审计 CloudWatch 遥测配置
您可以使用 Amazon CloudWatch,通过 CloudWatch 控制台的中央视图发现和了解 Amazon 资源的遥测配置状态。这简化了审计账户中多种资源类型或 Amazon Organizations 中多个账户的遥测数据收集配置过程。通过统一视图,您可以轻松查看和管理遥测设置,从而确保在整个 Amazon 环境中进行适当的监控和数据收集。
CloudWatch 遥测数据配置功能可用于审计以下 Amazon 资源类型的遥测数据:
-
提供详细指标的 Amazon EC2 实例。有关更多信息,请参阅《Amazon EC2 用户指南》中的管理 EC2 实例的详细监控。
-
提供流日志的 Amazon VPC 虚拟网络。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 流日志记录 IP 流量。
-
提供跟踪信息的 Lambda 函数。有关更多信息,请参阅《Amazon X-Ray 开发人员指南》中的使用 Amazon X-Ray 可视化 Lambda 函数调用。
要开始审计并配置遥测数据,必须先为 Amazon Web Services 账户或组织启用遥测配置功能。启用此功能后,您可创建与 Amazon Config 服务相关的配置记录器,用于发现资源及其相关的遥测配置元数据。有关更多信息,请参阅《Amazon Config 开发人员指南中的配置记录器。
注意
无论您的配置记录器范围内的资源类型如何,Amazon Config 都会定期清点或发现您账户中的所有资源,这是一种反熵行为。清点包括已删除的资源和 Amazon Config 当前未记录的资源。此行为有助于保持数据一致性。
这意味着,尽管 CloudWatch 遥测配置功能的服务相关配置记录器已配置为记录三种资源类型(Amazon EC2 实例、Amazon EC2 VPC 虚拟网络和 Lambda 函数),您仍可能在 Amazon CloudTrail 中看到来自 ConfigResourceCompositionSession 和 AWSConfig-Describe 的描述调用。有关更多信息,请参阅《Amazon Config Developer Guide》中的 Non-recorded Resources。
遥测配置功能会使用这些信息,让您从资源类型级别和更精细的遥测详细信息级别,掌握配置状态信息。您可以使用筛选条件自定义资源视图或遥测详细信息,也可以直接从资源的控制台页面修改遥测配置。
无需支付额外费用即可启用遥测配置功能。使用启用规则自动管理遥测时,Amazon Config 会根据启用规则中指定的资源类型所记录的配置项目数量收取费用。有关更多信息,请参阅Amazon Config定价