Giới thiệu
Ghi chú nhanh về Cấu hình AWS. Bài đăng này là một ghi chú ngắn từ khóa học Ultimate AWS Certified Solutions Architect Professional của Stephane Maarek. Mục đích duy nhất của bài viết này là tóm tắt, nếu bạn muốn tìm hiểu chi tiết, vui lòng mua một khóa học của Stephane Maarek.
Cấu hình AWS
Khi bạn chạy các ứng dụng của mình trên AWS, bạn thường sử dụng tài nguyên AWS mà bạn phải tạo và quản lý chung. Khi nhu cầu về ứng dụng của bạn không ngừng tăng lên, do đó, bạn cần theo dõi cấu hình các tài nguyên AWS của mình.
AWS Config cung cấp một cái nhìn chi tiết về cấu hình của tài nguyên AWS trong tài khoản AWS của bạn. Với AWS Config, bạn có thể thực hiện những việc sau:
- Đánh giá cấu hình tài nguyên AWS của bạn cho các cài đặt mong muốn.
- Truy xuất cấu hình của một hoặc nhiều tài nguyên tồn tại trong tài khoản của bạn.
- Truy xuất cấu hình lịch sử của một hoặc nhiều tài nguyên.
- Nhận thông báo bất cứ khi nào tài nguyên được tạo, sửa đổi hoặc xóa.
- Xem mối quan hệ giữa các tài nguyên. Ví dụ: bạn có thể muốn tìm tất cả các tài nguyên sử dụng một nhóm bảo mật cụ thể.
AWS Config là một dịch vụ theo khu vực.
Cách sử dụng cấu hình AWS
AWS Config được thiết kế để giúp bạn giám sát tài nguyên ứng dụng của mình trong các trường hợp sau.
Quản trị tài nguyên
Bạn có thể sử dụng quy tắc Cấu hình AWS để đánh giá cài đặt cấu hình của tài nguyên AWS của mình. Khi AWS Config phát hiện tài nguyên vi phạm các điều kiện trong một trong các quy tắc của bạn, AWS Config sẽ gắn cờ tài nguyên đó là không tuân thủ và gửi thông báo.
Kiểm toán và Tuân thủ
Bạn có thể đang làm việc với dữ liệu yêu cầu kiểm tra thường xuyên để đảm bảo tuân thủ các chính sách nội bộ và các phương pháp hay nhất. Để chứng minh sự tuân thủ, bạn cần có quyền truy cập vào các cấu hình lịch sử của tài nguyên của mình. AWS Config cung cấp thông tin này.
Quản lý và khắc phục sự cố thay đổi cấu hình
Khi bạn sử dụng nhiều tài nguyên AWS phụ thuộc vào nhau, sự thay đổi trong cấu hình của một tài nguyên có thể gây ra hậu quả không mong muốn đối với các tài nguyên liên quan. Với AWS Config, bạn có thể xem tài nguyên bạn định sửa đổi có liên quan như thế nào với các tài nguyên khác và đánh giá tác động của thay đổi của bạn.
Phân tích bảo mật
Bạn có thể sử dụng Cấu hình AWS để xem chính sách IAM đã được chỉ định cho người dùng, nhóm hoặc vai trò IAM bất kỳ lúc nào mà Cấu hình AWS đang ghi. Thông tin này có thể giúp bạn xác định các quyền thuộc về người dùng tại một thời điểm cụ thể.
Quy tắc cấu hình AWS
Bạn tạo quy tắc Cấu hình AWS để đánh giá cài đặt cấu hình của tài nguyên AWS của bạn. AWS Config hỗ trợ Định cấu hình Quy tắc được quản lý và Định cấu hình Quy tắc tùy chỉnh. Các quy tắc được quản lý là các quy tắc có thể tùy chỉnh, được xác định trước được tạo bởi AWS Config.
Các quy tắc có thể được đánh giá / kích hoạt:
- Đối với mỗi thay đổi cấu hình.
- Và / hoặc: vào những khoảng thời gian đều đặn.
- Có thể kích hoạt Sự kiện CloudWatch nếu quy tắc không tuân thủ (và chuỗi với Lambda).
Các quy tắc có thể có các biện pháp khắc phục tự động:
- Nếu tài nguyên không tuân thủ, bạn có thể kích hoạt tự động khắc phục.
- Xác định biện pháp khắc phục thông qua Tự động hóa SSM.
- Ví dụ: ngay lập tức các quy tắc nhóm bảo mật, dừng các phiên bản có thẻ không được phê duyệt.
Cách cấu hình AWS hoạt động
Nếu bạn đang sử dụng các quy tắc AWS Config, AWS Config liên tục đánh giá các cấu hình tài nguyên AWS của bạn cho các cài đặt mong muốn. Tùy thuộc vào quy tắc, AWS Config sẽ đánh giá tài nguyên của bạn theo các thay đổi cấu hình hoặc theo định kỳ. Mỗi quy tắc được liên kết với một hàm AWS Lambda, hàm này chứa logic đánh giá cho quy tắc. Khi AWS Config đánh giá tài nguyên của bạn, nó sẽ gọi hàm AWS Lambda của quy tắc. Hàm trả về trạng thái tuân thủ của các tài nguyên được đánh giá. Nếu tài nguyên vi phạm các điều kiện của quy tắc, AWS Config sẽ gắn cờ tài nguyên và quy tắc là không tuân thủ. Khi trạng thái tuân thủ của một tài nguyên thay đổi, AWS Config sẽ gửi thông báo đến chủ đề Amazon SNS của bạn.
Chấm dứt
Kết thúc ghi chú ngắn về AWS S3 Security.