Mục lục bài viết

AWS Config Aggregator là một dịch vụ rất tiện lợi, giúp ghi lại và đánh giá việc cấu hình của tài nguyên AWS. 

Lợi ích khi sử dụng Aggregator

Aggregator cho phép thu thập tài nguyên AWS Config đã thu thập và kết quả kiểm tra của Config rules. Có thể sử dụng Aggregator trong 3 trường hợp sau:

  1. Nhiều tài khoản và nhiều khu vực.
  2. Một tài khoản và nhiều khu vực.
  3. Tổ chức trong AWS Organizations và tất cả các tài khoản trong tổ chức mà AWS Config đã được kích hoạt.

Hiệu quả trong việc quản lý tập trung các tài khoản AWS không thuộc về một tổ chức hoặc các tài khoản AWS cụ thể (nhiều tài khoản) thuộc về một tổ chức.

Cài đặt Aggregator

Ở đây cài đặt theo mô hình 1) Nhiều tài khoản và nhiều khu vực.

Thêm Aggregator

Trong tài khoản thu thập dữ liệu (sau này gọi là tài khoản Aggregator), thêm một Aggregator.

Từ AWS Config, chọn [Aggregator] và nhấp vào [Tạo Aggregator].

Trong màn hình [Tạo Aggregator], tích vào [Cho phép AWS Config sao chép dữ liệu từ tài khoản nguồn sang tài khoản Aggregator]. Sau đó nhập [Tên Aggregator].

Đối với tài khoản nguồn, ở đây chọn [Thêm ID tài khoản cá nhân] và nhập ID tài khoản AWS vào bảng điều khiển.

Chọn khu vực [ap-northeast-1] và nhấp vào [Tạo Aggregator]. Aggregator sẽ được tạo.

Thêm S3 bucket policy để tổng hợp log vào tài khoản Aggregator

Thêm cột [ID Tài khoản AWS].

Phê duyệt tài khoản nguồn

Nếu không AWS Organizations và tài khoản nguồn là các tài khoản riêng lẻ, cần thực hiện bước này. Nếu tài khoản nguồn thuộc về AWS Organizations, không cần thực hiện bước này.

Đối với tài khoản nguồn, thực hiện phê duyệt config bằng tài khoản AWS đã thêm vào. Từ bảng điều khiển quản lý, chọn dịch vụ Config.

Trong cài đặt, từ [phương pháp truyền tin] chọn [Chọn một bucket từ một tài khoản khác] và nhập S3 đã được thiết lập trong tài khoản Aggregator.

Từ [Aggregator], nhấp vào [xác nhận].

Trong trạng thái đã chọn ID tài khoản, nhấp vào [xác nhận], nhập [Authorize] và nhấp vào [xác nhận].

Kiểm tra tài khoản Aggregator

Kiểm tra xem có thể viết vào S3 Bucket được không.

Nếu có file kiểm tra viết được tạo dưới ID tài khoản AWS đã chỉ định trong S3 Bucket của Aggregator là OK.