本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理传递通道
由于 Amazon Config 持续记录您的 Amazon 资源发生的变化,它会通过交付渠道发送通知和更新的配置状态。您可以管理交付渠道以控制配置更新的 Amazon Config 发送位置。
每个 Amazon 账户在每个地区只能有一个配送渠道,并且需要使用配送渠道 Amazon Config。
当 Amazon Config 检测到资源的配置更改并且通知超过 Amazon SNS 允许的最大大小时,通知中会包含配置项目的简短摘要。您可以在 s3BucketLocation 字段中指定的 Amazon S3 存储桶位置查看完整通知。有关更多信息,请参阅过大配置项更改通知示例。
注意
Amazon Config 支持对使用的 Amazon S3 存储桶进行 Amazon KMS 加密 Amazon Config
您可以提供 Amazon Key Management Service (Amazon KMS) 密钥或别名亚马逊资源名称 (ARN) 来加密传输到您的亚马逊简单存储服务 (Amazon S3) 存储桶的数据。默认情况下,将配置历史记录和快照文件 Amazon Config 传送到您的 Amazon S3 存储桶,并使用 S3 AES-256 服务器端加密 SSE-S3 对静态数据进行加密。但是,如果您提供 Amazon Config 了 KMS 密钥或别名 ARN,则 Amazon Config 使用该 KMS 密钥而不是 AES-256 加密。
Amazon Config 不支持向 Amazon S3 存储桶的传送渠道,其中启用了对象锁定并启用了默认保留。有关更多信息,请参阅 S3 对象锁定的工作原理。
更新传递通道
更新传递通道时,您可以设置以下选项:
-
向其 Amazon Config 发送配置快照和配置历史记录文件的 Amazon S3 存储桶。
-
将配置快照 Amazon Config 发送到您的 Amazon S3 存储桶的频率。
-
向其 Amazon Config 发送有关配置更改的通知的 Amazon SNS 主题。
您可以使用 Amazon Config 控制台为您的交付渠道设置 Amazon S3 存储桶和 Amazon SNS 主题。有关管理这些设置的步骤,请参阅 使用控制 Amazon Config 台进行设置。
控制台不提供用于重命名传递通道、设置配置快照频率或删除传递通道的选项。要执行这些任务,必须使用 Amazon CLI、 Amazon Config API 或其中一个 Amazon 软件开发工具包。
使用更新配送渠道 Amazon CLI
-
使用
put-delivery-channel命令:$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.jsondeliveryChannel.json 文件指定了传递通道的属性:
{ "name": "default", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }此示例设置了以下属性:
-
name– 传输通道的名称。默认情况下,将名称 Amazon Config 分配default给新的交付渠道。您无法使用
put-delivery-channel命令更新传递通道的名称。有关更改名称的步骤,请参阅 重命名传递通道。 -
s3BucketName— 向其 Amazon Config 传送配置快照和配置历史记录文件的 Amazon S3 存储桶的名称。如果您指定的存储桶属于另一个 Amazon 账户,则该存储桶必须具有授予访问权限的策略 Amazon Config。有关更多信息,请参阅Amazon Config 传送渠道的 Amazon S3 存储桶的权限。
-
snsTopicARN— Amazon SNS 主题的亚马逊资源名称 (ARN),用于向 Amazon Config 其发送有关配置更改的通知。如果您从其他账户中选择一个主题,则该主题必须具有授予访问权限的策略 Amazon Config。有关更多信息,请参阅Amazon SNS 主题的权限。
-
configSnapshotDeliveryProperties– 包含deliveryFrequency属性,此属性可设置 Amazon Config 传输配置快照的频率。
-
-
(可选) 您可以使用
describe-delivery-channels命令验证传递通道设置是否已更新:$ aws configservice describe-delivery-channels { "DeliveryChannels": [ { "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" }, "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "name": "default", "s3BucketName": "config-bucket-123456789012" } ] }
重命名传递通道
要更改传递通道的名称,您必须删除该传递通道,然后使用所需名称创建一个新传递通道。在删除传递通道之前,您必须暂时停止配置记录器。
Amazon Config 控制台不提供删除传送渠道的选项,因此您必须使用 Amazon CLI、 Amazon Config API 或其中一个 Amazon SDK。
使用重命名配送渠道 Amazon CLI
-
使用
stop-configuration-recorder命令停止配置记录器:$ aws configservice stop-configuration-recorder --configuration-recorder-nameconfigRecorderName -
使用
describe-delivery-channels命令,并记下您的传递通道属性:$ aws configservice describe-delivery-channels { "DeliveryChannels": [ { "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" }, "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "name": "default", "s3BucketName": "config-bucket-123456789012" } ] } -
使用
delete-delivery-channel命令删除传递通道:$ aws configservice delete-delivery-channel --delivery-channel-namedefault -
使用
put-delivery-channel命令以所需名称创建传递通道:$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.jsondeliveryChannel.json 文件指定了传递通道的属性:
{ "name": "myCustomDeliveryChannelName", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } } -
使用
start-configuration-recorder命令恢复记录:$ aws configservice start-configuration-recorder --configuration-recorder-nameconfigRecorderName