使用 Amazon Config 记录 Amazon 资源
Amazon Config 将持续检测受支持资源类型的创建、更改或删除时间。Amazon Config 会将这些事件记录为配置项(CI)。
您可以自定义,Amazon Config以使其记录所有受支持类型的资源的配置更改,或仅记录与您相关的资源类型的配置更改。有关 Amazon Config 可以记录的受支持资源类型的列表,请参阅 Amazon Config 支持的资源类型
注意事项
大量 Amazon Config 评估
您可能会注意到,在最初使用 Amazon Config 记录的一个月中,账户活动会多于随后的几个月。在初始引导过程中,Amazon Config 会对您账户中选择的、需要 Amazon Config 记录的所有资源进行评估。
如果您运行的是临时工作负载,则可能会看到 Amazon Config 中的活动增加,因为它会记录与创建和删除这些临时资源相关的配置更改。临时工作负载 是临时使用在需要时加载和运行的计算资源。示例包括 Amazon Elastic Compute Cloud(Amazon EC2)竞价型实例、Amazon EMR 任务和 Amazon Auto Scaling。
如果您想避免因运行临时工作负载而导致活动增加,则可以设置客户管理的配置记录器,将这些资源类型排除在记录范围之外,或者在单独的账户中运行这些类型的工作负载,同时将 Amazon Config 关闭,以避免增加配置记录和规则评估。
区域可用性
在指定 Amazon Config 要跟踪的资源类型之前,请检查按区域可用性列出的资源覆盖范围,以查看您设置 Amazon Config 的 Amazon 区域是否支持该资源类型。
如果 Amazon Config 至少在一个区域支持某种资源类型,则即使您设置 Amazon Config 的 Amazon 区域不支持指定的资源类型,您也可以在 Amazon Config 支持的所有区域中启用该资源类型的记录。
区域性资源和全局资源有什么区别?
- 区域性资源
-
区域性资源与某个区域相关联,且仅可在该区域中使用。您在指定 Amazon Web Services 区域中创建它们,然后它们就存在于该区域中。要查看这些资源或与之交互,您必须将操作定向到该区域。例如,要使用 Amazon Web Services 管理控制台创建 Amazon EC2 实例Amazon Web Services 区域,应选择要在中创建实例的。如果您使用 Amazon Command Line Interface(Amazon CLI)创建实例,则需要包含
--region参数。每个 Amazon SDK 都有自己的等效机制来指定操作所用的区域。使用区域性资源有几个原因。原因之一是要确保资源以及您用来访问资源的服务终端节点尽可能靠近客户。这通过最大限度减少延迟来提高性能。另一个原因是为了提供隔离边界。这样,您可以在多个区域中创建独立的资源副本,以分配负载并提高可扩展性。同时,它可以将资源相互隔离,以提高可用性。
如果您在控制台或 Amazon CLI 命令中指定不同的,Amazon Web Services 区域则无法再查看在前一个区域中可以看到的资源或与之交互。
当您查看区域资源的 Amazon 资源名称(ARN)时,包含该资源的区域被指定为 ARN 中的第四个字段。例如,Amazon EC2 实例是一种区域性资源。以下是面向
us-east-1区域中 Amazon EC2 实例的 ARN 示例。arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee - 全局资源
-
有些 Amazon 服务资源是全局资源,这意味着您可以从任何地方 使用该资源。您无需在全局服务的控制台中指定。Amazon Web Services 区域要访问全局资源,在使用服务的 Amazon CLI 和 Amazon SDK 操作时请勿指定
--region参数。全局资源支持在关键时刻某一特定资源只能存在一个实例的情况。在这些情况下,在不同区域的副本之间进行复制或同步是不够的。为了确保资源使用者能即时看到任何变化,访问单一全局终端节点被认为是可以接受的,虽然可能会增加延迟。
例如,Amazon Aurora 全局集群(
AWS::RDS::GlobalCluster)是全局资源,因此与区域无关。这意味着您无需依赖区域终端节点即可创建全局集群。好处是,虽然 Amazon Relational Database Service(Amazon RDS)本身是按区域组织的,但全局集群所源自的特定区域不会影响全局集群。它以单个连续的全局集群形式出现在所有区域。全局资源的 Amazon 资源名称(ARN)不包括区域。第四个字段为空,例如以下全局集群的 ARN 示例。
