AWS Конфігурація

AWS Config зафіксовує зміни ресурсів, тому будь-яка зміна ресурсу, який підтримується Config, може бути записана, що записує, що змінилося разом з іншою корисною метаданими, всі це зберігається в файлі, відомому як елемент конфігурації, CI. Ця служба специфічна для регіону.

Елемент конфігурації або CI, як його відомо, є ключовою складовою AWS Config. Він складається з файлу JSON, який містить інформацію про конфігурацію, інформацію про відносини та інші метадані як моментальний знімок підтримуваного ресурсу. Усю інформацію, яку AWS Config може записати для ресурсу, зафіксовано в CI. CI створюється кожного разу, коли до підтримуваного ресурсу вноситься зміна в будь-який спосіб. Крім запису деталей зміненого ресурсу, AWS Config також буде записувати CI для будь-яких безпосередньо пов'язаних ресурсів, щоб переконатися, що зміна не вплинула на ці ресурси.

• Метадані: Містить деталі про сам елемент конфігурації. Ідентифікатор версії та ідентифікатор конфігурації, який унікально ідентифікує CI. Інша інформація може включати MD5-хеш, який дозволяє порівняти інші вже записані CI для того самого ресурсу.

• Атрибути: Це містить загальну інформацію про атрибути щодо фактичного ресурсу. У цьому розділі також є унікальний ідентифікатор ресурсу та будь-які теги з ключовим значенням, які пов'язані з ресурсом. Також перерахований тип ресурсу. Наприклад, якщо це був CI для екземпляра EC2, перераховані типи ресурсів можуть бути мережевий інтерфейс або еластична IP-адреса для цього екземпляра EC2.

• Відносини: Це містить інформацію про будь-які підключені відносини, які може мати ресурс. Таким чином, у цьому розділі буде показано чіткий опис будь-яких відносин з іншими ресурсами, які має цей ресурс. Наприклад, якщо CI був для екземпляра EC2, розділ відносин може показати зв'язок з VPC разом із підмережею, в якій знаходиться екземпляр EC2.

• Поточна конфігурація: Це відображатиме ту саму інформацію, яка буде згенерована, якщо ви виконаєте запит API на опис або список, зроблений за допомогою AWS CLI. AWS Config використовує ті самі виклики API для отримання тієї самої інформації.

• Пов'язані події: Це стосується AWS CloudTrail. Це відображатиме ідентифікатор події AWS CloudTrail, який пов'язаний зі зміною, що спричинила створення цього CI. Для кожної зміни, внесеної до ресурсу, створюється новий CI. В результаті буде створено різні ідентифікатори подій CloudTrail.

Історія конфігурації: Завдяки елементам конфігурації можливо отримати історію конфігурації ресурсів. Історія конфігурації надходить кожні 6 годин і містить всі CI для певного типу ресурсу.

Потоки конфігурації: Елементи конфігурації надсилаються на тему SNS для можливості аналізу даних.

Знімки конфігурації: Елементи конфігурації використовуються для створення моментального знімка всіх підтримуваних ресурсів.

S3 використовується для зберігання файлів історії конфігурації та будь-яких знімків конфігурації ваших даних у одному блоці, який визначено в реєстраторі конфігурації. Якщо у вас є кілька облікових записів AWS, ви можете хотіти агрегувати файли історії конфігурації в один блоці S3 для вашої основної облікової записи. Однак вам потрібно надати право на запис для цього принципу обслуговування, config.amazonaws.com, та вашим додатковим обліковим записам з правом запису до блоців S3 у вашій основній обліковій записі.

Функціонування

• При внесенні змін, наприклад, до групи безпеки або списку керування доступом до блоку —> спрацьовує як подія, яку сприймає AWS Config

• Зберігає все в блоці S3

• Залежно від налаштувань, як тільки щось змінюється, це може спричинити запуск функції лямбда АБО запланувати функцію лямбда для періодичного перегляду налаштувань AWS Config

• Лямбда повертається до Config

• Якщо правило порушено, Config запускає SNS

Правила конфігурації

Правила конфігурації - це чудовий спосіб допомогти вам забезпечити виконання конкретних перевірок відповідності та контролю над вашими ресурсами, і дозволяє вам прийняти ідеальну специфікацію розгортання для кожного типу ресурсів. Кожне правило суттєво є функцією лямбда, яка, коли викликається, оцінює ресурс та виконує деяку просту логіку для визначення відповідності з правилом. Кожного разу, коли вноситься зміна до одного з ваших підтримуваних ресурсів, AWS Config перевірить відповідність з будь-якими правилами конфігурації, які у вас є. У AWS є кілька передвизначених правил, які входять до категорії безпеки та готові до використання. Наприклад, Rds-storage-encrypted. Це перевіряє, чи активовано шифрування сховища ваших екземплярів баз даних RDS. Encrypted-volumes. Це перевіряє, чи будь-які обсяги EBS, які мають прикріплений стан, зашифровані.

• Керовані правила AWS: Набір передвизначених правил, які охоплюють багато найкращих практик, тому завжди варто спочатку переглянути ці правила, перш ніж налаштовувати свої власні, оскільки існує шанс, що правило вже існує.

• Власні правила: Ви можете створювати власні правила для перевірки конкретних власних конфігурацій.

Ліміт 50 правил конфігурації на регіон, перш ніж вам потрібно звертатися до AWS для збільшення. Невідповідні результати НЕ видаляються.