AWS Config
开发人员指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

使用控制台设置 AWS Config

您可以通过 AWS 管理控制台来开始使用 AWS Config 执行以下操作:

  • 指定您希望 AWS Config 记录的资源类型。

  • 设置 Amazon SNS 以通知您配置更改。

  • 指定 Amazon S3 存储桶以接收配置信息。

  • 添加 AWS Config 托管规则以评估资源类型。

如果您是首次使用 AWS Config 或者为新区域配置 AWS Config,您可以选择托管规则来评估资源配置。有关支持 AWS Config 和 AWS Config 规则的区域,请参阅 Amazon Web Services 一般参考 中的 AWS Config 区域和终端节点

使用控制台设置 AWS Config

  1. 登录 AWS 管理控制台 并通过以下网址打开 AWS Config 控制台:https://console.amazonaws.cn/config/

  2. 如果这是您首次打开 AWS Config 控制台或者您在新区域中设置 AWS Config,AWS Config 控制台页面与以下类似:

     AWS Config 入门页面会简要介绍该服务。
  3. 选择 Get Started Now

  4. Settings 页面上,对于 Resource types to record,请指定您希望 AWS Config 记录的 AWS 资源类型:

    • All resources – AWS Config 会使用下列选项记录所有受支持的资源:

      • Record all resources supported in this region – AWS Config 将记录区域性资源的每种受支持类型的配置更改。在 AWS Config 添加对新资源类型的支持后,AWS Config 将自动开始记录该类型的资源。

      • Include global resources – AWS Config 将受支持类型的全局性资源包括在它所记录的资源(例如 IAM 资源)中。在 AWS Config 添加对新全球性资源类型的支持后,AWS Config 将自动开始记录该类型的资源。

    • Specific types – AWS Config 仅记录您指定的 AWS 资源类型的配置更改。

    有关这些选项的详细信息,请参阅 选择 AWS Config 所记录的资源

  5. 对于 Amazon S3 存储桶,选择 AWS Config 将配置历史记录和配置快照文件发送到的 Amazon S3 存储桶:

    • 创建新的存储桶 – 对于 存储桶名称,请键入您的 Amazon S3 存储桶的名称。

      您键入的名称在 Amazon S3 现有的所有存储桶名称中必须具有唯一性。添加前缀(例如,您所在组织的名称)是确保唯一性的一种方法。存储桶创建完毕后,您无法更改其名称。有关更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的存储桶局限和限制

    • Choose a bucket from your account – 对于 存储桶名称,请选择您的首选存储桶。

    • 从另一个账户选择一个存储桶 – 对于存储桶名称,请键入存储桶名称。

      如果您从其他账户选择存储桶,则该存储桶必须拥有授予 AWS Config 访问权限的策略。有关更多信息,请参阅 针对 Amazon S3 存储桶的权限

  6. 对于 Amazon SNS Topic,通过选择 Stream configuration changes and notifications to an Amazon SNS topic 来选择 AWS Config 是否对信息进行流式处理。AWS Config 发送配置历史记录传输、配置快照传输和合规性等通知。

  7. 如果您选择让 AWS Config 将信息流式传输到 Amazon SNS 主题,请选择目标主题:

    • 创建一个新主题 – 对于 主题名称,请键入您的 SNS 主题的名称。

    • 从您的账户选择一个主题 – 对于 主题名称,请选择您的首选主题。

    • 从另一个账户选择一个主题 – 对于 主题 ARN,请键入主题的 Amazon 资源名称 (ARN)。如果您从其他账户选择主题,则该主题必须拥有授予 AWS Config 访问权限的策略。有关更多信息,请参阅 Amazon SNS 主题的权限

    注意

    Amazon SNS 主题所在的区域必须与您设置 AWS Config 的区域相同。

  8. 对于 AWS Config role,选择一个 IAM 角色,以授予 AWS Config 记录配置信息并将此信息发送到 Amazon S3 和 Amazon SNS 的权限:

    • Create a role – AWS Config 创建具备所需权限的角色。对于 Role name,您可以自定义 AWS Config 创建的角色的名称。

    • Choose a role from your account – 对于 Role name,从您的账户中选择一个 IAM 角色。AWS Config 将附加所需的策略。有关更多信息,请参阅 分配给 AWS Config 的 IAM 角色权限

      注意

      如果您希望按原样使用 IAM 角色,请选中该框。AWS Config 不会将策略附加到角色。

  9. 如果您在支持规则的区域中设置 AWS Config,请选择 Next。请参阅使用控制台设置 AWS Config

    否则,请选择 Save。AWS Config 将显示 Resource inventory 页面。

有关查找账户中现有资源及了解资源配置的信息,请参阅 View, and Manage Your AWS Resources

如果您选择让 AWS Config 将信息流式传输到 Amazon SNS 主题,则可以通过电子邮件接收通知。有关更多信息,请参阅 通过电子邮件监控 AWS Config 资源变更。您也可以使用 Amazon Simple Queue Service 以编程方式来监控 AWS 资源。有关更多信息,请参阅 Monitoring AWS Resource Changes