Amazon Config – Häufig gestellte Fragen

Allgemeines

AWS Config ist ein vollständig verwalteter Service, der Ihnen einen Ressourcenbestand, einen Konfigurationsverlauf und Benachrichtigungen zu Konfigurationsänderungen für die Sicherheit und Governance bietet. Mit AWS Config können Sie vorhandene AWS-Ressourcen entdecken, Konfigurationen für Ressourcen von Drittanbietern aufzeichnen, den gesamten Bestand Ihrer Ressourcen mit allen Konfigurationen exportieren und feststellen, wie eine Ressource zu einem gegebenen Zeitpunkt konfiguriert war. Diese Funktionen nutzen Compliance-Prüfung, Sicherheitsanalyse, Nachverfolgung von Ressourcenänderungen und Problembehebung.

Eine AWS-Config-Regel enthält die gewünschten Konfigurationen für eine Ressource. Sie wird anhand von Konfigurationsänderungen an den relevanten Ressourcen gemäß Aufzeichnung in AWS Config ausgewertet. Die Ergebnisse der Auswertung einer Regel anhand der Konfiguration einer Ressource sind auf einem Dashboard einsehbar. Mit AWS-Config-Regeln können Sie Ihren allgemeinen Einhaltungs- und Risikostatus aus der Konfigurationsperspektive beurteilen, Einhaltungstrends im zeitlichen Verlauf anzeigen und erkennen, welche Konfigurationsänderung die Nichteinhaltung einer Regel durch eine Ressource verursacht hat.

Ein Conformance Pack ist eine Sammlung von Konfigurationsregeln und Standardisierungsaktionen, die unter Verwendung eines gemeinsamen Frameworks und Paketmodells in AWS Config erstellt werden. Durch das Packen der oben genannten Konfigurationsartefakte können Sie die Bereitstellung und Berichterstellung von Governance-Richtlinien und die Konformität mit der Konfiguration für mehrere Konten und Regionen vereinfachen und die Zeit verkürzen, die eine Ressource in einem nicht konformen Zustand verbleibt.

Mit AWS Config können Sie problemlos die Konfiguration Ihrer Ressource nachverfolgen, ohne, dass dafür Vorabkosten anfallen und ohne, dass Sie Agenten für das Sammeln von Daten kompliziert installieren und aktualisieren oder umfangreiche Datenbanken warten müssen. Wenn Sie AWS Config aktivieren, können Sie laufend aktualisierte Details zu allen AWS-Ressourcen zugeordneten Konfigurationsattributen einsehen. Amazon Simple Notification Service (SNS) benachrichtigt Sie über jede Konfigurationsänderung.

Mit AWS Config haben Sie Zugriff auf den Verlauf der Ressourcen-Konfiguration. Sie können Konfigurationsänderungen AWS-CloudTrail-Ereignissen zuordnen, die möglicherweise zur Konfigurationsänderung beigetragen haben. Mit diesen Informationen haben Sie einen umfassenden Überblick, angefangen von Details wie „Wer hat die Änderung durchgeführt?“ und „Von welcher IP-Adresse aus?“ bis hin zur Auswirkung dieser Änderung auf AWS-Ressourcen und verwandte Ressourcen. Anhand dieser Informationen können Sie Berichte erstellen, die die Überwachung und Bewertung der Compliance für einen bestimmten Zeitraum unterstützen.

AWS-Kunden, die ihre Sicherheit und Governance bei AWS durch kontinuierliche Auswertung der Konfiguration ihrer Ressourcen verbessern möchten. Administratoren in größeren Organisationen, die bewährte Methoden zur Konfiguration von Ressourcen empfehlen, können diese Regeln als AWS-Config-Regeln festschreiben und die Selbstverwaltung von Benutzern ermöglichen. Datensicherheitsexperten, die Nutzungsaktivität und Konfigurationen überwachen, um Schwachstellen zu finden, können von AWS-Config-Regeln profitieren. Wenn Sie Workloads haben, die bestimmten Standards entsprechen müssen (z. B. PCI-DSS oder HIPAA), können Sie diese Funktion nutzen, um die Konformität ihrer AWS-Infrastrukturkonfigurationen zu bewerten und Berichte für ihre Prüfer zu erstellen. Anwender, die große AWS-Infrastrukturen oder sich häufig ändernde Komponenten verwalten, können AWS-Config-Regeln zur Problembehebung einsetzen. Wenn Sie Änderungen an Ressourcenkonfigurationen nachverfolgen, Fragen zu Ressourcenkonfigurationen beantworten, Compliance nachweisen, Probleme beheben oder eine Sicherheitsanalyse durchführen möchten, sollten Sie AWS Config aktivieren.

Wenn Sie nach einem Framework suchen, um Compliance-Pakete für Ihre AWS-Ressourcenkonfigurationen für mehrere Konten zu erstellen und bereitzustellen, sollten Sie Conformance Packs verwenden. Mit diesem Framework können angepasste Pakete für Sicherheit, DevOps und andere Personas erstellt werden. Kunden können schnell mit einer der Mustervorlagen für Conformance Packs beginnen.

AWS-Config-Regeln und Compliance-Pakete liefern Informationen darüber, ob Ihre Ressourcen die von Ihnen angegebenen Konfigurationsregeln einhalten. Sie bewerten Ressourcenkonfigurationen anhand der AWS-Config-Regeln entweder in regelmäßigen Abständen oder beim Erkennen von Konfigurationsänderungen oder beides, je nachdem, wie Sie die Regel konfiguriert haben. Sie garantieren nicht, dass Ressourcen konform sind, oder verhindern, dass Benutzer nicht konforme Maßnahmen ergreifen. Sie können jedoch verwendet werden, um eine nicht konforme Ressource wieder in die Konformität zu versetzen, indem für jede AWS-Config-Regel entsprechende Korrekturmaßnahmen konfiguriert werden.

AWS-Config-Regeln können die Nutzung von AWS durch Endbenutzer nicht direkt beeinflussen. AWS-Config-Regeln bewerten Ressourcenkonfigurationen erst, nachdem eine Konfigurationsänderung abgeschlossen und von AWS Config aufgezeichnet wurde. Config Rules kann den Benutzer nicht von vornherein daran hindern, Änderungen außerhalb der Richtlinien durchzuführen. Um zu steuern, was Sie auf AWS bereitstellen können und welche Konfigurationsparameter bei der Bereitstellung verwendet werden, verwenden Sie AWS Identity und Access Management(IAM)-Richtlinien bzw. den AWS Service Catalog.

Ja, die AWS-Config-Regeln können auf den Modus „Nur proaktiv“, „Nur Detektiv“ oder sowohl den proaktiven als auch auf den detektiven Modus eingestellt werden. Eine vollständige Liste dieser Regeln finden Sie in der Dokumentation.

Sie können die vorhandene PutConfigRule-API oder die AWS-Config-Konsole verwenden, um den proaktiven Modus für eine AWS-Config-Regel in Ihrem Konto zu aktivieren.

AWS Config hilft Ihnen dabei, Konfigurationen für Ressourcen von Drittanbietern oder benutzerdefinierte Ressourcentypen wie On-Premises-Server, Software-as-a-Service (SaaS)-Überwachungstools und Versionskontrollsysteme aufzuzeichnen. Dazu müssen Sie ein Ressourcenanbieter-Schema erstellen, das der Konfiguration des Ressourcentyps entspricht und diese validiert. Sie müssen die benutzerdefinierte Ressource mithilfe von AWS CloudFormation oder Ihrem Infrastructure as Code (IaC)-Tool registrieren.

Wenn Sie AWS Config so konfiguriert haben, dass alle Ressourcentypen aufgezeichnet werden, werden Ressourcen von Drittanbietern, die über AWS CloudFormation verwaltet (erstellt, aktualisiert oder gelöscht) werden, automatisch in AWS Config als Konfigurationselemente nachverfolgt. Weitere Informationen zu den dafür erforderlichen Schritten und zu verstehen, in welchen AWS-Regionen dies verfügbar ist, finden Sie im AWS-Config-Entwicklerhandbuch: Konfigurationen für Drittanbieter-Ressourcen aufzeichnen.

AWS CloudTrail zeichnet die Aktivität von Benutzer-APIs auf Ihrem Konto auf und ermöglicht Ihnen den Zugriff auf Informationen zu dieser Aktivität. Sie erhalten detaillierte Informationen zu API-Aktionen, wie etwa die Identität des Aufrufers, den Zeitpunkt des API-Aufrufs, die Anforderungsparameter und die Antwortelemente, die vom AWS-Service zurückgegeben werden. AWS Config zeichnet Zeitpunkt-Konfigurationsdetails für Ihre AWS-Ressourcen als Konfigurationselemente (CIs) auf. Sie können ein CI verwenden, um herauszufinden, wie Ihre AWS-Ressource zu einem bestimmten Zeitpunkt aussah. Sie können mittels CloudTrail herausfinden, wer den API-Aufruf zur Modifikation der Ressource gemacht hat. Beispielsweise können Sie die AWS-Managementkonsole für AWS Config verwenden, um herauszufinden, dass die Sicherheitsgruppe „Production-DB“ in der Vergangenheit nicht korrekt konfiguriert war. Mithilfe der integrierten CloudTrail-Informationen können Sie genau bestimmen, welcher Benutzer für die falsche Konfiguration der Sicherheitsgruppe „Production-DB“ verantwortlich ist.

