在 Amazon Config 控制台中录制资源 - Amazon Config
记录资源时的注意事项
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon Config 控制台中录制资源

您可以使用 Amazon Config 控制台选择要 Amazon Config 记录的资源类型。

选择资源

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/

  2. 在左侧导航窗格上,选择设置,然后选择编辑。有关支持的区域列表,请参见 Amazon Web Services 一般参考 中的 Amazon Config 端点和配额

  3. 记录方法部分,选择记录策略。您可以指定 Amazon Config 要记录的 Amazon 资源。

    All resource types with customizable overrides

    设置 Amazon Config 为记录该区域所有当前和 future 支持的资源类型的配置更改。您可以覆盖特定资源类型的记录频率,也可以从记录中排除特定资源类型。有关更多信息,请参阅支持的资源类型

    • 默认设置

      为所有当前和未来支持的资源类型配置默认记录频率。有关更多信息,请参阅记录频率

      • 连续录制 — Amazon Config 每当发生更改时,都会持续记录配置更改。

      • 每日记录 - 您会收到代表过去 24 小时内资源的最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。

      注意

      Amazon Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

    • 覆盖设置

      覆盖特定资源类型的记录频率,或从记录中排除特定资源类型。如果您更改某一资源类型的记录频率或停止记录某一资源类型,则已记录的配置项会保持不变。

    Specific resource types

    设置 Amazon Config 为仅记录您指定的资源类型的配置更改。

    • 特定的资源类型

      选择要记录的资源类型及其频率。有关更多信息,请参阅记录频率

      • 连续录制 — Amazon Config 每当发生更改时,都会持续记录配置更改。

      • 每日记录 - 您会收到代表过去 24 小时内资源的最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。

      注意

      Amazon Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

      如果您更改某一资源类型的记录频率或停止记录某一资源类型,则已记录的配置项会保持不变。

  4. 选择 保存 以保存您的更改。

记录资源时的注意事项

Amazon Config 评估次数多

与随后的几个月相比,您可能会注意到,在使用 Amazon Config 记录的最初一个月中,您的账户活动有所增加。在初始引导过程中, Amazon Config 会对您账户中您选择 Amazon Config 要记录的所有资源进行评估。

如果您运行的是临时工作负载,则可能会看到 Amazon Config 中的活动增加,因为它会记录与创建和删除这些临时资源相关的配置更改。临时工作负载 是临时使用在需要时加载和运行的计算资源。示例包括亚马逊弹性计算云 (Amazon EC2) 竞价型实例、亚马逊 EMR 任务和。 Amazon Auto Scaling如果要避免因运行临时工作负载而增加的活动,则可以设置配置记录器以将这些资源类型排除在记录之外,或者在 Amazon Config 关闭的情况下在单独的帐户中运行这些类型的工作负载,以避免增加配置记录和规则评估。

Considerations: All resource types with customizable overrides

全局记录的资源类型 | Aurora 全局集群最初包含在记录范围内

AWS::RDS::GlobalCluster资源类型将在启用配置记录器的所有支持 Amazon Config 区域中进行记录。

如果您不想在所有已启用的区域中记录 AWS::RDS::GlobalCluster,请选择“Amazon RDS GlobalCluster”,然后选择“从记录中排除”覆盖方法。

全局资源类型 | IAM 资源类型最初不包含在记录范围内

全球 IAM 资源类型最初不在记录范围内,以帮助您降低成本。此捆绑包包括 IAM 用户、组、角色和客户管理型策略。选择移除以删除覆盖,并将这些资源包含在您的记录范围内。

美国东部(弗吉尼亚北部)除外。全局 IAM 资源类型最初包含在美国东部(弗吉尼亚州北部)区域内,因为该区域是全局 IAM 资源类型的主区域。

此外,全球 IAM 资源类型(AWS::IAM::UserAWS::IAM::GroupAWS::IAM::Role、和AWS::IAM::Policy)不能记录在 2022 年 2 月 Amazon Config 之后支持的区域中。有关这些区域的列表,请参阅录制 Amazon 资源 | 全球资源

限制

您可以添加最多 100 项频率覆盖和 600 项排除覆盖。

以下资源类型不支持每日记录:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Considerations: Specific resource types

区域可用性

在指定 Amazon Config 要跟踪的资源类型之前,请检查按区域可用性划分的资源覆盖率,以查看您设置的 Amazon 区域是否支持该资源类型 Amazon Config。如果至少有一个区域支持某种资源类型,则即使您设置的区域不支持指定的资源类型 Amazon Config,您也可以在支持的所有 Amazon 区域中启用该资源类型的记录 Amazon Config。 Amazon Config

限制

如果所有资源类型的频率都相同,则没有限制。如果至少将一种资源类型设置为“持续”,则最多可以添加 100 种频率为“每日”的资源类型。

以下资源类型不支持“每日”频率:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder