AWS Config新增跨账户、跨区域数据聚合功能

云计算 AWS

摘要

近日，Amazon Web Services（AWS）增加了跨多个账户和/或区域聚合由AWS Config Rules生成的合规数据的功能，实现了AWS资源的集中审计和治理。新增的聚合仪表板视图展示了组织中不合规的规则。然后，用户可以下钻，查看有关违反规则的资源的详细信息。

正文

近日，Amazon Web Services（AWS）增加了跨多个账户和/或区域聚合由AWS Config Rules生成的合规数据的功能，实现了AWS资源的集中审计和治理。新增的聚合仪表板视图展示了组织中不合规的规则。然后，用户可以下钻，查看有关违反规则的资源的详细信息。

AWS Config是一项服务，它持续监控所支持的AWS资源类型，并记录作为配置项的各种属性的时点视图。记录下的配置历史和资源关系可以人工检查，也可以通过一个支持预定义托管规则和实现为AWS Lambda函数的自定义规则的规则引擎来自动评估变化。资源变化和评估结果可以传送到S3存储桶，通过SNS通知或者（最近的）CloudWatch事件（之前报道过）进行监控，从而触发其他AWS服务或用于“合规审计、安全分析、变更管理和运行故障排除”的第三方工具进行分析和响应式修复。

AWS Config还会把资源配置变化与由AWS CloudTrail记录的API动作联系起来，可以详细反映出谁在什么时间从哪个IP地址请求修改，这有助于识别操作问题的根本原因，或者用于安全事件取证。

虽然一直都可以记录配置项并向其他账户发送通知，但跨区域、跨账户推断合规状态一直以来都非常繁琐，经常需要与第三方供应商集成。现在，AWS跟进日益增多的跨账户使用，在AWS Config控制台中提供了自己的聚合仪表板视图，用户可以下钻，了解组织的违规细节。

图片：AWS Config聚合视图仪表板（来自介绍性博客）

AWS Config多账户、多区域数据聚合涉及以下步骤和概念：

1. 在期望的目标账户和区域中配置一个聚合器；
2. 指定源账户，可以单个指定，也可以通过AWS Organizations多账户支持（之前报道过）自动指定；
3. 指定源区域，或者只是简单地指定全部区域，也可以选择包括未来区域；
4. 从源账户所有者向聚合器账户提供授权，只有当源账户不是AWS Organization的一部分时才需要这样做。

通常，这些步骤可以通过AWS管理控制台、AWS CLI和AWS CloudFormation进行，使跨大量账户配置AWS Config变得非常简单。虽然从合规管理的角度来看，这是一项显著的简化，但是用户应该知道这可能会带来意外的隐含成本，这使得AWS社区英雄Eric Hammond请求“一个更好的AWS Config定价方案”：

跨当前所有的15个区域在所有28个个人账户中激活单个AWS Config Rule每年的成本超过1万美元。这些账户区域中的绝大多数基本上没什么任务。

另据相关消息，AWS Config此后针对较高的使用层级推出了较低的规则定价，增加了可以指定配置项数据保存期限的功能，而且还借助Amazon CloudWatch Events集成了资源配置和合规变化通知（之前报道过）。

还有多种其他的工具可供选择，或者，除了AWS Config Rules之外，还有一些值得一提的解决方案：

• Capital One的Cloud Custodian，“使用户可以定义策略，获得管理完善的云基础设施，并且针对安全和成本进行了优化”；
• Netflix的Security Monkey，“监控AWS和GCP账户的策略变化，并针对不安全的配置发出警告”；
• Toni de la Fuente的Prowler，提供“AWS账户安全评估和强化，遵循CIS Amazon Web Services Foundations Benchmark 1.1的原则”。

AWS自己也提供了和AWS Config特性集存在重叠的其他解决方案，例如，AWS GuardDuty托管威胁检测服务（之前报道过）以及AWS Trusted Advisor高级支持服务（之前报道过）。

与此同时，Microsoft Azure通过其新推出的Azure Policy服务提供了一个功能集类似的合规解决方案，目前免费，不过现在只是公开预览。

AWS Config文档包含一份开发指南，包括入门部分、 AWS CLI参考和API参考。AWS还提供了AWS Config Rules Repository和AWS Config Rules Development Kit（RDK）帮助开发人员通过一个“合规即代码（compliance-as-code）”工作流“配置、编写、测试自定义Config规则”。技术支持由AWS Config论坛提供。AWS Config定价页面提供了更详细的价格信息，有针对每个配置项的一次性收费和针对每条活动规则的月度收费。记录配置快照和历史文件是免费的，所需的存储则根据Amazon S3的定价以使用情况为准。

查看英文原文：AWS Config Gains Cross-Account, Cross-Region Data Aggregation