- Prodotti›
- Strumenti di gestione›
- AWS Config
Domande frequenti Amazon Config
Domande generali
Cos'è AWS Config?
AWS Config è un servizio completamente gestito che offre inventario delle risorse, cronologia delle configurazioni e notifiche di modifica delle configurazioni per la sicurezza e la governance. AWS Config consente di individuare le risorse AWS esistenti, registrare le configurazioni per risorse di terze parti, esportare l'elenco completo delle risorse con tutti i dettagli di configurazione e determinare il modo in cui una risorsa è stata configurata in un dato momento. Queste funzionalità utilizzano l'esecuzione di audit di conformità, analisi di sicurezza, il monitoraggio delle modifiche alle risorse e la risoluzione dei problemi.
Che cos'è una regola di configurazione AWS?
Una regola di AWS Config rappresenta le configurazioni desiderate per una risorsa e viene valutata mettendola a confronto con le modifiche apportate alla configurazione delle risorse pertinenti, in base a quanto registrato da AWS Config. I risultati della valutazione della regola rispetto alla configurazione di una risorsa sono quindi disponibili nel pannello di controllo. Utilizzando le regole di AWS Config, è possibile prendere in esame conformità e livello di rischio dal punto di vista della configurazione, consultare tendenze di conformità nel corso del tempo e individuare quale modifica alla configurazione ha causato la mancata conformità di una risorsa a una determinata regola.
Che cos'è un pacchetto di conformità?
Un pacchetto di conformità è una raccolta di regole e di azioni correttive di AWS Config che viene creato in AWS Config utilizzando un framework e un modello di pacchetti comuni. La creazione di pacchetti dei precedenti artefatti di AWS Config consente di semplificare gli aspetti inerenti all'implementazione e alla creazione di report sulle policy di governance e sulla conformità della configurazione in più account e Regioni e di ridurre il tempo in cui una risorsa viene tenuta in uno stato di non conformità.
Quali sono i vantaggi di AWS Config?
Con AWS Config è più semplice monitorare la configurazione delle risorse, senza investimenti iniziali e senza la complessità legata all'installazione e all'aggiornamento degli agenti per la raccolta dei dati o alla gestione di database di grandi dimensioni. Dopo avere abilitato AWS Config, puoi visualizzare continuamente informazioni dettagliate aggiornate su tutti gli attributi di configurazione associati alle risorse AWS. Per ogni modifica alla configurazione riceverai una notifica attraverso Amazon Simple Notification Service (SNS).
In che modo AWS Config può aiutare con gli audit?
AWS Config offre accesso allo storico delle configurazioni delle risorse. È possibile mettere in relazione le modifiche alla configurazione con eventi di AWS CloudTrail che possono aver contribuito alla modifica. Queste informazioni forniscono una visibilità completa, dai dettagli riguardanti, ad esempio, chi ha apportato la modifica e da quale indirizzo IP, agli effetti di tale modifica sulle risorse AWS e le risorse associate. Puoi utilizzare queste informazioni per generare report utili per il controllo e la valutazione della conformità in un determinato periodo.
Chi dovrebbe utilizzare AWS Config e le regole di AWS Config?
A tutti i clienti AWS che desiderano migliorare la sicurezza e la governance aziendale su AWS analizzando in modo continuo la configurazione delle risorse. Agli amministratori di grandi organizzazioni che consigliano best practice per la configurazione delle risorse, i quali possono codificare regole come regole di AWS Config e implementare così una forma di governance automatica tra gli utenti. Gli esperti di sicurezza informatica che monitorano le attività e le configurazioni per individuarne le vulnerabilità possono trarre vantaggio dalle regole di AWS Config. Se avete un carico di lavoro che deve essere conforme a standard specifici (ad es. PCI-DSS o HIPAA ) potete utilizzare questa funzionalità per valutare la conformità delle configurazioni della loro infrastruttura AWS e generare report per i loro revisori. Anche gli operatori che devono gestire infrastrutture AWS di grandi dimensioni o componenti che variano di frequente possono trarre vantaggio dalle regole di AWS Config ai fini della risoluzione dei problemi. L'attivazione di AWS Config è consigliata ai clienti che devono monitorare le modifiche alle risorse, rispondere a semplici domande sulle attività degli utenti, dimostrare la conformità, risolvere problemi o effettuare analisi di sicurezza si.
Chi dovrebbe utilizzare i pacchetti di conformità AWS Config?
