Beginnend AWS Config mit dem AWS CLI

Verwenden Sie zunächst AWS Config die start-configuration-recorderBefehle put-configuration-recorderput-delivery-channel, und wie folgt: AWS CLI

• Der Befehl put-configuration-recorder erstellt einen neuen Konfigurations-Recorder zur Aufzeichnung der von Ihnen angegebenen Ressourcenkonfigurationen.

• Der put-delivery-channel Befehl erstellt ein Lieferkanalobjekt, um Konfigurationsinformationen an einen S3-Bucket und ein SNS S3-Thema zu übermitteln.

• Nachdem ein Übermittlungskanal erstellt wurde, beginnt start-configuration-recorder mit der Aufzeichnung Ihrer ausgewählten Ressourcenkonfigurationen, die Sie in Ihrem AWS -Konto sehen können.

Sie können den Namen des Rekorders und den Amazon-Ressourcennamen (ARN) der IAM Rolle angeben, die vom Konfigurationsrekorder übernommen AWS Config und von diesem verwendet wird. AWS Config weist bei der Erstellung des Konfigurationsrekorders automatisch den Namen „Standard“ zu. Sie können den Namen des Konfigurations-Recorders nach der Erstellung nicht mehr ändern. Wenn Sie den Namen des Konfigurations-Recorders ändern möchten, müssen Sie diesen löschen und einen neuen Konfigurations-Recorder mit einem neuen Namen erstellen.

Informationen AWS Config zur Einrichtung der Multi-Account-Multi-Region-Datenaggregation mit dem AWS CLI finden Sie unter Einrichten eines Aggregators über die Befehlszeilenschnittstelle. AWS Sie müssen für jede Region, in der Sie Konfigurationselemente aufzeichnen möchten AWS-Konto , einen separaten Konfigurationsrekorder erstellen.

Überlegungen

Voraussetzungen

Bevor Sie das einrichten AWS Config AWS CLI, müssen Sie einen S3-Bucket, ein SNS Thema und eine IAM Rolle mit angehängten Richtlinien als Voraussetzungen erstellen. Anschließend können Sie AWS CLI den Bucket, das Thema und die Rolle für angeben AWS Config. Informationen zur Einrichtung Ihrer Voraussetzungen für AWS Config finden Sie unter Voraussetzungen.

Ein Konfigurationsrekorder pro Region und Konto

Sie können AWS-Region pro Person nur einen Konfigurationsrekorder-Kanal verwenden AWS-Konto, und zur Verwendung ist der Konfigurationsrekorder erforderlich AWS Config.

Ein Lieferkanal pro Region und Konto

Sie können nur einen Lieferkanal pro AWS-Region Region pro Region haben AWS-Konto, und der Lieferkanal muss verwendet werden AWS Config.

Schritt 1: Führen Sie den put-configuration-recorder Befehl aus

Der Befehl put-configuration-recorder sollte folgendermaßen aussehen:

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

Dieser Befehl verwendet die ---recording-group Felder --configuration-recorder und.

Anmerkung

Aufnahmegruppe und Konfigurationsrekorder

Das --recording-group-Feld gibt an, welche Ressourcentypen aufgezeichnet werden.

Das --configuration-recorder Feld spezifiziert name und roleArn sowie die Standardaufzeichnungsfrequenz für den Konfigurationsrekorder (recordingMode). Sie können dieses Feld auch verwenden, um die Aufzeichnungsfrequenz für bestimmte Ressourcentypen zu überschreiben.

Aufzeichnungsgruppe

put-configuration-recorder verwendet die folgenden Optionen für den --recording-group-Parameter:

• allSupported=true— AWS Config zeichnet Konfigurationsänderungen für alle unterstützten Ressourcentypen auf, mit Ausnahme der globalen IAM Ressourcentypen. Wenn Unterstützung für einen neuen Ressourcentyp AWS Config hinzugefügt AWS Config wird, beginnt automatisch die Aufzeichnung von Ressourcen dieses Typs.

• includeGlobalResourceTypes=true— Bei dieser Option handelt es sich um ein Paket, das nur für die globalen IAM Ressourcentypen gilt: IAM Benutzer, Gruppen, Rollen und vom Kunden verwaltete Richtlinien. Diese globalen IAM Ressourcentypen können nur AWS Config in Regionen erfasst werden, in denen sie vor Februar 2022 verfügbar AWS Config waren. Sie können die globalen IAM Ressourcentypen nicht in Regionen aufzeichnen, die AWS Config nach Februar 2022 unterstützt werden. Eine Liste dieser Regionen finden Sie unter AWS Ressourcen für die Aufzeichnung | Globale Ressourcen.

