选择 Amazon Config 所记录的资源 - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

选择 Amazon Config 所记录的资源

Amazon Config持续检测何时创建、更改或删除支持的资源类型。 Amazon Config将这些事件记录为配置项目。您可以自定义Amazon Config以记录所有支持的资源类型的配置更改,或者仅记录与您相关的支持资源类型的配置更改。有关Amazon Config可以记录的支持资源类型的列表,请参见支持的资源类型

注意

Amazon Config评估次数众多

与随后的几个月相比,在使用 Amazon Config 录制的第一个月期间,您可能会注意到账户中的活动有所增加。在初始引导过程中,对您账户中选择Amazon Config要记录的所有资源Amazon Config运行评估。

如果您正在运行临时工作负载,则可能会看到活动增加,Amazon Config因为它记录了与创建和删除这些临时资源相关的配置更改。临时工作负载是指在需要时加载和运行的计算资源的临时使用。示例包括亚马逊弹性计算云 (Amazon EC2) 竞价型实例、亚马逊 EMR 任务和。Amazon Auto Scaling如果您想避免因运行临时工作负载而增加的活动,可以在Amazon Config已关闭的单独账户中运行这些类型的工作负载,以避免增加配置记录和规则评估。

注意

地区可用性

在指定Amazon Config要跟踪的资源类型之前,请检查按区域可用性划分的资源覆盖范围,以查看您设置的Amazon区域是否支持该资源类型Amazon Config。如果至少有一个区域支持某种资源类型,则即使您设置的区域不支持指定的资源类型Amazon Config,您也可以在支持的所有Amazon区域中启用该资源类型的记录Amazon Config。Amazon Config

记录所有受支持的资源类型

默认情况下,Amazon Config记录在运行区域中Amazon Config发现的所有当前和未来支持的区域资源类型的配置更改。AmazonAmazon Config添加对新类型的区域资源的支持时,会自动Amazon Config开始记录该类型的资源。区域资源与一个区域绑定,只能在该区域中使用。区域资源的示例包括亚马逊 EC2 实例和亚马逊 EBS 卷。

您还可以使用支持Amazon Config记录的全局记录资源类型。全球记录的资源类型与特定区域无关,可用于所有区域。Amazon Config支持的全球记录资源类型是 IAM 用户、群组、角色和客户托管策略。这些资源类型记录在 2022 年 2 月之前可用的所有启用Amazon Config区域Amazon Config(不包括亚太地区(海得拉巴)、亚太地区(墨尔本)、欧洲(西班牙)、欧洲(苏黎世)、以色列(特拉维夫)和中东(阿联酋))。 Amazon Config还支持 Amazon Elastic Container Registry Public 和 Amazon Route 53 的某些全球资源类型;但是,并非在所有启用Amazon Config区域中都记录这些资源类型。Amazon Global Accelerator

重要

2022 年 2 月之后载入Amazon Config录制的全球资源类型将仅在商业分区的服务主区域和分区的 AmazonGovCloud(美国西部)录制。Amazon GovCloud (US)您只能在其所在区域和 AmazonGovCloud(美国西部)查看这些新的全球资源类型的配置项目。

主页全球资源类型所在区域 2022 年 2 月后入职
Amazon 服务 资源类型值 主区域
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository 美国东部(弗吉尼亚州北部)区域
Amazon Global Accelerator AWS::GlobalAccelerator::Listener 美国西部(俄勒冈州)区域
AWS::GlobalAccelerator::EndpointGroup 美国西部(俄勒冈州)区域
AWS::GlobalAccelerator::Accelerator 美国西部(俄勒冈州)区域
Amazon Route 53 AWS::Route53::HostedZone 美国东部(弗吉尼亚州北部)区域
AWS::Route53::HealthCheck 美国东部(弗吉尼亚州北部)区域

记录特定的资源类型

如果您不Amazon Config想记录所有支持的资源类型的配置更改,则可以自定义Amazon Config为仅记录您指定的资源类型的配置更改。使用以下记录策略之一来记录特定资源类型的配置更改:

  • 仅限您指定的资源类型。

  • 所有支持的资源类型,您指定从录制中排除的资源类型除外。

有关选择要记录的特定资源类型的更多信息,请参阅选择资源(控制台)选择资源(AmazonCLI)

如果未记录某个资源,Amazon Config 将仅记录该资源的创建和删除,而不会提供其他详细信息,且您无需支付任何费用。创建或删除未记录的资源时,Amazon Config会发送通知,并在资源详细信息页面上显示该事件。未记录资源的详细信息页面为大多数配置详细信息提供空值,并且不提供有关关系和配置更改的信息。

由于缺少未记录资源的数据,Amazon Config提供记录资源的关系信息不受限制。如果记录的资源与未记录的资源相关,则该关系将在已记录资源的详细信息页面中提供。

您可以随时停止录Amazon Config制某种类型的资源。在 Amazon Config 停止记录某个资源后,它会保留之前捕获的配置信息,并且您可继续访问此类信息。

您只能使用Amazon Config规则来评估Amazon Config记录的资源的合规性。

选择资源 (控制台)

