启用 Amazon Config - Amazon Config
put-configuration-recorderput-delivery-channelstart-configuration-recorder
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用 Amazon Config

注意

设置之前Amazon Config用Amazon CLI,您需要创建一个 Amazon S3 存储桶、一个 Amazon SNS 主题和一个带有附加策略的 IAM 角色作为先决条件。然后,您可以使用 Amazon CLI 为 Amazon Config 指定存储桶、主题和角色。为设置先决条件Amazon Config请参请参请参请参请参先决条件.

打开Amazon Config用Amazon CLI,使用put-configuration-recorder,put-delivery-channel,以及start-configuration-recorder命令。

这些区域有:put-configuration-recorder命令创建一个新的配置记录器以记录您选定的资源配置。这些区域有:put-delivery-channel命令创建一个传输通道对象,将配置信息传输到 Amazon S3 存储桶和 Amazon SNS 主题。您账户中的每个区域都可以有一个配置记录器和一个传递通道。创建传送渠道后,start-configuration-recorder开始记录你选择的资源配置,你可以在你的Amazon账户。

您可以指定记录器名称和 IAM 角色的 Amazon 资源名称 (ARN),以描述Amazon与账户关联的资源。默认情况下,Amazon Config在创建配置记录器时自动分配名称 “默认”。您不能更改分配的名称。

设置Amazon Config用于多账户多区域数据聚合Amazon CLI请参请参请参请参请参使用设置聚合器AmazonCommand Line Interface. 需要为每个区域中的每个区域创建一个单独的配置记录器Amazon你想要记录配置项目的账户。

put-configuration-recorder

你的put-configuration-recorder命令应类似于以下示例:

$ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role --recording-group allSupported=true,includeGlobalResourceTypes=true

此命令使用 --recording-group 参数的以下选项:

  • allSupported=true–Amazon Config记录每种受支持类型的配置更改区域资源. Amazon Config 添加对新区域资源类型的支持后,它将自动开始记录该类型的资源。

  • includeGlobalResourceTypes=true–Amazon Config包含其记录的资源的受支持类型的全球性资源。Amazon Config 添加对新全球性资源类型的支持后,它将自动开始记录该类型的资源。

    在将此选项设置为 true 之前,您必须将 allSupported 选项设置为 true

    如果您不希望包括全局性资源,请将此选项设置为 false,或者忽略此选项。

    注意

    预先存在的Amazon Config角色

    如果您Amazon使用的服务Amazon Config,例如Amazon Security Hub要么Amazon Control Tower,还有Amazon Config角色已创建,请确保您在设置时使用的 IAM 角色Amazon Config保持与已创建的最低权限相同的最低权限Amazon Config角色 你必须这样做,这样另一个Amazon服务继续按预期运行。

    例如,Amazon Control Tower有允许的 IAM 角色Amazon Config要读取亚马逊Simple Storage Service (Amazon S3) 对象,请确保您在设置时使用的 IAM 角色中授予的权限相同Amazon Config. 否则,它可能会干扰方式Amazon Control Tower操作。有关 IAM 角色的更多信息Amazon Config请参请参请参请参请参AmazonIdentity and Access Management.

put-delivery-channel

要设置传送渠道,请使用put-delivery-channel命令:

$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

deliveryChannel.json 文件指定了传递通道的属性:

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

此示例设置了以下属性:

  • name— 传送渠道的名称。默认情况下,Amazon Config 会向新的传递通道分配名称 default

    您无法使用 put-delivery-channel 命令更新传递通道的名称。有关更改名称的步骤,请参阅 重命名传递通道

  • s3BucketName— 要存储的 Amazon S3 存储桶的名称Amazon Config提供配置快照和配置历史文件。

    如果您指定的存储桶属于其他 Amazon 账户,则该存储桶必须拥有向 Amazon Config 授予访问权限的策略。有关更多信息,请参阅 Amazon S3 存储桶的权限

  • snsTopicARN— Amazon SNS 主题的 Amazon 资源名称 (ARN)Amazon Config发送有关配置更改的通知。

    如果您从其他账户选择主题,则该主题必须拥有授予 Amazon Config 访问权限的策略。有关更多信息,请参阅 Amazon SNS 主题的权限

  • configSnapshotDeliveryProperties— 包含deliveryFrequency属性,它设置频率Amazon Config提供配置快照。

start-configuration-recorder

要完成开启Amazon Config,使用start-configuration-recorder命令:

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName