🎯一句话总览:
| 服务名 | 类比/角色 | 主要功能 |
|---|---|---|
| CloudTrail | 监控摄像头录像回放 | 记录“谁在什么时候做了什么操作” |
| CloudWatch | 护士测体温 + 护士喊医生 | 实时监控系统状态,并能报警/自动应对 |
| AWS Config | 保安巡逻 + 记录资产变更历史 | 记录 AWS 资源的“配置状态变化” & 是否合规 |
🕵️♂️ CloudTrail = 录像机(谁干了什么)
你说它像 ELK Stack,用于记录日志供后期审计用 —— 完全正确!
它记录的是 “管理操作”层面 的日志(也就是 API 调用):
- 谁登录了?
- 谁访问了哪个 S3 桶?
- 谁关了 EC2?
- 哪个 IAM 政策被改了?
🧠 类比:
CloudTrail 像一个全天开启的监控摄像头 + 日志录像机,你事后能查谁干了什么。
🛡️ 安全合规审计的必备工具。
👀 CloudWatch = 护士 + 报警器 + 仪表盘
CloudWatch 是 AWS 的统一监控平台,你说的也对:
监控“指标”(Metric):
- CPU > 90%
- 内存占用高
- 请求出错率高
设置“报警”(Alarm):
- 指定阈值触发通知(SNS、自动重启、Lambda 执行等)
还能查看“日志”(Log):
- 应用写入 CloudWatch Logs,集中查看调试输出
🧠 类比:
CloudWatch 就像医院护士站:
- 持续检测每个病人的指标(CPU、内存)
- 触发报警器(通知或自动处理)
- 日志查看记录(像病历本)
🧬 AWS Config = 资源追踪记录员 + 合规巡逻员
这是你最疑惑的一个。它和 etcd、zookeeper 完全不是一类东西。
它不是配置中心,不是程序读配置的地方。
✅ AWS Config 是干嘛的?
它记录的是:你所有 AWS 资源的“配置快照” 和“变化历史”。
比如:
- 某个 EC2 的安全组变了
- 某个 IAM Policy 被修改了
- 某个 S3 桶的公开访问被打开了
它还能:
对你的资源状态进行“合规性检测”:
- S3 桶是否加密?
- EBS 是否启用备份?
- 安全组是否开放 22 端口?
🧠 类比:
AWS Config 像一个“自动记录资产状态变更 + 安全审计规则引擎”
🚨三者的本质区别总结
| 服务名 | 监控对象 | 记录内容 | 是否实时触发 | 是否做合规判断 |
|---|---|---|---|---|
| CloudTrail | 人(API 调用) | 谁做了什么操作 | ❌ 事后查阅 | ✅(可配合 Config) |
| CloudWatch | 系统(资源指标) | CPU、内存、错误率、日志等 | ✅ 支持报警触发 | ❌ |
| AWS Config | 资产状态 | 资源配置变化 & 是否合规 | ✅ 可检测不合规 | ✅ 合规规则支持 |
✅ 场景对比记忆法:
| 场景 | 用哪个服务? |
|---|---|
| 谁昨天凌晨关了 EC2? | CloudTrail(操作审计) |
| 我的 EC2 CPU 快满了,自动重启它 | CloudWatch(资源指标 + 自动处理) |
| 我的某个 S3 桶是不是公开的,合规吗? | AWS Config(资源状态 + 合规检测) |
| 代码里想要读取某个配置值(配置中心) | ❌ 没有内建服务,需用 Parameter Store 或 Secrets Manager |
| 想看每次安全组配置变更的记录 | AWS Config(记录变化历史) |