AWS Config 规则更新：跨账户和地区聚合合规性数据

我以前曾讨论过，复杂的 AWS 客户总是会控制多个 AWS 账户。其中一些是收购结果，或自下而上保留的云计算部门接纳。另一些则是创建多个账户以使开发人员、项目或部门相互隔离开。我们强烈支持将此作为最佳实践，并通过许多 AWS 服务中的跨账户功能以及用于跨账户策略管理的 AWS Organizations 进行备份。这些客户中有许多还充分利用 AWS Config 并通过 Config 规则（包括他们自己的以及 Config 提供的）检查其 AWS 资源的合规性。

跨账户和地区聚合

今天，我们增加了跨多个 AWS 账户和/或地区聚合其自身规则产生的合规性数据的功能，从而使 Config Rules 变得更加有用。然后，可在单个仪表板中查看聚合数据，这使其成为改善管理和合规性的好办法。更好的消息是，聚合和仪表板功能现在免费对所有 AWS Config 用户提供！

我将向您展示如何快速地完成这种设置。首先，我们来定义几个术语：

聚合器 – 这是一种新 Config 资源。它可识别要聚合的合规性数据的来源（账户和地区）。可以同时使用多个聚合器，让您能够对管理和合规性模型进行微调。

聚合器账户 – 这是拥有一个或多个聚合器的 AWS 账户。

源账户 – 这是拥有要聚合的合规性数据的 AWS 账户。

聚合视图 – 显示聚合器的合规和不合规规则的仪表板。

下图说明了这些功能是如何结合在一起的：

设置聚合

让我们为一些 AWS Config 数据设置聚合！第一步发生在聚合器账户中。我打开 Config 控制台，找到“聚合视图”部分并单击“聚合器”：

我审核聚合器列表，然后单击“添加聚合器”以创建新聚合器：

我授予从源账户复制数据的 AWS Config 权限，然后输入我的聚合器名称 (MyAgg)：

接下来，我选择源账户。在这里我有三个选项：我可以手动添加账户 ID、上传包含逗号分隔列表的文件，或添加我的 AWS Organization 中的所有账户：

我单击“添加源账户”以手动添加一个账户，然后输入 ID 并单击“添加源账户”：

接下来，我选择相关的地区，并可选择当前地区以及更多地区，然后单击“保存”继续：

下一步发生在源账户中，通过 Config 控制台完成。授权请求出现：

我确认：

您可以使用 CloudFormation StackSets 在所有源账户之间自动启用授权。另外请注意，如果您选择聚合您的 AWS Organization 中的所有账户，则不需要执行授权步骤。

来自源账户的合规性数据开始流进聚合器账户且在控制台中可见，通常在 2-5 分钟内：

您可以看到，我有大量的筛选条件！我可以将关注点放在特定地区或账户，并且我可以了解到哪些规则或账户需要解决的问题最多。例如，我可以看到所有未启用服务器端加密的存储桶：

我还可以查看账户的总体合规性情况，看到合规和不合规的资源：

需知信息

如今，这种新功能已在美国东部（弗吉尼亚北部）、美国东部（俄亥俄）、美国西部（俄勒冈）、美国西部（加利福尼亚北部）、欧洲（爱尔兰）、欧洲（法兰克福）、亚太地区（东京）、亚太地区（悉尼）和亚太地区（新加坡）地区免费推出，您现在就可以开始使用。您照常支付使用 Config 和 Config 规则的费用。

通过 AWS Config 中的多账户、多地区数据聚合功能，可以从中央账户查看您的账户的合规性状态。它假定您已跨账户启用 Config 和 Config 规则（您可使用 CloudFormation StackSets 在多个账户之间分发和部署 Config 规则）。