Se stai cercando un framework per creare e implementare pacchetti di conformità per le tue configurazioni di risorse AWS su diversi account, dovresti utilizzare i pacchetti di conformità. Tale framework permette di creare pacchetti personalizzati per i team di sicurezza, DevOps e altri profili, così che tu possa cominciare a utilizzare subito uno dei modelli di pacchetti di conformità di esempio.
Il servizio garantisce che le mie configurazioni non siano mai fuori norma?
Le regole e i pacchetti di conformità di AWS Config forniscono informazioni sulla conformità delle risorse alle regole di configurazione specificate dall'utente. Le configurazioni delle risorse vengono confrontate con le regole di AWS Config su base periodica o se viene rilevata una modifica della configurazione oppure in entrambi i casi, a seconda di come è stata configurata la regola. Non viene garantita la conformità delle risorse, né viene impedito agli utenti di eseguire azioni che vanno contro la conformità. Tuttavia, possono essere utilizzati per riportare una risorsa non conforme alla normativa configurando le azioni di rimedio appropriate per ciascuna regola AWS Config.
Il servizio impedisce agli utenti di intraprendere azioni non conformi?
Le regole di AWS Config non influiscono direttamente sul comportamento degli utenti finali in AWS. Le regole di AWS Config valutano le configurazioni delle risorse solo dopo che una modifica alla configurazione è stata completata e registrata dal servizio. Le regole di AWS Config non impediscono all'utente di apportare modifiche che potrebbero non essere conformi. Per controllare ciò che è possibile eseguire il provisioning su AWS e i parametri di configurazione utilizzati durante il provisioning, usare AWS Identity e Access Management (IAM) Policies e il Catalogo dei servizi AWS, rispettivamente.
È possibile valutare le regole prima di effettuare il provisioning di una risorsa?
Sì, le regole di AWS Config possono essere impostate in modalità solo proattiva, solo di rilevamento o in entrambe le modalità. Per un elenco completo di queste regole, consulta la documentazione.
D: Utilizzo già le regole di AWS Config per le mie risorse in seguito al provisioning. Come faccio a eseguire le stesse regole in modalità proattiva?
Puoi utilizzare l'API PutConfigRule esistente o la console AWS Config per abilitare la modalità proattiva su una regola di AWS Config nel tuo account.
AWS Config può registrare le configurazioni delle risorse on-premise o su altri cloud?
AWS Config aiuta a registrare le configurazioni per risorse di terze parti o tipi di risorse personalizzati come server on-premise, strumenti di monitoraggio Software come servizio (SaaS) e sistemi di controllo delle versioni. A tale scopo, è necessario creare uno schema dei fornitori di risorse che sia conforme alla configurazione del tipo di risorsa e la convalidi. È necessario registrare la risorsa personalizzata utilizzando AWS CloudFormation o uno strumento personalizzato di infrastructure as a code (IaC).
Se hai configurato AWS Config per registrare tutti i tipi di risorse, le risorse di terze parti gestite (create, aggiornate o eliminate) attraverso AWS CloudFormation vengono automaticamente tracciate in AWS Config come elementi di configurazione. Per approfondire le fasi necessarie a tale scopo e capire in quali Regioni AWS ciò è disponibile, consulta la guida per l'utente di AWS Config: Record Configurations for Third-Party Resources (Registrazione delle configurazioni per risorse di terze parti).
Come funziona AWS Config con AWS CloudTrail?
AWS CloudTrail registra l'attività delle API utente nell'account e aiuta ad accedere alle informazioni su tale attività. È possibile ottenere informazioni complete sulle azioni delle API, ad esempio l'identità del chiamante, l'ora della chiamata, i parametri della richiesta e gli elementi di risposta rinviati dal servizio AWS. AWS Config registra i dettagli di configurazione per le risorse AWS in momenti specifici come elementi di configurazione (Configuration Item, CI). Puoi utilizzare un elemento di configurazione per sapere come si presentava una risorsa AWS in un momento specifico. Puoi utilizzare CloudTrail per sapere chi ha effettuato una chiamata a un'API per modificare la risorsa. Puoi ad esempio utilizzare la Console di gestione AWS per AWS Config per rilevare che il gruppo di sicurezza "Production-DB" non era configurato correttamente in passato. Utilizzando le informazioni integrate di CloudTrail, puoi individuare l'utente che ha configurato in modo errato il gruppo di sicurezza "Production-DB".
