Aktivieren der Ressourcennachverfolgung - AWS Backup
Aktivieren der Ressourcennachverfolgung mithilfe der KonsoleAktivieren der Ressourcennachverfolgung mit der AWS Command Line Interface (AWS CLI)Aktivieren der Ressourcennachverfolgung mithilfe einer AWS CloudFormation -Vorlage

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren der Ressourcennachverfolgung

Bevor Sie das erste Compliance-Framework erstellen, müssen Sie die Ressourcennachverfolgung aktivieren. Auf diese Weise können AWS Config Sie Ihre AWS Backup Ressourcen verfolgen. Technische Dokumentation zur Verwaltung der Ressourcenverfolgung finden Sie im AWS Config Entwicklerhandbuch unter Einrichtung AWS Config mit der Konsole.

Wenn Sie die Ressourcennachverfolgung aktivieren, fallen Gebühren an. Informationen zu Preisen und Fakturierung von Resource Tracking für AWS Backup Audit Manager finden Sie unter Erfassung, Kosten und Abrechnung.

Aktivieren der Ressourcennachverfolgung mithilfe der Konsole

So aktivieren Sie die Ressourcennachverfolgung über die Konsole

  1. Öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.

  2. Wählen Sie im linken Navigationsbereich unter Audit Manager die Option Frameworks aus.

  3. Aktivieren Sie die Ressourcennachverfolgung, indem Sie Ressourcennachverfolgung verwalten auswählen.

  4. Wählen Sie Gehe zu AWS Config Einstellungen.

  5. Wählen Sie Aufzeichnung aktivieren oder deaktivieren aus.

  6. Wählen Sie Aufzeichnung aktivieren für alle der folgenden Ressourcentypen aus oder aktivieren Sie die Aufzeichnung für einige Ressourcentypen. Informationen darüber, welche Ressourcentypen für Ihre Kontrollen erforderlich sind, finden Sie unter AWS Backup Audit Manager – Kontrollen und Abhilfe.

    • AWS Backup: backup plans

    • AWS Backup: backup vaults

    • AWS Backup: recovery points

    • AWS Backup: backup selection

    Anmerkung

    AWS Backup Audit Manager benötigt AWS Config: resource compliance für jede Kontrolle.

  7. Klicken Sie auf Close (Schließen).

  8. Warten Sie, bis aus dem blauen Banner mit dem Text Ressourcennachverfolgung wird aktiviert ein grüner Banner mit dem Text Ressourcennachverfolgung ist aktiviert wird.

Sie können an zwei Stellen in der AWS Backup Konsole überprüfen, ob Sie die Ressourcenverfolgung aktiviert haben und wenn ja, welche Ressourcentypen Sie aufzeichnen. Führen Sie im linken Navigationsbereich einen der folgenden Schritte aus:

  • Wählen Sie Frameworks und dann den Text unter AWS Config -Recorder-Status aus.

  • Wählen Sie Einstellungen und dann den Text unter AWS Config -Recorder-Status aus.

Aktivieren der Ressourcennachverfolgung mit der AWS Command Line Interface (AWS CLI)

Wenn Sie sich noch nicht angemeldet haben AWS Config, ist es möglicherweise schneller, das Onboarding mit dem durchzuführen. AWS CLI

So aktivieren Sie die Ressourcennachverfolgung mithilfe der AWS CLI

  1. Geben Sie den folgenden Befehl ein, um festzustellen, ob Sie den AWS Config -Recorder bereits aktiviert haben.

    $ aws configservice describe-configuration-recorders

    1. Überprüfen Sie, ob Ihre ConfigurationRecorders-Liste wie hier leer ist:

      {
  "ConfigurationRecorders": []
}

      In diesem Fall ist der Recorder nicht aktiviert. Fahren Sie mit Schritt 2 fort, um Ihren Recorder zu erstellen.

    2. Wenn Sie die Aufzeichnung bereits für alle Ressourcen aktiviert haben, sieht die ConfigurationRecorders-Ausgabe wie folgt aus:

      {
  "ConfigurationRecorders":[
    {
      "recordingGroup":{
        "allSupported":true,
        "resourceTypes":[
          
        ],
        "includeGlobalResourceTypes":true
      },
      "roleARN":"arn:aws:iam::[account]:role/[roleName]",
      "name":"default"
    }
  ]
}

      Da Sie alle Ressourcen aktiviert haben, haben Sie die Ressourcennachverfolgung bereits aktiviert. Sie müssen den Rest dieses Verfahrens nicht abschließen, um AWS Backup Audit Manager zu verwenden.

    3. Wenn Ihre ConfigurationRecorders-Liste nicht leer ist, Sie aber die Aufzeichnung nicht für alle Ressourcen aktiviert haben, fügen Sie dem vorhandenen Recorder mithilfe des folgenden Befehls Backup-Ressourcen hinzu. Fahren Sie mit Schritt 3 fort.

      $ aws configservice describe-configuration-recorders
{
  "ConfigurationRecorders":[
    {
      "name":"default",
      "roleARN":"arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig",
      "recordingGroup":{
        "allSupported":false,
        "includeGlobalResourceTypes":false,
        "resourceTypes":[
          "AWS::Backup::BackupPlan",
          "AWS::Backup::BackupSelection",
          "AWS::Backup::BackupVault",
          "AWS::Backup::RecoveryPoint",
          "AWS::Config::ResourceCompliance"
        ]
      }
    }
  ]
}

  2. Erstellen Sie einen AWS Config Rekorder mit den AWS Backup Audit Manager Manager-Ressourcentypen

    $ aws configservice put-configuration-recorder --configuration-recorder name=default, \
roleARN=arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \ 
--recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \
'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint','AWS::Config::ResourceCompliance']"

  3. Beschreiben Sie Ihren AWS Config Rekorder.

    $ aws configservice describe-configuration-recorders

    Stellen Sie sicher, dass es über die AWS Backup Audit Manager Manager-Ressourcentypen verfügt, indem Sie Ihre Ausgabe mit der folgenden erwarteten Ausgabe vergleichen.

    {
  "ConfigurationRecorders":[
    {
      "name":"default",
      "roleARN":"arn:aws:iam::accountId:role/AWSServiceRoleForConfig",
      "recordingGroup":{
        "allSupported":false,
        "includeGlobalResourceTypes":false,
        "resourceTypes":[
          "AWS::Backup::BackupPlan",
          "AWS::Backup::BackupSelection",
          "AWS::Backup::BackupVault",
          "AWS::Backup::RecoveryPoint",
          "AWS::Config::ResourceCompliance"
        ]
      }
    }
  ]
}

  4. Erstellen Sie einen Amazon S3 S3-Bucket als Ziel zum Speichern der AWS Config Konfigurationsdateien.

    $ aws s3api create-bucket --bucket my-bucket —region us-east-1

  5. Verwenden Sie policy.json um die AWS Config Erlaubnis für den Zugriff auf Ihren Bucket zu erteilen. Sehen Sie sich das folgende Beispiel an policy.json.

    $ aws s3api put-bucket-policy --bucket MyBucket --policy file://policy.json
    {
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"AWSConfigBucketPermissionsCheck",
      "Effect":"Allow",
      "Principal":{
        "Service":"config.amazonaws.com"
      },
      "Action":"s3:GetBucketAcl",
      "Resource":"arn:aws:s3:::my-bucket"
    },
    {
      "Sid":"AWSConfigBucketExistenceCheck",
      "Effect":"Allow",
      "Principal":{
        "Service":"config.amazonaws.com"
      },
      "Action":"s3:ListBucket",
      "Resource":"arn:aws:s3:::my-bucket"
    },
    {
      "Sid":"AWSConfigBucketDelivery",
      "Effect":"Allow",
      "Principal":{
        "Service":"config.amazonaws.com"
      },
      "Action":"s3:PutObject",
      "Resource":"arn:aws:s3:::my-bucket/*"
    }
  ]
}

  6. Konfigurieren Sie Ihren Bucket als AWS Config Lieferkanal

    $ aws configservice put-delivery-channel --delivery-channel name=default,s3BucketName=my-bucket

  7. AWS Config Aufnahme aktivieren

    $ aws configservice start-configuration-recorder --configuration-recorder-name default

  8. Stellen Sie sicher, dass "FrameworkStatus":"ACTIVE" in der letzten Zeile Ihrer DescribeFramework-Ausgabe wie folgt aussieht.

    $ aws backup describe-framework --framework-name test --region us-east-1
    {
  "FrameworkName":"test",
 "FrameworkArn":"arn:aws:backup:us-east-1:accountId:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666",
  "FrameworkDescription":"",
  "FrameworkControls":[
    {
      "ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
      "ControlInputParameters":[
        {
          "ParameterName":"requiredRetentionDays",
          "ParameterValue":"1"
        }
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
      "ControlInputParameters":[
        {
          "ParameterName":"requiredFrequencyUnit",
          "ParameterValue":"hours"
        },
        {
          "ParameterName":"requiredRetentionDays",
          "ParameterValue":"35"
        },
        {
          "ParameterName":"requiredFrequencyValue",
          "ParameterValue":"1"
        }
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
      "ControlInputParameters":[
        
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED",
      "ControlInputParameters":[
        
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
      "ControlInputParameters":[
        
      ],
      "ControlScope":{
        
      }
    }
  ],
  "CreationTime":1633463605.233,
  "DeploymentStatus":"COMPLETED",
  "FrameworkStatus":"ACTIVE"
}

Aktivieren der Ressourcennachverfolgung mithilfe einer AWS CloudFormation -Vorlage

Eine AWS CloudFormation Vorlage, die die Ressourcenverfolgung aktiviert, finden Sie unter AWS Backup Audit Manager verwenden mit AWS CloudFormation.