AWS Config 新增跨账户、跨区域数据聚合功能

近日，Amazon Web Services（AWS）增加了跨多个账户和/ 或区域聚合由AWS Config Rules 生成的合规数据的功能，实现了AWS 资源的集中审计和治理。新增的聚合仪表板视图展示了组织中不合规的规则。然后，用户可以下钻，查看有关违反规则的资源的详细信息。

AWS Config 是一项服务，它持续监控所支持的AWS 资源类型，并记录作为配置项的各种属性的时点视图。记录下的配置历史和资源关系可以人工检查，也可以通过一个支持预定义托管规则和实现为 AWS Lambda 函数的自定义规则的规则引擎来自动评估变化。资源变化和评估结果可以传送到S3 存储桶，通过SNS 通知或者（最近的）CloudWatch 事件（之前报道过）进行监控，从而触发其他AWS 服务或用于“合规审计、安全分析、变更管理和运行故障排除”的第三方工具进行分析和响应式修复。

AWS Config 还会把资源配置变化与由 AWS CloudTrail 记录的 API 动作联系起来，可以详细反映出谁在什么时间从哪个 IP 地址请求修改，这有助于识别操作问题的根本原因，或者用于安全事件取证。

虽然一直都可以记录配置项并向其他账户发送通知，但跨区域、跨账户推断合规状态一直以来都非常繁琐，经常需要与第三方供应商集成。现在，AWS 跟进日益增多的跨账户使用，在 AWS Config 控制台中提供了自己的聚合仪表板视图，用户可以下钻，了解组织的违规细节。

图片：AWS Config 聚合视图仪表板（来自介绍性博客）

AWS Config 多账户、多区域数据聚合涉及以下步骤和概念：

1. 在期望的目标账户和区域中配置一个聚合器；
2. 指定源账户，可以单个指定，也可以通过 AWS Organizations 多账户支持（之前报道过）自动指定；
3. 指定源区域，或者只是简单地指定全部区域，也可以选择包括未来区域；
4. 从源账户所有者向聚合器账户提供授权，只有当源账户不是 AWS Organization 的一部分时才需要这样做。

通常，这些步骤可以通过 AWS 管理控制台、AWS CLI 和 AWS CloudFormation 进行，使跨大量账户配置 AWS Config 变得非常简单。虽然从合规管理的角度来看，这是一项显著的简化，但是用户应该知道这可能会带来意外的隐含成本，这使得AWS 社区英雄 Eric Hammond 请求“一个更好的 AWS Config 定价方案”：

跨当前所有的 15 个区域在所有 28 个个人账户中激活单个 AWS Config Rule 每年的成本超过 1 万美元。这些账户区域中的绝大多数基本上没什么任务。

另据相关消息，AWS Config 此后针对较高的使用层级推出了较低的规则定价，增加了可以指定配置项数据保存期限的功能，而且还借助 Amazon CloudWatch Events 集成了资源配置和合规变化通知（之前报道过）。

还有多种其他的工具可供选择，或者，除了 AWS Config Rules 之外，还有一些值得一提的解决方案：

• Capital One 的 Cloud Custodian ，“使用户可以定义策略，获得管理完善的云基础设施，并且针对安全和成本进行了优化”；
• Netflix 的 Security Monkey ，“监控 AWS 和 GCP 账户的策略变化，并针对不安全的配置发出警告”；
• Toni de la Fuente 的 Prowler ，提供“AWS 账户安全评估和强化，遵循 CIS Amazon Web Services Foundations Benchmark 1.1 的原则”。

AWS 自己也提供了和 AWS Config 特性集存在重叠的其他解决方案，例如， AWS GuardDuty 托管威胁检测服务（之前报道过）以及 AWS Trusted Advisor 高级支持服务（之前报道过）。

与此同时，Microsoft Azure 通过其新推出的 Azure Policy 服务提供了一个功能集类似的合规解决方案，目前免费，不过现在只是公开预览。

AWS Config 文档包含一份开发指南，包括入门部分、 AWS CLI 参考和 API 参考。AWS 还提供了 AWS Config Rules Repository 和 AWS Config Rules Development Kit（RDK）帮助开发人员通过一个“合规即代码（compliance-as-code）”工作流“配置、编写、测试自定义 Config 规则”。技术支持由 AWS Config 论坛提供。 AWS Config 定价页面提供了更详细的价格信息，有针对每个配置项的一次性收费和针对每条活动规则的月度收费。记录配置快照和历史文件是免费的，所需的存储则根据 Amazon S3 的定价以使用情况为准。

查看英文原文： AWS Config Gains Cross-Account, Cross-Region Data Aggregation