È possibile monitorare le informazioni relative alla conformità da diversi account e Regioni attraverso un account centrale?
AWS Config facilita il monitoraggio dello stato di conformità tra più account e Regioni utilizzando la funzionalità di aggregazione di dati multi-account e multi-Regione. Puoi creare un aggregatore di configurazione in qualsiasi account e aggregare i dettagli di conformità da altri account. Questa funzionalità viene inoltre sfruttata su AWS Organizations, per consentire l'aggregazione di dati da tutti gli account all'interno di un'organizzazione.
È possibile collegare le istanze ServiceNow e Jira Service Desk ad AWS Config?
Sì. Il Connettore di gestione del servizio AWS per ServiceNow e Jira Service Desk consente agli utenti finali di ServiceNow e Jira Service Desk di effettuare il provisioning, gestire e utilizzare le risorse AWS in modo nativo attraverso ServiceNow e Jira Service Desk. Grazie al Connettore di gestione del servizio AWS, gli utenti ServiceNow possono facilmente tenere traccia delle risorse in una vista degli elementi di configurazione disponibile in AWS Config su ServiceNow. Gli utenti Jira Service Desk possono tenere traccia delle risorse all'interno della richiesta di problema con AWS Service Management Connector. Questo semplifica le operazioni di richiesta dei prodotti AWS per gli utenti ServiceNow e Jira Service Desk e fornisce agli amministratori dei due servizi governance e visibilità sui prodotti AWS.
Il Connettore di gestione del servizio AWS per ServiceNow è disponibile senza costa aggiuntivi sullo store di ServiceNow. Questa nuova funzionalità è disponibile al pubblico in tutte le regioni AWS in cui è presente il Catalogo dei servizi AWS. Per ulteriori informazioni, consulta la documentazione.
AWS Service Management Connector per Jira Service Desk è disponibile senza costi aggiuntivi su Atlassian Marketplace. Questa nuova funzionalità è disponibile al pubblico in tutte le regioni AWS in cui è presente il Catalogo dei servizi AWS. Per ulteriori informazioni, consulta la documentazione.
Nozioni di base
Come si inizia a utilizzare questo servizio?
Il modo più rapido per iniziare a utilizzare AWS Config è usufruire della Console di gestione AWS. Puoi attivare AWS Config selezionando poche opzioni. Per ulteriori dettagli, vedi la documentazione sulle nozioni di base.
Come si accede alla configurazione delle risorse?
È possibile visualizzare la configurazione corrente e lo storico delle configurazioni utilizzando la Console di gestione AWS, l'Interfaccia della linea di comando AWS o gli SDK.
Per ulteriori dettagli, consulta la documentazione di AWS Config.
AWS Config viene attivato a livello regionale o globale?
AWS Config può essere attivato anche solo per singole Regioni di un account.
AWS Config può aggregare i dati di diversi account AWS?
Sì, è possibile configurare AWS Config in modo che fornisca aggiornamenti sulla configurazione da diversi account a un bucket Amazon Simple Storage Service (S3) dopo aver applicato le policy IAM appropriate al bucket Amazon S3. Puoi anche pubblicare notifiche in un argomento di SNS nella stessa Regione, una volta che le policy IAM appropriate sono state applicate all'argomento di SNS.
L'attività delle API in AWS Config viene registrata da AWS CloudTrail?
Sì. Tutta l'attività delle API in AWS Config, incluso l'utilizzo delle operazioni API di AWS Config per la lettura dei dati di configurazione, viene registrata da CloudTrail.
Quale ora e fuso orario vengono visualizzati nella visualizzazione sequenza temporale di una risorsa? Cosa succede con l'ora legale?
AWS Config visualizza l'ora di registrazione degli elementi di configurazione per una risorsa lungo una sequenza temporale. Tutti gli orari vengono espressi in base al fuso UTC (Coordinated Universal Time, tempo coordinato universale). Quando la sequenza temporale viene visualizzata nella console di gestione, il servizio utilizza il fuso orario corrente (modificato in base all'ora legale, se pertinente) per visualizzare tutti gli orari nella vista della sequenza temporale.
Configurazione delle risorse
Cos'è un elemento di configurazione?