您可以使用 Amazon Config 控制台选择 Amazon Config 记录的资源类型。

选择资源
  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Config 控制台:https://console.aws.amazon.com/config/

  2. 打开 Settings 页面:

    • 如果您在支持Amazon Config规则的区域Amazon Config中使用,请在导航窗格中选择设置。有关中支持的区域、Amazon Config终端节点和配额的列表Amazon Web Services 一般参考

    • 否则,请选择资源清单页面上的设置图标 ( 
            settings icon
          )。

  3. 在 “要记录的资源类型” 部分中,指定Amazon Config要记录的Amazon资源类型:

    • 记录该区域支持的所有当前和未来资源类型-Amazon Config 将记录所有支持的区域资源类型的配置更改。Amazon Config添加对新区域资源类型的支持时,会自动Amazon Config开始记录该类型的资源。

      • 包括全球记录的资源类型-全球记录的资源类型为 IAM 用户、群组、角色和客户托管策略。这些资源类型记录在 2022 年 2 月之前可用的所有启用Amazon Config区域Amazon Config(不包括亚太地区(海得拉巴)、亚太地区(墨尔本)、欧洲(西班牙)、欧洲(苏黎世)、以色列(特拉维夫)和中东(阿联酋))。

    • 记录所有包含排除项的当前和未来资源类型-Amazon Config 将记录所有当前和未来支持的资源类型的配置更改,您指定从记录中排除的资源类型除外。如果您选择停止录制某个资源类型,则已录制的配置项目将保持不变。

      注意

      除非明确列为例外情况,否则全球记录的资源类型(IAM 用户、群组、角色和客户管理策略)将在 2022 年 2 月之前可用的所有启用Amazon Config区域Amazon Config(不包括亚太地区(海得拉巴)、亚太地区(墨尔本)、欧洲(西班牙)、欧洲(苏黎世)、以色列(特拉维夫)和中东(阿联酋))中自动记录。

    • 记录特定的资源类型-仅Amazon Config记录您指定的资源类型的配置更改。如果您选择停止录制某个资源类型,则已录制的配置项目将保持不变。

  4. 保存您的更改:

    • 如果您在支持Amazon Config规则的区域Amazon Config中使用,请选择保存

    • 否则,请选择 Continue。在 Amazon ConfigConfig 请求读取资源配置页面的权限中,选择 Allo w

选择资源 (Amazon CLI)

您可以使用 Amazon CLI 选择您希望 Amazon Config 记录的资源类型。为此,您可以创建一个配置记录器,以记录您在记录组中指定的资源类型。在录制组中,您可以指定是要录制所有支持的资源类型,还是要包含或排除特定类型的资源。

选择所有受支持的资源
  1. 使用以下 put-configuration-recorder 命令:

    $ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role --recording-group file://recordingGroup.json

    此命令使用以下字段作为--recording-group参数:

    • allSupported=true— Amazon Config 记录所有支持的区域资源类型的配置更改。Amazon Config添加对新类型的区域资源的支持时,会自动Amazon Config开始记录该类型的资源。

    • includeGlobalResourceTypes=true— Amazon Config 包括全球记录的资源类型(IAM 用户、群组、角色和客户托管策略)。这些资源类型记录在 2022 年 2 月之前可用的所有启用Amazon Config区域Amazon Config(不包括亚太地区(海得拉巴)、亚太地区(墨尔本)、欧洲(西班牙)、欧洲(苏黎世)、以色列(特拉维夫)和中东(阿联酋))。

      • 在将此字段设置为之前true,请先将该allSupported字段设置为true。或者,您也可以将的useOnly字段设置RecordingStrategyALL_SUPPORTED_RESOURCE_TYPES

      • 如果您不想包含全局资源,请将此字段设置为或省略该字段。false

    • recordingStrategy— 或者,您可以将的useOnly字段设置为 f ALL_SUPPORTED_RESOURCE_TYPES o Amazon Config r RecordingStrategy 以记录所有支持的资源类型的配置更改。

      注意

      将的recordingStrategy字段设置为时,该allSupported字段是可选--recording-grouptrue

    recordingGroup.json文件指定Amazon Config将记录哪些类型的资源。

    { "allSupported": true, "recordingStrategy": { "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" }, "includeGlobalResourceTypes": true }
  2. (可选)要验证您的配置记录器是否具有所需的设置,请使用以下describe-configuration-recorders命令。

    $ aws configservice describe-configuration-recorders

    以下为响应示例。

    { "ConfigurationRecorders": [ { "name": "default" "recordingGroup": { "allSupported": true, "exclusionByResourceTypes": { "resourceTypes": [] }, "includeGlobalResourceTypes": true, "recordingStrategy": { "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" }, "resourceTypes": [], }, "roleARN": "arn:aws:iam::123456789012:role/config-role", } ] }
要仅选择您指定的资源类型
  1. 使用put-configuration-recorder命令,在的resourceTypes字段中传递一种或多种资源类型recordingGroup,如以下示例所示。

