录制 Amazon 资源 - Amazon Config
注意事项区域性资源和全局资源记录资源(控制台)录制资源 (Amazon CLI)记录频率停止记录未记录的资源Amazon Config 规则和全局资源类型
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

录制 Amazon 资源

Amazon Config 持续检测何时创建、更改或删除支持的资源类型。 Amazon Config 将这些事件记录为配置项目 (CI)。您可以自定义 Amazon Config ,以使其记录所有受支持类型的资源的配置更改,或仅记录与您相关的资源类型的配置更改。有关 Amazon Config 可以记录的支持资源类型的列表,请参阅支持的资源类型

注意事项

Amazon Config 评估次数多

与随后的几个月相比,您可能会注意到,在使用 Amazon Config 记录的最初一个月中,您的账户活动有所增加。在初始引导过程中, Amazon Config 会对您账户中您选择 Amazon Config 要记录的所有资源进行评估。

如果您运行的是临时工作负载,则可能会看到活动增加, Amazon Config 因为它记录了与创建和删除这些临时资源相关的配置更改。临时工作负载 是临时使用在需要时加载和运行的计算资源。示例包括 Amazon Elastic Compute Cloud (Amazon EC2) 竞价型实例、Amazon EMR 任务和 Amazon Auto Scaling。如果要避免因运行临时工作负载而增加的活动,则可以设置配置记录器以将这些资源类型排除在记录之外,或者在 Amazon Config 关闭的情况下在单独的帐户中运行这些类型的工作负载,以避免增加配置记录和规则评估。

区域可用性

在指定 Amazon Config 要跟踪的资源类型之前,请检查按区域划分的资源覆盖率,以查看您设置的 Amazon 区域是否支持该资源类型 Amazon Config。如果至少有一个区域支持某种资源类型,则即使您设置的区域不支持指定的资源类型 Amazon Config,您也可以在支持的所有 Amazon 区域中启用该资源类型的记录 Amazon Config。 Amazon Config

区域性资源和全局资源有什么区别?

区域性资源

区域性资源与某个区域相关联,且仅可在该区域中使用。你在指定的区域中创建它们 Amazon Web Services 区域,然后它们就存在于该区域中。要查看这些资源或与之交互,您必须将操作定向到该区域。例如,要使用创建 Amazon EC2 实例 Amazon Web Services 区域,请选择要在中创建实例的。 Amazon Web Services Management Console如果您使用 Amazon Command Line Interface (Amazon CLI) 创建实例,则需要包含--region参数。每个 Amazon SDK 都有自己的等效机制来指定操作使用的区域。

使用区域性资源有几个原因。原因之一是要确保资源以及您用来访问资源的服务终端节点尽可能靠近客户。这通过最大限度减少延迟来提高性能。另一个原因是为了提供隔离边界。这样,您可以在多个区域中创建独立的资源副本,以分配负载并提高可扩展性。同时,它可以将资源相互隔离,以提高可用性。

如果您在控制台或 Amazon CLI 命令 Amazon Web Services 区域 中指定其他内容,则无法再查看在前一个区域中可以看到的资源或与之交互。

当您查看区域资源的 Amazon 资源名称(ARN)时,包含该资源的区域被指定为 ARN 中的第四个字段。例如,Amazon EC2 实例是一种区域性资源。以下是面向 us-east-1 区域中 Amazon EC2 实例的 ARN 示例。

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
全局资源

有些 Amazon 服务资源是全球资源,这意味着您可以从任何地方使用该资源。您无需在全局服务的控制台中指定 Amazon Web Services 区域 。要访问全局资源,在使用服务 Amazon CLI 和 Amazon SDK 操作时无需指定--region参数。

全局资源支持在关键时刻某一特定资源只能存在一个实例的情况。在这些情况下,在不同区域的副本之间进行复制或同步是不够的。为了确保资源使用者能即时看到任何变化,访问单一全局终端节点被认为是可以接受的,虽然可能会增加延迟。

