选择 Amazon Config 所记录的资源 - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

选择 Amazon Config 所记录的资源

Amazon Config 将持续检测任何受支持类型的资源的创建、更改或删除时间。Amazon Config 会将这些事件记录为配置项。您可以自定义Amazon Config记录所有支持的资源类型的更改,或者仅记录与您相关的资源的更改。要了解 Amazon Config 可记录的资源类型,请参阅 支持的资源类型

记录所有受支持的资源类型

默认情况下,Amazon Config 会记录在 运行区域中发现的所有受支持类型的区域性资源Amazon Config的配置更改。区域性资源与某个区域相关联,且仅可在该区域中使用。区域性资源的示例为 EC2 实例和 EBS 卷。

您还可以让 Amazon Config 记录受支持类型的全局性资源。全局性资源不与特定区域相关联,并且可在所有区域使用。全局资源类型Amazon Config受支持包括 IAM 用户、组。

重要

已载入的全球资源类型Amazon Config2022 年 2 月之后的录制将仅在该服务的所在区域录制,用于商业分区;Amazon GovCloud (美国西部) GovCloud 分区。您只能在其所在区域查看这些新的全局资源类型的配置项目,并且Amazon GovCloud (美国西部)。

在 2022 年 2 月之前上线的支持的全球资源类型,例如AWS::IAM::Group,AWS::IAM::Policy,AWS::IAM::Role,AWS::IAM::User保持不变,他们将继续在所有支持的区域提供配置项目Amazon Config. 此变更将仅影响2022年2月之后加入的新全球资源类型。

主页全球资源类型区域 2022 年 2 月之后上线
Amazon 服务 资源类型值 主区域
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository 美国东部(弗吉尼亚州北部)区域
Amazon Global Accelerator AWS::GlobalAccelerator::Listener 美国西部(俄勒冈州)区域
AWS::GlobalAccelerator::EndpointGroup 美国西部(俄勒冈州)区域
AWS::GlobalAccelerator::Accelerator 美国西部(俄勒冈州)区域
Amazon Route 53 AWS::Route53::HostedZone 美国东部(弗吉尼亚州北部)区域
AWS::Route53::HealthCheck 美国东部(弗吉尼亚州北部)区域

记录特定的资源类型

如果您不希望 Amazon Config 记录所有支持资源的更改,则可以对其进行自定义,以使其仅记录特定类型的资源更改。Amazon Config 记录您指定的资源类型的配置更改,包括这类资源的创建和删除。

如果未记录某个资源,Amazon Config 将仅记录该资源的创建和删除,而不会提供其他详细信息,且您无需支付任何费用。当某个未记录资源被创建或删除时,Amazon Config 将发送通知,并在资源详细信息页面显示该事件。在未记录资源的详细信息页面上,大多数配置详细信息的值为 null,且不会显示关于关系和配置更改的信息。

由于未记录资源的数据缺失,因此 Amazon Config 为已记录资源提供的关系信息不受限制。如果某个已记录资源与未记录资源相关联,则已记录资源的详细信息页面会提供相应的关系信息。

您可以随时使 Amazon Config 停止记录某个类型的资源。在 Amazon Config 停止记录某个资源后,它会保留之前捕获的配置信息,并且您可继续访问此类信息。

Amazon Config 规则可用于仅评估 Amazon Config 记录的那些资源的合规性。

Amazon Config规则和全局资源类型

全球资源类型在 2022 年 2 月之前上线 (AWS::IAM::Group,AWS::IAM::Policy,AWS::IAM::Role,以及AWS::IAM::User) 由以下人员录制Amazon Config在所有支持的区域中。这意味着定期报告这些全球资源合规情况的规则将继续在所有支持的区域进行评估,EVEN您尚未启用全球资源录制的区域。

注意

定期规则可以在符合以下条件的资源上运行Amazon Config录制不支持,可以在不启用配置记录器的情况下运行。定期规则不依赖于配置项目。有关变更触发规则和定期规则之间区别的更多信息,请参阅为指定触发器Amazon ConfigRule.

