AWS Config 支持的 AWS 资源类型和资源关系
AWS Config 支持以下 AWS 资源类型和资源关系。
Amazon API Gateway
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| API 网关 | AWS::ApiGateway::Stage |
包含在 | ApiGateway Rest Api |
| 关联到 | WAFRegional WebACL | ||
AWS::ApiGatewayV2::Stage |
包含在 | ApiGatewayV2 Api | |
AWS::ApiGateway::RestApi |
包含 | ApiGateway Stage | |
AWS::ApiGatewayV2::Api |
包含 | ApiGatewayV2 Stage |
若要了解 AWS Config 如何与 Amazon API Gateway 进行集成的更多信息,请参阅使用 AWS Config 监控 API 网关 API 配置。
Amazon CloudFront
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| Amazon CloudFront * | AWS::CloudFront::Distribution |
关联到 | AWS WAF WebACL |
| ACM 证书 | |||
| S3 Bucket | |||
| IAM 服务器证书 | |||
AWS::CloudFront::StreamingDistribution |
关联到 | AWS WAF WebACL | |
| ACM 证书 | |||
| S3 Bucket | |||
| IAM 服务器证书 |
*对 Amazon CloudFront 的 AWS Config 支持仅在美国东部(弗吉尼亚北部)区域提供。
Amazon CloudWatch
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| Amazon CloudWatch | AWS::CloudWatch::Alarm |
NA | NA |
Amazon DynamoDB
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| Amazon DynamoDB | AWS::DynamoDB::Table |
NA | NA |
Amazon Elastic Compute Cloud
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| Amazon Elastic Compute Cloud | AWS::EC2::Host* |
包含 | EC2 实例 |
AWS::EC2::EIP |
挂载到 | EC2 实例 | |
| 网络接口 | |||
AWS::EC2::Instance |
包含 | EC2 网络接口 | |
| 关联到 | EC2 安全组 | ||
| 挂载到 | Amazon EBS 卷 | ||
| EC2 弹性 IP (EIP) | |||
| 包含在 | EC2 专用主机 | ||
| 路由表 | |||
| 子网 | |||
| Virtual Private Cloud (VPC) | |||
AWS::EC2::NetworkInterface |
关联到 | EC2 安全组 | |
| 挂载到 | EC2 弹性 IP (EIP) | ||
| EC2 实例 | |||
| 包含在 | 路由表 | ||
| 子网 | |||
| Virtual Private Cloud (VPC) | |||
AWS::EC2::SecurityGroup |
关联到 | EC2 实例 | |
| EC2 网络接口 | |||
| Virtual Private Cloud (VPC) | |||
AWS::EC2::NatGateway |
包含在 | Virtual Private Cloud (VPC) | |
| 包含在 | 子网 | ||
AWS::EC2::EgressOnlyInternetGateway |
挂载到 | Virtual Private Cloud (VPC) | |
AWS::EC2::FlowLog |
NA | NA |
*AWS Config 会记录专用主机以及在其上启动的实例的配置详细信息。因此,在报告与服务器绑定的软件许可证的合规情况时,您可以将 AWS Config 用作数据源。例如,您可以查看某个实例的配置历史记录并确定其基于哪个 Amazon 系统映像 (AMI)。然后,您可以查找相应主机的配置历史记录 (包括套接字和核心数量之类的详细信息),以验证该主机是否符合 AMI 的许可证要求。有关更多信息,请参阅 Amazon EC2 用户指南(适用于 Linux 实例) 中的使用 AWS Config 跟踪配置更改。
Amazon Elastic Block Store
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| Amazon Elastic Block Store | AWS::EC2::Volume |
挂载到 | EC2 实例 |
Amazon Redshift
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| Amazon Redshift | AWS::Redshift::Cluster |
关联到 | 集群参数组 |
| 集群安全组 | |||
| 集群子网组 | |||
| 安全组 | |||
| Virtual Private Cloud (VPC) | |||