例如,Amazon Aurora 全局集群 (AWS::RDS::GlobalCluster) 是全局资源,因此与区域无关。这意味着您无需依赖区域终端节点即可创建全局集群。好处是,虽然 Amazon Relational Database Service (Amazon RDS) 本身是按区域组织的,但全局集群所源自的特定区域不会影响全局集群。它以单个连续的全局集群形式出现在所有区域。

全局资源的 Amazon 资源名称 (ARN) 不包括区域。第四个字段为空,例如以下全局集群的 ARN 示例。

arn:aws:rds::123456789012:global-cluster:test-global-cluster
重要

2022 年 2 月 Amazon Config 之后加入的全球资源类型将仅记录在服务主区域(商业分区)和分区 Amazon GovCloud (美国西部)中。 GovCloud 您只能在其所在地区和(美国西部)查看这些新的全球资源类型的配置项目 Amazon GovCloud (CI)。

2022 年 2 月之前载入的全局资源类型(AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::RoleAWS::IAM::User)保持不变。您可以在 2022 年 2 月之前支持的所有区域启用这些全球 IAM 资源的记录。 Amazon Config 2022 年 2 月 Amazon Config 之后,这些全球 IAM 资源无法记录在支持的区域中。

全局资源类型 | IAM 资源

以下 IAM 资源类型是全局资源:IAM 用户、组、角色和客户管理型策略。这些资源类型可以在 2022 Amazon Config 年 2 月之前可用的区域 Amazon Config 中进行记录。有关这些区域的列表,请参阅录制 Amazon 资源 | 全球资源

为防止重复的配置项目 (CI),您应考虑仅在其中一个支持的区域中记录一次全球 IAM 资源类型。这还可以帮助您避免不必要的评估和 API 节流。

全局资源类型 | 仅限主区域

以下服务的全球资源仅按 Amazon Config 全球资源类型的主区域记录:亚马逊弹性容器注册表公共区域、 Amazon Global Accelerator Amazon Route 53 CloudFront、Amazon 和 Amazon WAF。对于这些全球资源,可以在多个 Amazon 区域中使用同一资源类型的实例,但是配置项目 (CI) 仅记录在商业分区的本地区域或分区的 Amazon GovCloud (美国西部)中 Amazon GovCloud (US) 。

全局资源类型的主区域
Amazon 服务 资源类型值 主区域
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository 美国东部(弗吉尼亚州北部)区域
Amazon Global Accelerator AWS::GlobalAccelerator::Listener 美国西部(俄勒冈州)区域
AWS::GlobalAccelerator::EndpointGroup 美国西部(俄勒冈州)区域
AWS::GlobalAccelerator::Accelerator 美国西部(俄勒冈州)区域
Amazon Route 53 AWS::Route53::HostedZone 美国东部(弗吉尼亚州北部)区域
AWS::Route53::HealthCheck 美国东部(弗吉尼亚州北部)区域
Amazon CloudFront AWS::CloudFront::Distribution 美国东部(弗吉尼亚州北部)区域
Amazon WAF AWS::WAFv2::WebACL 美国东部(弗吉尼亚州北部)区域
全局资源类型 | Aurora 全局集群

AWS::RDS::GlobalCluster是一种全球资源,记录在启用配置记录器的所有支持 Amazon Config 区域中。这种全局资源类型的独特之处在于,如果您在一个区域启用此资源的记录,则 Amazon Config 将在所有已启用的区域中记录该资源类型的配置项目 (CI)。

如果您不想AWS::RDS::GlobalCluster在所有已启用的区域进行录制,请在 Amazon Config 控制台使用以下录制策略之一:

  • 使用可自定义的替代项录制所有资源类型,选择 GlobalCluster “Amazon RDS”,然后选择替代 “从录制中排除”

  • 记录特定的资源类型

如果您不想在所有已启用的区域中记录 AWS::RDS::GlobalCluster,请使用以下适用于 API/CLI 的记录策略之一:

  • 记录所有当前和未来的资源类型,排除项除外 (EXCLUSION_BY_RESOURCE_TYPES)

  • 记录特定的资源类型 (INCLUSION_BY_RESOURCE_TYPES)。

在 Amazon Config 控制台中录制资源

您可以使用 Amazon Config 控制台选择要 Amazon Config 记录的资源类型。

选择资源

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/

  2. 在左侧导航窗格上,选择设置,然后选择编辑。有关支持的区域列表,请参见 Amazon Web Services 一般参考 中的 Amazon Config 端点和配额

  3. 记录方法部分,选择记录策略。您可以指定 Amazon Config 要记录的 Amazon 资源。

    All resource types with customizable overrides

    设置 Amazon Config 为记录该区域所有当前和 future 支持的资源类型的配置更改。您可以覆盖特定资源类型的记录频率,也可以从记录中排除特定资源类型。有关更多信息,请参阅支持的资源类型

    • 默认设置

      为所有当前和未来支持的资源类型配置默认记录频率。有关更多信息,请参阅记录频率

      • 连续录制 — Amazon Config 每当发生更改时,都会持续记录配置更改。

      • 每日记录 - 您会收到代表过去 24 小时内资源的最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。

      注意

      Amazon Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

    • 覆盖设置

      覆盖特定资源类型的记录频率,或从记录中排除特定资源类型。如果您更改某一资源类型的记录频率或停止记录某一资源类型,则已记录的配置项会保持不变。

      注意

      全局资源类型 | Aurora 全局集群最初包含在记录范围内

      AWS::RDS::GlobalCluster资源类型将在启用配置记录器的所有支持 Amazon Config 区域中进行记录。

      如果您不想在所有已启用的区域中记录 AWS::RDS::GlobalCluster,请选择“Amazon RDS GlobalCluster”,然后选择“从记录中排除”覆盖方法。

      注意

      全局资源类型 | IAM 资源类型最初不包含在记录范围内

      为了帮您降低成本,“所有全局记录的 IAM 资源类型”最初都不包含在记录范围内。此捆绑包包括 IAM 用户、组、角色和客户管理型策略。选择移除以删除覆盖,并将这些资源包含在您的记录范围内。

      美国东部(弗吉尼亚州北部)除外。全局 IAM 资源类型最初包含在美国东部(弗吉尼亚州北部)区域内,因为该区域是全局 IAM 资源类型的主区域。

      此外,全球 IAM 资源类型(AWS::IAM::UserAWS::IAM::GroupAWS::IAM::Role、和AWS::IAM::Policy)不能记录在 2022 年 2 月 Amazon Config 之后支持的区域中。有关这些区域的列表,请参阅录制 Amazon 资源 | 全球资源

      注意

      限制

      您可以添加最多 100 项频率覆盖和 600 项排除覆盖。

      以下资源类型不支持每日记录:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

    Specific resource types

    设置 Amazon Config 为仅记录您指定的资源类型的配置更改。

    • 特定的资源类型

      选择要记录的资源类型及其频率。有关更多信息,请参阅记录频率

      • 连续录制 — Amazon Config 每当发生更改时,都会持续记录配置更改。

      • 每日记录 - 您会收到代表过去 24 小时内资源的最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。

      注意

      Amazon Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

      如果您更改某一资源类型的记录频率或停止记录某一资源类型,则已记录的配置项会保持不变。

    注意

    区域可用性

    在指定 Amazon Config 要跟踪的资源类型之前,请检查按区域划分的资源覆盖率,以查看您设置的 Amazon 区域是否支持该资源类型 Amazon Config。如果至少有一个区域支持某种资源类型,则即使您设置的区域不支持指定的资源类型 Amazon Config,您也可以在支持的所有 Amazon 区域中启用该资源类型的记录 Amazon Config。 Amazon Config

    注意

    限制

    如果所有资源类型的频率都相同,则没有限制。如果至少将一种资源类型设置为“持续”,则最多可以添加 100 种频率为“每日”的资源类型。

    以下资源类型不支持“每日”频率:

