Nachdem Sie AWS Config im vorhergehenden Schritt aktiviert haben, entnehmen Sie dem Dashboard einen Überblick Ihrer Ressourcen und Regeln sowie deren Konformitätsstatus.

Außerdem erscheint hier eine Visualisierung Ihrer AWS-Config-Nutzungs- und -Erfolgsmetriken. Diese Metriken lassen sich zum Beispiel nach Ressourcentypen anpassen und zu einem personalisierbaren CloudWatch-Dashboard hinzufügen.

Klicken Sie im Bereich "Ressourcenbestand" auf einen Ressourcentyp, zum Beispiel "EC2 SecurityGroup", "EC2 VPC" oder "IAM Role", tauchen alle aufgezeichneten Ressourcen dieses Typs auf dem Screen auf. Wählen Sie eine dieser Ressourcen aus, sehen Sie alle relevanten Informationen und Attribute, beispielsweise das Erstellungsdatum, den Amazon-Ressourcennamen (ARN), der eine Ressource eindeutig identifiziert, sowie die zugeordneten Tags (Key-Value-Paare, die sich den Ressourcen zuweisen lassen). Zusätzlich wird das komplette Konfigurationselement im JSON-Format angezeigt.

Haben Sie nach der Aktivierung des AWS-Config-Diensts eine Ressource angepasst, können Sie über die Ressourcen-Zeitleiste die einzelnen Konfigurationselemente eines bestimmten Zeitraumes einsehen und analysieren.

Automatische Prüfung mittels Regeln
Mit Regeln definieren Sie den gewünschten Zustand Ihrer Ressourcen. Dieser festgelegte Soll-Zustand wird dann mit der tatsächlichen Konfiguration der Ressourcen abgeglichen. Beispielsweise können Sie eine Regel aktivieren, die verlangt, dass alle von Ihnen verwendeten EBS-Volumes verschlüsselt sein müssen. Trifft dies auf ein Volume nicht zu, meldet AWS Config es als nicht regelkonform.

Zusätzlich zum Konformitätsstatus Ihrer Regeln und Ressourcen auf dem Dashboard der AWS-Config-Konsole können Sie die Informationen zur Konformität auch mittels AWS CLI, AWS Config API oder AWS SDKs abfragen.

Ebenso ist es möglich, alle Ihre Ressourcen hinsichtlich kontenweiter Anforderungen zu überprüfen. So lässt sich zum Beispiel checken, ob die Anzahl der EC2-Volumes in einem Konto innerhalb einer gewünschten Gesamtmenge liegt oder ob ein Konto CloudTrail für die Protokollierung der API-Aufrufe verwendet. Es gibt zwei Möglichkeiten, wie AWS Config die Evaluierung einer Regel auslösen kann.

• Bei Konfigurationsänderungen: AWS Config löst die Evaluierung aus, wenn eine Ressource, die dem Geltungsbereich der Regel entspricht, ihre Konfiguration ändert. Die Auswertung erfolgt, nachdem der Dienst eine Benachrichtigung über die Änderung eines Konfigurationselements gesendet hat.
• Periodisch: AWS Config führt Bewertungen für die Regel in einer von Ihnen gewählten Häufigkeit durch (etwa alle 24 Stunden).

Für viele Anwendungsfälle bietet AWS Config verwaltete Regeln, also von AWS erstellte, vordefinierte Richtlinien, um zu bewerten, ob Ihre AWS-Ressourcen der gängigen Praxis (Best Practice) entsprechen. Die eben genannte Regel, die Ihre EBS-Volumes auf Verschlüsselung prüft, ist eine von AWS verwaltete Regel mit dem Namen "encrypted-volumes".

Verwaltete Regeln nutzen
Sie können aus über 300 verwalteten Regeln auswählen und diese mit wenigen Klicks aktivieren. Um eine von AWS verwaltete Richtlinie über die Konsole zu aktivieren, gehen Sie wie folgt vor: Öffnen Sie die AWS-Konsole und navigieren Sie auf die AWS-Config-Seite. Verifizieren Sie dann, dass Sie die von Ihnen präferierte Region ausgewählt haben. Klicken Sie im Menü auf der linken Seite auf den Menüpunkt "Regeln" und dann auf "Regel hinzufügen".

Ist als Regeltyp "von AWS verwaltete Regel hinzufügen" ausgewählt, sehen Sie nun eine Tabelle mit den aktuell 309 vordefinierten Regeln. Die Tabelle lässt sich nach dem Regelnamen, der Bezeichnung oder der Beschreibung filtern. Wählen Sie eine der Regeln aus und klicken auf "Weiter". Auf der Konfigurationsseite stellen Sie nun einige Attribute ein, etwa den Namen der Regel. Wenn die Regel bei Konfigurationsänderungen ausgelöst wird, können Sie angeben, wann es zu Auswertungen kommt.

Hier gibt es die Möglichkeit, die Richtlinie bei allen Änderungen an beliebigen aufgezeichneten Ressourcen auszuwerten oder die Auswertung auf eine von zwei Arten einzuschränken: basierend auf ihrem Ressourcentyp (zum Beispiel "AWS EC2-Volume") oder anhand eines ihr zugewiesenen Tags (etwa "Umgebung": "Produktion").

Wollen Sie die Regel periodisch auslösen, geben Sie die Frequenz (beispielsweise alle 24 Stunden) an. Wenn Ihre Regel Parameter im Abschnitt "Regelparameter" enthält, können Sie deren Werte anpassen. Ein Parameter ist ein Attribut, das Ihre Ressourcen haben müssen, damit sie als konform gelten. Beispielsweise können Sie für die Regel "encrypted-volumes" definieren, welcher Key zur Verschlüsselung Verwendung finden muss. Klicken Sie nach dem Konfigurieren der Regel auf "Regel hinzufügen" und nach einigen Minuten erhalten Sie eine Zusammenfassung der Ergebnisse. Sie können die Ergebnisse mit der Schaltfläche "Aktualisieren" jederzeit neu laden.

Alternativ zur Aktivierung in der AWS-Konsole lassen sich Regeln auch mittels AWS CLI oder AWS Config API aktivieren. In diesem Fall übergeben Sie die Regeldefinition im JSON-Format.

Benutzerdefinierte Regeln erstellen
Um eigene Regeln zu erzeugen, haben Sie zwei Möglichkeiten: benutzerdefinierte Lambda-Regeln und benutzerdefinierte Regeln mit Guard.

Benutzerdefinierte Lambda-Regeln bieten Ihnen die Möglichkeit, eigene Prüflogik als Programmcode in Java oder Python zu definieren. Dazu erstellen Sie eine Lambda-Funktion für die entsprechende AWS-Config-Custom-Regel. Eine Lambda-Funktion ist benutzerdefinierter Code, den Sie in AWS Lambda hochladen und der durch von Ihnen definierte Ereignisse aufgerufen wird. Wenn die Lambda-Funktion mit einer Config-Regel verknüpft ist, ruft AWS Config sie auf, sobald es zur Auslösung der Regel kommt. Die Lambda-Funktion wertet dann die erhaltenen Konfigurationsinformationen aus und gibt im Anschluss die Auswertungsergebnisse zurück.

Guard ist eine Policy-as-Code-Sprache, mit der Sie Richtlinien schreiben können, die AWS Config dann durchsetzt. Auf diese Weise erzeugen Sie benutzerdefinierte Regeln, ohne Java oder Python zur Entwicklung von Lambda-Funktionen für die Verwaltung Ihrer benutzerdefinierten Richtlinien verwenden zu müssen. Mit Guard geschriebene Regeln erstellen Sie über die AWS-Config-Konsole oder mithilfe der AWS-Config-Regel-APIs. Diese Regeln werden dann durch Konfigurationsänderungen ausgelöst.

ln/Simon Philipp und Dominik Richter

Im dritten und letzten Teil der Workshopserie gehen wir darauf ein, wie Sie nicht konforme Konfigurationen automatisch beheben, wie dies auch über mehrere AWS-Konten und -Regionen funktioniert und wie Sie dabei auch die Kosten im Auge behalten. Im ersten Teil schilderten wir die Funktionsweise von AWS Config und haben erklärt, wie Sie das Werkzeug korrekt einrichten.