AWS::Redshift::ClusterParameterGroup |
NA | NA | |
AWS::Redshift::ClusterSecurityGroup |
NA | NA | |
AWS::Redshift::ClusterSnapshot |
关联到 | 集群 | |
| Virtual Private Cloud (VPC) | |||
AWS::Redshift::ClusterSubnetGroup |
关联到 | 子网 | |
| Virtual Private Cloud (VPC) | |||
AWS::Redshift::EventSubscription |
NA | NA |
Amazon Relational Database Service
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| Amazon Relational Database Service | AWS::RDS::DBInstance |
关联到 | EC2 安全组 |
| RDS 数据库安全组 | |||
| RDS 数据库子网组 | |||
AWS::RDS::DBSecurityGroup |
关联到 | EC2 安全组 | |
| Virtual Private Cloud (VPC) | |||
AWS::RDS::DBSnapshot |
关联到 | Virtual Private Cloud (VPC) | |
AWS::RDS::DBSubnetGroup |
关联到 | EC2 安全组 | |
| Virtual Private Cloud (VPC) | |||
AWS::RDS::EventSubscription |
NA | NA |
Amazon Simple Storage Service
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| Amazon Simple Storage Service | AWS::S3::Bucket* |
NA | NA |
AWS::S3::AccountPublicAccessBlock |
NA | NA |
*如果您已将 AWS Config 配置为记录您的 S3 存储桶但未收到配置更改通知,请验证您的 S3 存储桶策略是否拥有必需的权限。有关更多信息,请参阅 有关记录 S3 存储桶的疑难解答。
Amazon S3 存储桶属性
AWS Config 还会记录 Amazon S3 存储桶资源类型的以下属性。
| 属性 | 描述 |
|---|---|
| AccelerateConfiguration | 在您的客户端与存储桶之间远距离传输的数据的传输加速。 |
| BucketAcl | 用于管理存储桶和对象访问的访问控制列表。 |
| BucketPolicy | 用于定义存储桶权限的策略。 |
| CrossOriginConfiguration | 允许跨区域请求存储桶。 |
| LifecycleConfiguration | 用于定义您存储桶中的对象生命周期的规则。 |
| LoggingConfiguration | 用于跟踪存储桶访问请求的日志记录。 |
| NotificationConfiguration | 用于针对指定存储桶事件发送警报或触发工作流的事件通知。 |
| ReplicationConfiguration | 在不同 AWS 区域中的存储桶之间自动以异步方式复制对象。 |
| RequestPaymentConfiguration | 启用申请方付款。 |
| TaggingConfiguration | 添加到存储桶用于分类的标签。您也可以使用标记或跟踪计费。 |
| WebsiteConfiguration | 对存储桶启用静态网站托管。 |
| VersioningConfiguration | 对存储桶中的对象启用版本控制。 |
有关这些属性的更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的存储桶配置选项。
Amazon Virtual Private Cloud
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| Amazon Virtual Private Cloud | AWS::EC2::CustomerGateway |
挂载到 | VPN 连接 |
AWS::EC2::InternetGateway |
挂载到 | Virtual Private Cloud (VPC) | |
AWS::EC2::NetworkAcl |
NA | NA | |
AWS::EC2::RouteTable |
包含 | EC2 实例 | |
| EC2 网络接口 | |||
| 子网 | |||
| VPN 网关 | |||
| 包含在 | Virtual Private Cloud (VPC) | ||
AWS::EC2::Subnet |
包含 | EC2 实例 | |
| EC2 网络接口 | |||
| 挂载到 | 网络 ACL | ||
| 包含在 | 路由表 | ||
| Virtual Private Cloud (VPC) | |||
AWS::EC2::VPC |
包含 | EC2 实例 | |
| EC2 网络接口 | |||
| 网络 ACL | |||
| 路由表 | |||
| 子网 | |||
| 关联到 | 安全组 | ||
| 挂载到 | Internet 网关 | ||
| VPN 网关 | |||
AWS::EC2::VPNConnection |
挂载到 | 客户网关 | |
| VPN 网关 | |||