    • AWS::Config::ResourceCompliance

    • AWS::Config::ConformancePackCompliance

    • AWS::Config::ConfigurationRecorder

  4. 选择 保存 以保存您的更改。

使用 Amazon CLI 录制资源

您可以使用 C Amazon LI 来选择 Amazon Config 要记录的资源类型。为此,您可以创建一个配置记录器,以记录您在记录组中指定的资源类型。在记录组中,您可以指定是要记录所有受支持的资源类型,还是包括或排除特定类型的资源。

Record all current and future supported resource types

设置 Amazon Config 为记录该区域所有当前和 future 支持的资源类型的配置更改。有关更多信息,请参阅支持的资源类型

  1. 使用以下 put-configuration-recorder 命令:

    $ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

    此命令使用--configuration-recorder---recording-group字段。

    注意

    录制组和配置记录器

    --recording-group 字段指定要记录哪些资源类型。

    --configuration-recorder字段指定nameroleArn以及配置记录器的默认录制频率 (recordingMode)。您也可以使用此字段来覆盖特定资源类型的记录频率。

    1. put-configuration-recorder 使用 --recording-group 参数的以下字段:

      • allSupported=true— Amazon Config 记录所有支持的资源类型的配置更改,不包括全球 IAM 资源类型。 Amazon Config 添加对新资源类型的支持后,会自动 Amazon Config 开始记录该类型的资源。

      • includeGlobalResourceTypes=true – 此选项是一个捆绑包,仅适用于全局 IAM 资源类型:IAM 用户、组、角色和客户管理型策略。这些全球 IAM 资源类型只能在 2022 年 2 月之前可用的 Amazon Config 区域 Amazon Config 中进行记录。2022 年 2 月 Amazon Config 之后,您无法在支持的区域中记录全球 IAM 资源类型。有关这些区域的列表,请参阅录制 Amazon 资源 | 全球资源

        重要

        Aurora 全局集群记录在所有已启用的区域中

        AWS::RDS::GlobalCluster资源类型将记录在启用配置记录器的所有支持 Amazon Config 区域,即使includeGlobalResourceTypes未设置为trueincludeGlobalResourceTypes 选项是一个捆绑包,仅适用于 IAM 用户、组、角色和客户管理型策略。

        如果您不想在所有已启用的区域中记录 AWS::RDS::GlobalCluster,请使用以下记录策略之一:

        1. 记录所有当前和未来的资源类型,您指定的类型除外 (EXCLUSION_BY_RESOURCE_TYPES),或者

        2. 记录特定的资源类型 (INCLUSION_BY_RESOURCE_TYPES)。

        有关更多信息,请参阅选择所记录的资源 | 区域性资源和全局资源

        重要

        包含GlobalResourceTypes 和排除记录策略

        includeGlobalResourceTypes字段对EXCLUSION_BY_RESOURCE_TYPES录制策略没有影响。这意味着,当设置为exclusionByResourceTypesincludeGlobalResourceTypes,全球 IAM 资源类型(IAM 用户、群组、角色和客户托管策略)不会自动添加为排除项。false

        includeGlobalResourceTypes字段只能用于修改该AllSupported字段,因为该字段的默认设置是记录除全球 IAM 资源类型之AllSupported外的所有受支持资源类型的配置更改。要在设置为时AllSupported包括全局 IAM 资源类型true,请确保将设置includeGlobalResourceTypestrue

        要排除EXCLUSION_BY_RESOURCE_TYPES录制策略的全球 IAM 资源类型,您需要手动将其添加到的resourceTypes字段中exclusionByResourceTypes

        注意

        必填字段和可选字段

        includeGlobalResourceTypes 设置为 true 之前,请先将 allSupported 字段设置为 true

        也可以将 RecordingStrategyuseOnly 字段设置为 ALL_SUPPORTED_RESOURCE_TYPES

        注意

        覆盖字段

        如果您在的字段中设置includeGlobalResourceTypesfalse但列出了全局 IAM 资源类型 RecordingGroup,则无论您是否 Amazon Config 将该resourceTypes字段设置为 false,仍会记录这些指定资源类型的配置更改。includeGlobalResourceTypes