  Wichtig

  Globale Aurora-Cluster werden in allen aktivierten Regionen aufgezeichnet

  Der AWS::RDS::GlobalCluster Ressourcentyp wird in allen unterstützten AWS Config Regionen aufgezeichnet, in denen der Konfigurationsrekorder aktiviert ist, auch wenn er auf eingestellt includeGlobalResourceTypes istfalse. Bei der includeGlobalResourceTypes Option handelt es sich um ein Paket, das nur für IAM Benutzer, Gruppen, Rollen und vom Kunden verwaltete Richtlinien gilt.

  Wenn Sie AWS::RDS::GlobalCluster nicht in allen aktivierten Regionen aufzeichnen möchten, verwenden Sie eine der folgenden Aufzeichnungsstrategien:

  1. Zeichnen Sie alle aktuellen und zukünftigen Ressourcentypen mit Ausnahmen auf (EXCLUSION_BY_RESOURCE_TYPES) oder

  2. zeichnen Sie bestimmte Ressourcentypen auf (INCLUSION_BY_RESOURCE_TYPES).

  Weitere Informationen finden Sie unter Auswählen, welche Ressourcen aufgezeichnet werden.

  Wichtig

  includeGlobalResourceTypen und Strategie zur Erfassung von Ausschlüssen

  Das includeGlobalResourceTypes Feld hat keinen Einfluss auf die EXCLUSION_BY_RESOURCE_TYPES Aufzeichnungsstrategie. Das bedeutet, dass die globalen IAM Ressourcentypen (IAMBenutzer, Gruppen, Rollen und vom Kunden verwaltete Richtlinien) nicht automatisch als Ausnahmen hinzugefügt werden, exclusionByResourceTypes wenn diese Einstellung auf false festgelegt includeGlobalResourceTypes ist.

  Das includeGlobalResourceTypes Feld sollte nur verwendet werden, um das AllSupported Feld zu ändern, da standardmäßig Konfigurationsänderungen für alle unterstützten Ressourcentypen mit Ausnahme der globalen IAM Ressourcentypen aufgezeichnet werden. AllSupported Um die globalen IAM Ressourcentypen einzubeziehen, wenn auf gesetzt AllSupported isttrue, stellen Sie sicher, dass includeGlobalResourceTypes auf eingestellt isttrue.

  Um die globalen IAM Ressourcentypen von der EXCLUSION_BY_RESOURCE_TYPES Aufzeichnungsstrategie auszuschließen, müssen Sie sie manuell zum resourceTypes Feld von hinzufügenexclusionByResourceTypes.

  Anmerkung

  Erforderliche und optionale Felder

  Bevor Sie includeGlobalResourceTypes auf true festlegen können, legen Sie das Feld allSupported auf true fest.

  Optional können Sie das Feld useOnly von RecordingStrategy auch auf ALL_SUPPORTED_RESOURCE_TYPES festlegen.

  Anmerkung

  Überschreiben von Feldern

  Wenn Sie festlegenincludeGlobalResourceTypes, dass globale IAM Ressourcentypen false jedoch im resourceTypes Feld von aufgeführt AWS Config werden RecordingGroup, werden trotzdem Konfigurationsänderungen für diese angegebenen Ressourcentypen aufgezeichnet, unabhängig davon, ob Sie das includeGlobalResourceTypes Feld auf „Falsch“ setzen.

  Wenn Sie keine Konfigurationsänderungen an den globalen IAM Ressourcentypen (IAMBenutzer, Gruppen, Rollen und vom Kunden verwaltete Richtlinien) aufzeichnen möchten, stellen Sie sicher, dass Sie sie nicht in dem resourceTypes Feld auflisten und das Feld zusätzlich auf includeGlobalResourceTypes „Falsch“ setzen.

• recordingStrategy – Gibt die Aufzeichnungsstrategie für den Konfigurations-Recorder an. Die Datei recordingGroup.json gibt an, welche Ressourcentypen von AWS Config aufgezeichnet werden:

  • Wenn Sie das useOnly Feld RecordingStrategyauf setzenALL_SUPPORTED_RESOURCE_TYPES, werden Konfigurationsänderungen für alle unterstützten Ressourcentypen AWS Config aufgezeichnet, mit Ausnahme der globalen IAM Ressourcentypen. Optional können Sie das allSupported Feld RecordingGroupauf setzentrue. Wenn Unterstützung für einen neuen Ressourcentyp AWS Config hinzugefügt AWS Config wird, beginnt die Aufzeichnung von Ressourcen dieses Typs automatisch.