AWS::EC2::VPNGateway |
挂载到 | Virtual Private Cloud (VPC) | |
| VPN 连接 | |||
| 包含在 | 路由表 |
AWS Auto Scaling
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| Auto Scaling | AWS::AutoScaling::AutoScalingGroup |
包含 | Amazon EC2 实例 |
| 关联到 | 传统负载均衡器 | ||
| Auto Scaling 启动配置 | |||
| 子网 | |||
AWS::AutoScaling::LaunchConfiguration |
关联到 | Amazon EC2 安全组 | |
AWS::AutoScaling::ScalingPolicy |
关联到 | Auto Scaling 组 | |
| 警报 | |||
AWS::AutoScaling::ScheduledAction |
关联到 | Auto Scaling 组 |
AWS Certificate Manager
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| AWS Certificate Manager | AWS::ACM::Certificate |
NA | NA |
AWS CloudFormation
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| AWS CloudFormation | AWS::CloudFormation::Stack* |
包含 | 支持的 AWS 资源类型 |
*AWS Config 会记录对 AWS CloudFormation 堆栈和堆栈中支持的资源类型所做的配置更改。AWS Config 不会记录对堆栈中的尚不受支持的资源类型所做的配置更改。不受支持的资源类型显示在堆栈的配置项的补充配置部分中。
AWS CloudTrail
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| AWS CloudTrail | AWS::CloudTrail::Trail |
NA | NA |
AWS CodeBuild
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| AWS CloudBuild | AWS::CodeBuild::Project* |
关联到 | S3 存储桶 |
| IAM 角色 |
*要了解有关 AWS Config 如何与 AWS CodeBuild 集成的更多信息,请参阅将 AWS Config 与 AWS CodeBuild 示例配合使用。
AWS CodePipeline
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| AWS CodePipeline | AWS::CodePipeline::Pipeline* |
挂载到 | S3 存储桶 |
| 关联到 | IAM 角色 | ||
| 代码项目 | |||
| Lambda 函数 | |||
| Cloudformation 堆栈 | |||
| ElasticBeanstalk 应用程序 |
*AWS Config 会记录对 CodePipeline 管道和管道中受支持的资源类型所做的配置更改。AWS Config 不会记录对管道中尚不受支持的资源类型所做的配置更改。不受支持的资源类型(如
CodeCommit repository, CodeDeploy application, ECS cluster, 和 ECS service)显示在堆栈的配置项的补充配置部分中。
AWS Elastic Beanstalk
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| AWS Elastic Beanstalk | AWS::ElasticBeanstalk::Application |
包含 | Elastic Beanstalk 应用程序版本 |
| Elastic Beanstalk 环境 | |||
| 关联到 | IAM 角色 | ||
AWS::ElasticBeanstalk::ApplicationVersion |
包含在 | Elastic Beanstalk 应用程序 | |
| 关联到 | Elastic Beanstalk 环境 | ||
| S3 存储桶 | |||
AWS::ElasticBeanstalk::Environment |
包含在 | Elastic Beanstalk 应用程序 | |
| 关联到 | Elastic Beanstalk 应用程序版本 | ||
| IAM 角色 | |||
| 包含 | CloudFormation 堆栈 |
AWS Identity and Access Management
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| AWS Identity and Access Management | AWS::IAM::User* |
挂载到 | IAM 组 |
| IAM 客户托管策略 | |||
AWS::IAM::Group* |
包含 | IAM 用户 | |
| 挂载到 | IAM 客户托管策略 | ||
AWS::IAM::Role* |
挂载到 | IAM 客户托管策略 | |
AWS::IAM::Policy |
挂载到 | IAM 用户 | |
| IAM 组 | |||
| IAM 角色 |
