CMDB是自动化运维的基石、是构建ITIL流程的基础。AWS Config是一个托管服务，是AWS云中资源的CMDB，它可以维护AWS资源的配置历史，并根据最佳实践和内部策略来评估配置。您可以将此信息用于操作故障排除、审计和遵从性用例。

AWS Config原理

打开 AWS Config 之后，它会先查找您账户中受支持的 AWS 资源，并为每个资源生成一个配置项。AWS Config 还会在某个资源的配置更改时生成配置项，并在您启动配置记录器后，保留配置项的历史记录。如果您使用的是 AWS Config 规则，则 AWS Config 会持续评估您的 AWS 资源是否具备所需设置。当某个资源的合规性状态发生更改时，AWS Config 会向您的 Amazon SNS 主题发送通知。

使用场景

资源管理

为了更好地管理您的资源配置并检测资源的错误配置，您需随时详细了解存在哪些资源以及这些资源的配置方式。AWS Config 可以在资源被创建、修改或删除时向您发送通知，不需要您通过对各个资源进行轮询来监控这些资源更改。

您可以使用 AWS Config 规则来评估您的 AWS 资源的配置设置。当 AWS Config 检测到不符合某项规则中的条件的资源时，AWS Config 会将其标记为不合规资源并发送通知。AWS Config 会在您的资源被创建、更改或删除时持续对其进行评估。

审计与合规性

您使用的数据可能需要频繁审计，以确保其符合内部策略与最佳实践。为了证实合规性，您需要了解资源的历史配置。AWS Config 可以提供这一信息。

对配置更改进行管理与故障排除

当您使用相互依赖的多个 AWS 资源时，一项资源配置的更改可能对相关资源造成意外后果。利用 AWS Config，您可以查看您准备修改的资源如何与其他资源相关联，并评估更改所产生的影响。

您也可以使用 AWS Config 提供的资源历史配置来解决问题，并确定问题资源的最后正确配置。

安全分析

要分析潜在的安全漏洞，您需要了解有关您的 AWS 资源配置的详细历史信息，例如向您的用户授予的 AWS Identity and Access Management (IAM) 权限或者控制对资源的访问的 Amazon EC2 安全组规则。

您可以使用 AWS Config 随时查看 AWS Config 正在记录的分配给 IAM 用户、组或角色的 IAM 策略。这一信息可以帮助您确定用户在特定时间内具备的权限：例如，您可以查看用户 John Doe 在 2015 年 1 月 1 日是否拥有修改 Amazon VPC 设置的权限。

您也可以使用 AWS Config 来查看您的 EC2 安全组的配置，包括在特定时间打开的端口规则。这一信息可以帮您确定安全组是否会阻止传入 TCP 流量传输至特定端口。

如何收费

使用 AWS Config 时，您将根据账户中记录的配置项数量、活动 AWS Config 规则评估数量和一致性包评估数量付费。配置项是对您的 AWS 账户中资源配置状态的记录。AWS Config 规则评估是由 AWS 账户中的 AWS Config 规则对资源进行的合规性状态评估，一致性包评估是由一致性包内的 AWS Config 规则对资源进行的评估。

定价示例

假设您在给定月份在美国东部（弗吉尼亚北部）区域的使用量如下。

10000 个各种资源类型的记录配置项

50000 次账户中存在的所有单个 Config 规则的 Config 规则评估

5 个一致性包，每个包含 10 个 Config 规则，每个 Config 规则有 300 次规则评估（即 5*10*300 总共为 15000 次评估）

配置项费用

10000 * 0.003 USD = 30 USD

Config 规则费用

前 100000 次评估（每次 0.001 USD）= 50 USD

一致性包费用

前 1000000 次一致性包评估（每次 0.0012 USD）= 18 USD

Config 账单总额

30 USD + 55 USD + 18 USD = 98 USD

如需进一步协助或服务，请留言，泰岳云业务会提供自动化工具及专业服务。