一键设置 Amazon Config - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

一键设置 Amazon Config

Amazon Config 通过减少手动选择的数量,一键设置有助于简化 Amazon Config 主机客户的入门流程。要完成设置过程的所有手动选择,请参阅手动设置

使用 “ Amazon Config 一设置” 在主机上进行设置
  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为https://console.aws.amazon.com/config/

  2. 选择一键设置

设置页面包括三个步骤,但是通过一键设置工作流,您将被自动定向到步骤 3(查看)。下面详细列出了这些步骤。

  • 设置:选择 Amazon Config 控制台记录资源和角色的方式,并选择配置历史记录和配置快照文件的发送位置。

  • 规则:对于 Amazon Web Services 区域 该支持 Amazon Config 规则,您可以通过此步骤配置可以添加到您的账户的初始托管规则。设置完成后, Amazon Config 将根据您选择的规则评估您的 Amazon 资源。设置完成后,可以创建其他规则,您账户中的现有规则也会更新。

  • 查看:验证您的设置详细信息。

步骤 1:设置

记录策略

为您选择了记录所有具有可自定义覆盖的资源类型的选项。 Amazon Config 将记录该区域支持的所有当前和未来资源类型。有关更多信息,请参阅支持的资源类型

  • 默认设置

    默认记录频率已设置为持续。这意味着每当发生更改时,都会持续 Amazon Config 记录配置更改。

    Amazon Config 还支持将录制频率设置为 “每日” 的选项。如果您在设置之后选择该选项,将会收到代表过去 24 小时内资源最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。有关更多信息,请参阅记录频率

    注意

    Amazon Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

  • 覆盖设置 – 可选

    您可以选择在设置完成后覆盖特定资源类型的记录频率,或从记录中排除特定资源类型。要覆盖默认设置,请在 Amazon Config 控制台左侧导航栏中选择 “设置”,然后选择 “编辑”

记录资源时的注意事项

Amazon Config 评估次数多

与随后的几个月相比,您可能会注意到,在使用 Amazon Config 记录的第一个月份中,您的账户活动有所增加。在初始引导过程中, Amazon Config 会对您账户中您选择 Amazon Config 要记录的所有资源进行评估。

如果您运行的是临时工作负载,则可能会看到 Amazon Config 中的活动增加,因为它会记录与创建和删除这些临时资源相关的配置更改。临时工作负载 是临时使用在需要时加载和运行的计算资源。示例包括亚马逊弹性计算云 (AmazonEC2) 竞价型实例、亚马逊EMR任务和 Amazon Auto Scaling。如果要避免因运行临时工作负载而增加的活动,则可以设置配置记录器以将这些资源类型排除在记录之外,或者在 Amazon Config 关闭的情况下在单独的帐户中运行这些类型的工作负载,以避免增加配置记录和规则评估。

全局资源类型 | Aurora 全局集群最初包含在记录范围内

AWS::RDS::GlobalCluster资源类型将在启用配置记录器的所有支持 Amazon Config 区域中进行记录。

如果您不想在所有已启用的区域中记录 AWS::RDS::GlobalCluster,可以在设置完成后将此资源类型排除在记录范围之外。在左侧导航栏中选择设置,然后选择编辑。从编辑菜单转到记录方法部分中的覆盖设置,选择 AWS::RDS::GlobalCluster,然后选择“从记录中排除”覆盖方法。

全局资源类型 | IAM 资源类型最初不在记录范围内

“所有全球录制的IAM资源类型” 最初不包括在录制范围内,以帮助您降低成本。此捆绑包包括IAM用户、群组、角色和客户托管策略。选择移除以删除覆盖,并将这些资源包含在您的记录范围内。

此外,2022 年 2 月 Amazon Config 之后将无法在支持的区域中记录全球IAM资源类型(AWS::IAM::UserAWS::IAM::Role、、和AWS::IAM::Policy)。AWS::IAM::Group有关这些区域的列表,请参阅录制 Amazon 资源 | 全球资源

数据治理

本节为您选择了将 Amazon Config 数据保留7年(2557天)的默认数据保留期。

已为您选择 “使用现有 Amazon Config 服务相关角色” 选项并将其设置为该Amazon Config 角色。服务相关角色由服务预定义 Amazon Config ,包括该服务调用其他 Amazon 服务所需的所有权限。

传送方式

在本部分中为您选择了从您的账户中选择一个存储桶选项。此选项将默认为您账户中以 config-bucket-accountid 格式命名的存储桶。例如,config-bucket-012345678901。如果您没有以这种格式创建存储桶,则会为您创建一个这种格式的存储桶。如果希望创建自己的存储桶,请参阅《Amazon Simple Storage Service 用户指南》中的创建存储桶

有关 S3 存储桶的更多信息,请参阅《Amazon Simple Storage Service (Amazon S3) 用户指南》中的存储桶概述

步骤 2:规则

根据 Amazon 托管规则,此步骤未为您选择任何规则。但我们鼓励您在完成账户设置后创建和更新规则。

第 3 步:审核

查看您的 Amazon Config 设置详细信息。您可以返回编辑每个部分中所做的更改。选择 “确认” 以完成设置 Amazon Config。