本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用配置记录器
配置记录器将范围内资源类型的配置更改存储为配置项目 (CIs)。
有两种类型的配置记录器。
| Type | 描述 |
|---|---|
| 客户管理的配置记录器 | 您管理的配置记录器。范围内的资源类型由您设置。默认情况下,客户管理的配置记录器会在运行Amazon Web Services 区域位置Amazon Config中记录所有支持的资源。 |
| 服务相关配置记录器 | 链接到特定的配置记录器Amazon Web Services 服务。范围内的资源类型由相关服务设置。 |
主题
客户管理的配置记录器的注意事项
每个区域的每个账户配有一个客户管理的配置记录器
每Amazon Web Services 账户台只能有一个客户管理的配置记录器Amazon Web Services 区域。
默认设置为记录所有支持的资源类型,不包括全局 IAM 资源类型
客户管理的配置记录器的默认设置是记录所有支持的资源类型,不包括以下全局 IAM 资源类型:AWS::IAM::Group、AWS::IAM::Policy、AWS::IAM::Role 和 AWS::IAM::User。您可以指定要在记录范围中包含或排除哪些资源类型。
有关更多信息,请参阅 使用 Amazon Config 记录 Amazon 资源
使用客户管理的配置记录器需要支付服务使用费
Amazon Config开始使用客户管理的配置记录器记录配置时,您需要支付服务使用费。
有关定价信息,请参阅 Amazon Config定价
Amazon Systems Manager用于在整个组织中创建客户托管的配置记录器
您可以使用Amazon Systems Manager Quick Setup 在多个组织部门 (OUs) 中创建客户托管的配置记录器,并Amazon Web Services 区域使用Amazon最佳实践。
有关更多信息,请参阅《Systems Manager 用户指南》中的 “使用快速设置创建Amazon Config配置记录器”。
重要
策略与合规结果
在中管理@@ 的 IAM 策略和其他策略Amazon Organizations可能会影响您是否Amazon Config有权记录资源的配置更改。此外,规则会直接评估资源的配置,且执行评估时不会考虑这些策略。确保现行策略与您打算使用Amazon Config的方式保持一致。
如果配置记录器关闭,已删除资源的状态评估结果可能会持续显示
如果客户管理的配置记录器关闭,将会禁用Amazon Config Config 跟踪您指定的资源配置更改的功能,包括其删除操作。这意味着您可能会看到关闭客户托管配置记录器时删除的资源的评估结果过时,因为如果未开启录制,则Amazon Config无法捕获删除事件。
服务相关配置记录器的注意事项
必须使用Amazon Config服务相关角色
与Amazon Config服务相关的配置记录器需要服务相关角色。
有关更多信息,请参阅为Amazon Config使用服务相关角色。
服务相关配置记录器始终处于记录状态
服务相关记录器已修复。您无法直接更改服务相关记录器中的设置。要修改录制器设置,例如启动、停止或更新录制器,请通过使用Amazon服务关联录制器的关联服务进行这些更改。
有关更多信息,请参阅删除配置记录器。
记录范围决定您是否会收到配置项
录制范围由链接到配置记录器的设置Amazon Web Services 服务,并决定您是否在传送渠道中接收配置项目 (CIs)。如果录制范围是内部的,则您不会在配送渠道 CIs 中接收。
记录范围决定是否向您收取服务费
录制范围由链接到配置记录器的设置Amazon Web Services 服务,它决定范围内的配置项目 (CIs) 是免费录制(内部)还是会影响账单成本(已付费)。
记录器之间的记录频率优先级
如果您同时拥有客户管理的配置记录器和记录范围为“PAID”的服务相关配置记录器,并且它们记录相同的资源类型,则记录频率较高的记录器优先。例如,如果您的客户管理的录音机设置为每日录制,但您启用了一项Amazon服务,该服务使用录制范围为 “付费” 且持续录制的服务关联录制器,则将持续录制受影响的资源类型。
这意味着,即使您的客户管理的记录器设置仍显示“每日记录”,但对于同时位于这两个记录器范围内的资源类型,您仍需要支付连续记录费用。这只会影响两个记录器正在记录的资源类型。
注意
无论客户管理的配置记录器或您付费的服务相关配置记录器生成多少个配置项,每个配置项仅计费一次。
例 示例:记录频率优先级
您已将客户托管录制器配置为以每日记录频率记录亚马逊 EC2 实例。稍后,您可以启用一项Amazon服务功能,该功能使用记录范围为 “付费” 的服务关联录制器和同时记录 Amazon EC2 实例的连续录制。在此场景中:
您的客户管理的记录器设置仍将显示“每日记录”
Amazon EC2 实例将持续录制并提供额外服务, CIs 因为录制范围为 “付费” 的服务关联录制器具有更高的录制频率
您需要为持续录制 Amazon EC2 实例付费
仅由您的客户管理的记录器记录的其他资源类型将继续按每日记录频率记录
受支持的服务
以下服务支持服务相关配置记录器:
| Amazon service | 服务主体 | 与一起使用的好处Amazon Config | 了解详情 |
|---|---|---|---|
| Amazon CloudWatch | observabilityadmin.amazonaws.com,
telemetry-enablement.observabilityadmin.amazonaws.com |
您可以使用 Amazon O CloudWatch bservability Admin 来发现和了解您的Amazon组织或账户 CloudWatch 的遥测配置状态。 | 有关更多信息,请参阅《CloudWatch 用户指南》中的审计 CloudWatch 遥测配置。 |
| Amazon Security Hub CSPM | securityhub.amazonaws.com |
您可以使用Amazon Security Hub CSPM集中管理安全调查结果,并对Amazon账户进行安全评估。服务相关记录器支持以事件驱动的方法来获取暴露分析覆盖范围所需的资源配置项。 | 有关更多信息,请参阅 Sec urity Hub CSPM 用户指南中的启用 Security Hub。 |
配置记录器的偏离检测
AWS::Config::ConfigurationRecorder 资源类型是配置记录器的配置项(CI),用于跟踪配置记录器的所有状态更改。您可以使用此 CI 来检查配置记录器的状态是否与其先前的状态不同或已经偏离。
例如,该 CI 会跟踪是否对允许Amazon Config跟踪的资源类型进行了更新,是否停止或启动了配置记录器,或者是否删除或卸载了配置记录器。发生偏离的配置记录器表示您没有准确检测到预期资源类型的更改。如果您的配置记录器发生偏离,则可能导致漏报或误报合规性结果。
AWS::Config::ConfigurationRecorder资源类型是系统资源类型,默认情况下Amazon Config,所有支持的区域都启用了该资源类型的记录。AWS::Config::ConfigurationRecorder 资源类型的记录不收取额外费用。