使用 Amazon CLI 录制资源 - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon CLI 录制资源

您可以使用 C Amazon LI 来选择 Amazon Config 要记录的资源类型。为此,您可以创建一个配置记录器,以记录您在记录组中指定的资源类型。在记录组中,您可以指定是要记录所有受支持的资源类型,还是包括或排除特定类型的资源。

Record all current and future supported resource types

设置 Amazon Config 为记录该区域所有当前和 future 支持的资源类型的配置更改。有关更多信息,请参阅支持的资源类型

  1. 使用以下 put-configuration-recorder 命令:

    $ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

    此命令使用--configuration-recorder---recording-group字段。

    注意

    录制组和配置记录器

    --recording-group 字段指定要记录哪些资源类型。

    --configuration-recorder字段指定nameroleArn以及配置记录器的默认录制频率 (recordingMode)。您也可以使用此字段来覆盖特定资源类型的记录频率。

    1. put-configuration-recorder 使用 --recording-group 参数的以下字段:

      • allSupported=true— Amazon Config 记录所有支持的资源类型的配置更改,不包括全球 IAM 资源类型。 Amazon Config 添加对新资源类型的支持后,会自动 Amazon Config 开始记录该类型的资源。

      • includeGlobalResourceTypes=true – 此选项是一个捆绑包,仅适用于全局 IAM 资源类型:IAM 用户、组、角色和客户管理型策略。这些全球 IAM 资源类型只能在 2022 年 2 月之前可用的 Amazon Config 区域 Amazon Config 中进行记录。2022 年 2 月 Amazon Config 之后,您无法在支持的区域中记录全球 IAM 资源类型。有关这些区域的列表,请参阅录制 Amazon 资源 | 全球资源

        重要

        Aurora 全局集群记录在所有已启用的区域中

        AWS::RDS::GlobalCluster资源类型将记录在启用配置记录器的所有支持 Amazon Config 区域,即使includeGlobalResourceTypes未设置为trueincludeGlobalResourceTypes 选项是一个捆绑包,仅适用于 IAM 用户、组、角色和客户管理型策略。

        如果您不想在所有已启用的区域中记录 AWS::RDS::GlobalCluster,请使用以下记录策略之一:

        1. 记录所有当前和未来的资源类型,您指定的类型除外 (EXCLUSION_BY_RESOURCE_TYPES),或者

        2. 记录特定的资源类型 (INCLUSION_BY_RESOURCE_TYPES)。

        有关更多信息,请参阅选择所记录的资源 | 区域性资源和全局资源

        重要

        includeGlobalResource类型和排除记录策略

        includeGlobalResourceTypes字段对EXCLUSION_BY_RESOURCE_TYPES录制策略没有影响。这意味着,当设置为exclusionByResourceTypesincludeGlobalResourceTypes,全球 IAM 资源类型(IAM 用户、群组、角色和客户托管策略)不会自动添加为排除项。false

        includeGlobalResourceTypes字段只能用于修改该AllSupported字段,因为该字段的默认设置是记录除全球 IAM 资源类型之AllSupported外的所有受支持资源类型的配置更改。要在设置为时AllSupported包括全局 IAM 资源类型true,请确保将设置includeGlobalResourceTypestrue

        要排除EXCLUSION_BY_RESOURCE_TYPES录制策略的全球 IAM 资源类型,您需要手动将其添加到的resourceTypes字段中exclusionByResourceTypes

        注意

        必填字段和可选字段

        includeGlobalResourceTypes 设置为 true 之前,请先将 allSupported 字段设置为 true

        也可以将 RecordingStrategyuseOnly 字段设置为 ALL_SUPPORTED_RESOURCE_TYPES

        注意

        覆盖字段

        如果您在的字段中设置includeGlobalResourceTypesfalse但列出了全局 IAM 资源类型 RecordingGroup,则无论您是否 Amazon Config 将该resourceTypes字段设置为 false,仍会记录这些指定资源类型的配置更改。includeGlobalResourceTypes