Un elemento di configurazione (Configuration Item, CI) corrisponde alla configurazione di una risorsa in un momento specifico. Un CI è composto da cinque sezioni:
Informazioni di base sulla risorsa, comuni per tipi di risorsa diversi (ad esempio nome della risorsa Amazon e tag);
dati di configurazione specifici della risorsa (ad esempio tipo di istanza EC2);
mappa delle relazioni con altre risorse (ad esempio la risorsa EC2::Volume vol-3434df43 è "collegata all'istanza" EC2 i-3432ee3a);
ID degli eventi CloudTrail correlati a questo stato (solo per risorse AWS);
Metadata che aiutano a identificare le informazioni sull'elemento di configurazione, ad esempio la versione dell'elemento di configurazione e quando l'elemento è stato acquisito.
Cos'è un elemento di configurazione personalizzato?
Un elemento di configurazione personalizzato (CI) è l'elemento della configurazione per una risorsa di terze parti o personalizzata. Gli esempi includono database on-premises, server Active Directory, sistemi per il controllo di versione come GitHub e strumenti di monitoraggio di terza parte come Datadog.
Cosa sono le relazioni di AWS Config e come vengono utilizzate?
AWS Config prende in considerazione le relazioni tra le risorse mentre registra le modifiche. Se, ad esempio, un nuovo gruppo di sicurezza EC2 è associato a un'istanza EC2, AWS Config registra le configurazioni aggiornate sia della risorsa principale, ovvero il gruppo di sicurezza EC2, sia delle risorse correlate, se tali risorse vengono modificate.
AWS Config registra ogni singolo «Stat That» di ciascuna risorsa?
AWS Config rileva una modifica alla configurazione di una risorsa e registra lo stato di configurazione risultante da tale modifica. Nei casi in cui vengono apportate diverse modifiche alla configurazione di una risorsa in rapida successione, AWS Config registra solo la configurazione più recente della risorsa che rappresenta l'impatto cumulativo della serie di modifiche. In tali situazioni, AWS Config elencherà solo l'ultima modifica nel campo relatedEvents dell'elemento di configurazione. Ciò permette a utenti e programmi di continuare a modificare le configurazioni dell'infrastruttura senza dover attendere che AWS Config registri gli stati transitori intermedi.
In che modo è possibile scegliere la frequenza con cui AWS Config registra le modifiche alla configurazione?
La registrazione periodica consente di decidere la frequenza di registrazione delle modifiche nell'ambiente, riducendo gli elementi di configurazione delle risorse soggette a modifiche frequenti. Invece di ricevere aggiornamenti in modo continuo, è possibile utilizzare la registrazione periodica per ricevere le modifiche alla configurazione ogni 24 ore, a seconda dei casi d'uso.
Quando è opportuno utilizzare la registrazione periodica anziché quella continua?
La registrazione periodica consente di decidere con quale frequenza ricevere gli aggiornamenti sulle configurazioni delle risorse. Se abilitato, AWS Config fornirà la configurazione più recente di una risorsa dopo un periodo di 24 ore solo se è stata modificata, riducendo la frequenza dei dati di configurazione e rendendo il costo della raccolta di questi dati più prevedibile per casi d'uso come la pianificazione operativa e l'audit. Nel caso in cui le esigenze di sicurezza e conformità richiedano un monitoraggio continuo delle risorse, è consigliabile utilizzare la registrazione continua.
AWS Config registra le modifiche alla configurazione non risultanti da attività delle API in una risorsa?
Sì, AWS Config eseguirà regolarmente la scansione della configurazione delle risorse alla ricerca di modifiche non ancora registrate e le registrerà. Gli elementi di configurazione registrati da tali analisi non disporranno di un campo relatedEvent nel messaggio e verrà selezionato solamente lo «Stat that» più recente diverso da quello già registrato.
AWS Config registra le modifiche alla configurazione del software all’interno delle istanze EC2?
Sì. AWS Config aiuta a registrare le modifiche alla configurazione del software all'interno delle istanze EC2 nell'account AWS e anche nelle macchine virtuali (VM) o server nell'ambiente on-premise. Le informazioni sulla configurazione registrate da AWS Config includono aggiornamenti al sistema operativo, configurazione della rete e applicazioni installate. È possibile valutare se le istanze, le VM e i server sono conformi alle linee guida utilizzando le regole di AWS Config. La visibilità approfondita e il monitoraggio continuo offerti da AWS Config aiutano a valutare la conformità e a risolvere i problemi operativi.
AWS Config continua a inviare notifiche se una risorsa precedentemente non conforme lo è ancora dopo una valutazione periodica delle regole?
AWS Config invia notifiche solo quando lo stato di conformità cambia. Se una risorsa precedentemente non conforme lo è ancora, AWS Config non invia una nuova notifica. Se lo stato di conformità cambia in "conforme", si riceve una notifica del cambiamento di stato.
Posso contrassegnare risorse per attivarne o disattivarne la valutazione da parte delle regole di AWS Config?
Sì, puoi escludere le risorse accedendo alla pagina "impostazioni del registratore" di AWS Config nella console e selezionando l'opzione "Escludi tipi di risorse" e specificando le esclusioni desiderate. In alternativa, puoi utilizzare l'API PutConfigurationRecorder per accedere a questa funzionalità. Questa API disabilita la registrazione della configurazione per quel tipo di risorsa. Inoltre, quando si configurano delle regole di AWS Config, devi specificare se devono essere eseguite valutazioni su un tipo specifico di risorse o su risorse con un tag specifico.
AWS Config Rules
Cos'è la configurazione di una risorsa?
La configurazione di una risorsa è definita dai dati inclusi nell'elemento di configurazione (Configuration Item, CI) di AWS Config. Il rilascio iniziale delle regole di AWS Config rende il CI di una risorsa disponibile per le regole pertinenti. Le regole di AWS Config possono utilizzare questi dati e qualsiasi altra informazione rilevante, ad esempio altre risorse collegate, orari lavorativi e così via, per valutare la conformità della configurazione di una risorsa.
Cos'è una regola?
Una regola rappresenta i valori degli attributi di un elemento di configurazione desiderati per le risorse e viene valutata confrontando tali valori degli attributi con gli elementi di configurazione registrati da AWS Config. Sono previsti due tipi di regola:
Regole gestite da AWS: le regole gestite da AWS sono predefinite e gestite da AWS. Per abilitarle, è sufficiente selezionare una regola che si desidera abilitare e quindi fornire alcuni parametri di configurazione. Ulteriori informazioni »
Regole gestite dal cliente: le regole gestite dal cliente sono regole personalizzate, create e definite interamente dall'utente. Puoi creare funzioni su AWS Lambda che possono essere richiamate come parte di una regola personalizzata. Queste funzioni vengono applicate nel tuo account. Ulteriori informazioni »
Il modo più rapido per iniziare a utilizzare AWS Config è usufruire della Console di gestione AWS. Puoi attivare AWS Config selezionando poche opzioni. Per ulteriori dettagli, vedi la documentazione sulle nozioni di base.
Come vengono create le regole?
Generalmente, le regole vengono importate dall'amministratore dell'account AWS. Si possono creare a partire da regole gestite da AWS, un set di regole predefinito fornito da AWS, oppure da regole gestite dal cliente. Con le regole gestite da AWS, gli aggiornamenti di una regola vengono applicati automaticamente a tutti gli account che la utilizzano. Nel modello gestito dal cliente, i clienti dispongono di una copia completa della regola e applicano la regola nel proprio account. La manutenzione di tali regole spetta ai clienti.
Quante regole è possibile creare?
Di default è possibile creare fino a 150 regole in un account AWS. Inoltre è possibile richiedere di aumentare questo limite per il proprio account visitando la pagina AWS Service Limits.
Come vengono valutate le regole?
Le regole possono essere impostate come regole attivate da modifica o come regole periodiche. Una regola attivata da modifica viene applicata quando AWS Config rileva una modifica alla configurazione di una qualsiasi delle risorse specificate. È inoltre necessario specificare uno dei seguenti valori:
Tag chiave:(valore opzionale): la valutazione della regola viene avviata da qualsiasi modifica alla configurazione registrata per le risorse con il tag chiave:valore specificato.
Tipo o tipi di risorsa: la valutazione della regola viene avviata da qualsiasi modifica alla configurazione registrata per le risorse che appartengono al tipo o ai tipi di risorsa specificati.
ID risorsa: la valutazione della regola viene avviata da qualsiasi modifica registrata alle risorse specificate dal tipo e dall'ID di risorsa.
Una regola periodica viene avviata in base a una frequenza specificata. Le frequenze disponibili sono 1 ora, 3 ore, 6 ore, 12 ore o 24 ore. Una regola periodica potrà avere uno snapshot completo degli elementi di configurazione correnti per tutte le risorse disponibili per tale regola.
Cos'è una valutazione?
La valutazione di una regola determina lo stato di conformità tra la regola e una risorsa in un determinato momento. È il risultato della valutazione di una regola in base alla configurazione di una risorsa. Le regole di AWS Config acquisiscono e archiviano il risultato della valutazione. Tale risultato include la risorsa, la regola, l'ora della valutazione e un collegamento all'elemento di configurazione (Configuration Item, CI) che ha causato la violazione della conformità.
Cos'è la conformità?
Una risorsa è conforme se rispetta tutte le regole a essa applicabili; in caso contrario non è conforme. Analogamente, una regola è conforme se viene rispettata da tutte le risorse valutate da tale regola; in caso contrario non è conforme. In alcuni casi, ad esempio quando a una regola non vengono assegnati i permessi appropriati, non è possibile completare una valutazione per una risorsa e viene generato uno stato di dati insufficienti. Tale stato viene escluso quando viene determinata la conformità di una risorsa o di una regola.
Quali informazioni contiene il pannello di controllo delle regole di AWS Config?
Il pannello di controllo delle regole di AWS Config offre una panoramica delle risorse monitorate da AWS Config e un riepilogo della conformità corrente, ordinato per risorsa e per regola. Quando consulti lo stato di conformità in base alle risorse, puoi determinare se una regola applicata a una determinata risorsa non è conforme. Consultando lo stato di conformità in base alle regole, puoi invece analizzare quali risorse a cui si applica la regola sono al momento non conformi. A partire da queste visualizzazioni di riepilogo, è possibile approfondire ulteriormente la vista della sequenza temporale delle risorse di AWS Config, per determinare quali parametri di configurazione sono stati modificati. La panoramica generale delle risorse offerta dal pannello di controllo può essere approfondita fino a ottenerne una visione granulare, che consente di ottenere informazioni complete sulle modifiche allo stato di conformità e su quali modifiche hanno provocato una violazione.
Pacchetti di conformità
Quando è opportuno utilizzare le regole di AWS Config invece dei pacchetti di conformità?
È possibile utilizzare singole regole di AWS Config per valutare la conformità della configurazione delle risorse in uno o più account. I pacchetti di conformità offrono l'ulteriore vantaggio di includere nello stesso pacchetto regole e azioni correttive che possono così essere distribuite all'intera organizzazione con una singola selezione. I pacchetti di conformità intendono semplificare la gestione della conformità e la generazione di report su larga scala quando si gestiscono diversi account. I pacchetti di conformità sono progettati per fornire report di conformità aggregati a livello di pacchetto e immutabilità. Ciò consente alle regole e ai documenti di correzione gestiti di AWS Config all'interno del pacchetto di conformità di non essere modificati o eliminati dai singoli account dei membri di un'organizzazione.
Come sono correlati AWS Config e le regole di AWS Config alla Centrale di sicurezza AWS?
La Centrale di sicurezza AWS è un servizio di sicurezza e conformità che offre la gestione dell'assetto di sicurezza e conformità sotto forma di servizio. Impiega AWS Config e le regole di AWS Config come meccanismo principale per valutare la configurazione delle risorse AWS. Le regole di AWS Config possono essere utilizzate anche per valutare direttamente la configurazione delle risorse. Le regole di AWS Config vengono inoltre utilizzate da altri servizi AWS, come AWS Control Tower e Gestione dei firewall AWS.
Quando si devono utilizzare i pacchetti di conformità della Centrale di sicurezza AWS e di AWS Config?
Se nella Centrale di sicurezza è già presente uno standard di conformità, come PCI DSS, il servizio Centrale di sicurezza completamente gestito è il modo più facile per attivarlo. Puoi analizzare gli esiti attraverso l'integrazione della Centrale di sicurezza con Amazon Detective e creare azioni correttive automatizzate o semi-automatizzate utilizzando l'integrazione della Centrale di sicurezza con Amazon EventBridge. Tuttavia, se desideri assemblare uno standard di conformità o sicurezza su misura, che può includere controlli di sicurezza, operativi o di ottimizzazione dei costi, i pacchetti di conformità di AWS Config sono la soluzione giusta. I pacchetti di conformità di AWS Config semplificano la gestione delle regole di AWS Config riunendo in una sola entità un gruppo di regole di AWS Config e le azioni correttive associate. La creazione di un pacchetto semplifica l'implementazione delle regole e delle azioni correttive all'interno dell'organizzazione. Inoltre, consente di creare report aggregati, dato che i riepiloghi di conformità possono essere riferiti a livello di pacchetto. Puoi iniziare con i nostri i pacchetti di conformità di esempio per AWS Config e personalizzarli secondo le tue necessità.
