手动设置 - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

手动设置

使用开始使用工作流程,你可以手动完成设置过程中的所有选择以开始使用Amazon Config控制台。

注意

有关的更多信息一键进程,请参阅一键.

设置Amazon Config通过控制台使用开始使用

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Config 控制台:https://console.aws.amazon.com/config/

    注意

    如果这是您第一次打开Amazon Config控制台,或者你正在设置Amazon Config在新的状态Amazon区域,Amazon Config控制台页面类似于下图所示。

    
                    这些区域有:Amazon Config入门页面提供了该服务的概述。
  2. 选择开始使用

设置页面包括三个步骤。以下是您选择后该过程的细分开始使用.

  • 设置:要选择采用哪种方式Amazon Config控制台记录资源和角色,并选择配置历史记录和配置快照文件的发送位置。

  • 规则:对于支持规则的区域,您可以使用此小节配置初始Amazon可添加到账户的托管规则。

    注意

    设置完成后,Amazon Config会评估你的Amazon资源违反您选择的规则。可以创建其他规则,也可以更新现有规则,并在设置后将其存入您的账户。有关规则的更多信息,请参阅管理您的Amazon ConfigRule.

  • 审查:验证您的设置详细信息。

设置

常规设置

  1. Settings (设置) 页面上,对于 Resource types to record (要记录的资源类型),指定您希望 Amazon Config 记录的所有资源类型。这些资源类型是 Amazon 资源或第三方资源或自定义资源。有关以下选项的更多信息,请参阅选择 Amazon Config 所记录的资源.

    • 记录该地区支持的所有资源

      • Amazon Config记录支持的配置更改Amazon资源类型以及在中注册的第三方资源类型Amazon CloudFormation注册表Amazon Config自动开始录制新支持的Amazon资源类型。Amazon Config还会自动开始记录通过管理的第三方资源和自定义资源类型Amazon CloudFormation. 有关更多信息,请参阅支持的资源类型.

      • 选择包括全球资源记录支持的全球资源类型(例如 IAM 资源)。Amazon Config自动开始录制新支持的全局资源类型。

        重要

        已载入的全球资源类型Amazon Config2022 年 2 月之后的录制将仅在该服务的所在区域录制,用于商业分区Amazon GovCloud (美国西部) GovCloud 分区。您只能在它们的主区域查看这些新的全局资源类型的配置项目Amazon GovCloud (美国西部)。

        在 2022 年 2 月之前上线的支持的全球资源类型,例如AWS::IAM::Group,AWS::IAM::Policy,AWS::IAM::Role,AWS::IAM::User保持不变,他们将继续在所有支持的区域提供配置项目Amazon Config. 此变更将仅影响2022年2月之后加入的新全球资源类型。

    • 记录特定的资源类型

      • Amazon Config仅记录您指定的资源类型的配置更改。

  2. 对于Amazon Config角色,请选择现有的Amazon Config服务相关角色或从您的账户中选择角色。

    • 服务相关角色由以下公司预先定义Amazon Config并包含该服务调用其他Amazon服务。

    注意

    服务相关角色

    如果您尚未添加服务相关角色,则将为您添加一个。

    预先存在Amazon Config角色

    如果您Amazon使用的服务Amazon Config,例如Amazon Security Hub要么Amazon Control Tower,还有Amazon Config角色已创建,请确保您在设置时使用的 IAM 角色Amazon Config保持与已创建的最低权限相同的最低权限Amazon Config角色 你必须这样做,这样另一个Amazon服务继续按预期运行。

    例如,Amazon Control Tower有允许的 IAM 角色Amazon Config要读取亚马逊Simple Storage Service (Amazon S3) 对象,请确保您在设置时使用的 IAM 角色中授予的权限相同Amazon Config. 否则,它可能会干扰方式Amazon Control Tower操作。有关 IAM 角色的更多信息Amazon Config请参请参请参请参请参AmazonIdentity and Access Management.

传送方式

  1. 对于传送方式,选择要使用的 S3 存储桶Amazon Config发送配置历史记录和配置快照文件:

    • 创建存储桶— 对于S3 存储桶名称,键入 S3 存储桶的名称。

      所键入的名称在 Amazon S3 内所有现有存储桶名称中必须具有唯一性。添加前缀(例如,您所在组织的名称)是确保唯一性的一种方法。存储桶创建完毕后,您无法更改其名称。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的存储桶限制

    • 从您的账户中选择一个存储桶— 对于S3 存储桶名称,选择您的首选存储桶。

    • 从另一个账户选择存储桶— 对于S3 存储桶名称,键入存储桶名称。

      注意

      如果您从其他账户选择存储桶,则该存储桶必须拥有授予 Amazon Config 访问权限的策略。有关更多信息,请参阅 Amazon S3 存储桶的权限

  2. 对于Amazon SNS 主题,选择将配置变更流式传输到 Amazon SNS 主题eAmazon Config发送通知,例如配置历史传输、配置快照传送和合规性。

  3. 如果你选择拥有Amazon Config流传到 Amazon SNS 主题,选择目标主题:

    • 创建主题— 对于主题名称,键入 SNS 主题的名称。

    • 从您的账户中选择一个主题— 对于主题名称,请选择您的首选主题。

    • 从另一个账户选择主题— 对于主题 ARN,键入主题的 Amazon 资源名称 (ARN)。如果您从其他账户选择主题,则该主题必须拥有授予 Amazon Config 访问权限的策略。有关更多信息,请参阅 Amazon SNS 主题的权限

      注意

      Amazon SNS 主题必须与您设置的区域位于同一区域Amazon Config.

规则

如果您在支持规则的区域中设置 Amazon Config,请选择 Next (下一步)。有关更多信息,请参阅 管理您的 Amazon Config 规则

否则,请选择确认确认确认.

审核

检查您的Amazon Config设置详细信息。您可以返回编辑每个部分的更改。选择确认确认确认完成设置Amazon Config.

有关更多信息

有关查找账户中现有资源及了解资源配置的信息,请参阅 查看 Amazon 资源配置和历史记录

您还可以使用 Amazon 简单队列服务进行监控Amazon以编程方式的资源。有关更多信息,请参阅 监控AmazonAmazon SQS 的资源变更