+86 13541016684Mon. - Fri. 10:00-22:00

AWS Config 更新:跨账户和地区聚合合规性数据

云端主机服务,澳洲华人服务器代维,服务器代维保,海外服务器代维,亚马逊aws服务器租用代维护,香港主机代维,linux服务器代维,企业上AWS云,AWS服务咨询,AWS云服务解决方案,AWS服务器迁移,AWS云主机托管,AWS代付,AWS电话告警,AWS运维支持,AWS解决方案提供商!

AWS Config 更新:跨账户和地区聚合合规性数据

我以前曾讨论过,复杂的 AWS 客户总是会控制多个 AWS 账户。其中一些是收购结果,或自下而上保留的云计算部门接纳。另一些则是创建多个账户以使开发人员、项目或部门相互隔离开。我们强烈支持将此作为最佳实践,并通过许多 AWS 服务中的跨账户功能以及用于跨账户策略管理的 AWS Organizations 进行备份。这些客户中有许多还充分利用 AWS Config 并通过 Config 规则(包括他们自己的以及 Config 提供的)检查其 AWS 资源的合规性

跨账户和地区聚合
今天,我们增加了跨多个 AWS 账户和/或地区聚合其自身规则产生的合规性数据的功能,从而使 Config Rules 变得更加有用。然后,可在单个仪表板中查看聚合数据,这使其成为改善管理和合规性的好办法。更好的消息是,聚合和仪表板功能现在免费对所有 AWS Config 用户提供!

config_agg_splash_1

我将向您展示如何快速地完成这种设置。首先,我们来定义几个术语:

聚合器 – 这是一种新 Config 资源。它可识别要聚合的合规性数据的来源(账户和地区)。可以同时使用多个聚合器,让您能够对管理和合规性模型进行微调。

聚合器账户 – 这是拥有一个或多个聚合器的 AWS 账户。

源账户 – 这是拥有要聚合的合规性数据的 AWS 账户。

聚合视图 – 显示聚合器的合规和不合规规则的仪表板。

下图说明了这些功能是如何结合在一起的:

config_setup_1

设置聚合
让我们为一些 AWS Config 数据设置聚合!第一步发生在聚合器账户中。我打开 Config 控制台,找到“聚合视图”部分并单击“聚合器”:

config_side_bar_3

我审核聚合器列表,然后单击“添加聚合器”以创建新聚合器:

config_aggs_1

我授予从源账户复制数据的 AWS Config 权限,然后输入我的聚合器名称 (MyAgg):

config_agg_perm_name_1

接下来,我选择源账户。在这里我有三个选项:我可以手动添加账户 ID、上传包含逗号分隔列表的文件,或添加我的 AWS Organization 中的所有账户:

config_add_accts_1

我单击“添加源账户”以手动添加一个账户,然后输入 ID 并单击“添加源账户”:

config_add_my_acct_1

接下来,我选择相关的地区,并可选择当前地区以及更多地区,然后单击“保存”继续:

config_pick_regions_2

下一步发生在源账户中,通过 Config 控制台完成。授权请求出现:

config_auth_request_1

我确认:

config_auth_reply_ok_3

您可以使用 CloudFormation StackSets 在所有源账户之间自动启用授权。另外请注意,如果您选择聚合您的 AWS Organization 中的所有账户,则不需要执行授权步骤。

来自源账户的合规性数据开始流进聚合器账户且在控制台中可见,通常在 2-5 分钟内:

config_agg_view_1

您可以看到,我有大量的筛选条件!我可以将关注点放在特定地区或账户,并且我可以了解到哪些规则或账户需要解决的问题最多。例如,我可以看到所有未启用服务器端加密的存储桶:

config_s3_sse_not_there_1

我还可以查看账户的总体合规性情况,看到合规和不合规的资源:

config_see_acct_all_1

需知信息
如今,这种新功能已在美国东部(弗吉尼亚北部)美国东部(俄亥俄)美国西部(俄勒冈)美国西部(加利福尼亚北部)欧洲(爱尔兰)欧洲(法兰克福)亚太地区(东京)亚太地区(悉尼)亚太地区(新加坡)地区免费推出,您现在就可以开始使用。您照常支付使用 Config 和 Config 规则的费用。

通过 AWS Config 中的多账户、多地区数据聚合功能,可以从中央账户查看您的账户的合规性状态。它假定您已跨账户启用 Config 和 Config 规则(您可使用 CloudFormation StackSets 在多个账户之间分发和部署 Config 规则)。