@lsmn
2018-07-09T07:25:53.000000Z
字数 2087
阅读 1914
云计算
AWS
近日,Amazon Web Services(AWS)增加了跨多个账户和/或区域聚合由AWS Config Rules生成的合规数据的功能,实现了AWS资源的集中审计和治理。新增的聚合仪表板视图展示了组织中不合规的规则。然后,用户可以下钻,查看有关违反规则的资源的详细信息。
近日,Amazon Web Services(AWS)增加了跨多个账户和/或区域聚合由AWS Config Rules生成的合规数据的功能,实现了AWS资源的集中审计和治理。新增的聚合仪表板视图展示了组织中不合规的规则。然后,用户可以下钻,查看有关违反规则的资源的详细信息。
AWS Config是一项服务,它持续监控所支持的AWS资源类型,并记录作为配置项的各种属性的时点视图。记录下的配置历史和资源关系可以人工检查,也可以通过一个支持预定义托管规则和实现为AWS Lambda函数的自定义规则的规则引擎来自动评估变化。资源变化和评估结果可以传送到S3存储桶,通过SNS通知或者(最近的)CloudWatch事件(之前报道过)进行监控,从而触发其他AWS服务或用于“合规审计、安全分析、变更管理和运行故障排除”的第三方工具进行分析和响应式修复。
AWS Config还会把资源配置变化与由AWS CloudTrail记录的API动作联系起来,可以详细反映出谁在什么时间从哪个IP地址请求修改,这有助于识别操作问题的根本原因,或者用于安全事件取证。
虽然一直都可以记录配置项并向其他账户发送通知,但跨区域、跨账户推断合规状态一直以来都非常繁琐,经常需要与第三方供应商集成。现在,AWS跟进日益增多的跨账户使用,在AWS Config控制台中提供了自己的聚合仪表板视图,用户可以下钻,了解组织的违规细节。
图片:AWS Config聚合视图仪表板(来自介绍性博客)
AWS Config多账户、多区域数据聚合涉及以下步骤和概念:
通常,这些步骤可以通过AWS管理控制台、AWS CLI和AWS CloudFormation进行,使跨大量账户配置AWS Config变得非常简单。虽然从合规管理的角度来看,这是一项显著的简化,但是用户应该知道这可能会带来意外的隐含成本,这使得AWS社区英雄Eric Hammond请求“一个更好的AWS Config定价方案”:
跨当前所有的15个区域在所有28个个人账户中激活单个AWS Config Rule每年的成本超过1万美元。这些账户区域中的绝大多数基本上没什么任务。
另据相关消息,AWS Config此后针对较高的使用层级推出了较低的规则定价,增加了可以指定配置项数据保存期限的功能,而且还借助Amazon CloudWatch Events集成了资源配置和合规变化通知(之前报道过)。
还有多种其他的工具可供选择,或者,除了AWS Config Rules之外,还有一些值得一提的解决方案:
AWS自己也提供了和AWS Config特性集存在重叠的其他解决方案,例如,AWS GuardDuty托管威胁检测服务(之前报道过)以及AWS Trusted Advisor高级支持服务(之前报道过)。
与此同时,Microsoft Azure通过其新推出的Azure Policy服务提供了一个功能集类似的合规解决方案,目前免费,不过现在只是公开预览。
AWS Config文档包含一份开发指南,包括入门部分、 AWS CLI参考和API参考。AWS还提供了AWS Config Rules Repository和AWS Config Rules Development Kit(RDK)帮助开发人员通过一个“合规即代码(compliance-as-code)”工作流“配置、编写、测试自定义Config规则”。技术支持由AWS Config论坛提供。AWS Config定价页面提供了更详细的价格信息,有针对每个配置项的一次性收费和针对每条活动规则的月度收费。记录配置快照和历史文件是免费的,所需的存储则根据Amazon S3的定价以使用情况为准。
查看英文原文:AWS Config Gains Cross-Account, Cross-Region Data Aggregation