AWS Config bietet eine detaillierte Ansicht der Konfiguration von Ressourcen in AWS-Konten. Dazu gehört, wie Ressourcen zueinander in Beziehung stehen und wie sie in der Vergangenheit konfiguriert wurden. Das bietet einen Einblick, wie sich die Grundeinstellungen und Beziehungen von Ressourcen im Lauf der Zeit verändert haben. Im Folgenden zeigen wir, wie Sie diese Informationen für die betriebliche Fehlerbehebung, für Audits und für Compliance nutzen. Beginnend mit einer Einführung gehen wir unter anderem auf folgende Punkte ein:

• AWS Config aktivieren, um einen Überblick über die entsprechenden Ressourcen zu erhalten
• Kontinuierliche Ressourcenüberwachung konfigurieren
• Anlegen eigener Regeln und deren Einsatz bei mehreren AWS-Konten und Regionen
• die Kosten von AWS Config im Auge behalten

Funktionsweise von AWS Config
Wenn Sie den Dienst aktivieren, ermittelt er zunächst alle unterstützten AWS-Ressourcen in Ihrem Konto und erstellt für diese ein sogenanntes Konfigurationselement. Dieses beinhaltet alle Attribute der Ressource zum aktuellen Zeitpunkt. AWS Config erzeugt diese Konfigurationselemente, wenn eine Ressource neu erstellt, verändert oder gelöscht wird.

Das Konfigurationselement beinhaltet unter anderem Metadaten, Beziehungen zu anderen Ressourcen und die aktuelle Konfiguration. Alte Konfigurationselemente finden sich weiterhin in einer Historie der Datensätze. Diese beantwortet Fragen wie "Wann wurde die Ressource zum ersten Mal erstellt?", "Wie war die Ressource im letzten Monat konfiguriert?" oder "Welche Konfigurationsänderungen wurden gestern um 9 Uhr morgens eingeführt?"

AWS Config verfolgt alle Änderungen an Ihren Ressourcen durch Starten des "Describe"- oder "List"-API-Aufrufs für jede Ressource in Ihrem AWS-Konto. Der Service verwendet dieselben Aufrufe zur Erfassung von Konfigurationsdetails für alle zugehörigen Ressourcen.

Löschen Sie beispielsweise eine Regel für ausgehenden Datenverkehr aus einer VPC Security Group, bewirkt dies einen Describe-API-Aufruf für die Sicherheitsgruppe. AWS Config führt dann einen Describe-API-Aufruf für alle Instanzen aus, denen die Gruppe zugeordnet ist. Die aktualisierten Konfigurationen der Security Group und der einzelnen Instanzen werden als Konfigurationselemente aufgezeichnet und an einen von Ihnen definierten Amazon Amazon-S3-Bucket übermittelt.

AWS Config verfolgt auch die Konfigurationsänderungen, die nicht durch die API eingeleitet wurden. Dafür analysiert der Dienst die Ressourcenkonfigurationen in regelmäßigen Abständen und generiert Konfigurationselemente für Konfigurationen, die eine Änderung erfahren haben.

Sie können Regeln verwenden, um Ihre Ressourcenkonfigurationen kontinuierlich für die von Ihnen gewünschte Einstellung auszuwerten und, wenn gewünscht, automatische Aktionen auszulösen. Je nach Regel wertet AWS Config Ihre Ressourcen entweder als Reaktion auf Konfigurationsänderungen oder in regelmäßigen Abständen aus und gibt das Ergebnis mit dem Wert "Compliant" oder "Noncompliant" als sogenannten Konformitätsstatus zurück. Zusätzlich können Sie "Konfigurations-Snapshots" erstellen, um die Konfiguration aller Ressourcen zu einem bestimmten Zeitpunkt zu speichern.

Erste Schritte
Loggen Sie sich mit den Anmeldeinformationen Ihres AWS-Kontos in der Benutzeroberfläche der Managementkonsole ein und öffnen Sie die AWS-Config-Konsole in der von Ihnen genutzten Region. Wenn Sie dies erstmalig tun oder AWS Config in einer neuen Region einrichten, haben Sie die Möglichkeit, den Dienst über eine der Schaltflächen "Erste Schritte" oder "1-Klick-Einrichtung" einzurichten. Andernfalls erkennen Sie an der Schaltfläche "Dashboard anzeigen", dass der Service bereits eingerichtet ist.

Um AWS Config zu aktivieren, müssen Sie konfigurieren

• für welche Ressourcentypen AWS Config die Konfigurationselemente aufzeichnet,
• in welchen S3-Bucket der Dienst die Konfigurationselemente ablegt und
• welche AWS Identity and IAM-Rolle AWS Config nutzt, um die benötigten Aktionen durchzuführen, wie beispielsweise das Aufrufen der "List"- und "Describe"-API-Aufrufe.

Klicken Sie auf die Schaltfläche "1-Klick-Einrichtung", schlägt die Einrichtung voreingestellte Werte vor, die Sie bestätigen können. In diesem Fall werden alle Ressourcen der gewählten Region in einem neu erstellten S3-Bucket aufgezeichnet.

Zusätzlich wird eine sogenannte servicegebundene Rolle (Service-linked role) neu erzeugt, die sich ausschließlich von AWS Config nutzen lässt, das dann die benötigten Zugriffsrechte enthält.

Wählen Sie alternativ die Option "Erste Schritte", sind eigene Konfigurationen möglich. Sie können dann

• die Aufzeichnung auf bestimmte Ressourcentypen einschränken oder auf globale Ressourcen, wie IAM Ressourcen, ausweiten,
• AWS Config anstelle der voreingestellten servicegebundenen Rolle eine von Ihnen erstellte IAM-Rolle zuweisen,
• einen bereits existierenden S3-Bucket zur Speicherung auswählen,
• Konfigurationsänderungen zusätzlich an ein Amazon-Simple-Notification-Service-Thema streamen, zum Beispiel um automatisiert auf bestimmte Ereignisse reagieren zu können und
• die Prüfung von AWS-verwalteten Regeln aktivieren. Auf diese gehen wir im Verlauf des Artikels noch ein.

Um AWS Config im Rahmen dieses Workshops kennenzulernen, bietet es sich an, die "1-Klick-Einrichtung" zu nutzen beziehungsweise die voreingestellten Standards bei "Erste Schritte" zu übernehmen. Mit einem Klick auf "Bestätigen" werden im Hintergrund die benötigten Ressourcen erstellt und der Dienst beginnt mit der Aufzeichnung der Konfigurationen Ihrer Ressourcen sowie von deren zukünftigen Änderungen.

ln/Simon Philipp und Dominik Richter

Im zweiten Teil der Workshopserie werfen wir einen Blick auf die Nutzung des Dashboards und zeigen, wie Sie mit mehr als 300 verwalteten Regeln Cloudressourcen überwachen und dabei auch eigene Regelsätze schaffen. Im dritten und letzten Teil gehen wir darauf ein, wie Sie nicht konforme Konfigurationen automatisch beheben, wie dies auch über mehrere AWS-Konten und -Regionen funktioniert und wie Sie dabei auch die Kosten im Auge behalten.