AWS Config新增跨賬戶 跨區域資料聚合功能

2021-09-17 18:13:04 字數 2096 閱讀 7723

近日,amazon web services(aws)增加了跨多個賬戶和/或區域聚合由aws config rules生成的合規資料的功能,實現了aws資源的集中審計和治理。新增的聚合儀表板檢視展示了組織中不合規的規則。然後,使用者可以下鑽,檢視有關違反規則的資源的詳細資訊。

\\ aws config是一項服務,它持續監控所支援的aws資源型別,並記錄作為配置項的各種屬性的時點檢視。記錄下的配置歷史和資源關係可以人工檢查,也可以通過乙個支援預定義託管規則和實現為aws lambda函式的自定義規則的規則引擎來自動評估變化。資源變化和評估結果可以傳送到s3儲存桶,通過sns通知或者(最近的)cloudwatch事件(之前報道過)進行監控,從而觸發其他aws服務或用於「合規審計、安全分析、變更管理和執行故障排除」的第三方工具進行分析和響應式修復。

\\ aws config還會把資源配置變化與由aws cloudtrail記錄的api動作聯絡起來,可以詳細反映出誰在什麼時間從哪個ip位址請求修改,這有助於識別操作問題的根本原因,或者用於安全事件取證。

\\ 雖然一直都可以記錄配置項並向其他賬戶傳送通知,但跨區域、跨賬戶推斷合規狀態一直以來都非常繁瑣,經常需要與第三方**商整合。現在,aws跟進日益增多的跨賬戶使用,在aws config控制台中提供了自己的聚合儀表板檢視,使用者可以下鑽,了解組織的違規細節。

\\ :aws config聚合檢視儀表板(來自介紹性部落格)

\\ aws config多賬戶、多區域資料聚合涉及以下步驟和概念:

\\ 在期望的目標賬戶和區域中配置乙個聚合器;\\t

指定源賬戶,可以單個指定,也可以通過aws organizations多賬戶支援(之前報道過)自動指定;\\t

指定源區域,或者只是簡單地指定全部區域,也可以選擇包括未來區域;\\t

從源賬戶所有者向聚合器賬戶提供授權,只有當源賬戶不是aws organization的一部分時才需要這樣做。\

通常,這些步驟可以通過aws管理控制台、aws cli和aws cloudformation進行,使跨大量賬戶配置aws config變得非常簡單。雖然從合規管理的角度來看,這是一項顯著的簡化,但是使用者應該知道這可能會帶來意外的隱含成本,這使得aws社群英雄eric hammond

請求「乙個更好的aws config定價方案」:

\\

\

跨當前所有的15個區域在所有28個個人賬戶中啟用單個aws config rule每年的成本超過1萬美元。這些賬戶區域中的絕大多數基本上沒什麼任務。

\

\\

另據相關訊息,aws config此後針對較高的使用層級推出了較低的規則定價,增加了可以指定配置項資料儲存期限的功能,而且還借助amazon cloudwatch events

整合了資源配置和合規變化通知(之前報道過)。

\\ 還有多種其他的工具可供選擇,或者,除了aws config rules之外,還有一些值得一提的解決方案:\\

aws自己也提供了和aws config特性集存在重疊的其他解決方案,例如,aws guardduty託管威脅檢測服務(之前報道過)以及aws trusted advisor高階支援服務(之前報道過)。

\\ 與此同時,microsoft azure通過其新推出的azure policy服務提供了乙個功能集類似的合規解決方案,目前免費,不過現在只是公開預覽。

\\ aws config文件包含乙份開發指南,包括入門部分、 aws cli參考和api參考。aws還提供了aws config rules repository和aws config rules development kit(rdk)幫助開發人員通過乙個「合規即**(compliance-as-code)」工作流「配置、編寫、測試自定義config規則」。技術支援由aws config論壇提供。aws config定價頁面提供了更詳細的**資訊,有針對每個配置項的一次性收費和針對每條活動規則的月度收費。記錄配置快照和歷史檔案是免費的,所需的儲存則根據amazon s3的定價以使用情況為準。

\\檢視英文原文:aws config gains cross-account, cross-region data aggregation

AWS Config新增跨賬戶 跨區域資料聚合功能

近日,amazon web services aws 增加了跨多個賬戶和 或區域聚合由aws config rules生成的合規資料的功能,實現了aws資源的集中審計和治理。新增的聚合儀表板檢視展示了組織中不合規的規則。然後,使用者可以下鑽,檢視有關違反規則的資源的詳細資訊。aws config是一...

AWS Config新增跨賬戶 跨區域資料聚合功能

近日,amazon web services aws 增加了跨多個賬戶和 或區域聚合由aws config rules生成的合規資料的功能,實現了aws資源的集中審計和治理。新增的聚合儀表板檢視展示了組織中不合規的規則。然後,使用者可以下鑽,檢視有關違反規則的資源的詳細資訊。aws config是一...

PHP 新增 跨域頭

我將下面的 放在codeigniter專案中的index.php中的 header access control allow origin header access control allow headers origin,x requested with,accept,access contro...