  • Wenn Sie das useOnly Feld RecordingStrategyauf festlegenINCLUSION_BY_RESOURCE_TYPES, werden Konfigurationsänderungen nur für die Ressourcentypen AWS Config aufgezeichnet, die Sie im resourceTypes Feld von angeben RecordingGroup.

  • Wenn Sie das useOnly Feld RecordingStrategyauf festlegenEXCLUSION_BY_RESOURCE_TYPES, AWS Config werden die Konfigurationsänderungen für alle unterstützten Ressourcentypen aufgezeichnet, mit Ausnahme der Ressourcentypen, die Sie von der Aufzeichnung im resourceTypes Feld von ausschließen möchten ExclusionByResourceTypes.

  Anmerkung

  Erforderliche und optionale Felder

  Das Feld recordingStrategy ist optional, wenn Sie das Feld allSupported von --recording-group auf true festlegen.

  Das Feld recordingStrategy ist optional, wenn Sie Ressourcentypen im Feld resourceTypes von --recording-group auflisten.

  Das Feld recordingStrategy ist erforderlich, wenn Sie im resourceTypes Feld für exclusionByResourceTypes Ressourcentypen auflisten, die von der Aufzeichnung ausgeschlossen werden sollen.

  Anmerkung

  Überschreiben von Feldern

  Wenn Sie sich für die Aufzeichnungsstrategie EXCLUSION_BY_RESOURCE_TYPES entscheiden, überschreibt das Feld exclusionByResourceTypes andere Eigenschaften in der Anfrage.

  Selbst wenn Sie den Wert includeGlobalResourceTypes auf False setzen, werden die globalen IAM Ressourcentypen in dieser Option trotzdem automatisch aufgezeichnet, sofern diese Ressourcentypen nicht ausdrücklich als Ausnahmen im resourceTypes Feld von exclusionByResourceTypes aufgeführt sind.

  Anmerkung

  Globale Ressourcentypen und die Strategie zum Ausschluss von Ressourcen für die Aufzeichnung

  Wenn Sie die EXCLUSION_BY_RESOURCE_TYPES Aufzeichnungsstrategie wählen, wird standardmäßig automatisch mit der Aufzeichnung von Ressourcen dieses Typs AWS Config begonnen, wenn die Unterstützung für einen neuen Ressourcentyp in der Region AWS Config hinzugefügt wird, in der Sie den Konfigurationsrekorder eingerichtet haben, einschließlich globaler Ressourcentypen.

  Sofern nicht ausdrücklich als Ausnahmen aufgeführt, AWS::RDS::GlobalCluster werden sie automatisch in allen unterstützten AWS Config Regionen aufgezeichnet, in denen der Konfigurationsrekorder aktiviert ist.

  IAMBenutzer, Gruppen, Rollen und vom Kunden verwaltete Richtlinien werden in der Region aufgezeichnet, in der Sie den Konfigurationsrekorder eingerichtet haben, sofern es sich um eine Region handelt, in der diese vor Februar 2022 verfügbar AWS Config war. Sie können die globalen IAM Ressourcentypen nicht in Regionen aufzeichnen, die AWS Config nach Februar 2022 unterstützt werden. Eine Liste dieser Regionen finden Sie unter AWS Ressourcen für die Aufzeichnung | Globale Ressourcen.

  Im Folgenden wird die Anforderungssyntax für recordingGroup.json gezeigt.

  { 
      "allSupported": boolean,
      "exclusionByResourceTypes": { 
          "resourceTypes": [ Comma-separated list of resource types to exclude ]
      },
      "includeGlobalResourceTypes": boolean,
      "recordingStrategy": { 
          "useOnly": "Recording strategy for the configuration recorder"
      },
      "resourceTypes": [ Comma-separated list of resource types to include]
  }

  Anmerkung

  Autorisierungsrichtlinien für AWS Organizations Can Prevent Access

  Wenn Sie eine bereits bestehende IAM Rolle verwenden, stellen Sie sicher, dass es keine Autorisierungsrichtlinie gibt AWS Organizations , die Sie daran AWS Config hindert, Ihre Ressourcen aufzuzeichnen. Weitere Informationen zu Autorisierungsrichtlinien für AWS Organizations finden Sie unter Richtlinien verwalten AWS Organizations im AWS Organizations Benutzerhandbuch.

  Behalten Sie bei der Wiederverwendung einer Rolle die Mindestberechtigungen bei IAM

  Wenn Sie einen AWS Dienst verwenden, der beispielsweise AWS Security Hub oder verwendet AWS Config AWS Control Tower, und bereits eine IAM Rolle erstellt wurde, stellen Sie sicher, dass die IAM Rolle, die Sie bei der Einrichtung verwenden, dieselben Mindestberechtigungen wie die bereits vorhandene Rolle AWS Config beibehält. IAM Sie müssen dies tun, um sicherzustellen, dass der andere AWS Dienst weiterhin wie erwartet ausgeführt wird.

