Beginnend AWS Config mit einem vom Kunden verwalteten Konfigurationsrekorder unter Verwendung des AWS CLI - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beginnend AWS Config mit einem vom Kunden verwalteten Konfigurationsrekorder unter Verwendung des AWS CLI

Sie können damit beginnen, einen AWS Config vom Kunden verwalteten Konfigurationsrekorder zu erstellen. Verwenden Sie die folgenden Befehle AWS CLI, um einen vom Kunden verwalteten Konfigurationsrekorder mit dem zu erstellen: put-configuration-recorderput-delivery-channel, und start-configuration-recorder.

  • Der put-configuration-recorder Befehl erstellt einen vom Kunden verwalteten Konfigurationsrekorder.

  • Der put-delivery-channel Befehl erstellt einen Bereitstellungskanal, über den AWS Config Konfigurationsinformationen an einen S3-Bucket und ein SNS-Thema gesendet werden.

  • Das start-configuration-recorder startet den vom Kunden verwalteten Konfigurationsrekorder. Der vom Kunden verwaltete Konfigurationsrekorder beginnt mit der Aufzeichnung von Konfigurationsänderungen für die von Ihnen angegebenen Ressourcentypen.

Überlegungen

S3-Bucket, SNS-Thema und IAM-Rolle sind erforderlich

Um einen vom Kunden verwalteten Konfigurationsrekorder zu erstellen, müssen Sie einen S3-Bucket, ein SNS-Thema und eine IAM-Rolle mit angehängten Richtlinien als Voraussetzungen erstellen. Informationen zur Einrichtung Ihrer Voraussetzungen für finden Sie AWS Config unter Voraussetzungen.

Ein vom Kunden verwalteter Konfigurationsrekorder pro Konto und Region

Sie können jeweils AWS-Konto nur einen vom Kunden verwalteten Konfigurationsrekorder verwenden AWS-Region.

Ein Lieferkanal pro Konto und Region

Sie können AWS-Konto für jede Region nur eine Lieferkanalregion angeben AWS-Region.

Richtlinien und Ergebnisse zur Einhaltung von Vorschriften

IAM-Richtlinien und andere Richtlinien, die in verwaltet werden, AWS Organizations können sich darauf auswirken, ob Sie AWS Config berechtigt sind, Konfigurationsänderungen für Ihre Ressourcen aufzuzeichnen. Darüber hinaus bewerten Regeln direkt die Konfiguration einer Ressource, und Regeln berücksichtigen diese Richtlinien bei der Durchführung von Evaluierungen nicht. Stellen Sie sicher, dass die geltenden Richtlinien mit der Art und Weise übereinstimmen, wie Sie sie verwenden möchten AWS Config.

Schritt 1: Führen Sie den aus put-configuration-recorder

Verwenden Sie den put-configuration-recorderBefehl, um einen vom Kunden verwalteten Konfigurationsrekorder zu erstellen:

Dieser Befehl verwendet die ---recording-group Felder --configuration-recorder und.

$ aws configservice put-configuration-recorder \ --configuration-recorder file://configurationRecorder.json \ --recording-group file://recordingGroup.json

Das configuration-recorder Feld

Die configurationRecorder.json Datei spezifiziert name und roleArn auch die Standardaufzeichnungsfrequenz für den Konfigurationsrekorder (recordingMode). Sie können dieses Feld auch verwenden, um die Aufzeichnungsfrequenz für bestimmte Ressourcentypen zu überschreiben.

{ "name": "default", "roleARN": "arn:aws:iam::123456789012:role/config-role", "recordingMode": { "recordingFrequency": CONTINUOUS or DAILY, "recordingModeOverrides": [ { "description": "Description you provide for the override", "recordingFrequency": CONTINUOUS or DAILY, "resourceTypes": [ Comma-separated list of resource types to include in the override ] } ] } }

Das recording-group Feld

Die recordingGroup.json Datei gibt an, welche Ressourcentypen aufgezeichnet werden.

{ "allSupported": boolean, "exclusionByResourceTypes": { "resourceTypes": [ Comma-separated list of resource types to exclude ] }, "includeGlobalResourceTypes": boolean, "recordingStrategy": { "useOnly": "Recording strategy for the configuration recorder" }, "resourceTypes": [ Comma-separated list of resource types to include] }

Weitere Informationen zu diesen Feldern finden Sie put-configuration-recorderin der AWS CLI Befehlsreferenz.

Schritt 2: Führen Sie den put-delivery-channel Befehl aus

Verwenden Sie den put-delivery-channelBefehl, um einen Lieferkanal zu erstellen:

Dieser Befehl verwendet das --delivery-channel Feld.

$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Das delivery-channel Feld

Die deliveryChannel.json Datei spezifiziert Folgendes:

  • Die name für den Lieferkanal.

  • Das s3BucketName Where AWS Config sendet Konfigurations-Snapshots.

  • Der snsTopicARN Ort, an den Benachrichtigungen AWS Config gesendet werden

  • Damit wird festgelegtconfigSnapshotDeliveryProperties, wie oft AWS Config Konfigurations-Snapshots geliefert werden und wie oft Evaluierungen für periodische Regeln aufgerufen werden.

{ "name": "default", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }

Weitere Informationen zu diesen Feldern finden Sie put-delivery-channelin der AWS CLI Befehlsreferenz.

Schritt 3: Führen Sie den start-configuration-recorder Befehl aus

Verwenden Sie den start-configuration-recorderBefehl, um zu starten AWS Config:

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

Weitere Informationen zu diesen Feldern finden Sie start-configuration-recorderin der AWS CLI Befehlsreferenz.