[关闭]
@lsmn 2018-07-09T07:25:53.000000Z 字数 2087 阅读 1951

AWS Config新增跨账户、跨区域数据聚合功能

云计算 AWS


摘要

近日,Amazon Web Services(AWS)增加了跨多个账户和/或区域聚合由AWS Config Rules生成的合规数据的功能,实现了AWS资源的集中审计和治理。新增的聚合仪表板视图展示了组织中不合规的规则。然后,用户可以下钻,查看有关违反规则的资源的详细信息。

正文

近日,Amazon Web Services(AWS)增加了跨多个账户和/或区域聚合由AWS Config Rules生成的合规数据的功能,实现了AWS资源的集中审计和治理。新增的聚合仪表板视图展示了组织中不合规的规则。然后,用户可以下钻,查看有关违反规则的资源的详细信息。

AWS Config是一项服务,它持续监控所支持的AWS资源类型,并记录作为配置项的各种属性的时点视图。记录下的配置历史资源关系可以人工检查,也可以通过一个支持预定义托管规则和实现为AWS Lambda函数的自定义规则的规则引擎来自动评估变化。资源变化和评估结果可以传送到S3存储桶,通过SNS通知或者(最近的)CloudWatch事件(之前报道过)进行监控,从而触发其他AWS服务或用于“合规审计、安全分析、变更管理和运行故障排除”的第三方工具进行分析和响应式修复。

AWS Config还会把资源配置变化与由AWS CloudTrail记录的API动作联系起来,可以详细反映出谁在什么时间从哪个IP地址请求修改,这有助于识别操作问题的根本原因,或者用于安全事件取证。

虽然一直都可以记录配置项并向其他账户发送通知,但跨区域、跨账户推断合规状态一直以来都非常繁琐,经常需要与第三方供应商集成。现在,AWS跟进日益增多的跨账户使用,在AWS Config控制台中提供了自己的聚合仪表板视图,用户可以下钻,了解组织的违规细节。

AWS Config aggregated view dashboard
图片:AWS Config聚合视图仪表板(来自介绍性博客

AWS Config多账户、多区域数据聚合涉及以下步骤概念

  1. 在期望的目标账户和区域中配置一个聚合器
  2. 指定源账户,可以单个指定,也可以通过AWS Organizations多账户支持(之前报道过)自动指定;
  3. 指定源区域,或者只是简单地指定全部区域,也可以选择包括未来区域;
  4. 从源账户所有者向聚合器账户提供授权,只有当源账户不是AWS Organization的一部分时才需要这样做。

通常,这些步骤可以通过AWS管理控制台、AWS CLI和AWS CloudFormation进行,使跨大量账户配置AWS Config变得非常简单。虽然从合规管理的角度来看,这是一项显著的简化,但是用户应该知道这可能会带来意外的隐含成本,这使得AWS社区英雄Eric Hammond请求“一个更好的AWS Config定价方案”:

跨当前所有的15个区域在所有28个个人账户中激活单个AWS Config Rule每年的成本超过1万美元。这些账户区域中的绝大多数基本上没什么任务。

另据相关消息,AWS Config此后针对较高的使用层级推出了较低的规则定价增加了可以指定配置项数据保存期限的功能,而且还借助Amazon CloudWatch Events集成了资源配置和合规变化通知(之前报道过)。

还有多种其他的工具可供选择,或者,除了AWS Config Rules之外,还有一些值得一提的解决方案:

AWS自己也提供了和AWS Config特性集存在重叠的其他解决方案,例如,AWS GuardDuty托管威胁检测服务(之前报道过)以及AWS Trusted Advisor高级支持服务(之前报道过)。

与此同时,Microsoft Azure通过其新推出的Azure Policy服务提供了一个功能集类似的合规解决方案,目前免费,不过现在只是公开预览

AWS Config文档包含一份开发指南,包括入门部分AWS CLI参考API参考。AWS还提供了AWS Config Rules RepositoryAWS Config Rules Development Kit(RDK)帮助开发人员通过一个“合规即代码(compliance-as-code)”工作流“配置、编写、测试自定义Config规则”。技术支持由AWS Config论坛提供。AWS Config定价页面提供了更详细的价格信息,有针对每个配置项的一次性收费和针对每条活动规则的月度收费。记录配置快照和历史文件是免费的,所需的存储则根据Amazon S3的定价以使用情况为准。

查看英文原文:AWS Config Gains Cross-Account, Cross-Region Data Aggregation

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注