AWS Config 更新:跨账户和地区聚合合规性数据
我以前曾讨论过,复杂的 AWS 客户总是会控制多个 AWS 账户。其中一些是收购结果,或自下而上保留的云计算部门接纳。另一些则是创建多个账户以使开发人员、项目或部门相互隔离开。我们强烈支持将此作为最佳实践,并通过许多 AWS 服务中的跨账户功能以及用于跨账户策略管理的 AWS Organizations 进行备份。这些客户中有许多还充分利用 AWS Config 并通过 Config 规则(包括他们自己的以及 Config 提供的)检查其 AWS 资源的合规性。
跨账户和地区聚合
今天,我们增加了跨多个 AWS 账户和/或地区聚合其自身规则产生的合规性数据的功能,从而使 Config Rules 变得更加有用。然后,可在单个仪表板中查看聚合数据,这使其成为改善管理和合规性的好办法。更好的消息是,聚合和仪表板功能现在免费对所有 AWS Config 用户提供!
我将向您展示如何快速地完成这种设置。首先,我们来定义几个术语:
聚合器 – 这是一种新 Config 资源。它可识别要聚合的合规性数据的来源(账户和地区)。可以同时使用多个聚合器,让您能够对管理和合规性模型进行微调。
聚合器账户 – 这是拥有一个或多个聚合器的 AWS 账户。
源账户 – 这是拥有要聚合的合规性数据的 AWS 账户。
聚合视图 – 显示聚合器的合规和不合规规则的仪表板。
下图说明了这些功能是如何结合在一起的:
设置聚合
让我们为一些 AWS Config 数据设置聚合!第一步发生在聚合器账户中。我打开 Config 控制台,找到“聚合视图”部分并单击“聚合器”:
我审核聚合器列表,然后单击“添加聚合器”以创建新聚合器:
我授予从源账户复制数据的 AWS Config 权限,然后输入我的聚合器名称 (MyAgg):
接下来,我选择源账户。在这里我有三个选项:我可以手动添加账户 ID、上传包含逗号分隔列表的文件,或添加我的 AWS Organization 中的所有账户:
我单击“添加源账户”以手动添加一个账户,然后输入 ID 并单击“添加源账户”:
接下来,我选择相关的地区,并可选择当前地区以及更多地区,然后单击“保存”继续:
下一步发生在源账户中,通过 Config 控制台完成。授权请求出现:
我确认:
您可以使用 CloudFormation StackSets 在所有源账户之间自动启用授权。另外请注意,如果您选择聚合您的 AWS Organization 中的所有账户,则不需要执行授权步骤。
来自源账户的合规性数据开始流进聚合器账户且在控制台中可见,通常在 2-5 分钟内:
您可以看到,我有大量的筛选条件!我可以将关注点放在特定地区或账户,并且我可以了解到哪些规则或账户需要解决的问题最多。例如,我可以看到所有未启用服务器端加密的存储桶:
我还可以查看账户的总体合规性情况,看到合规和不合规的资源:
需知信息
如今,这种新功能已在美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部(俄勒冈)、美国西部(加利福尼亚北部)、欧洲(爱尔兰)、欧洲(法兰克福)、亚太地区(东京)、亚太地区(悉尼)和亚太地区(新加坡)地区免费推出,您现在就可以开始使用。您照常支付使用 Config 和 Config 规则的费用。
通过 AWS Config 中的多账户、多地区数据聚合功能,可以从中央账户查看您的账户的合规性状态。它假定您已跨账户启用 Config 和 Config 规则(您可使用 CloudFormation StackSets 在多个账户之间分发和部署 Config 规则)。