一键设置 - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

一键设置

Amazon Config 通过减少手动选择的数量,一键设置有助于简化 Amazon Config 主机客户的入门流程。

注意

有关入门流程的更多信息,请参阅手动设置

使用 “ Amazon Config 一设置” 在主机上进行设置
  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/

    Amazon Config 控制台页面上的图像概述了该 Amazon Config 服务,强调了该服务在记录和评估 Amazon 资源配置变更中的作用。
  2. 选择一键设置

设置页面包括三个步骤,但是通过一键设置工作流,您将被自动定向到步骤 3(查看)。下面详细列出了这些步骤。

  • 设置:选择 Amazon Config 控制台记录资源和角色的方式,并选择配置历史记录和配置快照文件的发送位置。

  • 规则:对于支持规则的区域,本小节可供您配置可以添加到账户的初始 Amazon 托管规则。

    注意

    设置完成后, Amazon Config 将根据您选择的规则评估您的 Amazon 资源。设置完成后,可以创建其他规则,您账户中的现有规则也会更新。有关规则的更多信息,请参阅管理您的 Amazon Config 规则

  • 查看:验证您的设置详细信息。

设置

记录策略

系统已为您选中了使用可自定义的覆盖记录所有资源类型选项。如果您选择此选项, Amazon Config 将记录该区域中所有当前和将来支持的资源类型。有关更多信息,请参阅支持的资源类型

注意

全局资源类型 | Aurora 全局集群最初包含在记录范围内

AWS::RDS::GlobalCluster资源类型将在启用配置记录器的所有支持 Amazon Config 区域中进行记录。

如果您不想在所有已启用的区域中记录 AWS::RDS::GlobalCluster,可以在设置完成后将此资源类型排除在记录范围之外。在左侧导航栏中选择设置,然后选择编辑。从编辑菜单转到记录方法部分中的覆盖设置,选择 AWS::RDS::GlobalCluster,然后选择“从记录中排除”覆盖方法。

注意

全局资源类型 | IAM 资源类型最初不包含在记录范围内

为了帮您降低成本,“所有全局记录的 IAM 资源类型”最初都不包含在记录范围内。此捆绑包包括 IAM 用户、组、角色和客户管理型策略。选择移除以删除覆盖,并将这些资源包含在您的记录范围内。

美国东部(弗吉尼亚州北部)除外。全局 IAM 资源类型最初包含在美国东部(弗吉尼亚州北部)区域内,因为该区域是全局 IAM 资源类型的主区域。

此外,全球 IAM 资源类型(AWS::IAM::UserAWS::IAM::GroupAWS::IAM::Role、和AWS::IAM::Policy)不能记录在 2022 年 2 月 Amazon Config 之后支持的区域中。无法记录全局 IAM 资源类型的区域列表中包含以下区域:

  • 亚太地区(海得拉巴)

  • 亚太地区(墨尔本)

  • 加拿大西部(卡尔加里)

  • 欧洲(西班牙)

  • 欧洲(苏黎世)

  • 以色列(特拉维夫)

  • 中东(阿联酋)

  • 默认设置

    默认记录频率已设置为持续。这意味着每当发生更改时,都会持续 Amazon Config 记录配置更改。

    Amazon Config 还支持将录制频率设置为 “每日” 的选项。如果您在设置之后选择该选项,将会收到代表过去 24 小时内资源最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。有关更多信息,请参阅记录频率

    注意

    Amazon Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

  • 覆盖设置 – 可选

    您可以选择在设置完成后覆盖特定资源类型的记录频率,或从记录中排除特定资源类型。要覆盖默认设置,请在 Amazon Config 控制台左侧导航栏中选择 “设置”,然后选择 “编辑”

注意

Amazon Config 评估次数多

与随后的几个月相比,您可能会注意到,在使用 Amazon Config 记录的最初一个月中,您的账户活动有所增加。在初始引导过程中, Amazon Config 会对您账户中您选择 Amazon Config 要记录的所有资源进行评估。

如果您运行的是临时工作负载,则可能会看到 Amazon Config 中的活动增加,因为它会记录与创建和删除这些临时资源相关的配置更改。临时工作负载 是临时使用在需要时加载和运行的计算资源。示例包括 Amazon Elastic Compute Cloud (Amazon EC2) 竞价型实例、Amazon EMR 任务和 Amazon Auto Scaling。如果您想避免因运行临时工作负载而导致活动增加,则可以在单独的帐户中运行这些类型的工作负载,同时将其关 Amazon Config 闭,以避免增加配置记录和规则评估。

数据治理

本节为您选择了将 Amazon Config 数据保留7年(2557天)的默认数据保留期。

已为您选择 “使用现有 Amazon Config 服务相关角色” 选项并将其设置为该Amazon Config 角色。服务相关角色由服务预定义 Amazon Config ,包括该服务调用其他 Amazon 服务所需的所有权限。

传送方式

在本部分中为您选择了从您的账户中选择一个存储桶选项。此选项将默认为您账户中以 config-bucket-accountid 格式命名的存储桶(例如,config-bucket-012345678901)。如果您没有以这种格式创建存储桶,则会为您创建一个这种格式的存储桶。如果希望创建自己的存储桶,请参阅《Amazon Simple Storage Service 用户指南》中的创建存储桶

有关 S3 存储桶的更多信息,请参阅《Amazon Simple Storage Service (Amazon S3) 用户指南》中的存储桶概述

规则

根据 Amazon 托管规则,此步骤未为您选择任何规则。但我们鼓励您在完成账户设置后创建和更新规则。

审核

查看您的 Amazon Config 设置详细信息。您可以返回编辑每个部分中所做的更改。选择 “确认” 以完成设置 Amazon Config。