AWS Config
开发人员指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

先决条件

按照此过程,使用附加的策略创建 Amazon S3 存储桶、Amazon SNS 主题和 IAM 角色。然后,您可以使用 AWS CLI 为 AWS Config 指定存储桶、主题和角色。

创建 Amazon S3 存储段

如果您的账户中已经存在 Amazon S3 存储桶并且您想要使用该存储桶,请跳过本步骤并转至 创建 Amazon SNS 主题

要使用 AWS CLI 创建 Amazon S3 存储桶,请使用 create-bucket 命令。

使用控制台创建 Amazon S3 存储桶

  1. 登录 AWS 管理控制台并通过以下网址打开 Amazon S3 控制台:https://console.amazonaws.cn/s3/

  2. 选择 Actions,然后选择 Delete Bucket

  3. 对于 Bucket Name:,请键入您的 Amazon S3 存储桶的名称,例如 my-config-bucket

    注意

    请确保您选择的存储桶名称在所有现有 Amazon S3 存储桶名称中是唯一名称。存储桶创建完毕后,您将无法更改其名称。有关存储桶命名规则和约定的更多信息,请参阅 Amazon Simple Storage Service 开发人员指南中的存储桶限制

  4. 选择 Create

注意

您也可以使用另一账户的 Amazon S3 存储桶,不过您可能需要为该存储桶创建策略以便向 AWS Config 授予访问权限。有关授予 Amazon S3 存储桶访问权限的信息,请参阅 针对 Amazon S3 存储桶的权限,然后转至 创建 Amazon SNS 主题

创建 Amazon SNS 主题

如果您的账户中已经存在 Amazon SNS 主题并且您想要使用该主题,请跳过本步骤并转至 创建 IAM 角色

要使用 AWS CLI 创建 Amazon SNS 主题,请使用 create-topic 命令。

使用控制台创建 Amazon SNS 主题

  1. 通过以下网址登录 AWS 管理控制台 并打开 Amazon SNS 控制台:https://console.amazonaws.cn/sns/v2/home

  2. 选择 Create New Topic

  3. 对于 Topic Name,请为键入您的 SNS 主题的名称,例如 my-config-notice

  4. 选择 Create Topic

    新建主题在“Topic Details”页面显示。为下一个任务复制“Topic ARN”。

    有关更多信息,请参阅 AWS General Reference 中的 ARN 格式

要接收 AWS Config 通知,您必须使用电子邮件地址订阅主题。

使用电子邮件地址订阅 SNS 主题

  1. 在 Amazon SNS 控制台中,选择导航窗格中的 Subscriptions

  2. Subscriptions 页面,选择 Create Subscription

  3. 对于 Topic ARN,请粘贴您在上一任务中复制的主题 ARN。

  4. 对于 Protocol,请选择 Email

  5. 对于 Endpoint,键入您用于接收通知的电子邮件地址,然后选择 Subscribe

  6. 进入您的电子邮件应用程序,然后打开来自 AWS Notifications 的消息。选择链接确认您的订阅。

    您的 Web 浏览器将显示来自 Amazon SNS 的确认响应。Amazon SNS 现已配置为以电子邮件形式接收通知并将通知发送到指定的电子邮件地址。

注意

您也可以使用另一账户的 Amazon SNS 主题,但在这种情况下,您可能需要为该主题创建策略以便授予 AWS Config 访问权限。有关授予 Amazon SNS 主题访问权限的信息,请参阅 Amazon SNS 主题的权限,然后转至 创建 IAM 角色

创建 IAM 角色

您可使用 IAM 控制台来创建 IAM 角色以便授予 AWS Config 权限,使其可以访问您的 Amazon S3 存储桶、访问您的 Amazon SNS 主题,并获取受支持的 AWS 资源的配置详细信息。创建 IAM 角色后,您需要创建策略并将其关联到该角色。

要使用 AWS CLI 创建 IAM 角色,请使用 create-role 命令。然后,您可以使用 attach-role-policy 命令将策略附加到角色。

使用控制台创建 IAM 角色

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在 IAM 控制台中,选择导航窗格中的 Roles,然后选择 Create New Role

  3. 对于 Role Name,请键入可描述此角色作用的名称。角色名称在您的 AWS 账户内必须是唯一的。由于可能有多种实体引用该角色,在您创建角色后不能编辑角色名称。

    选择 Next Step

  4. 选择 AWS Service Roles,然后为 AWS Config 选择 Select

  5. Attach Policy 页面,选择 AWSConfigRole。这一 AWS 托管策略可以授予 AWS Config 权限,使其可以获取受支持的 AWS 资源的配置详细信息,然后选择 Next Step

  6. Review 页面,查看您的角色的详细信息,然后选择 Create Role

  7. Roles 页面,选择您创建的角色以便打开其详细信息页面。

您可以创建允许 AWS Config 访问您的 Amazon S3 存储桶与 Amazon SNS 主题的内联策略,从而扩大角色权限。

创建授权 AWS Config 访问您的 Amazon S3 存储桶的内联策略

  1. Permissions 部分中,展开 Inline Policies 部分,然后选择 click here

  2. 选择 Custom Policy,然后选择 Select

  3. 对于 Policy Name,请键入您的内联策略名称。

  4. 复制 用于 Amazon S3 存储桶的 IAM 角色策略 中的示例 Amazon S3 存储桶策略,然后将其粘贴到 Policy Document 编辑器中。

    重要

    在您继续下一步之前,请替换策略中的以下值。如果不替换这些值,您的策略就不会发挥作用。

    • myBucketName – 替换为您的 Amazon S3 存储桶名称。

    • prefix – 替换为您自己的前缀,或删除后面的‘/’以留空。

    • myAccountID-WithoutHyphens – 替换为您的 AWS 帐户 ID。

  5. 选择 Apply Policy

创建授权 AWS Config 向您的 Amazon SNS 主题发送通知的内联策略

  1. Permissions 部分中,展开 Inline Policies 部分,然后选择 click here

  2. 选择 Custom Policy,然后选择 Select

  3. 对于 Policy Name,请键入您的内联策略名称。

  4. 复制 用于 Amazon SNS 主题的 IAM 角色策略 中的 Amazon SNS 主题示例策略,然后将其粘贴到 Policy Document 编辑器中。

    重要

    在您继续下一步之前,请使用您在创建 Amazon SNS 主题时保存的 ARN 替换 arn:aws:sns:region:account-id:myTopic

  5. 选择 Apply Policy