        如果您不想记录对全局 IAM 资源类型(IAM 用户、组、角色和客户管理型策略)的配置更改,那么除了将 includeGlobalResourceTypes 字段设置为 false 之外,切勿在 resourceTypes 字段中列出这些内容。

      recordingGroup.json 文件指定 Amazon Config 将记录的资源类型。

      {
    "allSupported": true,
    "recordingStrategy": {
        "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": true
}

    2. put-configuration-recorder 使用 --configuration-recorder 参数的以下字段:

      • name— 配置记录器的名称。 Amazon Config 创建配置记录器时会自动分配 “默认” 的名称。

      • roleARN— 由配置记录器担任 Amazon Config 和使用的 IAM 角色的 Amazon 资源名称 (ARN)。

      • recordingMode— 指定用于记录配置更改的 Amazon Config 默认录制频率。 Amazon Config 支持连续录制每日录制。连续记录可让您在每次发生配置更改时连续记录更改。使用每日记录,您将收到代表过去 24 小时内资源的最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。

        • recordingFrequency— Amazon Config 用于记录配置更改的默认录制频率。

          注意

          Amazon Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

        • recordingModeOverrides – 此字段允许您为记录模式指定覆盖。它是一个 recordingModeOverride 对象数组。recordingModeOverrides 数组中的每个 recordingModeOverride 对象都由三个字段组成:

          • description – 您为覆盖提供的描述。

          • recordingFrequency – 将应用于覆盖中指定的所有资源类型的记录频率。

          • resourceTypes— 以逗号分隔的列表,用于指定覆盖中 Amazon Config 包含哪些资源类型。

      注意

      必填字段和可选字段

      put-configuration-recorderrecordingMode 字段是可选的。默认情况下,配置记录器的记录频率被设置为连续记录。

      注意

      限制

      以下资源类型不支持每日记录:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      对于记录所有当前和未来支持的资源类型 (ALL_SUPPORTED_RESOURCE_TYPES) 记录策略,这些资源类型将设置为“连续记录”。

      configurationRecorder.json文件指定nameroleArn以及配置记录器的默认录制频率 (recordingMode)。您也可以使用此字段来覆盖特定资源类型的记录频率。

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (可选)要验证您的配置记录器是否拥有您所需的设置,请使用以下 describe-configuration-recorders 命令。

    $ aws configservice describe-configuration-recorders

    以下为响应示例。

    {
    "ConfigurationRecorders": [
        {
            "name": "default"
            "recordingGroup": {
                "allSupported": true,
                "exclusionByResourceTypes": { 
                     "resourceTypes": []
                },
                "includeGlobalResourceTypes": true,
                "recordingStrategy": {
                    "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record all current and future supported resources types excluding the types you specify

设置 Amazon Config 为记录所有当前和 future 支持的资源类型的配置更改,包括全局资源类型,但您指定要从记录中排除的资源类型除外。如果您选择停止记录某一资源类型,则已记录的配置项将保持不变。有关更多信息,请参阅支持的资源类型

此命令使用--configuration-recorder---recording-group字段。

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
注意

录制组和配置记录器

--recording-group 字段指定要记录哪些资源类型。

--configuration-recorder字段指定nameroleArn以及配置记录器的默认录制频率 (recordingMode)。您也可以使用此字段来覆盖特定资源类型的记录频率。

  1. 使用 put-configuration-recorder 命令,并传递 exclusionByResourceTypesresourceTypes 字段中指定的一个或多个要排除的资源类型,如以下示例所示。

    1. recordingGroup.json 文件指定 Amazon Config 将记录的资源类型。

      {
    "allSupported": false,
    "exclusionByResourceTypes": { 
        "resourceTypes": [
            "AWS::Redshift::ClusterSnapshot",
            "AWS::RDS::DBClusterSnapshot",
            "AWS::CloudFront::StreamingDistribution"
        ]
    },
   "includeGlobalResourceTypes": false,
   "recordingStrategy": {
       "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
    },
  
}

      在指定要从记录中排除的资源类型之前,请执行以下操作:

      • 必须将 --recording-group 参数的 allSupportedincludeGlobalResourceTypes 字段设置为 false,或省略它们。

      • 必须将 RecordingStrategyuseOnly 字段设置为 EXCLUSION_BY_RESOURCE_TYPES

      注意

      覆盖字段

      如果您对记录策略选择 EXCLUSION_BY_RESOURCE_TYPES,则 exclusionByResourceTypes 字段将覆盖请求中的其他属性。

      例如,即使您将 includeGlobalResourceTypes 设置为 false,全局 IAM 资源类型仍将自动记录在此选项中,除非这些资源类型在 exclusionByResourceTypesresourceTypes 字段中被明确列为排除项。

      注意

      全局资源类型和资源排除记录策略

      默认情况下,如果您选择EXCLUSION_BY_RESOURCE_TYPES录制策略,则在设置配置记录器的区域中 Amazon Config 添加对新资源类型(包括全局资源类型)的支持时,会自动 Amazon Config 开始记录该类型的资源。

      除非特别列为排除项,否则AWS::RDS::GlobalCluster将在启用配置记录器的所有受支持 Amazon Config 区域中自动记录。

      IAM 用户、群组、角色和客户托管策略将记录在您设置配置记录器的区域(如果该区域在 2022 年 2 月之前可用)。 Amazon Config 2022 年 2 月 Amazon Config 之后,您无法在支持的区域中记录全球 IAM 资源类型。有关这些区域的列表,请参阅录制 Amazon 资源 | 全球资源

    2. put-configuration-recorder 使用 --configuration-recorder 参数的以下字段:

      • name— 配置记录器的名称。 Amazon Config 创建配置记录器时会自动分配 “默认” 的名称。

      • roleARN— 由配置记录器担任 Amazon Config 和使用的 IAM 角色的 Amazon 资源名称 (ARN)。

      • recordingMode— 指定用于记录配置更改的 Amazon Config 默认录制频率。 Amazon Config 支持连续录制每日录制。连续记录可让您在每次发生配置更改时连续记录更改。使用每日记录,您将收到代表过去 24 小时内资源的最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。

        • recordingFrequency— Amazon Config 用于记录配置更改的默认录制频率。

          注意

          Amazon Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

        • recordingModeOverrides – 此字段允许您为记录模式指定覆盖。它是一个 recordingModeOverride 对象数组。recordingModeOverrides 数组中的每个 recordingModeOverride 对象都由三个字段组成:

          • description – 您为覆盖提供的描述。

          • recordingFrequency – 将应用于覆盖中指定的所有资源类型的记录频率。

          • resourceTypes— 以逗号分隔的列表,用于指定覆盖中 Amazon Config 包含哪些资源类型。

      注意

      必填字段和可选字段

      put-configuration-recorderrecordingMode 字段是可选的。默认情况下,配置记录器的记录频率被设置为连续记录。

      注意

      限制

      以下资源类型不支持每日记录:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      对于记录所有当前和未来支持的资源类型 (ALL_SUPPORTED_RESOURCE_TYPES) 记录策略,这些资源类型将设置为“连续记录”。

      configurationRecorder.json文件指定nameroleArn以及配置记录器的默认录制频率 (recordingMode)。您也可以使用此字段来覆盖特定资源类型的记录频率。

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (可选)要验证您的配置记录器是否拥有您所需的设置,请使用以下 describe-configuration-recorders 命令。

    $ aws configservice describe-configuration-recorders

    以下为响应示例。

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": [
                        "AWS::Redshift::ClusterSnapshot",
                        "AWS::RDS::DBClusterSnapshot",
                        "AWS::CloudFront::StreamingDistribution"
                    ]
                },
                "includeGlobalResourceTypes": false,
                "recordingStrategy": {
                    "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record specific resource types

设置 Amazon Config 为仅记录您指定的资源类型的配置更改。如果您选择停止记录某一资源类型,则已记录的配置项将保持不变。

此命令使用--configuration-recorder---recording-group字段。

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
注意

录制组和配置记录器

--recording-group 字段指定要记录哪些资源类型。

--configuration-recorder字段指定nameroleArn以及配置记录器的默认录制频率 (recordingMode)。您也可以使用此字段来覆盖特定资源类型的记录频率。

