使用配置记录器
配置记录器将范围内资源类型的配置更改存储为配置项(CI)。
有两种类型的配置记录器。
| 类型 | 描述 |
|---|---|
| 客户管理的配置记录器 | 您管理的配置记录器。范围内的资源类型由您设置。默认情况下,客户管理的配置记录器会记录正在运行 Amazon Config 的 Amazon Web Services 区域内所有受支持的资源。 |
| 服务相关配置记录器 | 关联到特定 Amazon Web Services 服务的配置记录器。范围内的资源类型由相关服务设置。 |
主题
客户管理的配置记录器的注意事项
每个区域的每个账户配有一个客户管理的配置记录器
每个 Amazon Web Services 区域每个 Amazon Web Services 账户只能有一个客户管理的配置记录器。
默认设置为记录所有支持的资源类型,不包括全局 IAM 资源类型
客户管理的配置记录器的默认设置是记录所有支持的资源类型,不包括以下全局 IAM 资源类型:AWS::IAM::Group、AWS::IAM::Policy、AWS::IAM::Role 和 AWS::IAM::User。您可以指定要在记录范围中包含或排除哪些资源类型。
有关更多信息,请参阅 使用 Amazon Config 记录 Amazon 资源
使用客户管理的配置记录器需要支付服务使用费
当 Amazon Config 开始使用客户管理的配置记录器记录配置时,我们才会向您收取服务使用费。
有关定价信息,请参阅 Amazon Config 定价
使用 Amazon Systems Manager 在整个组织中创建客户管理的配置记录器
您可以根据 Amazon 最佳实践,使用 Amazon Systems Manager 快速设置功能跨多个组织单位(OU)和 Amazon Web Services 区域创建客户管理的配置记录器。
有关更多信息,请参阅《Systems Manager 用户指南》中的使用快速设置功能创建 Amazon Config 配置记录。
重要
策略与合规结果
IAM 策略和 Amazon Organizations 中管理的其他策略可能会影响 Amazon Config 是否有权记录资源的配置更改。此外,规则会直接评估资源的配置,且执行评估时不会考虑这些策略。确保现行策略与您打算使用 Amazon Config 的方式保持一致。
如果配置记录器关闭,已删除资源的状态评估结果可能会持续显示
如果客户管理的配置记录器关闭,将会禁用 Amazon Config Config 跟踪您指定的资源配置更改的功能,包括其删除操作。意味着,当客户管理的配置记录器处于关闭状态时,对于已删除的资源,您可能会看到过时的评估结果,因为如果未开启记录功能,Amazon Config 无法捕获资源删除事件。
服务相关配置记录器的注意事项
Amazon Config 服务相关角色必须处于使用状态
服务相关配置记录器需要 Amazon Config 服务相关角色。
有关更多信息,请参阅为 Amazon Config 使用服务相关角色。
服务相关配置记录器始终处于记录状态
服务相关记录器已修复。您无法直接更改服务相关记录器中的设置。要修改记录器设置,例如启动、停止或更新记录器,请通过使用服务相关记录器的关联 Amazon 服务进行这些更改。
有关更多信息,请参阅删除配置记录器。
记录范围决定您是否会收到配置项
记录范围由关联到配置记录器的 Amazon Web Services 服务设置,并决定您是否会在传输通道中收到配置项(CI)。如果记录范围是 INTERNAL,则您不会在传输通道中收到 CI。
记录范围决定是否向您收取服务费
记录范围由关联到配置记录器的 Amazon Web Services 服务设置,并决定范围内的配置项(CI)是免费记录(INTERNAL)还是会影响账单费用(PAID)。
记录器之间的记录频率优先级
如果您同时拥有客户管理的配置记录器和记录范围为“PAID”的服务相关配置记录器,并且它们记录相同的资源类型,则记录频率较高的记录器优先。例如,如果您的客户管理的记录器设置为每日记录,但您启用了一项 Amazon 服务,该服务使用记录范围为“PAID”且连续记录的服务相关记录器,则将持续记录受影响的资源类型。
这意味着,即使您的客户管理的记录器设置仍显示“每日记录”,但对于同时位于这两个记录器范围内的资源类型,您仍需要支付连续记录费用。这只会影响两个记录器正在记录的资源类型。
注意
无论客户管理的配置记录器或您付费的服务相关配置记录器生成多少个配置项,每个配置项仅计费一次。
例 示例:记录频率优先级
您已将客户管理的记录配置为按每日记录频率记录 Amazon EC2 实例。稍后,您启用一项 Amazon 服务功能,该功能使用记录范围为“PAID”且连续记录的服务相关记录器,该记录器也记录 Amazon EC2 实例。在此场景中:
您的客户管理的记录器设置仍将显示“每日记录”
Amazon EC2 实例将持续记录并提供其他 CI,因为记录范围为“PAID”的服务相关记录器具有更高的记录频率
您需要为 Amazon EC2 实例的持续记录付费
仅由您的客户管理的记录器记录的其他资源类型将继续按每日记录频率记录
受支持的服务
以下服务支持服务相关配置记录器:
| Amazon 服务 | 服务主体 | 与 Amazon Config 一起使用的优势 | 了解更多 |
|---|---|---|---|
| Amazon CloudWatch | observabilityadmin.amazonaws.com,
telemetry-enablement.observabilityadmin.amazonaws.com |
您可以使用 Amazon CloudWatch 可观测性管理功能,以便发现和了解您的 Amazon Organization 或账户的 CloudWatch 遥测配置状态。 | 有关更多信息,请参阅《CloudWatch 用户指南》中的审计 CloudWatch 遥测配置。 |
| Amazon Security Hub CSPM | securityhub.amazonaws.com |
您可以使用 Amazon Security Hub CSPM 集中管理安全调查发现,并对 Amazon 账户进行安全评估。服务相关记录器支持以事件驱动的方法来获取暴露分析覆盖范围所需的资源配置项。 | 有关更多信息,请参阅《Security Hub 用户指南》中的启用 Security Hub。 |
配置记录器的偏离检测
AWS::Config::ConfigurationRecorder 资源类型是配置记录器的配置项(CI),用于跟踪配置记录器的所有状态更改。您可以使用此 CI 来检查配置记录器的状态是否与其先前的状态不同或已经偏离。
例如,该 CI 会跟踪是否对允许 Amazon Config 跟踪的资源类型进行了更新,是否停止或启动了配置记录器,或者是否删除或卸载了配置记录器。发生偏离的配置记录器表示您没有准确检测到预期资源类型的更改。如果您的配置记录器发生偏离,则可能导致漏报或误报合规性结果。
AWS::Config::ConfigurationRecorder 资源类型是 Amazon Config 的系统资源类型,默认情况下,所有支持的区域均启用该资源类型的记录。AWS::Config::ConfigurationRecorder 资源类型的记录不收取额外费用。