手动设置 - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

手动设置

使用 Get started 工作流程,您可以完成设置过程的所有手动选择以开始使用 Amazon Config 控制台。

注意

有关一键设置过程的更多信息,请参阅一键设置

使用 “入门” 在控制台上 Amazon Config 进行设置
  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/

    Amazon Config 入门页面概述了该服务。
  2. 选择开始

设置页面包括三个步骤。下文详细介绍了您选择入门之后的该过程。

  • 设置:选择 Amazon Config 控制台记录资源和角色的方式,并选择配置历史记录和配置快照文件的发送位置。

  • 规则:对于支持规则的区域,本小节可供您配置可以添加到账户的初始 Amazon 托管规则。

    注意

    设置完成后, Amazon Config 将根据您选择的规则评估您的 Amazon 资源。设置完成后,可以创建其他规则,您账户中的现有规则也会更新。有关规则的更多信息,请参阅管理您的 Amazon Config 规则

  • 查看:验证您的设置详细信息。

设置

记录方法

记录方法部分,选择记录策略。您可以指定 Amazon Config 要记录的 Amazon 资源。

All resource types with customizable overrides

设置 Amazon Config 为记录该区域所有当前和 future 支持的资源类型的配置更改。您可以覆盖特定资源类型的记录频率,也可以从记录中排除特定资源类型。有关更多信息,请参阅支持的资源类型

  • 默认设置

    为所有当前和未来支持的资源类型配置默认记录频率。有关更多信息,请参阅记录频率

    • 连续录制 — Amazon Config 每当发生更改时,都会持续记录配置更改。

    • 每日记录 - 您会收到代表过去 24 小时内资源的最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。

    注意

    Amazon Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

  • 覆盖设置

    覆盖特定资源类型的记录频率,或从记录中排除特定资源类型。如果您更改某一资源类型的记录频率或停止记录某一资源类型,则已记录的配置项会保持不变。

    注意

    全局记录的资源类型 | Aurora 全局集群最初包含在记录范围内

    AWS::RDS::GlobalCluster资源类型将在启用配置记录器的所有支持 Amazon Config 区域中进行记录。

    如果您不想在所有已启用的区域中记录 AWS::RDS::GlobalCluster,请选择“Amazon RDS GlobalCluster”,然后选择“从记录中排除”覆盖方法。

    注意

    全局资源类型 | IAM 资源类型最初不包含在记录范围内

    为了帮您降低成本,“所有全局记录的 IAM 资源类型”最初都不包含在记录范围内。此捆绑包包括 IAM 用户、组、角色和客户管理型策略。选择移除以删除覆盖,并将这些资源包含在您的记录范围内。

    美国东部(弗吉尼亚州北部)除外。全局 IAM 资源类型最初包含在美国东部(弗吉尼亚州北部)区域内,因为该区域是全局 IAM 资源类型的主区域。

    此外,全球 IAM 资源类型(AWS::IAM::UserAWS::IAM::GroupAWS::IAM::Role、和AWS::IAM::Policy)不能记录在 2022 年 2 月 Amazon Config 之后支持的区域中。无法记录全局 IAM 资源类型的区域列表中包含以下区域:

    • 亚太地区(海得拉巴)

    • 亚太地区(墨尔本)

    • 加拿大西部(卡尔加里)

    • 欧洲(西班牙)

    • 欧洲(苏黎世)

    • 以色列(特拉维夫)

    • 中东(阿联酋)

    注意

    限制

    您可以添加最多 100 项频率覆盖和 600 项排除覆盖。

    以下资源类型不支持每日记录:

    • AWS::Config::ResourceCompliance

    • AWS::Config::ConformancePackCompliance

    • AWS::Config::ConfigurationRecorder

Specific resource types

设置 Amazon Config 为仅记录您指定的资源类型的配置更改。

  • 特定的资源类型

    选择要记录的资源类型及其频率。有关更多信息,请参阅记录频率

    • 连续录制 — Amazon Config 每当发生更改时,都会持续记录配置更改。

    • 每日记录 - 您会收到代表过去 24 小时内资源的最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。

    注意

    Amazon Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

    如果您更改某一资源类型的记录频率或停止记录某一资源类型,则已记录的配置项会保持不变。

注意

区域可用性

在指定 Amazon Config 要跟踪的资源类型之前,请检查按区域可用性划分的资源覆盖率,以查看您设置的 Amazon 区域是否支持该资源类型 Amazon Config。如果至少有一个区域支持某种资源类型,则即使您设置的区域不支持指定的资源类型 Amazon Config,您也可以在支持的所有 Amazon 区域中启用该资源类型的记录 Amazon Config。 Amazon Config

注意

限制

如果所有资源类型的频率都相同,则没有限制。如果至少将一种资源类型设置为“持续”,则最多可以添加 100 种频率为“每日”的资源类型。

以下资源类型不支持“每日”频率:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

注意

Amazon Config 评估次数多

与随后的几个月相比,您可能会注意到,在使用 Amazon Config 记录的最初一个月中,您的账户活动有所增加。在初始引导过程中, Amazon Config 会对您账户中您选择 Amazon Config 要记录的所有资源进行评估。

