本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
的手动设置 Amazon Config
使用 Get started 工作流程,您可以完成设置过程的所有手动选择以开始使用 Amazon Config 控制台。有关简化的入门流程,请参阅一键设置。
使用 “入门” 在控制台上 Amazon Config 进行设置
登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为https://console.aws.amazon.com/config/
。 -
选择开始。
设置页面包括三个步骤。下文详细介绍了您选择入门之后的该过程。
-
设置:选择 Amazon Config 控制台记录资源和角色的方式,并选择配置历史记录和配置快照文件的发送位置。
-
规则:对于 Amazon Web Services 区域 该支持 Amazon Config 规则,您可以通过此步骤配置可以添加到您的账户的初始托管规则。设置完成后, Amazon Config 将根据您选择的规则评估您的 Amazon 资源。设置完成后,可以创建其他规则,您账户中的现有规则也会更新。
-
查看:验证您的设置详细信息。
步骤 1:设置
记录策略
在记录方法部分,选择记录策略。您可以指定 Amazon Config 要记录的 Amazon 资源。
记录资源时的注意事项
Amazon Config 评估次数多
与随后的几个月相比,您可能会注意到,在使用 Amazon Config 记录的第一个月份中,您的账户活动有所增加。在初始引导过程中, Amazon Config 会对您账户中您选择 Amazon Config 要记录的所有资源进行评估。
如果您运行的是临时工作负载,则可能会看到 Amazon Config 中的活动增加,因为它会记录与创建和删除这些临时资源相关的配置更改。临时工作负载 是临时使用在需要时加载和运行的计算资源。示例包括亚马逊弹性计算云 (AmazonEC2) 竞价型实例、亚马逊EMR任务和 Amazon Auto Scaling。如果要避免因运行临时工作负载而增加的活动,则可以设置配置记录器以将这些资源类型排除在记录之外,或者在 Amazon Config 关闭的情况下在单独的帐户中运行这些类型的工作负载,以避免增加配置记录和规则评估。
数据治理
对于数据保留期,选择默认保留期以将 Amazon Config 数据保留 7 年 (2557),或者为记录的项目设置自定义保留期。 Amazon Config
Amazon Config 允许您通过为自己的数据指定保留期来删除数据
ConfigurationItems
。当您指定保留期时,将在该指定期限内 Amazon Config 保留您的ConfigurationItems
保留期。您可以选择最少 30 天到最长 7 年(2557 天)之间的时间段。 Amazon Config 删除早于您指定保留期的数据。-
对于的IAM角色 Amazon Config,请选择现有的 Amazon Config 服务相关角色或从您的账户中选择IAM一个角色。
-
服务相关角色由服务预定义 Amazon Config ,包括该服务调用其他 Amazon 服务所需的所有权限。
注意
推荐:使用服务相关角色
建议您使用服务相关角色。服务相关角色添加了按预期运行所需 Amazon Config 的所有必要权限。
否则,请从您先前存在的角色和权限策略中选择一个角色。IAM
注意
政策与合规结果
IAM在中管理的@@ 策略和其他策略 Amazon Organizations可能会影响是否 Amazon Config 有权记录资源的配置更改。此外,规则会直接评估资源的配置,而规则在运行评估时不考虑这些策略。确保现行政策与您打算使用的方式保持一致 Amazon Config。
重复使用角色时保持最低权限 IAM
如果您使用的是 Amazon Config使用 Amazon Security Hub 或之类的 Amazon 服务 Amazon Control Tower,并且已经创建了IAM角色,请确保您在设置时使用的IAM角色与先前存在的IAM角色 Amazon Config 保持相同的最低权限。您必须这样做才能确保其他 Amazon 服务继续按预期运行。
例如 Amazon Control Tower ,如果IAM角色允许 Amazon Config 读取 S3 对象,请确保向设置时使用的IAM角色授予相同的权限 Amazon Config。否则,它可能会干扰 Amazon Control Tower 操作方式。
-
传送方式
-
对于传送方式,选择 Amazon Config 将配置历史记录和配置快照文件发送到的 S3 存储桶:
-
创建存储桶 – 对于 S3 存储桶名称,键入 S3 存储桶的名称。
您键入的名称在 Amazon S3 中所有现有的存储桶名称中必须唯一。添加前缀(例如,您所在组织的名称)是确保唯一性的一种方法。存储桶创建完毕后,您无法更改其名称。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的存储桶限制。
-
从您的账户选择一个存储桶 – 对于 S3 存储桶名称,选择您的首选存储桶。
-
从另一账户选择存储桶 – 对于 S3 存储桶名称,键入存储桶名称。
注意
存储桶权限
如果您从其他账户中选择存储桶,则该存储桶必须具有授予访问权限的策略 Amazon Config。有关更多信息,请参阅 Amazon Config 传送渠道的 Amazon S3 存储桶的权限。
-
-
对于 Amazon SNS 主题,选择 “将配置更改和通知流式传输到亚马逊SNS主题”,以便 Amazon Config 发送配置历史记录传送、配置快照传输和合规性等通知。
-
如果您选择 Amazon Config 直播至某个 Amazon SNS 主题,请选择目标主题:
-
创建主题-在 “主题名称” 中,键入SNS主题的名称。
-
从您的账户选择一个主题 – 对于主题名称,选择您的首选主题。
-
从其他账户中选择一个主题 — 对于主题 ARN,键入该主题的 Amazon 资源名称 (ARN)。如果您从其他账户中选择一个主题,则该主题必须具有授予访问权限的策略 Amazon Config。有关更多信息,请参阅 Amazon SNS 主题的权限。
注意
Amazon SNS 话题所属区域
Amazon SNS 主题必须与您设置的区域位于同一区域 Amazon Config。
-
步骤 2:规则
如果您在支持规则 Amazon Config 的地区进行设置,请选择下一步。
第 3 步:审核
查看您的 Amazon Config 设置详情。您可以返回编辑每个部分中所做的更改。选择 “确认” 以完成设置 Amazon Config。
有关更多信息
有关在账户中查找现有资源和了解资源配置的信息,请参阅查找资源、查看合规信息和查看合规历史记录。
您也可以使用 Amazon 简单队列服务以编程方式监控 Amazon 资源。有关更多信息,请参阅 使用 Amazon SQS 监控 Amazon 资源更改。