AWS Config

AWS Config erfasst Ressourcenänderungen, sodass jede Änderung an einer von Config unterstützten Ressource aufgezeichnet werden kann, was aufgezeichnet wird, was sich geändert hat, zusammen mit anderen nützlichen Metadaten, die alle in einer Datei namens Konfigurationsobjekt, einem CI, gespeichert sind. Dieser Dienst ist regionspezifisch.

Ein Konfigurationsobjekt oder CI, wie es bekannt ist, ist eine Schlüsselkomponente von AWS Config. Es besteht aus einer JSON-Datei, die die Konfigurationsinformationen, Beziehungsinformationen und andere Metadaten als Momentaufnahme einer unterstützten Ressource enthält. Alle Informationen, die AWS Config für eine Ressource aufzeichnen kann, werden innerhalb des CIs erfasst. Ein CI wird jedes Mal erstellt, wenn an einer unterstützten Ressource eine Konfigurationsänderung vorgenommen wird. Neben der Aufzeichnung der Details der betroffenen Ressource zeichnet AWS Config auch CIs für direkt betroffene Ressourcen auf, um sicherzustellen, dass die Änderung diese Ressourcen nicht beeinflusst hat.

• Metadaten: Enthält Details zum Konfigurationsobjekt selbst. Eine Versions-ID und eine Konfigurations-ID, die das CI eindeutig identifiziert. Weitere Informationen können einen MD5-Hash enthalten, der es Ihnen ermöglicht, andere bereits aufgezeichnete CIs mit derselben Ressource zu vergleichen.

• Attribute: Dies enthält allgemeine Attributinformationen zur tatsächlichen Ressource. In diesem Abschnitt haben wir auch eine eindeutige Ressourcen-ID und alle Schlüsselwert-Tags, die mit der Ressource verbunden sind. Der Ressourcentyp ist ebenfalls aufgeführt. Wenn es sich z. B. um ein CI für eine EC2-Instanz handelt, könnten die aufgeführten Ressourcentypen die Netzwerkschnittstelle oder die elastische IP-Adresse für diese EC2-Instanz sein.

• Beziehungen: Dies enthält Informationen zu jeder verbundenen Beziehung, die die Ressource haben kann. In diesem Abschnitt würde es eine klare Beschreibung aller Beziehungen zu anderen Ressourcen zeigen, die diese Ressource hat. Wenn das CI z. B. für eine EC2-Instanz war, könnte der Beziehungsbereich die Verbindung zu einem VPC zusammen mit dem Subnetz zeigen, in dem sich die EC2-Instanz befindet.

• Aktuelle Konfiguration: Hier werden die gleichen Informationen angezeigt, die generiert würden, wenn Sie einen Beschreibungs- oder Listen-API-Aufruf über die AWS CLI durchführen würden. AWS Config verwendet dieselben API-Aufrufe, um dieselben Informationen zu erhalten.

• Zugehörige Ereignisse: Dies bezieht sich auf AWS CloudTrail. Hier wird die AWS CloudTrail-Ereignis-ID angezeigt, die mit der Änderung zusammenhängt, die die Erstellung dieses CIs ausgelöst hat. Für jede Änderung an einer Ressource wird ein neues CI erstellt. Daher werden unterschiedliche CloudTrail-Ereignis-IDs erstellt.

Konfigurationshistorie: Es ist möglich, die Konfigurationshistorie von Ressourcen dank der Konfigurationsobjekte zu erhalten. Alle 6 Stunden wird eine Konfigurationshistorie geliefert und enthält alle CIs für einen bestimmten Ressourcentyp.

Konfigurationsströme: Konfigurationsobjekte werden an ein SNS-Thema gesendet, um die Analyse der Daten zu ermöglichen.

Konfigurationssnapshots: Konfigurationsobjekte werden verwendet, um eine Momentaufnahme aller unterstützten Ressourcen zu erstellen.

S3 wird verwendet, um die Konfigurationshistoriendateien und alle Konfigurationssnapshots Ihrer Daten in einem einzigen Bucket zu speichern, der im Konfigurationsaufzeichner definiert ist. Wenn Sie mehrere AWS-Konten haben, möchten Sie möglicherweise Ihre Konfigurationshistoriendateien in denselben S3-Bucket für Ihr primäres Konto aggregieren. Sie müssen jedoch Schreibzugriff für dieses Dienstprinzip, config.amazonaws.com, und Ihre sekundären Konten mit Schreibzugriff auf den S3-Bucket in Ihrem primären Konto gewähren.

Funktionsweise

• Wenn Änderungen vorgenommen werden, z. B. an der Sicherheitsgruppe oder der Zugriffssteuerungsliste des Buckets —> wird von AWS Config erfasst

• Speichert alles im S3-Bucket

• Je nach Einrichtung könnte bei einer Änderung sofort eine Lambda-Funktion ausgelöst werden ODER eine Lambda-Funktion periodisch die AWS Config-Einstellungen durchsuchen

• Lambda gibt Feedback an Config

• Wenn eine Regel verletzt wurde, startet Config ein SNS

Konfigurationsregeln

Konfigurationsregeln sind eine großartige Möglichkeit, Ihnen zu helfen, spezifische Compliance-Checks und Kontrollen über Ihre Ressourcen durchzusetzen und es Ihnen ermöglichen, eine ideale Bereitstellungsspezifikation für jeden Ihrer Ressourcentypen zu übernehmen. Jede Regel ist im Wesentlichen eine Lambda-Funktion, die bei Bedarf die Ressource bewertet und einige einfache Logik ausführt, um das Compliance-Ergebnis mit der Regel zu bestimmen. Jedes Mal, wenn eine Änderung an einer Ihrer unterstützten Ressourcen vorgenommen wird, überprüft AWS Config die Compliance gegen alle Konfigurationsregeln, die Sie festgelegt haben. AWS hat eine Reihe von vordefinierten Regeln, die unter das Sicherheitsdach fallen und sofort einsatzbereit sind. Zum Beispiel Rds-storage-encrypted. Dies überprüft, ob die Speicherung von Verschlüsselung durch Ihre RDS-Datenbankinstanzen aktiviert ist. Encrypted-volumes. Dies überprüft, ob EBS-Volumes, die sich im angehängten Zustand befinden, verschlüsselt sind.

• AWS Managed Rules: Eine Reihe von vordefinierten Regeln, die viele bewährte Verfahren abdecken, daher lohnt es sich immer, diese Regeln zuerst zu durchsuchen, bevor Sie Ihre eigenen einrichten, da die Regel möglicherweise bereits vorhanden ist.

• Benutzerdefinierte Regeln: Sie können Ihre eigenen Regeln erstellen, um spezifische benutzerdefinierte Konfigurationen zu überprüfen.

Grenze von 50 Konfigurationsregeln pro Region, bevor Sie sich an AWS wenden müssen, um eine Erhöhung zu beantragen. Nicht konforme Ergebnisse werden NICHT gelöscht.