如果您运行的是临时工作负载,则可能会看到 Amazon Config 中的活动增加,因为它会记录与创建和删除这些临时资源相关的配置更改。临时工作负载 是临时使用在需要时加载和运行的计算资源。示例包括 Amazon Elastic Compute Cloud (Amazon EC2) 竞价型实例、Amazon EMR 任务和 Amazon Auto Scaling。如果您想避免因运行临时工作负载而导致活动增加,则可以在单独的帐户中运行这些类型的工作负载,同时将其关 Amazon Config 闭,以避免增加配置记录和规则评估。

数据治理

  • 对于数据保留期,选择默认保留期以将 Amazon Config 数据保留 7 年 (2557),或者为记录的项目设置自定义保留期。 Amazon Config

    注意

    删除数据

    Amazon Config 允许您通过为自己的数据指定保留期来删除数据ConfigurationItems。当您指定保留期时,将在该指定期限内 Amazon Config 保留您的ConfigurationItems保留期。您可以选择最少 30 天到最长 7 年(2557 天)之间的时间段。 Amazon Config 删除早于您指定保留期的数据。

  • 对于的 IAM 角色 Amazon Config,请从您的账户中选择现有的 Amazon Config 服务相关角色或一个 IAM a 角色。

    • 服务相关角色由服务预定义 Amazon Config ,包括该服务调用其他 Amazon 服务所需的所有权限。

      注意

      服务相关角色

      如果您尚未添加服务相关角色,系统会为您添加一个。

    • 否则,请从现有的角色和权限策略中选择一个 IAM 角色。

      注意

      先前存在 Amazon Config 的角色

      如果您使用的是使用 Amazon Config Amazon Security Hub 或之类的 Amazon 服务 Amazon Control Tower,并且已经创建了 Amazon Config 角色,请确保您在设置时使用的 IAM 角色与已创建的 Amazon Config 角色 Amazon Config 保持相同的最低权限。您必须这样做才能使其他 Amazon 服务继续按预期运行。

      例如,如果 Amazon Control Tower 拥有允许 Amazon Config 读取亚马逊简单存储服务 (Amazon S3) Service 对象的 IAM 角色,请确保在设置时使用的 IAM 角色中授予的权限相同。 Amazon Config否则,它可能会干扰 Amazon Control Tower 操作方式。有关的 IAM 角色的更多信息 Amazon Config,请参阅 Ident Amazon ity and Access 管理

传送方式

  • 对于传送方式,选择 Amazon Config 将配置历史记录和配置快照文件发送到的 S3 存储桶:

    • 创建存储桶 – 对于 S3 存储桶名称,键入 S3 存储桶的名称。

      您键入的名称在 Amazon S3 中所有现有的存储桶名称中必须唯一。添加前缀(例如,您所在组织的名称)是确保唯一性的一种方法。存储桶创建完毕后,您无法更改其名称。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的存储桶限制

    • 从您的账户选择一个存储桶 – 对于 S3 存储桶名称,选择您的首选存储桶。

    • 从另一账户选择存储桶 – 对于 S3 存储桶名称,键入存储桶名称。

      注意

      如果您从其他账户中选择存储桶,则该存储桶必须具有授予访问权限的策略 Amazon Config。有关更多信息,请参阅Amazon Config 传送渠道的 Amazon S3 存储桶的权限

  • 对于 Amazon SNS 主题,选择将配置更改和通知流式传输到 Amazon SNS 主题,以便 Amazon Config 发送配置历史传送、配置快照传输和合规性等通知。

  • 如果您选择 Amazon Config 直播某个 Amazon SNS 主题,请选择目标主题:

    • 创建主题 – 对于主题名称,键入您的 SNS 主题的名称。

    • 从您的账户选择一个主题 – 对于主题名称,选择您的首选主题。

    • 从另一个账户选择一个主题 – 对于主题 ARN,键入主题的 Amazon 资源名称 (ARN)。如果您从其他账户中选择一个主题,则该主题必须具有授予访问权限的策略 Amazon Config。有关更多信息,请参阅Amazon SNS 主题的权限

      注意

      Amazon SNS 主题必须与您设置的区域位于同一区域。 Amazon Config

规则

如果您在支持规则 Amazon Config 的地区进行设置,请选择下一步。有关更多信息,请参阅添加、更新和删除 Amazon Config 规则

否则,请选择确认

审核

查看您的 Amazon Config 设置详情。您可以返回编辑每个部分中所做的更改。选择 “确认” 以完成设置 Amazon Config。

有关更多信息

有关查找账户中现有资源及了解资源配置的信息,请参阅 查看 Amazon 资源配置和历史记录

您也可以使用 Amazon 简单队列服务以编程方式监控 Amazon 资源。有关更多信息,请参阅使用 Amazon SQS 监控 Amazon 资源变化