  1. 使用 put-configuration-recorder 命令,并传递 recordingGroupresourceTypes 字段中指定的一个或多个资源类型,如以下示例所示。

    1. recordingGroup.json 文件指定 Amazon Config 将记录的资源类型。

      {
    "allSupported": false,
    "recordingStrategy": {
        "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": false,
    "resourceTypes": [
        "AWS::EC2::EIP",
        "AWS::EC2::Instance",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::SecurityGroup",
        "AWS::CloudTrail::Trail",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC",
        "AWS::IAM::User",
        "AWS::IAM::Policy"
  ]
}
      注意

      必填字段和可选字段

      在指定要包含在录制中的资源类型之前,必须将 allSupportedincludeGlobalResourceTypes 字段设置为 false,或省略它们。

      当您在 --recording-groupresourceTypes 字段中列出资源类型时,recordingStrategy 字段是可选的。

      注意

      区域可用性

      在指定 Amazon Config 要跟踪的资源类型之前,请检查按区域划分的资源覆盖率,以查看您设置的 Amazon 区域是否支持该资源类型 Amazon Config。如果至少有一个区域支持某种资源类型,则即使您设置的区域不支持指定的资源类型 Amazon Config,您也可以在支持的所有 Amazon 区域中启用该资源类型的记录 Amazon Config。 Amazon Config

    2. put-configuration-recorder 使用 --configuration-recorder 参数的以下字段:

      • name— 配置记录器的名称。 Amazon Config 创建配置记录器时会自动分配 “默认” 的名称。

      • roleARN— 由配置记录器担任 Amazon Config 和使用的 IAM 角色的 Amazon 资源名称 (ARN)。

      • recordingMode— 指定用于记录配置更改的 Amazon Config 默认录制频率。 Amazon Config 支持连续录制每日录制。连续记录可让您在每次发生配置更改时连续记录更改。使用每日记录,您将收到代表过去 24 小时内资源的最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。

        • recordingFrequency— Amazon Config 用于记录配置更改的默认录制频率。

          注意

          Amazon Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

        • recordingModeOverrides – 此字段允许您为记录模式指定覆盖。它是一个 recordingModeOverride 对象数组。recordingModeOverrides 数组中的每个 recordingModeOverride 对象都由三个字段组成:

          • description – 您为覆盖提供的描述。

          • recordingFrequency – 将应用于覆盖中指定的所有资源类型的记录频率。

          • resourceTypes— 以逗号分隔的列表,用于指定覆盖中 Amazon Config 包含哪些资源类型。

      注意

      必填字段和可选字段

      put-configuration-recorderrecordingMode 字段是可选的。默认情况下,配置记录器的记录频率被设置为连续记录。

      注意

      限制

      以下资源类型不支持每日记录:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      对于记录所有当前和未来支持的资源类型 (ALL_SUPPORTED_RESOURCE_TYPES) 记录策略,这些资源类型将设置为“连续记录”。

      configurationRecorder.json文件指定nameroleArn以及配置记录器的默认录制频率 (recordingMode)。您也可以使用此字段来覆盖特定资源类型的记录频率。

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (可选)要验证您的配置记录器是否拥有您所需的设置,请使用以下 describe-configuration-recorders 命令。

    $ aws configservice describe-configuration-recorders

    以下为响应示例。

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": []
                },
                "includeGlobalResourceTypes": false
                "recordingStrategy": {
                    "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [
                    "AWS::EC2::EIP",
                    "AWS::EC2::Instance",
                    "AWS::EC2::NetworkAcl",
                    "AWS::EC2::SecurityGroup",
                    "AWS::CloudTrail::Trail",
                    "AWS::EC2::Volume",
                    "AWS::EC2::VPC",
                    "AWS::IAM::User",
                    "AWS::IAM::Policy"
                ]
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}