AWS Config
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用控制台设置 AWS Config

您可以使用 AWS 管理控制台来开始使用 AWS Config 执行以下操作:

  • 指定您希望 AWS Config 记录的资源类型。

  • 设置 Amazon SNS 以通知您配置更改。

  • 指定 Amazon S3 存储桶以接收配置信息。

  • 添加 AWS Config 托管规则以评估资源类型。

如果您是首次使用 AWS Config 或者为新区域配置 AWS Config,则可以选择托管规则来评估资源配置。有关支持 AWS Config 和 AWS Config 规则的区域,请参阅 Amazon Web Services 一般参考 中的 AWS Config 区域和终端节点

使用控制台设置 AWS Config

  1. 登录 AWS 管理控制台 并通过以下网址打开 AWS Config 控制台:https://console.amazonaws.cn/config/

  2. 如果这是您首次打开 AWS Config 控制台或在新区域中设置 AWS Config,AWS Config 控制台页面的外观与以下类似:

    
            AWS Config 入门页面概述了此服务。
  3. 选择 Get Started Now

  4. Settings (设置) 页面上,对于 Resource types to record (要记录的资源类型),指定您希望 AWS Config 记录的 AWS 资源类型:

    • All resources (所有资源) – AWS Config 会使用下列选项记录所有受支持的资源:

      • Record all resources supported in this region (记录此区域中支持的所有资源) – AWS Config 将记录每种受支持类型的区域性资源的配置更改。在 AWS Config 添加对新资源类型的支持后,AWS Config 将自动开始记录该类型的资源。

      • Include global resources (包括全球性资源) – AWS Config 将受支持类型的全局性资源包含在它记录的资源(例如 IAM 资源)中。在 AWS Config 添加对新的全球性资源类型的支持后,AWS Config 将自动开始记录该类型的资源。

    • Specific types (特定类型) – AWS Config 仅记录您指定的 AWS 资源类型的配置更改。

    有关这些选项的详细信息,请参阅 选择 AWS Config 所记录的资源

  5. 对于 Amazon S3 存储桶,选择 AWS Config 将配置历史记录和配置快照文件发送到的 Amazon S3 存储桶:

    • 创建新的存储桶 – 对于 存储桶名称,键入 Amazon S3 存储桶的名称。

      您键入的名称在 Amazon S3 现有的所有存储桶名称中必须具有唯一性。添加前缀(例如,您所在组织的名称)是确保唯一性的一种方法。存储桶创建完毕后,您无法更改其名称。有关更多信息,请参阅 Amazon Simple Storage Service 开发人员指南中的存储桶局限和限制

    • Choose a bucket from your account (从您的账户选择一个存储桶) – 对于 存储桶名称,选择您的首选存储桶。

    • 从另一个账户选择一个存储桶 – 对于 存储桶名称,键入存储桶名称。

      如果您从其他账户选择存储桶,则该存储桶必须拥有授予 AWS Config 访问权限的策略。有关更多信息,请参阅 针对 Amazon S3 存储桶的权限

  6. 对于 Amazon SNS Topic (Amazon SNS 主题),通过选择 Stream configuration changes and notifications to an Amazon SNS topic (将配置更改和通知流式传输到 Amazon SNS 主题) 来选择 AWS Config 是否对信息进行流式处理。AWS Config 发送配置历史记录传输、配置快照传输和合规性等通知。

  7. 如果您选择让 AWS Config 将信息流式传输到 Amazon SNS 主题,请选择目标主题:

    • 创建一个新主题 – 对于 主题名称,键入您的 SNS 主题的名称。

    • 从您的账户选择一个主题 – 对于 主题名称,选择您的首选主题。

    • 从另一个账户选择一个主题 – 对于 主题 ARN,键入主题的 Amazon 资源名称 (ARN)。如果您从其他账户选择主题,则该主题必须拥有授予 AWS Config 访问权限的策略。有关更多信息,请参阅 Amazon SNS 主题的权限

    注意

    Amazon SNS 主题所在的区域必须与您设置 AWS Config 的区域相同。

  8. 对于 AWS Config role (AWS Config 角色),选择一个 IAM 角色,以授予 AWS Config 记录配置信息并将此信息发送到 Amazon S3 和 Amazon SNS 的权限:

    • Create a role (创建角色) – AWS Config 创建具有所需权限的角色。对于 Role name (角色名称),您可以自定义 AWS Config 创建的名称。

    • Choose a role from your account (从您的账户选择一个角色) – 对于 Role name (角色名称),从您的账户中选择一个 IAM 角色。AWS Config 将附加所需的策略。有关更多信息,请参阅 分配给 AWS Config 的 IAM 角色的权限

      注意

      如果要按原样使用 IAM 角色,请选中该框。AWS Config 不会将策略附加到角色。

  9. 如果您在支持规则的区域中设置 AWS Config,请选择 Next (下一步)。请参阅 使用控制台设置 AWS Config

    否则,请选择 Save (保存)。AWS Config 会显示 Resource inventory (资源清单) 页面。

有关查找账户中现有资源及了解资源配置的信息,请参阅 查看和管理您的 AWS 资源

您也可以使用 Amazon Simple Queue Service 以编程方式来监控 AWS 资源。有关更多信息,请参阅 使用 Amazon SQS 监控 AWS 资源更改