使用传输通道
由于 Amazon Config 会持续记录您的 Amazon 资源发生的更改,因此,它会通过传递通道 发送通知和更新后的配置状态。您可以管理传递通道,从而控制 Amazon Config 在哪里发送配置更新。
注意事项
每个账户的每个区域配有一个交付渠道
每个 Amazon Web Services 账户每个 Amazon 区域只能有一个传输通道,并且必须有传输通道才能使用。Amazon Config
超大配置项目通知包括简短摘要
当 Amazon Config 检测到资源的配置更改且通知超过 Amazon SNS 允许的最大大小时,通知会包含配置项的简短摘要。您可以在 s3BucketLocation 字段中指定的 Amazon S3 存储桶位置查看完整通知。有关更多信息,请参阅过大配置项更改通知示例。
Amazon Config 支持对 Amazon Config 使用的 Amazon S3 存储桶进行 Amazon KMS 加密
您可以提供 Amazon Key Management Service(Amazon KMS)密钥或别名 Amazon 资源名称(ARN),来加密传递到您的 Amazon Simple Storage Service(Amazon S3)存储桶的数据。默认情况下,Amazon Config 将配置历史记录和快照文件传递到您的 Amazon S3 存储桶,并使用 S3 AES-256 服务器端加密(SSE-S3)对静态数据进行加密。但是,如果您向 Amazon Config 提供 KMS 密钥或别名 ARN,则 Amazon Config 将使用该 KMS 密钥而不是 AES-256 加密。
Amazon Config 不支持向已启用对象锁定和默认保留的 Amazon S3 存储桶的传递通道。有关更多信息,请参阅 S3 对象锁定的工作原理。
术语
配置项 代表您账户中受支持的 Amazon 资源在特定时间点具备的各种属性。配置项的组成部分包括元数据、属性、关系、当前配置以及相关事件。只要检测到正在记录的资源类型发生变更,Amazon Config 就会创建配置项。例如,如果 Amazon Config 正在记录 Amazon S3 存储桶,则只要创建、更新或删除存储桶,Amazon Config 就会创建配置项。您也可以选择让 Amazon Config 以您设置的记录频率创建配置项。
配置历史记录是指定资源在某个时间段的配置项集合。配置历史记录包含多种信息,例如资源首次创建的时间、过去一个月的资源配置情况以及昨天上午 9 点发生了哪些配置更改等。配置历史记录具有多种格式供您使用。Amazon Config 可以将正在记录的各种资源类型的配置历史记录文件自动传输到您指定的 Amazon S3 存储桶。您可以在 Amazon Config 控制台中选择一项资源,并使用时间线浏览该资源以前的所有配置项。此外,您还可以从 API 访问资源的历史配置项。
配置快照是您账户中受支持资源的配置项的集合。配置快照可以完整展示被记录的资源及其配置的相关信息。配置快照是验证您的配置的有效工具。例如,您可以定期检查配置快照,以便找出配置错误的资源或可能不应存在的资源。配置快照具有多种格式。您可以将配置快照传输到您指定的 Amazon Simple Storage Service(Amazon S3)存储桶。此外,您可以在 Amazon Config 控制台中选择一个时间点,并按照资源之间的关系浏览不同配置项的快照。
配置流是一个自动更新的列表,列出了 Amazon Config 正在记录的资源的所有配置项。每当资源被创建、修改或删除时,Amazon Config 会创建一条配置项并将其添加到配置流。配置流使用您选择的 Amazon Simple Notification Service(Amazon SNS)主题工作。配置流可以帮助您随时观察配置更改,以便发现潜在的问题、在特定资源发生更改时生成通知,或更新需要反映您的 Amazon 资源配置的外部系统。