    $ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole --recording-group file://recordingGroup.json

    recordingGroup.json文件指定Amazon Config将记录哪些类型的资源。

    { "allSupported": false, "recordingStrategy": { "useOnly": "INCLUSION_BY_RESOURCE_TYPES" }, "includeGlobalResourceTypes": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ] }

    在指定要包含在录制中的资源类型之前,必须将allSupportedincludeGlobalResourceTypes字段设置为false或省略它们。

    注意

    当您在的recordingStrategy字段中列出资源类型时,该resourceTypes字段是可选的--recording-group

  2. (可选)要验证您的配置记录器是否具有所需的设置,请使用以下describe-configuration-recorders命令。

    $ aws configservice describe-configuration-recorders

    以下为响应示例。

    { "ConfigurationRecorders": [ { "name": "default", "recordingGroup": { "allSupported": false, "exclusionByResourceTypes": { "resourceTypes": [] }, "includeGlobalResourceTypes": false "recordingStrategy": { "useOnly": "INCLUSION_BY_RESOURCE_TYPES" }, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ] }, "roleARN": "arn:aws:iam::123456789012:role/config-role" } ] }
选择指定类型之外的所有支持的资源
  1. 使用put-configuration-recorder命令,在的resourceTypes字段中传递一个或多个要排除的资源类型exclusionByResourceTypes,如以下示例所示。

    $ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole --recording-group file://recordingGroup.json

    recordingGroup.json文件指定Amazon Config将记录哪些类型的资源。

    { "allSupported": false, "exclusionByResourceTypes": { "resourceTypes": [ "AWS::Redshift::ClusterSnapshot", "AWS::RDS::DBClusterSnapshot", "AWS::CloudFront::StreamingDistribution" ] }, "includeGlobalResourceTypes": false, "recordingStrategy": { "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" }, }

    在指定要在录制中排除的资源类型之前:

    • 必须将--recording-group参数的allSupportedincludeGlobalResourceTypes字段设置为false或省略它们。

    • 必须将的useOnly字段设置RecordingStrategyEXCLUSION_BY_RESOURCE_TYPES

    注意

    如果您选择EXCLUSION_BY_RESOURCE_TYPES录制策略,则该exclusionByResourceTypes字段将覆盖请求中的其他属性。

    例如,即使您设置为 includeGlobalResourceTypes false,全局资源类型仍将自动记录在此选项中,除非这些资源类型在的resourceTypes字段中被特别列为豁免exclusionByResourceTypes

    默认情况下,如果您选择EXCLUSION_BY_RESOURCE_TYPES录制策略,则在您设置配置记录器的区域(包括全局资源类型)中Amazon Config添加对新资源类型的支持时,会自动Amazon Config开始记录该类型的资源。

  2. (可选)要验证您的配置记录器是否具有所需的设置,请使用以下describe-configuration-recorders命令。

    $ aws configservice describe-configuration-recorders

    以下为响应示例。

    { "ConfigurationRecorders": [ { "name": "default", "recordingGroup": { "allSupported": false, "exclusionByResourceTypes": { "resourceTypes": [ "AWS::Redshift::ClusterSnapshot", "AWS::RDS::DBClusterSnapshot", "AWS::CloudFront::StreamingDistribution" ] }, "includeGlobalResourceTypes": false, "recordingStrategy": { "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" }, "resourceTypes": [], }, "roleARN": "arn:aws:iam::123456789012:role/config-role" } ] }

Amazon Config规则和全局资源类型

在 2022 年 2 月之前可用的所有支持区域Amazon Config中记录在 2022 年 2 月之前载入的Amazon Config全球资源类型(AWS::IAM::GroupAWS::IAM::Role、、和AWS::IAM::User)。AWS::IAM::Policy这意味着定期报告这些全球资源合规性的规则将继续在所有支持的区域运行评估,即使在您尚未启用全球资源记录的区域也是如此。

注意

定期规则可以在Amazon Config录制不支持的资源上运行,也可以在不启用配置记录器的情况下运行。定期规则不依赖于配置项目。有关定期规则与变更触发的规则有何不同之处的更多信息,请参阅为规则指定触发器。Amazon Config

如果您没有记录在 2022 年 2 月之前加入的全球资源类型,建议您不要启用以下定期规则,以避免不必要的成本:

报告全球资源合规性的最佳实践

如果您要记录 2022 年 2 月之前加入的全球资源类型(AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::Role、和AWS::IAM::User),则应仅在其中一个支持的区域部署包含这些全球资源的Amazon Config规则和一致性包,以避免成本和 API 限制。这适用于常规Amazon Config规则、组织Amazon Config规则,也适用于其他Amazon服务创建的规则,例如Amazon Security Hub和Amazon Control Tower。

2022 年 2 月之后载入Amazon Config录制的全球资源类型将仅在商业分区的服务主区域和分区的 AmazonGovCloud(美国西部)录制。Amazon GovCloud (US)您应仅在资源类型的主区域中部署这些全球资源范围内的Amazon Config规则和一致性包。有关更多信息,请参阅 202 2 年 2 月后入驻的全球资源类型所在区域