*AWS Identity and Access Management (IAM) 资源是全球性资源。全球性资源不限于某个区域,而是可以用于所有区域。全球性资源的配置详细信息在所有区域都相同。有关更多信息,请参阅 选择 AWS Config 所记录的资源。
AWS Config 包含的内联策略具有其记录的配置详细信息。
AWS Lambda 函数
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| AWS Lambda 函数 | AWS::Lambda::Function |
关联到 | IAM 角色 |
| EC2 安全组 | |||
| 包含 | EC2 子网 |
AWS Service Catalog
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| AWS Service Catalog | AWS::ServiceCatalog::CloudFormationProduct |
包含在 | 产品组合 |
| 关联到 | CloudFormationProvisionedProduct | ||
AWS::ServiceCatalog::CloudFormationProvisionedProduct |
关联到 | 产品组合 | |
| CloudFormationProduct | |||
| CloudFormationStack | |||
AWS::ServiceCatalog::Portfolio |
包含 | CloudFormationProduct |
AWS Shield
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| AWS Shield* | AWS::Shield::Protection |
关联到 | Amazon CloudFront 分配 |
AWS::ShieldRegional::Protection |
关联到 | EC2 EIP | |
| 关联到 | ElasticLoadBalancing Balancer | ||
| 关联到 | ElasticLoadBalancingV2 LoadBalancer |
*对 AWS::Shield::Protection 的 AWS Config 支持仅在美国东部(弗吉尼亚北部)区域提供。AWS::ShieldRegional::Protection 在所有支持 AWS Shield 的区域提供。
AWS Systems Manager
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| AWS Systems Manager | AWS::SSM::ManagedInstanceInventory* |
关联到 | EC2 实例 |
AWS::SSM::PatchCompliance |
关联到 | 托管实例清单 | |
AWS::SSM::AssociationCompliance |
关联到 | 托管实例清单 |
*要了解有关托管实例清单的更多信息,请参阅记录托管实例的软件配置。
AWS WAF
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| AWS WAF* | AWS::WAF::RateBasedRule |
NA | NA |
AWS::WAF::Rule |
NA | NA | |
AWS::WAF::WebACL |
关联到 | WAF 规则 | |
| WAF 基于速率的规则 | |||
| WAF rulegroup | |||
AWS::WAF::RuleGroup |
关联到 | WAF 规则 | |
AWS::WAFRegional::RateBasedRule |
NA | NA | |
AWS::WAFRegional::Rule |
NA | NA | |
AWS::WAFRegional::WebACL |
关联到 | ElasticLoadBalancingV2 LoadBalancer | |
| WAFRegional 规则 | |||
| WAFRegional 基于速率的规则 | |||
| WAFRegional rulegroup | |||
AWS::WAFRegional::RuleGroup |
关联到 | WAFRegional 规则 |
*AWS WAF 资源类型值仅在美国东部 (弗吉尼亚北部) 区域提供。AWS::WAFRegional::RateBasedRule、AWS::WAFRegional::Rule、AWS::WAFRegional::WebACL 和 AWS::WAFRegional::RuleGroup 在所有支持 AWS WAF 的区域提供。
AWS X-Ray
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| AWS X-Ray | AWS::XRay::EncryptionConfig |
NA | NA |
Elastic Load Balancing
| AWS 服务 | 资源类型值 | 关系 | 相关资源 |
|---|---|---|---|
| Elastic Load Balancing |
应用程序负载均衡器
|
关联到 | EC2 安全组 |
| 挂载到 | 子网 | ||
| 包含在 | Virtual Private Cloud (VPC) | ||
|
传统负载均衡器
|
关联到 | EC2 安全组 | |
| 挂载到 | 子网 | ||
| 包含在 | Virtual Private Cloud (VPC) | ||
|
网络负载均衡器
|
NA | NA |