bởi Faraz Rehman

Gần đây, chúng tôi đã công bố AWS Config compliance and inventory dashboard, một tính năng mới AWS Config, cung cấp bảng thông tin chung về cấu hình tài nguyên AWS và sự tuân thủ trên các tài khoản AWS, AWS regions hoặc AWS Organization. Trong bài viết trên blog này, tôi sẽ hướng dẫn bạn về bảng điều khiển và tiện ích được đưa vào tính đến hôm nay cho lần ra mắt này.

Giới thiệu về dịch vụ AWS Config

AWS Config là dịch vụ được quản lý toàn phần, cung cấp cho bạn kho tài nguyên, lịch sử cấu hình và thông báo thay đổi cấu hình để sử dụng cho mục đích bảo mật và quản trị. Với AWS Config, bạn có thể khám phá các tài nguyên AWS hiện có, ghi lại cấu hình tài nguyên của bên thứ ba, xuất tất cả dữ liệu về cấu hình và xác định cách cấu hình tài nguyên tại bất kỳ thời điểm nào. Các khả năng này sử dụng tính tuân thủ, kiểm tra, phân tích bảo mật, theo dõi thay đổi tài nguyên và khắc phục sự cố.

Background

AWS Config cho phép người dùng liên tục theo dõi và giám sát cấu hình cũng như sự tuân thủ của tài nguyên AWS của họ. Nó cũng cho phép người dùng đánh giá mức độ tuân thủ tài nguyên bằng các quy tắc của AWS Config và theo dõi cách cấu hình thay đổi theo thời gian. Khi khối lượng công việc của khách hàng trên AWS tăng về quy mô và độ phức tạp trải rộng trên nhiều tài khoản và khu vực, số lượng tài nguyên và độ phức tạp của cấu hình cũng tăng theo. Các nhóm vận hành thường tận dụng các truy vấn nâng cao trong AWS Config để hiểu rõ hơn về trạng thái tài nguyên và cấu hình của họ. Giờ đây, với sự ra đời của AWS Config compliance and inventory, một số thông tin chi tiết được hiển thị sẵn dưới dạng bảng thông tin được tuyển chọn, dựng sẵn, cung cấp cái nhìn nhanh về trạng thái tổng thể của tài nguyên và sự tuân thủ của chúng. Không phải trả thêm phí khi sử dụng AWS Config compliance and inventory dashboard.

Prerequisites

• AWS Config inventory và compliance dashboards dựa vào AWS Config Aggregator  để tổng hợp dữ liệu thành một nguồn dữ liệu duy nhất. Bạn phải tạo và cấu hình aggregator trước khi dữ liệu được tổng hợp và điền vào dashboard . Lưu ý rằng tính năng này hỗ trợ tất cả các loại cấu hình trong AWS Organs như nhiều tài khoản và nhiều region, 1 tài khoản và nhiều region.

• Permission: Cần có các quyền sau để truy cập vào AWS Config inventory và compliance dashboards:
  • config:DescribeConfigAggregators
  • config:SelectAggregateResourceConfig

Kịch bản

Giả sử bạn là quản trị viên về cloud đang quản lý một môi trường AWS lớn trải rộng trên nhiều tài khoản và AWS region. Bạn thường phải đối mặt với những câu hỏi như “bao nhiêu phần trăm trong tổng số” nguồn lực đang báo cáo trạng thái không tuân thủ? Hoặc “Loại tài nguyên phổ biến nhất trên” toàn bộ môi trường là gì? v.v… Trước khi bắt đầu xây dựng truy vấn nâng cao, trước tiên bạn có thể tham khảo tổng quan inventory and compliance dashboards để xem liệu một trong các dashboard hiện tại đã cung cấp dữ liệu mà bạn đang tìm kiếm hay chưa.

Dashboard và tiện ích có sẵn

Có 2 dashboard chính, mỗi dashboard có nhiều tiện ích. Đây là những tiện ích có sẵn khi mỗi dashboard được tạo.

Compliance dashboard

• Tóm tắt các tuân thủ theo tài nguyên 
• Top 10 loại tài nguyên theo tài nguyên không tuân thủ
• Top 10 tài khoản theo tài nguyên không tuân thủ
• Top 10 regions theo tài nguyên không tuân thủ
• Top 10 gói tuân thủ ở cấp tài khoản theo quy tắc không tuân thủ
• Top 10 gói tuân thủ ở cấp tổ chức theo quy tắc không tuân thủ
• Top 10 tài khoản theo quy tắc không tuân thủ trên các gói tuân thủ

Inventory dashboard

• Top 10 loại tài nguyên theo số lượng tài nguyên
• Số lượng tài nguyên theo khu vực
• Top 10 tài khoản theo số lượng tài nguyên
• Số lượng tài nguyên theo dịch vụ Amazon EC2
• Top loại phiên bản EC2 
• Số phiên bản EC2 đang chạy so với số phiên bản đã dừng theo loại
• EBS volumes theo loại và kích thước volumes

Bắt đầu

• Để truy cập inventory and compliance dashboards, hãy đăng nhập vào tài khoản AWS của bạn và truy cập  dịch vụ AWS Config (hình 1).

Hình 1: giao diện chính của AWS Config

• Trong giao diện chính của AWS Config, hãy mở rộng Aggregators ở khung bên trái và chọn Compliance dashboard hoặc Inventory dashboard.
• Nếu bạn đã định cấu hình nhiều Aggregators, bạn có thể chọn đúng Aggregator  từ menu thả xuống (hình 2)

Hình 2: Aggregator 

• Sau khi chọn đúng Aggregator, bảng điều khiển sẽ hiển thị ở phần dưới cùng của màn hình. Sau đây (hình 3) là ví dụ hiển thị tổng thể về trạng thái tuân thủ  (tuân thủ và không tuân thủ).

Hình 3: Compliance summary by resources

• Từ đây, bạn có thể khám phá bất kỳ tiện ích nào có sẵn trong mỗi dashboard. Xin lưu ý rằng dữ liệu được điền trong mỗi tiện ích được lấy từ Aggergator, nếu không có sẵn dữ liệu, tiện ích của bạn sẽ không được điền.
• Bạn có thể tuỳ chỉnh dữ liệu hiển thị trong tiện ích bằng cách áp dụng bộ lọc (hình 4) – ví dụ: bạn có thể tuỳ chỉnh tiện ích “Compliance summary by resources” để hiển thị tóm tắt tuân thủ và không tuân thủ cho một khu vực cụ thể.

Hình 4: Sử dụng bộ lọc để tuỳ chỉnh dữ liệu cho widget dashboard

• Inventory và compliance dashboards được hỗ trợ bởi các truy vấn nâng cao của AWS Config. Bạn có thể chọn “View and analyze query editor” bên trong tiện ích để xem truy vấn nâng cao cơ bản. Sau khi vào trong trình soạn thảo truy vấn, bạn có thể kiểm tra câu lệnh SQL cho truy vấn đó và sử dụng nó làm điểm bắt đầu để xây dựng các truy vấn phức tạp hơn được tùy chỉnh theo nhu cầu của bạn. Vui lòng tham khảo Truy vấn trạng thái cấu hình hiện tại của tài nguyên AWS để biết thêm thông tin.

Kết luận

Trong bài viết này, tôi đã hướng dẫn cho bạn cách sử dụng AWS Config Inventory và compliance dashboards để nhanh chóng có được thông tin chi tiết về trạng thái tuân thủ và quản lí tài nguyên AWS của bạn trên nhiều tài khoản và khu vực. Để tìm hiểu thêm về tính năng này, vui lòng truy cập tài liệu dịch vụ AWS Config