  Wenn er beispielsweise AWS Control Tower über eine IAM Rolle verfügt, die das Lesen von S3-Objekten ermöglicht AWS Config , stellen Sie sicher, dass der IAM Rolle, die Sie bei der Einrichtung verwenden, dieselben Berechtigungen gewährt werden AWS Config. Andernfalls kann es zu Störungen der AWS Control Tower Funktionsweise kommen.

  Anmerkung

  Hohe Anzahl von AWS Config Bewertungen

  Möglicherweise stellen Sie während Ihres ersten Monats, in dem Sie mit AWS Config aufgezeichnet haben, eine erhöhte Aktivität in Ihrem Konto im Vergleich zu den Folgemonaten fest. AWS Config Führt während des ersten Bootstrapping-Vorgangs Evaluierungen aller Ressourcen in Ihrem Konto durch, die Sie für AWS Config die Aufzeichnung ausgewählt haben.

  Wenn Sie kurzlebige Workloads ausführen, können Sie aufgrund der Aufzeichnung von AWS Config Konfigurationsänderungen im Zusammenhang mit dem Erstellen und Löschen dieser temporären Ressourcen eine erhöhte Aktivität feststellen. Eine flüchtige Workload ist eine vorübergehende Nutzung von Computing-Ressourcen, die bei Bedarf geladen und ausgeführt werden. Beispiele hierfür sind Amazon Elastic Compute Cloud (AmazonEC2) Spot-Instances, EMR Amazon-Jobs und AWS Auto Scaling. Wenn Sie die erhöhte Aktivität durch die Ausführung kurzlebiger Workloads vermeiden möchten, können Sie den Konfigurationsrekorder so einrichten, dass diese Ressourcentypen von der Aufzeichnung ausgeschlossen werden, oder Sie können diese Arten von Workloads in einem separaten Konto ausführen, das AWS Config ausgeschaltet ist, um eine erhöhte Konfigurationsaufzeichnung und Regelauswertung zu vermeiden.

  Anmerkung

  Verfügbarkeit in Regionen

  Bevor Sie einen Ressourcentyp für die AWS Config Nachverfolgung angeben, überprüfen Sie die Ressourcenabdeckung nach regionaler Verfügbarkeit, um festzustellen, ob der Ressourcentyp in der AWS Region unterstützt wird, in der Sie die Einrichtung vornehmen. AWS Config Wenn ein Ressourcentyp AWS Config in mindestens einer Region unterstützt wird, können Sie die Aufzeichnung dieses Ressourcentyps in allen Regionen aktivieren, die von unterstützt werden AWS Config, auch wenn der angegebene Ressourcentyp in der AWS Region, in der Sie einrichten, nicht unterstützt wird AWS Config.

Configuration Recorder

put-configuration-recorder verwendet die folgenden Felder für den --configuration-recorder-Parameter:

• name— Der Name des Konfigurationsrekorders. AWS Config weist bei der Erstellung des Konfigurationsrekorders automatisch den Namen „Standard“ zu.

• roleARN— Amazon-Ressourcenname (ARN) der IAM Rolle, die vom Konfigurationsrekorder angenommen AWS Config und von diesem verwendet wird.

• recordingMode— Gibt die Standardaufzeichnungsfrequenz an, AWS Config mit der Konfigurationsänderungen aufgezeichnet werden. AWS Config unterstützt kontinuierliche Aufnahme und tägliche Aufnahme. Mit der kontinuierlichen Aufzeichnung können Sie Konfigurationsänderungen kontinuierlich aufzeichnen, wenn eine Änderung auftritt. Mit der täglichen Aufzeichnung können Sie nur dann ein Konfigurationselement (CI) erhalten, das den neuesten Status Ihrer Ressourcen in den letzten 24 Stunden darstellt, wenn es sich von dem zuvor aufgezeichneten CI unterscheidet.

  • recordingFrequency— Die Standard-Aufnahmefrequenz, mit AWS Config der Konfigurationsänderungen aufgezeichnet werden.

    Anmerkung

    AWS Firewall Manager hängt von der kontinuierlichen Aufzeichnung ab, um Ihre Ressourcen zu überwachen. Wenn Sie den Firewall Manager verwenden, wird empfohlen, die Aufzeichnungsfrequenz auf „Kontinuierlich“ einzustellen.