        如果您不想记录对全局 IAM 资源类型(IAM 用户、组、角色和客户管理型策略)的配置更改,那么除了将 includeGlobalResourceTypes 字段设置为 false 之外,切勿在 resourceTypes 字段中列出这些内容。

      recordingGroup.json 文件指定 Amazon Config 将记录的资源类型。

      {
    "allSupported": true,
    "recordingStrategy": {
        "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": true
}

    2. put-configuration-recorder 使用 --configuration-recorder 参数的以下字段:

      • name— 配置记录器的名称。 Amazon Config 创建配置记录器时会自动分配 “默认” 的名称。

      • roleARN— 由配置记录器担任 Amazon Config 和使用的 IAM 角色的 Amazon 资源名称 (ARN)。

      • recordingMode— 指定用于记录配置更改的 Amazon Config 默认录制频率。 Amazon Config 支持连续录制每日录制。连续记录可让您在每次发生配置更改时连续记录更改。使用每日记录,您将收到代表过去 24 小时内资源的最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。

        • recordingFrequency— Amazon Config 用于记录配置更改的默认录制频率。

          注意

          Amazon Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

        • recordingModeOverrides – 此字段允许您为记录模式指定覆盖。它是一个 recordingModeOverride 对象数组。recordingModeOverrides 数组中的每个 recordingModeOverride 对象都由三个字段组成:

          • description – 您为覆盖提供的描述。

          • recordingFrequency – 将应用于覆盖中指定的所有资源类型的记录频率。

          • resourceTypes— 以逗号分隔的列表,用于指定覆盖中 Amazon Config 包含哪些资源类型。

      注意

      必填字段和可选字段

      put-configuration-recorderrecordingMode 字段是可选的。默认情况下,配置记录器的记录频率被设置为连续记录。

      注意

      限制

      以下资源类型不支持每日记录:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      对于记录所有当前和未来支持的资源类型 (ALL_SUPPORTED_RESOURCE_TYPES) 记录策略,这些资源类型将设置为“连续记录”。

      configurationRecorder.json文件指定nameroleArn以及配置记录器的默认录制频率 (recordingMode)。您也可以使用此字段来覆盖特定资源类型的记录频率。

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (可选)要验证您的配置记录器是否拥有您所需的设置,请使用以下 describe-configuration-recorders 命令。

    $ aws configservice describe-configuration-recorders

    以下为响应示例。

    {
    "ConfigurationRecorders": [
        {
            "name": "default"
            "recordingGroup": {
                "allSupported": true,
                "exclusionByResourceTypes": { 
                     "resourceTypes": []
                },
                "includeGlobalResourceTypes": true,
                "recordingStrategy": {
                    "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record all current and future supported resources types excluding the types you specify

设置 Amazon Config 为记录所有当前和 future 支持的资源类型的配置更改,包括全局资源类型,但您指定要从记录中排除的资源类型除外。如果您选择停止记录某一资源类型,则已记录的配置项将保持不变。有关更多信息,请参阅支持的资源类型

此命令使用--configuration-recorder---recording-group字段。

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
注意

录制组和配置记录器

--recording-group 字段指定要记录哪些资源类型。

--configuration-recorder字段指定nameroleArn以及配置记录器的默认录制频率 (recordingMode)。您也可以使用此字段来覆盖特定资源类型的记录频率。

  1. 使用 put-configuration-recorder 命令,并传递 exclusionByResourceTypesresourceTypes 字段中指定的一个或多个要排除的资源类型,如以下示例所示。

    1. recordingGroup.json 文件指定 Amazon Config 将记录的资源类型。

      {
    "allSupported": false,
    "exclusionByResourceTypes": { 
        "resourceTypes": [
            "AWS::Redshift::ClusterSnapshot",
            "AWS::RDS::DBClusterSnapshot",
            "AWS::CloudFront::StreamingDistribution"
        ]
    },
   "includeGlobalResourceTypes": false,
   "recordingStrategy": {
       "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
    },
  
}

      在指定要从记录中排除的资源类型之前,请执行以下操作:

      • 必须将 --recording-group 参数的 allSupportedincludeGlobalResourceTypes 字段设置为 false,或省略它们。

      • 必须将 RecordingStrategyuseOnly 字段设置为 EXCLUSION_BY_RESOURCE_TYPES

      注意

      覆盖字段

      如果您对记录策略选择 EXCLUSION_BY_RESOURCE_TYPES,则 exclusionByResourceTypes 字段将覆盖请求中的其他属性。

      例如,即使您将 includeGlobalResourceTypes 设置为 false,全局 IAM 资源类型仍将自动记录在此选项中,除非这些资源类型在 exclusionByResourceTypesresourceTypes 字段中被明确列为排除项。

      注意

      全局资源类型和资源排除记录策略

      默认情况下,如果您选择EXCLUSION_BY_RESOURCE_TYPES录制策略,则在设置配置记录器的区域中 Amazon Config 添加对新资源类型(包括全局资源类型)的支持时,会自动 Amazon Config 开始记录该类型的资源。

      除非特别列为排除项,否则AWS::RDS::GlobalCluster将在启用配置记录器的所有受支持 Amazon Config 区域中自动记录。

      IAM 用户、群组、角色和客户托管策略将记录在您设置配置记录器的区域(如果该区域在 2022 年 2 月之前可用)。 Amazon Config 2022 年 2 月 Amazon Config 之后,您无法在支持的区域中记录全球 IAM 资源类型。有关这些区域的列表,请参阅录制 Amazon 资源 | 全球资源

    2. put-configuration-recorder 使用 --configuration-recorder 参数的以下字段:

      • name— 配置记录器的名称。 Amazon Config 创建配置记录器时会自动分配 “默认” 的名称。

      • roleARN— 由配置记录器担任 Amazon Config 和使用的 IAM 角色的 Amazon 资源名称 (ARN)。

      • recordingMode— 指定用于记录配置更改的 Amazon Config 默认录制频率。 Amazon Config 支持连续录制每日录制。连续记录可让您在每次发生配置更改时连续记录更改。使用每日记录,您将收到代表过去 24 小时内资源的最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。

        • recordingFrequency— Amazon Config 用于记录配置更改的默认录制频率。

          注意

          Amazon Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

        • recordingModeOverrides – 此字段允许您为记录模式指定覆盖。它是一个 recordingModeOverride 对象数组。recordingModeOverrides 数组中的每个 recordingModeOverride 对象都由三个字段组成:

          • description – 您为覆盖提供的描述。

          • recordingFrequency – 将应用于覆盖中指定的所有资源类型的记录频率。

          • resourceTypes— 以逗号分隔的列表,用于指定覆盖中 Amazon Config 包含哪些资源类型。

      注意

      必填字段和可选字段

      put-configuration-recorderrecordingMode 字段是可选的。默认情况下,配置记录器的记录频率被设置为连续记录。

      注意

      限制

      以下资源类型不支持每日记录:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      对于记录所有当前和未来支持的资源类型 (ALL_SUPPORTED_RESOURCE_TYPES) 记录策略,这些资源类型将设置为“连续记录”。

      configurationRecorder.json文件指定nameroleArn以及配置记录器的默认录制频率 (recordingMode)。您也可以使用此字段来覆盖特定资源类型的记录频率。

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (可选)要验证您的配置记录器是否拥有您所需的设置,请使用以下 describe-configuration-recorders 命令。

    $ aws configservice describe-configuration-recorders

    以下为响应示例。

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": [
                        "AWS::Redshift::ClusterSnapshot",
                        "AWS::RDS::DBClusterSnapshot",
                        "AWS::CloudFront::StreamingDistribution"
                    ]
                },
                "includeGlobalResourceTypes": false,
                "recordingStrategy": {
                    "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record specific resource types

设置 Amazon Config 为仅记录您指定的资源类型的配置更改。如果您选择停止记录某一资源类型,则已记录的配置项将保持不变。

此命令使用--configuration-recorder---recording-group字段。

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
注意

录制组和配置记录器

--recording-group 字段指定要记录哪些资源类型。

--configuration-recorder字段指定nameroleArn以及配置记录器的默认录制频率 (recordingMode)。您也可以使用此字段来覆盖特定资源类型的记录频率。

  1. 使用 put-configuration-recorder 命令,并传递 recordingGroupresourceTypes 字段中指定的一个或多个资源类型,如以下示例所示。

    1. recordingGroup.json 文件指定 Amazon Config 将记录的资源类型。

      {
    "allSupported": false,
    "recordingStrategy": {
        "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": false,
    "resourceTypes": [
        "AWS::EC2::EIP",
        "AWS::EC2::Instance",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::SecurityGroup",
        "AWS::CloudTrail::Trail",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC",
        "AWS::IAM::User",
        "AWS::IAM::Policy"
  ]
}
      注意

      必填字段和可选字段

      在指定要包含在录制中的资源类型之前,必须将 allSupportedincludeGlobalResourceTypes 字段设置为 false,或省略它们。

      当您在 --recording-groupresourceTypes 字段中列出资源类型时,recordingStrategy 字段是可选的。

      注意

      区域可用性

      在指定 Amazon Config 要跟踪的资源类型之前,请检查按区域划分的资源覆盖率,以查看您设置的 Amazon 区域是否支持该资源类型 Amazon Config。如果至少有一个区域支持某种资源类型,则即使您设置的区域不支持指定的资源类型 Amazon Config,您也可以在支持的所有 Amazon 区域中启用该资源类型的记录 Amazon Config。 Amazon Config

    2. put-configuration-recorder 使用 --configuration-recorder 参数的以下字段:

      • name— 配置记录器的名称。 Amazon Config 创建配置记录器时会自动分配 “默认” 的名称。

      • roleARN— 由配置记录器担任 Amazon Config 和使用的 IAM 角色的 Amazon 资源名称 (ARN)。

      • recordingMode— 指定用于记录配置更改的 Amazon Config 默认录制频率。 Amazon Config 支持连续录制每日录制。连续记录可让您在每次发生配置更改时连续记录更改。使用每日记录,您将收到代表过去 24 小时内资源的最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。

        • recordingFrequency— Amazon Config 用于记录配置更改的默认录制频率。

          注意

          Amazon Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

        • recordingModeOverrides – 此字段允许您为记录模式指定覆盖。它是一个 recordingModeOverride 对象数组。recordingModeOverrides 数组中的每个 recordingModeOverride 对象都由三个字段组成:

          • description – 您为覆盖提供的描述。

          • recordingFrequency – 将应用于覆盖中指定的所有资源类型的记录频率。

          • resourceTypes— 以逗号分隔的列表,用于指定覆盖中 Amazon Config 包含哪些资源类型。

      注意

      必填字段和可选字段

      put-configuration-recorderrecordingMode 字段是可选的。默认情况下,配置记录器的记录频率被设置为连续记录。

      注意

      限制

      以下资源类型不支持每日记录:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      对于记录所有当前和未来支持的资源类型 (ALL_SUPPORTED_RESOURCE_TYPES) 记录策略,这些资源类型将设置为“连续记录”。

      configurationRecorder.json文件指定nameroleArn以及配置记录器的默认录制频率 (recordingMode)。您也可以使用此字段来覆盖特定资源类型的记录频率。

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (可选)要验证您的配置记录器是否拥有您所需的设置,请使用以下 describe-configuration-recorders 命令。

    $ aws configservice describe-configuration-recorders

    以下为响应示例。

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": []
                },
                "includeGlobalResourceTypes": false
                "recordingStrategy": {
                    "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [
                    "AWS::EC2::EIP",
                    "AWS::EC2::Instance",
                    "AWS::EC2::NetworkAcl",
                    "AWS::EC2::SecurityGroup",
                    "AWS::CloudTrail::Trail",
                    "AWS::EC2::Volume",
                    "AWS::EC2::VPC",
                    "AWS::IAM::User",
                    "AWS::IAM::Policy"
                ]
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}