I pacchetti di conformità della Centrale di sicurezza e di AWS Config supportano entrambi il monitoraggio della conformità?
Sì, i pacchetti di conformità della Centrale di sicurezza e di AWS Config supportano entrambi il monitoraggio continuo della conformità, perché fanno affidamento su AWS Config e sulle regole di AWS Config. Le regole di AWS Config sottostanti possono essere attivate a intervalli periodici oppure quando vengono rilevate modifiche nella configurazione o nelle risorse. In tal modo, è possibile analizzare e valutare continuamente lo stato di conformità generale delle configurazioni delle risorse AWS rispetto a policy e linee guida aziendali.
Come si iniziano a utilizzare i pacchetti di conformità?
Il modo più rapido per iniziare a utilizzare questo servizio è creare un pacchetto di conformità utilizzando uno dei modelli di esempio disponibili attraverso l'Interfaccia della linea di comando o la console AWS Config. Alcuni dei modelli di esempio includono le best practice operative di S3, le best practice operative di Amazon DynamoDB e le best practice operative per PCI. Questi modelli sono scritti nel linguaggio YAML. È possibile scaricare i modelli dal nostro sito della documentazione e modificarli in base all'ambiente di lavoro utilizzando l'editor di testo preferito. Si possono inoltre aggiungere al pacchetto eventuali regole AWS Config scritte in precedenza.
È previsto un costo per l'uso di questa funzionalità di AWS Config?
Ai pacchetti di conformità è associato un piano tariffario a scaglioni. Per ulteriori informazioni, visita la pagina dei prezzi di AWS Config.
Aggregazione di dati multi-account e multi-Regione
Che cos'è l'aggregazione di dati da più account e regioni?
L'aggregazione di dati in AWS Config aiuta ad aggregare i dati di AWS Config provenienti da più account e Regioni in un unico account e in un'unica Regione. L'aggregazione di dati da più account è utile per gli amministratori del reparto IT per monitorare la conformità di più account AWS di un'azienda.
È possibile utilizzare la funzione di aggregazione dei dati per assegnare in modo centralizzato regole di AWS Config su più account?
La funzione di aggregazione di dati non può essere utilizzata per effettuare il provisioning delle regole di più account. Si tratta esclusivamente una funzionalità di reportistica utile a fornire visibilità sulla conformità. È possibile utilizzare AWS CloudFormation StackSets per effettuare il provisioning di regole su più account e Regioni. Scopri di più in questo collegamento al blog.
Come si abilita l'aggregazione di dati nell'account?
Una volta abilitati AWS Config, le regole di AWS Config nell'account e gli account da aggregare, è possibile abilitare l'aggregazione dei dati creando un aggregatore sull'account centrale. Ulteriori informazioni.
Cos'è un aggregatore?
Un aggregatore è un tipo di risorsa di AWS Config che raccoglie i dati di AWS Config da più account e Regioni. L'aggregatore consente di visualizzare i dati di configurazione e conformità delle risorse registrati in AWS Config per più account e Regioni.
Quali informazioni fornisce la schermata di vista aggregata?
La vista aggregata mostra il conteggio totale delle regole non conformi a livello di organizzazione, le prime cinque regole non conformi per numero di risorse e i primi cinque account AWS con il maggior numero di regole non conformi. Quindi è possibile scendere nel dettaglio selezionando le statistiche delle risorse che violano una determinata regola e l'elenco di regole in violazione per un account.
Non sono un cliente di AWS Organizations. Posso utilizzare ugualmente la funzionalità di aggregazione dei dati?
È possibile specificare gli account da aggregare nel modulo dati di AWS Config caricando un file o inserendo singolarmente gli account. Poiché questi account non fanno parte di alcuna organizzazione AWS, bisogna tenere presente che è necessario che ciascun account autorizzi esplicitamente l'account aggregatore. Ulteriori informazioni.
Dispongo di un solo account, posso utilizzare ugualmente la funzionalità di aggregazione dei dati?
La funzionalità di aggregazione dei dati è utile anche per l'aggregazione tra più Regioni. Pertanto, con questa funzionalità puoi aggregare i dati di AWS Config per il tuo account tra più Regioni.