arn:aws:rds::123456789012:global-cluster:test-global-cluster重要
2022 年 2 月之后载入 Amazon Config 的全局资源类型将仅在服务的主区域中(对于商业分区)和 Amazon GovCloud(美国西部)中(对于 GovCloud 分区)进行记录。您只能在主区域和 Amazon GovCloud(美国西部)查看这些新全局资源类型的配置项(CI)。
2022 年 2 月之前载入的全局资源类型(
AWS::IAM::Group、AWS::IAM::Policy、AWS::IAM::Role和AWS::IAM::User)保持不变。您可以在 2022 年 2 月之前支持 Amazon Config 的所有区域启用这些全局 IAM 资源的记录。在 2022 年 2 月之后支持 Amazon Config 的区域中,无法记录这些全局 IAM 资源。- 全局资源类型 | IAM 资源
-
以下 IAM 资源类型是全局资源:IAM 用户、组、角色和客户管理型策略。这些资源类型可以在 2022 年 2 月之前 Amazon Config 可用的区域中由 Amazon Config 进行记录。无法记录全局 IAM 资源类型的区域列表中包含以下区域:亚太地区(海得拉巴)、亚太地区(马来西亚)、亚太地区(墨尔本)、亚太地区(泰国)、加拿大西部(卡尔加里)、欧洲(西班牙)、欧洲(苏黎世)、以色列(特拉维夫)、墨西哥(中部)和中东(阿联酋)。
为避免配置项(CI)重复,您应考虑仅在一个支持的区域内记录全局 IAM 资源类型。这还可以帮助您避免不必要的评估和 API 节流。
- 全局资源类型 | 仅限主区域
-
以下服务的全局资源仅由 Amazon Config 记录在全局资源类型的主区域中:Amazon Elastic Container Registry Public、Amazon Global Accelerator、Amazon Route 53、Amazon CloudFront 和 Amazon WAF。对于这些全局资源,可以在多个 Amazon 区域中使用资源类型的相同实例,但是配置项(CI)仅记录在商业分区的主区域或 Amazon GovCloud (US) 分区的 Amazon GovCloud(美国西部)区域。
全局资源类型的主区域 Amazon 服务 资源类型值 主区域 Amazon Elastic Container Registry Public AWS::ECR::PublicRepository美国东部(弗吉尼亚州北部)区域 Amazon Global Accelerator AWS::GlobalAccelerator::Listener美国西部(俄勒冈州)区域 AWS::GlobalAccelerator::EndpointGroup美国西部(俄勒冈州)区域 AWS::GlobalAccelerator::Accelerator美国西部(俄勒冈州)区域 Amazon Route 53 AWS::Route53::HostedZone美国东部(弗吉尼亚州北部)区域 AWS::Route53::HealthCheck美国东部(弗吉尼亚州北部)区域 Amazon CloudFront AWS::CloudFront::Distribution美国东部(弗吉尼亚州北部)区域 Amazon WAF AWS::WAFv2::WebACL美国东部(弗吉尼亚州北部)区域 - 全局资源类型 | Aurora 全局集群
-
AWS::RDS::GlobalCluster是一种全局资源,记录在所有已启用客户管理的配置记录器的受支持 Amazon Config 区域中。这种全局资源类型的独特之处在于,如果您在一个区域中启用对此资源的记录,Amazon Config 将在所有已启用的区域中记录该资源类型的配置项(CI)。如果您不想在所有已启用的区域中记录,
AWS::RDS::GlobalCluster请使用以下适用于 Amazon Config 控制台的记录策略之一:-
记录所有资源类型,并使用可自定义的覆盖,选择“Amazon RDS GlobalCluster”,然后选择“从记录中排除”覆盖方法
-
记录特定的资源类型()。
如果您不想在所有已启用的区域中记录,
AWS::RDS::GlobalCluster请使用以下适用于 API/CLI 的记录策略之一:-
记录所有当前和未来的资源类型,排除项除外(
EXCLUSION_BY_RESOURCE_TYPES) -
记录特定的资源类型(
INCLUSION_BY_RESOURCE_TYPES)。
-
Amazon Config 规则和全局资源类型