记录频率

Amazon Config 支持连续录制每日录制。连续记录可让您在每次发生配置更改时连续记录更改。使用每日记录,您将收到代表过去 24 小时内资源的最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。

连续记录

连续记录的部分优势包括:

  • 实时监控:连续记录可以立即检测未经授权的更改或意外改动,从而提升您的安全性和合规性。

  • 详细分析:连续记录可以让您在资源配置更改发生时对其进行深入分析,确定当下的模式和趋势。

每日记录

每日记录的部分优势包括:

  • 最大限度减少干扰:每日记录可以为您提供更易于管理的信息流,从而减少通知频率和警报疲劳。

  • 成本效益:每日记录可以让您灵活地以较低的频率记录资源更改,从而降低与记录的配置更改数量相关的成本。

注意

Amazon Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

停止记录资源

您可以随时停止 Amazon Config 记录某类资源。 Amazon Config 停止记录资源后,它会保留先前捕获的配置信息,您可以继续访问这些信息。

未记录的资源

如果未记录资源,则仅 Amazon Config 捕获该资源的创建和删除情况,不记录其他详细信息,而不会向您收取任何费用。创建或删除未录制的资源时, Amazon Config 会发送通知,并在资源详细信息页面上显示该事件。在未记录资源的详细信息页面上,大多数配置详细信息的值为 null,且不会显示关于关系和配置更改的信息。

注意

仅当资源被选为或以前被选为要在配置记录器中记录的资源时,AWS::IAM::UserAWS::IAM::Policy AWS::IAM::GroupAWS::IAM::Role 资源类型才会捕获创建 (ResourceNotRecorded) 和删除 (ResourceDeletedNotRecorded) 状态。

注意

ResourceNotRecorded和的配置项目 (CI) ResourceDeletedNotRecorded 不遵循资源类型的典型录制时间。这些资源类型仅在配置记录器的定期基准化过程中进行记录,与其他资源类型相比,该过程的频率较低。

由于缺少未记录资源的数据, Amazon Config 提供已记录资源的关系信息不受限制。如果某个已记录资源与未记录资源相关联,则已记录资源的详细信息页面会提供相应的关系信息。

Amazon Config 规则和全局资源类型

2022 年 2 月之前加入的全球 IAM 资源类型(AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::Role、和AWS::IAM::User)只能在 2022 年 2 月之前可用的 Amazon Config 区域 Amazon Config 中进行记录。2022 年 2 月 Amazon Config 之后,这些全球 IAM 资源类型无法记录在支持的区域中。有关这些区域的列表,请参阅录制 Amazon 资源 | 全球资源

如果您在至少一个区域记录全球 IAM 资源类型,则报告全球 IAM 资源类型合规性的定期规则将在添加定期规则的所有区域进行评估,即使您尚未在添加定期规则的地区启用全球 IAM 资源类型的记录。

2022 年 2 月前上线的全球资源合规报告最佳实践

为避免不必要的评估,您只应将包含这些全球资源的 Amazon Config 规则和一致性包部署到支持的区域之一。有关哪些区域支持哪些托管规则的列表,请参阅按区域可用性列出的 Amazon Config 托管规则列表。这适用于 Amazon Config 规则、组织 Amazon Config 规则以及由其他 Amazon 服务(例如 Amazon Security Hub 和)创建的规则 Amazon Control Tower。

如果您没有记录 2022 年 2 月之前载入的全局资源类型,建议您不要启用以下定期规则,以避免不必要的评估:

2022 年 2 月后上线的全球资源合规报告最佳实践

2022 年 2 月之后加入 Amazon Config 录制的全球资源类型将仅记录在服务主区域(商业分区)和分区 Amazon GovCloud (美国西部)中。 Amazon GovCloud (US) 您应该将这些全球资源范围内的 Amazon Config 规则和一致性包部署到资源类型的起始区域。有关更多信息,请参阅全球资源类型的主区域