Mit AWS Config kann der Compliance-Status mithilfe von Funktionen zur Multi-Konten- und Multi-Region-Datenaggregation über mehrere Konten und Regionen hinweg überwacht werden. Sie können einen Konfigurationsaggregator in einem beliebigen Konto erstellen und die Details zur Compliance anderer Konten aggregieren. Diese Funktion wird auch in AWS Organizations genutzt. Dadurch können Sie Daten aus allen Konten Ihres Unternehmens aggregieren.

Ja. Der AWS Service Management Connector für ServiceNow und Jira Service Desk ermöglicht ServiceNow- und Jira-Service-Desk-Endbenutzern die Bereitstellung, Verwaltung und Ausführung von AWS-Ressourcen direkt über ServiceNow und Jira Service Desk. Benutzer von ServiceNow können mit dem AWS Service Management Connector Ressourcen in einer Konfigurationselementansicht, die von AWS Config unterstützt wird, nahtlos auf ServiceNow verfolgen. Benutzer des Jira Service Desk können Ressourcen in der Anforderung zum Problem mit dem Service Management Connector verfolgen. Dies vereinfacht die Anforderung von AWS-Produkten für ServiceNow- und Jira Service Desk-Benutzer und bietet ServiceNow- und Jira Service Desk-Administratoren Governance und Überblick über AWS-Produkte.

Der AWS Service Management Connector für ServiceNow ist kostenlos im ServiceNow Store verfügbar. Diese neue Funktion ist generell in allen AWS-Regionen verfügbar, in denen der AWS Service Catalog verfügbar ist. Weitere Informationen finden Sie in der Dokumentation.

Der AWS Service Management Connector für Jira Service Desk ist im Atlassian Marketplace kostenlos erhältlich. Diese neue Funktion ist generell in allen AWS-Regionen verfügbar, in denen der AWS Service Catalog verfügbar ist. Weitere Informationen finden Sie in der Dokumentation.

Erste Schritte

Die schnellste Möglichkeit zum Einstieg in AWS Config bietet die AWS-Managementkonsole. Mit nur wenigen Schritten können Sie AWS Config aktivieren. Weitere Einzelheiten finden Sie in der Dokumentation Erste Schritte.

Sie können mit der AWS-Managementkonsole, der AWS-Befehlszeilenschnittstelle oder den SDKs Einsicht in die aktuelle oder eine frühere Konfiguration einer Ressource nehmen.

Weitere Informationen finden Sie in der Dokumentation von AWS Config.

Sie schalten AWS Config für Ihr Konto auf regionaler Basis ein.

Ja. Sie können AWS Config so einrichten, dass Konfigurations-Updates von verschiedenen Konten in einen Amazon Simple Storage Service (S3)-Bucket geliefert werden, sobald die entsprechenden IAM-Richtlinien auf den Amazon-S3-Bucket angewendet werden. Sie können auch Benachrichtigungen zum SNS-Thema in derselben Region veröffentlichen, sobald entsprechende IAM-Richtlinien auf das SNS-Thema angewendet werden.

Ja. Alle AWS-Config-API-Aktivitäten, auch die der Lesevorgänge der AWS-Config-APIs zum Lesen der Konfigurationsdaten, werden von CloudTrail protokolliert.

AWS Config zeigt die Uhrzeit an, zu der Konfigurationselemente (Configuration Items – CI) für eine Ressource in einer Timeline aufgezeichnet wurden. Alle Uhrzeiten werden in der koordinierten Weltzeit (Coordinated Universal Time, UTC) erfasst. Bei der Anzeige der Timeline auf der Managementkonsole verwendet der Service die aktuelle Zeitzone (unter Berücksichtigung der Sommerzeit) für die Anzeige aller anderen Zeitpunkte.

