Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wie AWS Config funktioniert
AWS Config bietet eine detaillierte Ansicht der Konfiguration der AWS Ressourcen in Ihrem AWS Konto. Dazu gehört auch, wie die Ressourcen jeweils zueinander in Beziehung stehen und wie sie in der Vergangenheit konfiguriert wurden, damit Sie sehen können, wie sich die Konfigurationen und Beziehungen im Laufe der Zeit verändern.
Eine AWS Ressource ist eine Entität, mit der Sie arbeiten können AWS, z. B. eine Amazon Elastic Compute Cloud (EC2) -Instance, ein Amazon Elastic Block Store (EBS) -Volume, eine Sicherheitsgruppe oder eine Amazon Virtual Private Cloud (VPC). Eine vollständige Liste der von unterstützten AWS Ressourcen finden Sie unter AWS Config. Unterstützte Ressourcentypen für AWS Config

Entdeckung von Ressourcen
Wenn Sie die Option aktivieren AWS Config, werden zunächst die unterstützten AWS Ressourcen erkannt, die in Ihrem Konto vorhanden sind, und für jede Ressource wird ein Konfigurationselement generiert.
AWS Config generiert außerdem Konfigurationselemente, wenn sich die Konfiguration einer Ressource ändert, und verwaltet historische Aufzeichnungen der Konfigurationselemente Ihrer Ressourcen ab dem Zeitpunkt, an dem Sie den Konfigurationsrekorder starten. AWS Config Erstellt standardmäßig Konfigurationselemente für jede unterstützte Ressource in der Region. Wenn Sie nicht Konfigurationselemente für alle unterstützten Ressourcen erstellen möchten AWS Config , können Sie die Ressourcentypen angeben, die nachverfolgt werden sollen.
Bevor Sie einen Ressourcentyp für AWS Config die Nachverfolgung angeben, überprüfen Sie die Ressourcenabdeckung nach regionaler Verfügbarkeit, um festzustellen, ob der Ressourcentyp in der AWS Region unterstützt wird, in der Sie die Einrichtung vornehmen AWS Config. Wenn ein Ressourcentyp AWS Config in mindestens einer Region unterstützt wird, können Sie die Aufzeichnung dieses Ressourcentyps in allen Regionen aktivieren, die von unterstützt werden AWS Config, auch wenn der angegebene Ressourcentyp in der AWS Region, in der Sie einrichten, nicht unterstützt wird AWS Config.
Nachverfolgung von Ressourcen
AWS Config verfolgt alle Änderungen an Ihren Ressourcen, indem es den Describe- oder den List-API-Aufruf für jede Ressource in Ihrem Konto aufruft. Der Service verwendet dieselben API-Aufrufe zur Erfassung von Konfigurationsdetails für alle zugehörigen Ressourcen.
Wenn Sie beispielsweise eine Ausgangsregel aus einer VPC-Sicherheitsgruppe entfernen, wird ein AWS Config Describe-API-Aufruf für die Sicherheitsgruppe aufgerufen. AWS Config ruft dann einen Describe-API-Aufruf für alle Instances auf, die der Sicherheitsgruppe zugeordnet sind. Die aktualisierten Konfigurationen der Sicherheitsgruppe (Ressource) und der einzelnen Instances (den zugehörigen Ressourcen) werden als Konfigurationselemente aufgezeichnet und in einem Konfigurations-Stream an einen Amazon Simple Storage Service (Amazon S3)-Bucket übermittelt.
AWS Config verfolgt auch die Konfigurationsänderungen, die nicht von der API initiiert wurden. AWS Config untersucht die Ressourcenkonfigurationen regelmäßig und generiert Konfigurationselemente für die Konfigurationen, die sich geändert haben.
Wenn Sie AWS Config Regeln verwenden, werden Ihre AWS Ressourcenkonfigurationen AWS Config kontinuierlich auf die gewünschten Einstellungen überprüft. Je nach Regel AWS Config werden Ihre Ressourcen entweder als Reaktion auf Konfigurationsänderungen oder in regelmäßigen Abständen bewertet. Jede Regel ist mit einer AWS Lambda -Funktion verknüpft, die eine für die Regel logische Auswertung enthält. Bei der AWS Config Auswertung Ihrer Ressourcen wird die Funktion der Regel aufgerufen. AWS Lambda Die Funktion gibt den Status der ausgewerteten Compliance-Ressourcen zurück. Wenn eine Ressource gegen die Bedingungen einer Regel verstößt, werden die Ressource und AWS Config die Regel als nicht konform gekennzeichnet. Wenn sich der Compliance-Status einer Ressource ändert, AWS Config sendet eine Benachrichtigung an Ihr Amazon SNS SNS-Thema.
Lieferung von Konfigurationselementen
AWS Config kann Konfigurationselemente über einen der folgenden Kanäle bereitstellen:
Amazon S3 Bucket
AWS Config verfolgt Änderungen an der Konfiguration Ihrer AWS Ressourcen und sendet regelmäßig aktualisierte Konfigurationsdetails an einen von Ihnen angegebenen Amazon S3 S3-Bucket. Für jeden AWS Config aufgenommenen Ressourcentyp wird alle sechs Stunden eine Konfigurationsverlaufsdatei gesendet. Jede Konfigurationsverlaufsdatei enthält Informationen zu den Ressourcen, die in diesem Zeitraum von sechs Stunden geändert wurden. Jede Datei enthält Ressourcen eines Typs, z. B. EC2 Amazon-Instances oder Amazon EBS-Volumes. Wenn keine Konfigurationsänderungen vorgenommen werden, sendet AWS Config keine Datei.
AWS Config sendet einen Konfigurations-Snapshot an Ihren Amazon S3 S3-Bucket, wenn Sie den deliver-config-snapshotBefehl mit der AWS CLI oder wenn Sie die DeliverConfigSnapshotAktion mit der AWS Config API verwenden. Ein Konfigurations-Snapshot enthält Konfigurationsdetails für alle Ressourcen, die AWS Config in Ihrem gespeichert sind AWS-Konto. Die Konfigurationsverlaufsdatei und der Konfigurations-Snapshot liegen im JSON-Format vor.
Anmerkung
AWS Config übermittelt nur die Konfigurationsverlaufsdateien und Konfigurations-Snapshots an den angegebenen S3-Bucket. Die Lebenszyklusrichtlinien für Objekte im S3-Bucket werden AWS Config nicht geändert. Mithilfe von Richtlinien für den Lebenszyklus können Sie angeben, ob Sie Objekte löschen oder in Amazon S3 Glacier archivieren möchten. Weitere Informationen finden Sie im Abschnitt zum Verwalten der Lebenszykluskonfiguration im Benutzerhandbuch für Amazon Simple Storage Service. Informationen finden Sie außerdem im Blogbeitrag Archiving Amazon S3 Data to Amazon Glacier
Amazon SNS-Thema
Ein Amazon Simple Notification Service (Amazon SNS)-Thema ist ein Kommunikationskanal, den Amazon SNS für die Übermittlung von Nachrichten (oder Benachrichtigungen) an abonnierende Endpunkte verwendet, z. B. eine E-Mail-Adresse oder Clients. Andere Arten von Amazon-SNS-Benachrichtigungen sind Push-Benachrichtigungen an Apps auf Mobiltelefonen, SMS-Benachrichtigungen an SMS-fähige Mobiltelefone und Smartphones sowie HTTP-POST-Anforderungen. Um die besten Ergebnisse zu erzielen, verwenden Sie Amazon SQS als Endpunkt Ihrer Benachrichtigungen für das SNS-Thema und verarbeiten Sie anschließend programmgesteuert die Informationen in der Benachrichtigung.
AWS Config verwendet das von Ihnen angegebene Amazon SNS SNS-Thema, um Ihnen Benachrichtigungen zu senden. Der Typ der Benachrichtigung, die Sie erhalten, wird durch den Wert des messageType
-Schlüssels im Nachrichtentext wie im folgenden Beispiel angegeben:
"messageType": "ConfigurationHistoryDeliveryCompleted"
Bei den Benachrichtigungen kann es sich um einen der folgenden Nachrichtentypen handeln.
Art der Nachricht | Beschreibung |
---|---|
ComplianceChangeNotification | Der Konformitätstyp einer Ressource, die AWS Config bewertet, hat sich geändert. Der Konformitätstyp gibt an, ob die Ressource einer bestimmten AWS Config Regel entspricht, und wird durch den ComplianceType Schlüssel in der Nachricht dargestellt. Die Nachricht enthält newEvaluationResult - und oldEvaluationResult -Objekte für den Vergleich. |
ConfigRulesEvaluationStarted | AWS Config hat begonnen, Ihre Regel anhand der angegebenen Ressourcen auszuwerten. |
ConfigurationSnapshotDeliveryStarted | AWS Config hat begonnen, den Konfigurations-Snapshot an Ihren Amazon S3 S3-Bucket zu senden. Der Name des Amazon-S3-Buckets wird für den s3Bucket -Schlüssel in der Nachricht bereitgestellt. |
ConfigurationSnapshotDeliveryCompleted | AWS Config hat den Konfigurations-Snapshot erfolgreich an Ihren Amazon S3 S3-Bucket gesendet. |
ConfigurationSnapshotDeliveryFailed | AWS Config konnte den Konfigurations-Snapshot nicht an Ihren Amazon S3 S3-Bucket senden. |
ConfigurationHistoryDeliveryCompleted | AWS Config hat den Konfigurationsverlauf erfolgreich an Ihren Amazon S3 S3-Bucket gesendet. |
ConfigurationItemChangeNotification | Eine Ressource wurde erstellt, gelöscht oder in Bezug auf die Konfiguration geändert. Diese Nachricht enthält die Details des Konfigurationselements, das für diese Änderung AWS Config erstellt wurde, sowie die Art der Änderung. Diese Benachrichtigungen werden wenige Minuten nach einer Änderung übermittelt und werden im Allgemeinen als Konfigurations-Stream bezeichnet. |
OversizedConfigurationItemChangeNotification | Dieser Nachrichtentyp wird übermittelt, wenn die Änderungsbenachrichtigung für ein Konfigurationselement die von Amazon SNS maximal erlaubte Größe überschreitet. Die Nachricht enthält eine Zusammenfassung des Konfigurationselements. Mit Ausnahme von SMS-Nachrichten können Amazon-SNS-Nachrichten bis zu 256 KB an Textdaten enthalten, darunter XML, JSON und unformatierten Text. Sie können die vollständige Benachrichtigung an dem angegebenen Amazon-S3-Bucket-Speicherort anzeigen. |
OversizedConfigurationItemChangeDeliveryFailed | AWS Config konnte die Benachrichtigung über die Änderung des übergroßen Konfigurationselements nicht an Ihren Amazon S3 S3-Bucket senden. |
Beispielbenachrichtigungen finden Sie unter Benachrichtigungen, die AWS Config an ein Amazon SNS SNS-Thema gesendet werden. Weitere Informationen zu Amazon SNS finden Sie im Amazon-Simple-Notification-Service-Entwicklerhandbuch.
Anmerkung
Warum kann ich meine letzten Konfigurationsänderungen nicht sehen?
AWS Config zeichnet in der Regel Konfigurationsänderungen an Ihren Ressourcen auf, unmittelbar nachdem eine Änderung erkannt wurde, oder in der von Ihnen angegebenen Häufigkeit. Dies erfolgt jedoch nach bestem Wissen und kann manchmal länger dauern. Wenn die Probleme nach einiger Zeit weiterhin bestehen, wenden Sie sich an uns Support
Steuern Sie den Zugriff auf AWS Config
AWS Identity and Access Management ist ein Webservice, der es Kunden von Amazon Web Services (AWS) ermöglicht, Benutzer und Benutzerberechtigungen zu verwalten.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen im IAM-Benutzerhandbuch.
-
IAM-Benutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter Eine Rolle für einen IAM-Benutzer erstellen im IAM-Benutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.
-