[AWS][安全] 通过 AWS Config 服务检查配置是否合规

AWS Config 可以提供关于您的 AWS 账户中的 AWS 资源配置的详细信息,您可以查看准备 修改资源如何与其他资源相关联,并评估更改所产生的影响。同时利用 AWS Confp V Z X 1 6 _ Qig 的 预定义规则,您也可以监控资源是否合规,比如是否开启了 AWS Cloudo ) q z f HTrail,RDS 是否开启了备份,IAM 用户的密码策略是否符合要求等。本次示例中n [ R | K W *,我们1 c 2 Z将用 AWS Con^ H ` d V Q N =fig 来 检查 AWS 账_ C - ` : M E号内是否都开启了 S3 存储日志记录

在 AWS Console 界? n ^ C 0 % I t面,点击左上角”服务”-u * ` X K---“Config”,然后点击左侧的”设置”,点击”打 开”,开始记录资源类型K S i 0 ^.

[AWS][安全] 通过 AWS Config 服务检查配置是否合规

在要记录的资源类型界面,勾选” 记录此区域中所有支持的资源”

[AWS][安全] 通过 AWS Config 服务检查配置是否合规

S3 存储选择”创建存储桶”,存储桶名字处输入一个名T , O . 7 .字,AWS Coh L : A J ^ & H ynf% c Z S X : S Gig 角色选择”创建 AWS Config 服务相关角色”,然后点击右下角”/ l D % l保存 ”。

[AWS][安全] 通过 AWS Config 服务检查配置是否合规

之后点击”规则”----“添加规则”

[AWS][安全] 通过 AWS Config 服务检查配置是否合规

添加规则界面,搜索”bucket”,在搜索结果中点击 “s3-bucket-logginC S ? 6g-enabled” ,点击进入 之后,直接点击右下角”保存”按钮保存规则

[AWS][安全] 通过 AWS Config 服务检查配置是否合规

稍等 1—2E / ! b & 分钟后,我们在规则见面,就能看到合规性状态,如我的账号下有 11 个不合规 的存储桶.

[AWS][安全] 通过 AWS Config 服务检查配置是否合规

点击规则名称,就可以看到具体有哪些存储桶没X v Y 3有启用日志记录。
除了检查 S3 存储桶日志是否启用之外,Config 还提供了其他很多托管的规则,您也可以 通过 Lambda 自定义规则。有关这方面更多信息,您可以参考:
https://docs.aws.amazon.com/zh_cn/config/latestO * c - & J i/developerguide/managed-rules-by-awi r 5 L { 5s-config.html

相关教学视频参考:o = ~ N : y T k _https://edu.51cto.com/course/21740.html