AWS Config
开发人员指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

选择 AWS Config 所记录的资源

AWS Config 将持续检测任何受支持类型的资源的创建、更改或删除时间。AWS Config 会将这些事件记录为配置项。 您可以自定义 AWS Config,以使其记录所有受支持类型的资源更改,或仅记录与您相关的资源类型的更改。要了解 AWS Config 可记录的资源类型,请参阅 支持的 AWS 资源类型

记录所有受支持的资源类型

默认情况下,AWS Config 会记录在 AWS Config 运行区域中发现的所有受支持类型的区域性资源的配置更改。区域性资源与某个区域相关联,且仅可在该区域中使用。区域性资源的示例为 EC2 实例和 EBS 卷。

您还可以让 AWS Config 记录受支持类型的全局性资源。全局性资源不与特定区域相关联,并且可在所有区域使用。AWS Config 支持的全局性资源类型包括 IAM 用户、组、角色和客户托管策略。

重要

一个特定全局性资源的配置详细信息在所有区域中都是相同的。如果您在多个区域自定义 AWS Config 以使其记录全局性资源,则每当全局性资源更改时,AWS Config 都会创建多个配置项:每个区域一个配置项。这些配置项将包含相同的数据。为避免配置项重复,您应考虑仅在一个区域自定义 AWS Config 以记录全局性资源,除非您希望配置项可在多个区域使用。

记录特定的资源类型

如果您不希望 AWS Config 记录所有支持资源的更改,则可以对其进行自定义,以使其仅记录特定类型的资源更改。AWS Config 记录您指定的资源类型的配置更改,包括这类资源的创建和删除。

如果未记录某个资源,AWS Config 将仅记录该资源的创建和删除,而不会提供其他详细信息,且您无需支付任何费用。当某个未记录资源被创建或删除时,AWS Config 将发送通知,并在资源详细信息页面显示该事件。在未记录资源的详细信息页面上,大多数配置详细信息的值为 null,且不会显示关于关系和配置更改的信息。

由于未记录资源的数据缺失,因此 AWS Config 为已记录资源提供的关系信息不受限制。如果某个已记录资源与未记录资源相关联,则已记录资源的详细信息页面会提供相应的关系信息。

您可以随时使 AWS Config 停止记录某个类型的资源。在 AWS Config 停止记录某个资源后,它会保留之前捕获的配置信息,并且您可继续访问此类信息。

AWS Config 规则可用于仅评估那些 AWS Config 记录的资源的合规性。

选择资源 (控制台)

您可以使用 AWS Config 控制台选择 AWS Config 记录的资源类型。

选择资源

  1. 登录 AWS 管理控制台 并通过以下网址打开 AWS Config 控制台:https://console.amazonaws.cn/config/

  2. 打开 Settings 页面:

    • 如果您在支持 AWS Config 规则的区域中使用 AWS Config,请在导航窗格中选择 Settings。有关支持区域的列表,请参阅 Amazon Web Services 一般参考 中的 AWS Config 区域和终端节点

    • 否则,请在 资源清单 页面选择设置图标 ( 
            settings icon
          )。

  3. Resource types to record 部分,请指定您希望 AWS Config 记录的 AWS 资源类型:

    • All resources – AWS Config 会使用下列选项记录所有受支持的资源:

      • Record all resources supported in this region – AWS Config 将记录区域性资源的每种受支持类型的配置更改。AWS Config 添加对新区域资源类型的支持后,它将自动开始记录该类型的资源。

      • Include global resources – AWS Config 将受支持类型的全局性资源包括在它所记录的资源 (例如 IAM 资源) 中。AWS Config 添加对新全球性资源类型的支持后,它将自动开始记录该类型的资源。

    • Specific types – AWS Config 仅记录您指定的 AWS 资源类型的配置更改。

  4. 保存您的更改:

    • 如果您在支持 AWS Config 规则的区域中使用 AWS Config,请选择 Save

    • 否则,请选择 Continue。在 AWS Config 请求获得读取您的资源配置的许可 页面,请选择 允许

选择资源 (AWS CLI)

您可以使用 AWS CLI 选择您希望 AWS Config 记录的资源类型。为此,您可以创建一个配置记录器,以记录您在记录组中指定的资源类型。在记录组中,您可以指定要记录所有受支持类型的资源,还是特定类型的资源。

选择所有受支持的资源

  1. 使用以下 put-configuration-recorder 命令:

    Copy
    $ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role --recording-group allSupported=true,includeGlobalResourceTypes=true

    此命令使用 --recording-group 参数的以下选项:

    • allSupported=true – AWS Config 将记录每种受支持类型的区域性资源的配置更改。AWS Config 添加对新区域资源类型的支持后,它将自动开始记录该类型的资源。

    • includeGlobalResourceTypes=true – AWS Config 将受支持类型的全局性资源包括在它所记录的资源中。AWS Config 添加对新全球性资源类型的支持后,它将自动开始记录该类型的资源。

      在将此选项设置为 true 之前,您必须将 allSupported 选项设置为 true

      如果您不希望包括全局性资源,请将此选项设置为 false,或者忽略此选项。

  2. (可选) 要验证您的配置记录器是否拥有您所需的设置,请使用以下 describe-configuration-recorders 命令:

    Copy
    $ aws configservice describe-configuration-recorders

    以下为响应示例:

    Copy
    { "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": true, "resourceTypes": [], "includeGlobalResourceTypes": true }, "roleARN": "arn:aws:iam::123456789012:role/config-role", "name": "default" } ] }

选择特定类型的资源

  1. 使用 aws configservice put-configuration-recorder 命令,并通过 --recording-group 选项传递一个或多个资源类型,如以下示例所示:

    Copy
    $ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole --recording-group file://recordingGroup.json

    recordingGroup.json 文件指定了 AWS Config 将记录的资源类型:

    Copy
    { "allSupported": false, "includeGlobalResourceTypes": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ] }

    您必须将 allSupportedincludeGlobalResourceTypes 选项设置为 false 或者忽略它们,才可以为 resourceTypes 键指定资源类型。

  2. (可选) 要验证您的配置记录器是否拥有您所需的设置,请使用以下 describe-configuration-recorders 命令:

    Copy
    $ aws configservice describe-configuration-recorders

    以下为响应示例:

    Copy
    { "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ], "includeGlobalResourceTypes": false }, "roleARN": "arn:aws:iam::123456789012:role/config-role", "name": "default" } ] }