Ressourcenkonfiguration

Ein Konfigurationselement (Configuration Item – CI) ist die Konfiguration einer Ressource zu einem gegebenen Zeitpunkt. Ein CI besteht aus fünf Abschnitten:

Grundlegenden Informationen zur Ressource, die verschiedenen Ressourcentypen gemeinsam sind (z. B. Amazon-Ressourcennamen, Tags)

Spezifischen Konfigurationsdaten zur Ressource (z. B. EC2-Instance-Typ)

Zuordnung von Beziehungen zu anderen Ressourcen (z. B. EC2::Volume vol-3434df43 ist „angehängt an Iinstance“ EC2-Instance i-3432ee3a),

CloudTrail-Ereignis-IDs, die in Zusammenhang mit diesem Zustand stehen (nur für AWS-Ressourcen)

Metadaten, die die Identifikation von Informationen zu CI – etwa der jeweiligen Version und des Zeitpunkts der Erfassung – erleichtern.

Weitere Informationen über Konfigurationselemente.

Ein benutzerdefiniertes Konfigurationselement (CI) ist das Konfigurationselement für einen Drittanbieter oder eine benutzerdefinierte Ressource. Beispiele hierfür sind lokale Datenbanken, Active Directory-Server, Versionskontrollsysteme wie GitHub und Überwachungstools von Drittanbietern wie Datadog.

AWS Config berücksichtigt beim Aufzeichnen von Änderungen die Beziehungen zwischen Ressourcen. Wenn beispielsweise eine neue EC2-Sicherheitsgruppe mit einer EC2-Instance verknüpft ist, zeichnet AWS Config die aktualisierten Konfigurationen sowohl der primären Ressource, der EC2-Sicherheitsgruppe, als auch der zugehörigen Ressourcen auf, falls sich diese Ressourcen geändert haben.

AWS Config erkennt eine Änderung an der Konfiguration einer Ressource und protokolliert den Konfigurationsstatus, der sich aus dieser Änderung ergeben hat. In Fällen, in denen mehrere Konfigurationsänderungen an einer Ressource in schneller Aufeinanderfolge durchgeführt werden, protokolliert AWS Config nur die letzte Konfiguration dieser Ressource, die eine kumulative Auswirkungen auf den Satz von Änderungen hat. In solchen Situationen listet AWS Config nur die letzte Änderung im relatedEvents-Feld des Konfigurationselements auf. Dies erlaubt es dem Benutzer und Programmen, weiterhin Infrastruktur-Konfigurationen zu wechseln, ohne darauf warten zu müssen, dass AWS Config den temporären Zwischenstatus aufnimmt.

Durch die regelmäßige Aufzeichnung können Sie entscheiden, wie oft Änderungen in Ihrer Umgebung aufgezeichnet werden sollen, wodurch Konfigurationselemente aus Ressourcen, die sich häufig ändern, reduziert werden. Anstatt kontinuierlich Updates zu erhalten, können Sie möglicherweise die regelmäßige Aufzeichnung verwenden, um alle 24 Stunden Konfigurationsänderungen zu erhalten, um Ihren Anwendungsfällen gerecht zu werden. 

Durch die regelmäßige Aufzeichnung können Sie entscheiden, wie oft Sie Updates zu Ihren Ressourcenkonfigurationen erhalten möchten. Wenn diese Option aktiviert ist, liefert AWS Config am Ende eines Zeitraums von 24 Stunden nur dann die neueste Konfiguration einer Ressource, wenn sie sich geändert hat. Dadurch wird die Häufigkeit von Konfigurationsdaten reduziert und die Kosten für die Erfassung dieser Daten für Anwendungsfälle wie Betriebsplanung und Prüfung besser vorhersehbar. Wenn Ihre Sicherheits- und Compliance-Anforderungen eine kontinuierliche Überwachung Ihrer Ressourcen erfordern, sollten Sie die kontinuierliche Aufzeichnung verwenden.

Ja. AWS Config prüft regelmäßig die Konfiguration von Ressourcen auf Änderungen, die noch nicht protokolliert wurden, und protokolliert sie. CIs, die von diesen Scans aufgezeichnet werden, haben kein relatedEvent-Feld in der Nachricht, und nur der letzte Zustand, der sich von dem bereits aufgezeichneten Zustand unterscheidet, wird ausgewählt.

