Konfiguracja AWS

AWS Config rejestruje zmiany zasobów, więc każda zmiana w zasobie obsługiwanym przez Config może być zarejestrowana, co zapisze, co się zmieniło wraz z innymi przydatnymi metadanymi, wszystko przechowywane w pliku znanym jako element konfiguracji, CI. Ta usługa jest specyficzna dla regionu.

Element konfiguracji lub CI, jak jest znany, jest kluczowym elementem AWS Config. Składa się z pliku JSON, który zawiera informacje konfiguracyjne, informacje o relacjach i inne metadane jako widok migawki punktu w czasie obsługiwanego zasobu. Wszystkie informacje, które AWS Config może zarejestrować dla zasobu, są rejestrowane w CI. CI jest tworzony za każdym razem, gdy obsługiwany zasób ma dokonaną zmianę w swojej konfiguracji w dowolny sposób. Oprócz rejestrowania szczegółów dotyczących dotkniętego zasobu, AWS Config zarejestruje również CI dla wszelkich bezpośrednio powiązanych zasobów, aby upewnić się, że zmiana nie wpłynęła również na te zasoby.

• Metadane: Zawiera szczegóły dotyczące samego elementu konfiguracji. Identyfikator wersji i identyfikator konfiguracji, który jednoznacznie identyfikuje CI. Inne informacje mogą obejmować skrót MD5Hash, który pozwala porównać inne już zarejestrowane CI dla tego samego zasobu.

• Atrybuty: Zawiera wspólne informacje atrybutów dotyczące rzeczywistego zasobu. W tej sekcji znajduje się również unikalny identyfikator zasobu oraz wszelkie tagi klucz-wartość związane z zasobem. Typ zasobu jest również wymieniony. Na przykład, jeśli był to CI dla instancji EC2, wymienione mogą być typy zasobów, takie jak interfejs sieciowy lub adres IP elastyczny dla tej instancji EC2.

• Relacje: Zawiera informacje o jakiejkolwiek połączonej relacji, jaką zasób może mieć. W tej sekcji zostanie wyświetlone jasne opisanie jakiejkolwiek relacji do innych zasobów, jaką ma ten zasób. Na przykład, jeśli CI dotyczyłby instancji EC2, sekcja relacji mogłaby pokazać połączenie z VPC oraz podsiecią, w której znajduje się instancja EC2.

• Bieżąca konfiguracja: Wyświetli te same informacje, które zostałyby wygenerowane, gdybyś wykonał wywołanie API describe lub list za pomocą AWS CLI. AWS Config używa tych samych wywołań API, aby uzyskać te same informacje.

• Powiązane zdarzenia: Dotyczy to AWS CloudTrail. Wyświetli to identyfikator zdarzenia AWS CloudTrail związany z zmianą, która spowodowała utworzenie tego CI. Dla każdej zmiany dokonanej w zasobie tworzy się nowe CI. W rezultacie zostaną utworzone różne identyfikatory zdarzeń CloudTrail.

Historia konfiguracji: Dzięki elementom konfiguracji można uzyskać historię konfiguracji zasobów. Historia konfiguracji jest dostarczana co 6 godzin i zawiera wszystkie CI dla określonego typu zasobu.

Strumienie konfiguracji: Elementy konfiguracji są wysyłane do tematu SNS, aby umożliwić analizę danych.

Migawki konfiguracji: Elementy konfiguracji są używane do utworzenia migawki punktu w czasie wszystkich obsługiwanych zasobów.

S3 jest używane do przechowywania plików historii konfiguracji oraz wszelkich migawek konfiguracji Twoich danych w jednym kubełku, który jest zdefiniowany w rejestratorze konfiguracji. Jeśli masz wiele kont AWS, możesz chcieć zebrać pliki historii konfiguracji do tego samego kubełka S3 dla swojego głównego konta. Musisz jednak udzielić dostępu do zapisu dla tego zasobu, config.amazonaws.com, oraz Twoich dodatkowych kont z dostępem do zapisu do kubełka S3 w Twoim głównym koncie.

Funkcjonowanie

• Gdy dokonujesz zmian, na przykład w grupie zabezpieczeń lub liście kontroli dostępu do kubełka —> wywołuje to zdarzenie, które jest wykrywane przez AWS Config

• Wszystko jest przechowywane w kubełku S3

• W zależności od konfiguracji, gdy coś się zmienia, może to wywołać funkcję lambda LUB zaplanować funkcję lambda do okresowego przeglądania ustawień AWS Config

• Funkcja lambda przekazuje informacje zwrotne do Config

• Jeśli reguła została naruszona, Config uruchamia SNS

Reguły konfiguracji

Reguły konfiguracji są doskonałym sposobem pomagającym egzekwować konkretne kontrole zgodności i kontrole wśród Twoich zasobów, co pozwala przyjąć idealną specyfikację wdrożenia dla każdego typu zasobu. Każda reguła jest w zasadzie funkcją lambda, która po wywołaniu ocenia zasób i wykonuje prostą logikę w celu określenia zgodności z regułą. Za każdym razem, gdy dokonana jest zmiana w jednym z obsługiwanych zasobów, AWS Config sprawdzi zgodność z regułami konfiguracji, które masz ustawione. AWS ma wiele predefiniowanych reguł, które wpisują się w ramy bezpieczeństwa i są gotowe do użycia. Na przykład, Rds-storage-encrypted. Sprawdza, czy szyfrowanie magazynu jest aktywowane przez Twoje instancje bazy danych RDS. Encrypted-volumes. Sprawdza, czy jakiekolwiek woluminy EBS, które mają stan dołączony, są zaszyfrowane.

• Zarządzane reguły AWS: Zestaw predefiniowanych reguł, które obejmują wiele najlepszych praktyk, więc zawsze warto najpierw przejrzeć te reguły, zanim utworzysz własne, ponieważ istnieje szansa, że reguła już istnieje.

• Reguły niestandardowe: Możesz tworzyć własne reguły, aby sprawdzić określone niestandardowe konfiguracje.

Limit 50 reguł konfiguracji na region, zanim będziesz musiał skontaktować się z AWS o zwiększenie. Niezgodne wyniki NIE są usuwane.