在 Amazon Config 中记录资源类型 - Amazon CloudFormation
防止在配置项目中记录敏感属性
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在 Amazon Config 中记录资源类型

您可以指定 Amazon Config 自动跟踪您的私有资源类型,并将对这些资源的更改作为配置项记录。这使您能够查看这些私有资源类型的配置历史记录,此外还可以编写 Amazon Config 规则 规则以验证配置最佳实践。挂钩扩展需要 Amazon Config。

要让 Amazon Config 自动跟踪您的私有资源类型,请执行以下操作:

  • 通过 CloudFormation 管理资源。这包括通过 CloudFormation 执行所有资源创建、更新和删除操作。

    注意

    如果您使用 IAM 角色执行堆栈操作,则该 IAM 角色必须有权调用以下 Amazon Config 操作:

  • 配置 Amazon Config 以记录所有资源类型。有关更多信息,请参阅《Amazon Config Developer Guide》中的 Recording Configurations for Third-Party Resources using the Amazon CLI

    注意

    如果私有资源包含同时定义为必需只写的属性,Amazon Config 不支持记录这些私有资源。

    根据设计,定义为只写的资源属性不会在用于创建 Amazon Config 配置项的架构中返回。因此,包含定义为只写和必需的属性将导致配置项创建失败,因为必需的属性不存在。要查看用于创建配置项的架构,您可以查看 DescribeType 操作的 schema 属性。

有关配置项的更多信息,请参阅《Amazon Config 开发人员指南》中的配置项

防止在配置项目中记录敏感属性

您的资源类型可能包含您视为敏感信息(如密码、密钥或其他敏感数据)的属性,您不希望在配置项目中记录这些属性。要防止在配置项目中记录属性,您可以将该属性包括在资源类型架构的 writeOnlyproperties 列表中。作为 writeOnlyproperties 列出的资源属性可由用户指定,但不会由 readlist 请求返回。

有关更多信息,请参阅《CloudFormation CLI User Guide》中的 writeOnlyProperties