2022 年 2 月之前载入的全局 IAM 资源类型(AWS::IAM::Group、AWS::IAM::Policy、AWS::IAM::Role 和 AWS::IAM::User)只能由 Amazon Config 在 2022 年 2 月之前 Amazon Config 已可用的区域中进行记录。在 2022 年 2 月之后支持 Amazon Config 的区域中,无法记录这些全局 IAM 资源类型。有关这些区域的列表,请参阅记录 Amazon 资源 | 全球资源。
如果您至少在一个区域记录全局 IAM 资源类型,则报告全局 IAM 资源类型合规性的定期规则将在添加定期规则的所有区域运行评估,即使您尚未在已添加定期规则的区域启用全局 IAM 资源类型的记录,也是如此。
在 2022 年 2 月之前报告载入的全局资源的最佳实践
为避免不必要的评估,您只能在支持的某个区域中部署具有这些全局资源的 Amazon Config 规则和合规包。有关哪些区域支持哪些托管规则的列表,请参阅按区域可用性列出的 Amazon Config 托管规则列表。这适用于 Amazon Config 规则、组织 Amazon Config 规则以及由其他 Amazon 服务(例如 Amazon Security Hub CSPM 和 Amazon Control Tower)创建的规则。
如果您没有记录 2022 年 2 月之前载入的全局资源类型,建议您不要启用以下定期规则,以避免不必要的评估:
在 2022 年 2 月之后报告载入的全局资源的最佳实践
2022 年 2 月之后载入 Amazon Config 记录的全局资源类型,将仅在服务的主区域中(对于商业分区)和 Amazon GovCloud(美国西部)中(对于 Amazon GovCloud (US) 分区)进行记录。您应仅在资源类型的主区域中部署具有这些范围内全局资源的 Amazon Config 规则和合规性包。有关更多信息,请参阅全局资源类型的主区域。
Amazon Config 记录频率
Amazon Config 支持连续记录 和每日记录。连续记录可让您在每次发生配置更改时连续记录更改。使用每日记录,您将收到代表过去 24 小时内资源的最新状态的配置项(CI),前提是它与之前记录的 CI 不同。有关如何更改录制频率的步骤,请参阅更改录制频率。
连续记录
连续记录的部分优势包括:
-
实时监控:连续记录可以立即检测未经授权的更改或意外改动,从而提升您的安全性和合规性。
-
详细分析:连续记录可以让您在资源配置更改发生时对其进行深入分析,确定当下的模式和趋势。
每日记录
每日记录的部分优势包括:
-
最大限度减少干扰:每日记录可以为您提供更易于管理的信息流,从而减少通知频率和警报疲劳。
-
成本效益:每日记录可以让您灵活地以较低的频率记录资源更改,从而降低与记录的配置更改数量相关的成本。
注意
Amazon Firewall Manager 依赖连续记录来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。
未记录的资源
如果未记录某个资源,Amazon Config 将仅记录该资源的创建和删除,而不会提供其他详细信息,且您无需支付任何费用。当某个未记录资源被创建或删除时,Amazon Config 将发送通知,并在资源详细信息页面显示该事件。在未记录资源的详细信息页面上,大多数配置详细信息的值为 null,且不会显示关于关系和配置更改的信息。
由于未记录资源的数据缺失,因此 Amazon Config 为已记录资源提供的关系信息不受限制。如果某个已记录资源与未记录资源相关联,则已记录资源的详细信息页面会提供相应的关系信息。
IAM 资源类型注意事项
仅当资源被选为或以前被选为要在客户管理的配置记录器中记录的资源时,AWS::IAM::User、AWS::IAM::Policy、
AWS::IAM::Group、AWS::IAM::Role 资源类型才会捕获创建(ResourceNotRecorded)和删除(ResourceDeletedNotRecorded)状态。
未记录资源的 CI 记录时间表
ResourceNotRecorded 和 ResourceDeletedNotRecorded 的配置项目(CI)不遵循资源类型的典型录制时间。这些资源类型仅在客户管理的配置记录器的定期基准化过程中进行记录,与其他资源类型相比,该过程的频率较低。这意味着创建和删除通知不是在创建或删除时发送的,而是在基准化过程中发送的。
CI 交付和服务相关记录器范围
对于服务相关配置记录器,记录范围决定您是否在传送通道中收到配置项(CI)。记录范围由关联到配置记录器的服务设置。如果记录范围是内部,则您不会在传输通道中收到 CI。