AWS Config五大误用陷阱
AWS Config常被误用:混淆其与CloudTrail/CloudWatch职责、忽视漂移审计深度、轻视多账户聚合复杂度、启用规则却无修复机制、错把配置审计当合规终点。本文揭示5大隐形风险,助团队避免‘用了等于没用’。
Config不替代日志与监控
Config记录‘配置是什么’,CloudTrail记录‘谁改的’,CloudWatch监控‘改后是否异常’。三者不可互替。单靠Config无法溯源操作者或发现性能问题,易致安全事件追责失败。
漂移需带上下文的审计
Config的变更快照缺乏业务上下文。若不关联Git提交、CI/CD ID或审批记录,漂移数据仅是技术日志,无法满足审计问责要求。
聚合需防权限与单点故障
Config聚合器易引发权限失控与单点存储故障。需为各账户定制最小权限角色,使用多区域S3+版本控制,并依托Control Tower统一区域策略,避免配置盲区。
规则需闭环,否则成噪音
盲目启用大量Config规则会导致告警疲劳。必须确保每条关键规则匹配可执行的修复动作,并通过Tag豁免合理例外,避免高危告警被淹没。