In quali regioni è disponibile l'aggregazione di dati tra più account e regioni?
Per informazioni sulle Regioni in cui è disponibile l'aggregazione di dati multi-account e multi-Regione, consulta la Guida per gli sviluppatori di AWS Config: Multi-Account Multi-Region Data Aggregation (Aggregazione di dati multi-account e multi-Regione).
Cosa succede se ho un account che include una regione non supportata da questa funzionalità?
Quando crei un aggregatore, specifica le Regioni dalle quali puoi aggregare i dati. Questo elenco include solamente le Regioni in cui la funzionalità è disponibile. Puoi inoltre selezionare "all Regions" (Tutte le Regioni), in modo tale che, non appena vengono supportate nuove Regioni, i dati provenienti da queste verranno aggregati automaticamente.
Regioni e servizi supportati
Quali tipi di risorsa AWS sono compatibili con AWS Config?
Per un elenco completo dei tipi di risorse supportate, consulta la documentazione.
In quali regioni è disponibile AWS Config?
Per ulteriori informazioni sulle Regioni AWS in cui AWS Config è disponibile, consulta la tabella delle Regioni AWS.
Prezzi
Quali sono i costi addebitati per l'utilizzo di AWS Config?
Con AWS Config i costi vengono calcolati in base al numero di elementi di configurazione registrati, al numero di valutazioni di regole di AWS Config attive e al numero di valutazioni di pacchetti di conformità nell'account. Un elemento di configurazione è un record dello stato di configurazione di una risorsa nell'account AWS. Esistono due tipologie frequenza con cui AWS Config può fornire elementi di configurazione: continua e periodica. La registrazione continua registra e fornisce le modifiche alla configurazione ogni qualvolta si verifica una modifica. La registrazione periodica fornisce i dati di configurazione con cadenza di 24 ore, solo se si è verificata una modifica. Una valutazione di regola di AWS Config è un'analisi dello stato di conformità di una risorsa da parte di una regola di AWS Config nell'account AWS. Una valutazione di un pacchetto di conformità è la valutazione di una risorsa mediante una regola di AWS Config all'interno del pacchetto di conformità. Per ulteriori informazioni ed esempi, visita la pagina https://aws.amazon.com/config/pricing/.
I prezzi delle regole di AWS Config includono i costi delle funzioni Lambda?
È possibile scegliere tra un set di regole gestite fornite da AWS oppure creare le proprie regole utilizzando funzioni Lambda. Le regole gestite sono completamente mantenute da AWS e per tali regole non sarà addebitato alcun costo aggiuntivo di Lambda. Puoi abilitare le regole gestite fornendo eventuali parametri obbligatori. È prevista una tariffa unica per ciascuna regola di AWS Config. Le regole personalizzate consentono di avere un controllo totale perché vengono applicate come funzioni Lambda nell'account. In aggiunta alla tariffa mensile per regola attiva, alle regole personalizzate di AWS Config si applicano il piano gratuito Lambda* e le tariffe di applicazione delle funzioni Lambda.
*Il Piano gratuito AWS non è disponibile nelle Regioni AWS Cina (Pechino) e Cina (Ningxia).
Desiderio modificare la funzione Lambda per la mia regola personalizza AWS Config. se si desidera modificare la funzione Lambda per una regola AWS Config personalizzata?
La creazione e la conseguente attivazione di una nuova regola comportano dei costi. Se è necessario aggiornare o sostituire la funzione Lambda associata a una regola, la procedura consigliata prevede che si aggiorni la regola esistente piuttosto che crearne una nuova.
Soluzioni di partner
Quali soluzioni dei partner AWS sono disponibili per AWS Config?
Le soluzioni di partner APN, come Splunk, ServiceNow, Evident.io, CloudCheckr, Redseal e Red Hat CloudForms, offrono soluzioni completamente integrate con i dati provenienti da AWS Config. Anche alcuni provider di servizi gestiti, ad esempio 2nd Watch e Cloudnexa, hanno annunciato integrazioni con AWS Config. Con le regole di AWS Config, inoltre, partner come CloudHealth Technologies, Alert Logic e Trend Micro forniscono soluzioni integrate che i clienti possono utilizzare. Queste soluzioni includono funzionalità come la gestione delle modifiche e l'analisi della sicurezza e aiutano a visualizzare, monitorare e gestire le configurazioni delle risorse AWS.