  • recordingModeOverrides – In diesem Feld können Sie Ihre Überschreibungen für den Aufzeichnungsmodus angeben. Dies ist ein Array aus recordingModeOverride-Objekten. Jedes recordingModeOverride-Objekt im recordingModeOverrides-Array besteht aus drei Feldern:

    • description – Eine Beschreibung, die Sie für die Überschreibung angeben.

    • recordingFrequency – Die Aufzeichnungsfrequenz, die auf alle in der Überschreibung angegebenen Ressourcentypen angewendet wird.

    • resourceTypes— Eine durch Kommas getrennte Liste, die angibt, welche Ressourcentypen in der AWS Config Überschreibung enthalten sind.

Anmerkung

Erforderliche und optionale Felder

Das recordingMode-Feld für put-configuration-recorder ist optional. Standardmäßig ist die Aufzeichnungsfrequenz für den Konfigurations-Recorder auf „Kontinuierliche Aufzeichnung“ eingestellt.

Anmerkung

Beschränkungen

Die tägliche Aufzeichnung wird für die folgenden Ressourcentypen nicht unterstützt:

• AWS::Config::ResourceCompliance

• AWS::Config::ConformancePackCompliance

• AWS::Config::ConfigurationRecorder

Für die Aufzeichnungsstrategie Aufzeichnen aller derzeit und zukünftig unterstützten Ressourcentypen (ALL_SUPPORTED_RESOURCE_TYPES) werden diese Ressourcentypen auf „Kontinuierliche Aufzeichnung“ gesetzt.

Die configurationRecorder.json Datei spezifiziert name und roleArn auch die Standardaufzeichnungsfrequenz für den Konfigurationsrekorder ()recordingMode. Sie können dieses Feld auch verwenden, um die Aufzeichnungsfrequenz für bestimmte Ressourcentypen zu überschreiben.

{
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

Schritt 2: Führen Sie den put-delivery-channel Befehl aus

Die folgenden Codebeispiele zeigen die VerwendungPutDeliveryChannel.

CLI

AWS CLI

Um einen Lieferkanal zu erstellen

Der folgende Befehl stellt die Einstellungen für den Lieferkanal als JSON Code bereit:

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Die deliveryChannel.json Datei spezifiziert die Attribute des Lieferkanals:

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

In diesem Beispiel werden die folgenden Attribute festgelegt:

name- Der Name des Lieferkanals. Standardmäßig weist AWS Config den Namen einem neuen Lieferkanal default zu. Sie können den Namen des Lieferkanals nicht mit dem Befehl aktualisieren. put-delivery-channel Die Schritte zum Ändern des Namens finden Sie unter Umbenennen des Lieferkanals. s3BucketName - Der Name des Amazon S3 S3-Buckets, für den AWS Config Konfigurations-Snapshots und Konfigurationsverlaufsdateien bereitstellt. Wenn Sie einen Bucket angeben, der zu einem anderen AWS Konto gehört, muss dieser Bucket über Richtlinien verfügen, die Config Zugriffsberechtigungen gewähren. AWS Weitere Informationen finden Sie unter Berechtigungen für den Amazon-S3-Bucket.

snsTopicARN— Der Amazon-Ressourcenname (ARN) des SNS Amazon-Themas, an das AWS Config Benachrichtigungen über Konfigurationsänderungen sendet. Wenn Sie ein Thema aus einem anderen Konto auswählen, muss das Thema über Richtlinien verfügen, die Config Zugriffsberechtigungen gewähren. AWS Weitere Informationen finden Sie unter Berechtigungen für das SNS Amazon-Thema.

configSnapshotDeliveryProperties- Enthält das deliveryFrequency Attribut, das festlegt, wie oft AWS Config Konfigurations-Snapshots liefert und wie oft es Evaluierungen für periodische Config-Regeln aufruft.

Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Führen Sie den describe-delivery-channels Befehl aus, um die Einstellungen Ihres Lieferkanals zu überprüfen.

• APIEinzelheiten finden Sie PutDeliveryChannelin der AWS CLI Befehlsreferenz.

PowerShell

Tools für PowerShell

Beispiel 1: In diesem Beispiel wird die deliveryFrequency Eigenschaft eines vorhandenen Lieferkanals geändert.

Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName amzn-s3-demo-bucket -DeliveryChannel_S3KeyPrefix my

• APIEinzelheiten finden Sie unter PutDeliveryChannel AWS Tools for PowerShellCmdlet-Referenz.

Schritt 3: Führen Sie den Befehl aus start-configuration-recorder

Verwenden Sie den start-configuration-recorderBefehl AWS Config, um das Einschalten zu beenden.

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName