[AWS][安全] 通过 AWS Config 服务检查配置是否合规

AWS Config 可以提供关于您的 AWS 账户中的 AWS 资源配置的详细信息，您可以查看准备 修改的资源如何与其他资源相关联，并评估更改所产生的影响。同时利用 AWS Config 的 预定义规则，您也可以监控资源是否合规，比如是否开启了 AWS CloudTrail，RDS 是否开启了备份，IAM 用户的密码策略是否符合要求等。本次示例中，我们将用 AWS Config 来 检查 AWS 账号内是否都开启了 S3 存储桶日志记录。

在 AWS Console 界面，点击左上角”服务”----“Config”,然后点击左侧的”设置”，点击”打 开”，开始记录资源类型.

在要记录的资源类型界面，勾选” 记录此区域中所有支持的资源”

S3 存储桶选择”创建存储桶”，存储桶名字处输入一个名字，AWS Config 角色选择”创建 AWS Config 服务相关角色”，然后点击右下角”保存 ”。

之后点击”规则”----“添加规则”

在添加规则界面，搜索”bucket”，在搜索结果中点击 “s3-bucket-logging-enabled” ,点击进入 之后，直接点击右下角”保存”按钮保存规则

稍等 1—2 分钟后，我们在规则见面，就能看到合规性状态，如我的账号下有 11 个不合规 的存储桶.

点击规则名称，就可以看到具体有哪些存储桶没有启用日志记录。
除了检查 S3 存储桶日志是否启用之外，Config 还提供了其他很多托管的规则，您也可以 通过 Lambda 自定义规则。有关这方面更多信息，您可以参考:
https://docs.aws.amazon.com/zh_cn/config/latest/developerguide/managed-rules-by-aws-config.html

相关教学视频参考：https://edu.51cto.com/course/21740.html