AWS Config 可以提供关于您的 AWS 账户中的 AWS 资源配置的详细信息,您可以查看准备 修改的资源如何与其他资源相关联,并评估更改所产生的影响。同时利用 AWS Config 的 预定义规则,您也可以监控资源是否合规,比如是否开启了 AWS CloudTrail,RDS 是否开启了备份,IAM 用户的密码策略是否符合要求等。本次示例中,我们将用 AWS Config 来 检查 AWS 账号内是否都开启了 S3 存储桶日志记录。
在 AWS Console 界面,点击左上角”服务”----“Config”,然后点击左侧的”设置”,点击”打 开”,开始记录资源类型.
在要记录的资源类型界面,勾选” 记录此区域中所有支持的资源”
S3 存储桶选择”创建存储桶”,存储桶名字处输入一个名字,AWS Config 角色选择”创建 AWS Config 服务相关角色”,然后点击右下角”保存 ”。
之后点击”规则”----“添加规则”
在添加规则界面,搜索”bucket”,在搜索结果中点击 “s3-bucket-logging-enabled” ,点击进入 之后,直接点击右下角”保存”按钮保存规则
稍等 1—2 分钟后,我们在规则见面,就能看到合规性状态,如我的账号下有 11 个不合规 的存储桶.
点击规则名称,就可以看到具体有哪些存储桶没有启用日志记录。
除了检查 S3 存储桶日志是否启用之外,Config 还提供了其他很多托管的规则,您也可以 通过 Lambda 自定义规则。有关这方面更多信息,您可以参考:
https://docs.aws.amazon.com/zh_cn/config/latest/developerguide/managed-rules-by-aws-config.html
相关教学视频参考:https://edu.51cto.com/course/21740.html