如果您没有记录 2022 年 2 月之前加入的全局资源类型,建议您不要启用以下定期规则,以避免不必要的成本:

报告全球资源合规性的最佳实践

如果您正在录制 2022 年 2 月之前加入的全局资源类型 (AWS::IAM::Group,AWS::IAM::Policy,AWS::IAM::Role,以及AWS::IAM::User),你应该只部署Amazon Config规则和一致性包,在其中一个支持的区域内将这些全球资源包括在内,以避免成本和 API 限制。这适用于普通的Amazon Config规则、组织Amazon Config规则,以及其他人创建的规则Amazon服务(如Security Hub 和Control Tower)。

已载入的全球资源类型Amazon Config2022 年 2 月之后的录制将仅在该服务的所在区域录制,用于商业分区;Amazon GovCloud (美国西部) GovCloud 分区。您应该只部署Amazon Config规则和一致性包,这些全球资源位于资源类型的主区域内。有关更多信息,请参阅主页全球资源类型区域 2022 年 2 月之后上线.

选择资源 (控制台)

您可以使用 Amazon Config 控制台选择 Amazon Config 记录的资源类型。

选择资源

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Config 控制台:https://console.aws.amazon.com/config/

  2. 打开 Settings 页面:

    • 如果您在支持 Amazon Config 规则的区域中使用 Amazon Config,请在导航窗格中选择 Settings (设置)。有关受支持的区域列表,请参阅Amazon Config区域和终端节点Amazon Web Services 一般参考.

    • 否则,请选择设置图标 ( 
            settings icon
          ) 在资源清单页面。

  3. Resource types to record (要记录的资源类型) 部分中,指定您希望 Amazon Config 记录的 Amazon 资源的类型:

    • 所有资源–Amazon Config使用以下选项记录其受支持的资源:

      • 记录该地区支持的所有资源–Amazon Config将记录每种受支持类型的配置更改。Amazon Config 添加对新区域资源类型的支持后,它将自动开始记录该类型的资源。

      • 包括全球资源–Amazon Config包含其记录的资源类型的全球性资源。Amazon Config 添加对新全球性资源类型的支持后,它将自动开始记录该类型的资源。

    • 特定类型–Amazon Config仅记录那些类型的配置更改Amazon您指定的资源。

  4. 保存您的更改:

    • 如果您在支持 Amazon Config 规则的区域中使用 Amazon Config,请选择 Save (保存)

    • 否则,请选择 Continue。在Amazon ConfigConfig 正在请求读取您的资源配置的权限页面,选择Allow(允许).

选择资源 (Amazon CLI)

您可以使用 Amazon CLI 选择您希望 Amazon Config 记录的资源类型。为此,您可以创建一个配置记录器,以记录您在记录组中指定的资源类型。在记录组中,您可以指定要记录所有受支持类型的资源,还是特定类型的资源。

选择所有受支持的资源

  1. 使用以下 put-configuration-recorder 命令:

    $ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role --recording-group allSupported=true,includeGlobalResourceTypes=true

    此命令使用 --recording-group 参数的以下选项:

    • allSupported=true–Amazon Config将记录每种受支持类型的配置更改区域资源. Amazon Config 添加对新区域资源类型的支持后,它将自动开始记录该类型的资源。

    • includeGlobalResourceTypes=true–Amazon Config包含其记录的资源的所有受支持类型的全球性资源。Amazon Config 添加对新全球性资源类型的支持后,它将自动开始记录该类型的资源。

      在将此选项设置为 true 之前,您必须将 allSupported 选项设置为 true

      如果您不希望包括全局性资源,请将此选项设置为 false,或者忽略此选项。

  2. (可选) 要验证您的配置记录器是否拥有您所需的设置,请使用以下 describe-configuration-recorders 命令:

    $ aws configservice describe-configuration-recorders

    以下为响应示例:

    { "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": true, "resourceTypes": [], "includeGlobalResourceTypes": true }, "roleARN": "arn:aws:iam::123456789012:role/config-role", "name": "default" } ] }

选择特定类型的资源

  1. 使用 Amazon Configservice put-configuration-recorder 命令,并通过 --recording-group 选项传递一个或多个资源类型,如以下示例所示:

    $ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole --recording-group file://recordingGroup.json

    recordingGroup.json 文件指定了 Amazon Config 将记录的资源类型:

    { "allSupported": false, "includeGlobalResourceTypes": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ] }

    您必须将 resourceTypesallSupported 选项设置为 false 或者忽略它们,才可以为 includeGlobalResourceTypes 键指定资源类型。

  2. (可选) 要验证您的配置记录器是否拥有您所需的设置,请使用以下 describe-configuration-recorders 命令:

    $ aws configservice describe-configuration-recorders

    以下为响应示例:

    { "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ], "includeGlobalResourceTypes": false }, "roleARN": "arn:aws:iam::123456789012:role/config-role", "name": "default" } ] }