Ja. AWS Config ermöglicht Ihnen, Konfigurationsänderungen an Software aus EC2-Instances Ihres AWS-Kontos aufzuzeichnen. Gleiches gilt für virtuelle Maschinen (VM) sowie Server in Ihrer On-Premises-Umgebung. AWS Config startet beispielsweise eine Aufzeichnung, wenn Ihr Betriebssystem aktualisiert wird, Netzwerkkonfigurationen angepasst werden oder Anwendungen installiert werden. Mit AWS-Config-Regeln untersuchen Sie beispielsweise, ob Ihre Instances, VM und Server mit Ihren Richtlinien konform sind. Weil Sie mit AWS-Config-Regeln Vorgänge auch in tiefen Systemebenen transparent darstellen und überwachen können, erhalten Sie ein aussagekräftiges Bild zur Compliance und können betriebstechnische Probleme beseitigen.

AWS Config sendet nur Benachrichtigungen, wenn sich der Compliance-Status ändert. Wenn eine Ressource bisher nicht konform war und es auch weiterhin nicht ist, sendet AWS Config keine neue Benachrichtigung. Wenn Sich der Compliance-Status in „konform“ ändert, erhalten Sie eine Benachrichtigung hinsichtlich der Statusänderung.

Ja, Sie können Ressourcen ausschließen, indem Sie in der Konsole zur Seite „Aufzeichnungseinstellungen“ von AWS Config navigieren, die Option „Ressourcentypen ausschließen“ auswählen und die gewünschten Ausnahmen angeben. Alternativ können Sie die PutConfigurationRecorder-API verwenden, um auf diese Funktion zuzugreifen. Diese API deaktiviert die Konfigurationsaufzeichnung für diesen Ressourcentyp. Sie können auch bei der Konfiguration von AWS-Config-Regeln angeben, ob Ihre Regeln Auswertungen bestimmter Ressourcentypen oder Ressourcen mit einem bestimmten Tag ausführen.

AWS-Config-Regeln

Die Konfiguration einer Ressource wird durch die im Konfigurationselement (CI) enthaltenen Daten von AWS Config definiert. In der ersten Version von AWS-Config-Regeln wird das CI einer Ressource den relevanten Regeln zur Verfügung gestellt. AWS-Config-Regeln nutzen diese und weitere relevante Informationen wie sonstige angefügte Ressourcen, Geschäftszeiten usw. für die Bewertung der Einhaltung einer Ressourcenkonfiguration.

Eine Regel stellt gewünschte Attributwerte eines Konfigurationselements (CI) für Ressourcen dar, welche anhand des Vergleichs mit von AWS Config erfassten Attributwerten verglichen werden. Es gibt zwei Regelarten:

AWS-verwaltete Regeln: Diese Regeln werden von AWS verwaltet und sind bereits vorkonfiguriert. Wählen Sie einfach die Regel aus, die Sie aktivieren möchten, und geben Sie einige Konfigurationsparameter ein, um zu beginnen. Weitere Informationen »

Kundenverwaltete Regeln: Diese Regeln werden vom Kunden verwaltet und von Ihnen erstellt und definiert. Sie können in AWS Lambda eine Funktion erstellen, welche als Teil einer benutzerdefinierten Regel abrufbar und dann in Ihrem Konto ausführbar ist. Weitere Informationen »

Die schnellste Möglichkeit zum Einstieg in AWS Config bietet die AWS-Managementkonsole. Mit nur wenigen Schritten können Sie AWS Config aktivieren. Weitere Einzelheiten finden Sie in der Dokumentation Erste Schritte.

Regeln werden meist vom Administrator des AWS-Kontos erstellt. Sie lassen sich mithilfe von AWS-verwalteten Regeln erstellen – einem vordefinierten Satz an Regeln, der von AWS geliefert wird oder sich aus kundenverwalteten Regeln ergibt. Bei AWS-verwalteten Regeln werden Aktualisierungen einer Regel sofort auf alle Konten angewendet, die die jeweilige Regel nutzen. Beim vom kundenverwalteten Modell haben Kunden eine vollständige Kopie der Regel und wenden die Regel in ihrem eigenen Konto an. Diese Regeln werden vom Kunden gepflegt.

Sie können standardmäßig bis zu 150 Regeln in Ihrem AWS-Konto erstellen. Zudem können Sie eine Erhöhung der Anzahl der Regeln in Ihrem Konto auf der Seite AWS Service Limits anfordern.

Eine Regel kann als änderungsanhängige oder regelmäßige Regel eingerichtet werden. Eine änderungsabhängige Regel wird ausgeführt, sobald AWS Config eine Konfigurationsänderung bei einer der angegebenen Ressourcen registriert. Weiters sind folgende Angaben erforderlich:

Tag-Schlüssel:(optionaler Wert): Ein Tag-key:value gibt alle aufgezeichneten Konfigurationsänderungen einer Ressource mit einem speziellen Tag-key:value an und löst die Auswertung der Regel aus.

Ressourcen-Typ(en): Alle Konfigurationsänderungen, die für eine Ressource innerhalb der angegebenen Ressourcen-Typen aufgezeichnet wurden, lösen die Auswertung der Regel aus.

Ressourcen-ID: Alle aufgezeichneten Änderungen an einer Ressource, die durch Ressourcen-Typ und Ressourcen-ID angegeben wurden, lösen die Auswertung der Regel aus.

Eine periodische Regel wird in regelmäßigen Abständen ausgelöst. Verfügbare Frequenzen sind 1 Stunde, 3 Stunden, 6 Stunden, 12 Stunden oder 24 Stunden. Eine periodische Regel hat einen vollständigen Snapshot der aktuellen Konfigurationselemente (CIs) für alle für die Regel verfügbaren Ressourcen.

Die Auswertung einer Regel bestimmt, ob eine Regel für eine Ressource zu einem bestimmten Zeitpunkt eingehalten wurde. Sie ist das Ergebnis der Auswertung einer Regel gemäß Konfiguration einer Ressource. AWS Config Rules nimmt das Ergebnis jeder Auswertung auf und speichert dieses. In diesem Ergebnis sind Ressource, Regel, Zeitpunkt der Auswertung und Link zum Konfigurationselement (CI), das die Nichteinhaltung verursacht hat, enthalten.

Eine Ressource ist konform, wenn sie alle für sie geltenden Regeln einhält; andernfalls ist sie nicht konform. Gleichermaßen gilt eine Regel als konform, wenn alle von der Regel ausgewerteten Ressourcen die Regel einhalten, andernfalls ist sie nicht konform. In einigen Fällen, z. B. wenn unzureichende Berechtigungen für eine Regel verfügbar sind, besteht für die Ressource keine Auswertung, was dann zu einem Zustand mit unzureichenden Daten führen kann. Dieser Status wird dann bei Bestimmung des Einhaltungsstatus einer Ressource oder einer Regel ausgeschlossen.

Im AWS-Config-Rules-Dashboard erhalten Sie eine Übersicht über die von AWS Config aufgezeichneten Ressourcen und eine Zusammenfassung über die aktuelle Compliance nach Ressource und nach Regel. Wenn Sie die Regelüberwachung nach Ressource ansehen, können Sie feststellen, ob Regeln für Ressourcen momentan nicht eingehalten werden. Sie können die Regelüberwachung auch nach Regel ansehen und so feststellen, ob eine Ressource im Bereich der Regel momentan nicht eingehalten wird. Von dieser Zusammenfassung aus können Sie tiefer in die Ressourcenansicht der AWS-Config-Zeitachse einsteigen, um festzustellen, welche Konfigurationsparameter verändert wurden. Vom Dashboard aus starten Sie mit der Übersicht und können in immer tiefere und detailliertere Ansichten vordringen, um vollständige Informationen über Änderungen beim Einhaltungsstatus und darüber, welche Änderungen die Nichteinhaltung verursacht haben, zu erhalten.

Conformance Packs

Sie können einzelne AWS-Config-Regeln verwenden, um die Kompatibilität der Ressourcenkonfiguration in einem oder mehreren Konten zu bewerten. Conformance Packs bieten den zusätzlichen Vorteil von Verpackungsregeln zusammen mit Korrekturmaßnahmen in einer einzelnen Entität, die mit einem einzigen Klick im gesamten Unternehmen bereitgestellt werden können. Conformance Packs sollen das Compliance-Management und die Berichterstellung im großen Maß vereinfachen, wenn Sie mehrere Konten verwalten. Konformitätspakete sind so konzipiert, dass sie aggregierte Compliance-Berichte auf Paketebene und Unveränderlichkeit bieten. Dadurch können die verwalteten AWS-Config-Regeln und Korrekturdokumente innerhalb des Konformitätspakets nicht von den einzelnen Mitgliedskonten einer Organisation geändert oder gelöscht werden.

