie-ID, wat die CI uniek identifiseer. Ander inligting kan 'n MD5Hash insluit wat jou in staat stel om ander CIs wat reeds teen dieselfde hulpbron opgeneem is, te vergelyk.

• Eienskappe: Dit bevat algemene eienskapsinligting teenoor die werklike hulpbron. Binne hierdie afdeling het ons ook 'n unieke hulpbron-ID, en enige sleutelwaarde-etikette wat aan die hulpbron gekoppel is. Die hulpbrontipe word ook vermeld. Byvoorbeeld, as dit 'n CI vir 'n EC2-instansie was, kan die hulpbrontipes wat vermeld word, die netwerkintervlak of die elastiese IP-adres vir daardie EC2-instansie wees.

• Verhoudings: Dit bevat inligting vir enige gekoppelde verhouding wat die hulpbron mag hê. Dus binne hierdie afdeling sal dit 'n duidelike beskrywing toon van enige verhouding met ander hulpbronne wat hierdie hulpbron gehad het. Byvoorbeeld, as die CI vir 'n EC2-instansie was, kan die verhoudingsafdeling die verbinding met 'n VPC en die subnet toon waarin die EC2-instansie geleë is.

• Huidige konfigurasie: Dit sal dieselfde inligting vertoon wat gegenereer sou word as jy 'n beskryf- of lys-API-oproep sou maak met die AWS CLI. AWS Config gebruik dieselfde API-oproepe om dieselfde inligting te kry.

• Verwante gebeure: Dit verwys na AWS CloudTrail. Dit sal die AWS CloudTrail-gebeurtenis-ID vertoon wat verband hou met die verandering wat die skepping van hierdie CI geaktiveer het. Daar word 'n nuwe CI geskep vir elke verandering wat teen 'n hulpbron gemaak word. Gevolglik sal verskillende CloudTrail-gebeurtenis-ID's geskep word.

Konfigurasiegeskiedenis: Dit is moontlik om die konfigurasiegeskiedenis van hulpbronne te verkry danksy die konfigurasie-items. 'n Konfigurasiegeskiedenis word elke 6 uur gelewer en bevat alle CI's vir 'n spesifieke hulpbrontipe.

Konfigurasievloeie: Konfigurasie-items word na 'n SNS-onderwerp gestuur om die data te analiseer.

Konfigurasiesnapshots: Konfigurasie-items word gebruik om 'n punt-in-tyd-snapshot van alle ondersteunde hulpbronne te skep.

S3 word gebruik om die lêers van die konfigurasiegeskiedenis en enige konfigurasiesnapshots van jou data binne 'n enkele emmer te stoor, wat gedefinieer word binne die Konfigurasie-opneemtoestel. As jy verskeie AWS-rekeninge het, wil jy dalk jou konfigurasiegeskiedenis-lêers in dieselfde S3-emmer vir jou primêre rekening saamvoeg. Jy sal egter skryftoegang moet verleen vir hierdie diensbeginsel, config.amazonaws.com, en jou sekondêre rekeninge met skryftoegang tot die S3-emmer in jou primêre rekening.

Funksionering

• Wanneer veranderinge aangebring word, byvoorbeeld aan sekuriteitsgroep of emmertoegangsbeheerlys —> skop dit 'n Gebeurtenis af wat deur AWS Config opgeneem word

• Berg alles op in S3-emmer

• Afhangende van die opstelling, sodra iets verander, kan dit 'n lambda-funksie aktiveer OF 'n lambda-funksie skeduleer om periodiek deur die AWS Config-instellings te kyk

• Lambda gee terugvoer aan Config

• As 'n reël oortree is, skop Config 'n SNS aan

Konfigreer Reëls

Konfigreer reëls is 'n goeie manier om jou te help spesifieke nakomingskontroles af te dwing en beheer oor jou hulpbronne te hê, en stel jou in staat om 'n ideale implementeringsspesifikasie vir elkeen van jou hulpbrontipes aan te neem. Elke reël is in wese 'n lambda-funksie wat wanneer dit aangeroep word, die hulpbron evalueer en 'n eenvoudige logika uitvoer om die nakomingsresultaat met die reël te bepaal. Elke keer as 'n verandering aangebring word aan een van jou ondersteunde hulpbronne, sal AWS Config die nakoming teen enige konfigreer reëls wat jy ingestel het, nagaan. AWS het 'n aantal voorgedefinieerde reëls wat onder die sekuriteitsparaplu val wat gereed is vir gebruik. Byvoorbeeld, Rds-storage-encrypted. Dit kyk of stoorversleuteling geaktiveer is deur jou RDS-databasisinstansies. Encrypted-volumes. Dit kyk of enige EBS-volume wat 'n gehegde toestand het, versleutel is.

• AWS Bestuurde reëls: 'n Stel voorgedefinieerde reëls wat baie van die beste praktyke dek, so dit is altyd die moeite werd om eers deur hierdie reëls te blaai voordat jy jou eie opstel, aangesien daar 'n kans is dat die reël reeds bestaan.

• Aangepaste reëls: Jy kan jou eie reëls skep om spesifieke aangepaste konfigurasies te toets.

Limiet van 50 konfigreer reëls per streek voordat jy AWS moet kontak vir 'n verhoging. Nie-nakomende resultate word NIE uitgevee nie.