Wenn ein Compliance-Standard wie PCI DSS im Security Hub bereits vorhanden ist, dann ist der vollständig verwaltete AWS Security Hub der einfachste Weg zur Operationalisierung. Sie können Ergebnisse zur Integration des Security Hub mit Amazon Detective analysieren und automatisierte oder teilautomatisierte Korrekturmaßnahmen mit der Security-Hub-Integration in Amazon EventBridge entwickeln. Wenn Sie jedoch ihren eigenen Compliance- oder Sicherheitsstandard zusammenstellen möchten, der Prüfungen zu Sicherheit, Betriebsabläufen oder Kostenoptimierung enthält, empfehlen sich AWS-Config-Conformance-Packs. AWS-Config-Conformance-Packs ermöglichen die einfache Verwaltung von AWS-Config-Regeln durch die Bündelung einer Gruppe an AWS-Config-Regeln und damit verbundenen Korrekturmaßnahmen in einer einzelnen Entität. Diese Bündelung erleichtert die Bereitstellung von Regeln und Korrekturmaßnahmen im gesamten Unternehmen. Außerdem wird aggregierte Berichterstattung ermöglicht, da Compliance-Zusammenfassungen auf Pack-Ebene gemeldet werden können. Sie können mit den bereitgestellten Beispielen für AWS-Config-Conformance-Packs beginnen und diese wie gewünscht anpassen.

Ja. Sowohl AWS Security Hub als auch AWS-Config-Conformance-Packs unterstützen die kontinuierliche Compliance-Überwachung, da sie auf AWS Config und AWS-Config-Regeln aufbauen. Die zugrunde liegenden AWS-Config-Regeln können entweder in regelmäßigen Abständen oder mit der Erkennung von Veränderungen bei der Ressourcenkonfiguration ausgelöst werden. Somit können Sie die Gesamtkonformität Ihrer AWS-Ressourcenkonfigurationen mit den Vorschriften und Richtlinien Ihrer Organisation kontinuierlich prüfen und bewerten.

Am schnellsten können Sie ein Conformance Pack erstellen, indem Sie eine unserer Beispielvorlagen über die CLI oder die AWS-Config-Konsole verwenden. Einige der Beispielvorlagen enthalten bewährte Methoden für den Betrieb von Amazon S3, Amazon DynamoDB und PCI. Diese Vorlagen sind in YAML geschrieben. Sie können diese Vorlagen von unserer Dokumentationsseite herunterladen und mit Ihrem bevorzugten Texteditor an Ihre Umgebung anpassen. Sie können dem Paket sogar benutzerdefinierte AWS-Config-Regeln hinzufügen, die Sie möglicherweise zuvor geschrieben haben.

Conformance Packs werden nach einem abgestuften Preismodell berechnet. Weitere Informationen finden Sie auf der Seite AWS Config – Preise.

Multi-Konto- und Multi-Region-Datenaggregation

Mit Datenaggregation in AWS Config können Sie AWS-Config-Daten von mehreren Konten und Regionen in einem einzelnen Konto und einer einzelnen Region aggregieren. Multi-Konto-Datenaggregation ist für zentrale IT-Administratoren nützlich zwecks Compliance-Überwachung mehrerer AWS-Konten im Unternehmen.

Die Datenaggregationsfunktion kann nicht für die Bereitstellung von Regeln über mehrere Konten hinweg genutzt werden. Es handelt sich um eine reine Berichterstellungsfunktion, die einen Einblick in die Compliance ermöglicht. Sie können AWS CloudFormation StackSets für die Bereitstellung von Regeln über Konten und Regionen hinweg verwenden. Erfahren Sie mehr in diesem Blogbeitrag.

Sobald AWS Config und die AWS-Config-Regeln in Ihrem Konto aktiviert sind und die Konten zusammengeführt werden, können Sie die Datenaggregation aktivieren, indem Sie einen Aggregator in Ihrem Konto erstellen. Weitere Informationen.

Ein Aggregator ist ein AWS-Config-Ressourcentyp, der AWS-Config-Daten aus mehreren Konten und Regionen erfasst. Verwenden Sie einen Aggregator, um die Ressourcenkonfiguration und die in AWS Config aufgezeichneten Compliance-Daten mehrerer Konten und Regionen anzuzeigen.

Die aggregierte Ansicht zeigt die Gesamtzahl der nicht konformen Regeln im gesamten Unternehmen, die fünf wichtigsten nicht konformen Regeln nach Anzahl der Ressourcen und die fünf wichtigsten AWS-Konten mit den meisten nicht konformen Regeln an. Sie können dann Detailinformationen zu den Ressourcen anzeigen, die gegen die Regel verstoßen, sowie die Liste der Regeln, gegen die ein Konto verstößt.

Sie können die Konten festlegen, deren AWS-Config-Daten zusammengeführt werden sollen, indem Sie eine Datei hochladen oder auf die einzelnen Konten zugreifen. Beachten Sie, dass das Aggregator-Konto von jedem einzelnen dieser Konten autorisiert werden muss, da diese Konten zu keiner AWS-Organisation gehören. Weitere Informationen.

Die Datenaggregationsfunktion ist auch bei einer Aggregation mit mehreren Regionen hilfreich. Sie können also die AWS-Config-Daten für Ihr Konto über mehrere Regionen hinweg aggregieren, wenn Sie die Funktion nutzen.

Einzelheiten zu den Regionen, in denen die Datenaggregation mit mehreren Konten und Regionen verfügbar ist, finden Sie im AWS-Config-Entwicklerhandbuch: Multi-Konto-, Multi-Regionen-Datenaggregation.

Wenn Sie einen Aggregator erstellen, legen Sie Regionen fest, von denen Sie Daten aggregieren können. In dieser Liste sind nur Regionen aufgeführt, in denen die Funktion verfügbar ist. Sie können auch „Alle Regionen“ auswählen. Sobald andere Regionen unterstützt werden, werden die Daten automatisch aggregiert.

Unterstützung von Services und Regionen

In unserer Dokumentation sind alle unterstützten Ressourcenarten aufgeführt.

Weitere Informationen zu den AWS-Regionen, in denen AWS Config verfügbar ist, finden Sie in der Tabelle der AWS-Regionen.

Preise

Bei AWS Config werden Ihnen Gebühren basierend auf der Anzahl der aufgezeichneten Konfigurationselemente, der Anzahl der aktiven AWS-Config-Regelauswertungen und der Anzahl der Auswertungen des Konformitätspakets in Ihrem Konto berechnet. Ein Konfigurationselement ist eine Aufzeichnung des Konfigurationsstatus einer Ressource in Ihrem AWS-Konto. Es gibt zwei Frequenzen, mit denen AWS Config Konfigurationselemente bereitstellen kann: kontinuierlich und periodisch. Kontinuierliche Aufzeichnung zeichnet Konfigurationsänderungen auf und liefert sie, wenn eine Änderung auftritt. Die periodische Aufzeichnung liefert die Konfigurationsdaten alle 24 Stunden, nur wenn eine Änderung eingetreten ist. Eine AWS-Config-Regelsauswertung ist eine Auswertung des Compliance-Status einer Ressource in Ihrem AWS-Konto durch eine AWS-Config-Regel. Bei einer Konformitätspaketbewertung handelt es sich um die Auswertung einer Ressource durch eine AWS-Config-Regel innerhalb des Konformitätspakets. Weitere Informationen und Beispiele finden Sie unter https://aws.amazon.com/config/pricing/.

Sie können aus einer Reihe von AWS bereitgestellten verwalteten Regeln auswählen oder Ihre eigenen Regeln als Lambda-Funktionen schreiben. Verwaltete Regeln werden von AWS vollständig gewartet und es müssen für die Ausführung keine weiteren Lambda-Gebühren bezahlt werden. Aktivieren Sie die verwalteten Regeln einfach, geben Sie die notwendigen Parameter ein und bezahlen Sie einen einfachen Tarif pro aktiver AWS-Config-Regel im Monat. Benutzerdefinierte Regeln geben Ihnen die volle Kontrolle, da sie als Lambda-Funktionen in Ihrem Konto ausgeführt werden. Zusätzlich zu monatlichen Gebühren für aktive Regeln gelten für die benutzerdefinierten AWS-Config-Regeln die Standardgebühren für das kostenlose Lambda-Kontingent* und die Funktionsausführung.

*In der AWS-Region China (Peking) und der AWS-Region China (Ningxia) ist kein kostenloses Kontingent für AWS verfügbar.

Partnerlösungen

APN-Partnerlösungen wie Splunk, ServiceNow, Evident.io, CloudCheckr, Redseal und Red Hat CloudForms stellen für Daten aus AWS Config voll integrierte Angebote bereit. Anbieter verwalteter Services, etwa 2nd Watch und Cloudnexa, haben ebenfalls die Integration in AWS Config angekündigt. Außerdem bieten Partner wie CloudHealth Technologies, Alert Logic und Trend Micro mit AWS-Config-Regeln integrierte Angebote, die verwendet werden können. Diese Lösungen beinhalten Funktionen für Änderungsmanagement und Sicherheitsanalyse. Sie können damit die Konfiguration von AWS-Ressourcen visualisieren, überwachen und verwalten.