Terminologie Aktualisieren des Übermittlungskanals Umbenennen des Übermittlungskanals

Verwalten des Übermittlungskanals

Da AWS Config kontinuierlich die Änderungen an Ihren AWS Ressourcen aufgezeichnet werden, werden Benachrichtigungen und aktualisierte Konfigurationsstatus über den Bereitstellungskanal gesendet. Sie können den Lieferkanal verwalten, um zu kontrollieren, wohin Konfigurationsupdates AWS Config gesendet werden.

Sie können nur einen Zustellungskanal pro AWS Region und pro AWS Konto haben, und der Zustellungskanal muss verwendet werden AWS Config.

Wenn eine Konfigurationsänderung für eine Ressource AWS Config erkannt wird und die Benachrichtigung die von Amazon SNS zulässige maximale Größe überschreitet, enthält die Benachrichtigung eine kurze Zusammenfassung des Konfigurationselements. Sie können sich die vollständige Benachrichtigung an dem im Feld s3BucketLocation angegebenen Amazon S3-Bucket-Speicherort ansehen. Weitere Informationen finden Sie im Beispiel einer Benachrichtigung über die Änderung eines übergroßen Konfigurationselements.

Anmerkung

AWS Config unterstützt die AWS KMS Verschlüsselung für Amazon S3 S3-Buckets, die von verwendet werden AWS Config

Sie können einen AWS Key Management Service (AWS KMS) -Schlüssel oder Alias Amazon Resource Name (ARN) angeben, um die an Ihren Amazon Simple Storage Service (Amazon S3) -Bucket übermittelten Daten zu verschlüsseln. Überträgt standardmäßig den AWS Config Konfigurationsverlauf und Snapshot-Dateien an Ihren Amazon S3 S3-Bucket und verschlüsselt die ruhenden Daten mit der serverseitigen S3 AES-256-Verschlüsselung, SSE-S3. Wenn Sie jedoch Ihren KMS-Schlüssel oder Alias-ARN angeben AWS Config , wird dieser KMS-Schlüssel anstelle der AES-256-Verschlüsselung AWS Config verwendet.

AWS Config unterstützt nicht den Lieferkanal zu einem Amazon S3 S3-Bucket, bei dem die Objektsperre aktiviert ist und die Standardspeicherung aktiviert ist. Weitere Informationen finden Sie unter Funktionsweise von S3-Objektsperre.

Themen

Terminologie

Ein Konfigurationselement stellt eine point-in-time Ansicht der verschiedenen Attribute einer unterstützten AWS Ressource dar, die in Ihrem Konto vorhanden ist. Zu den Komponenten eines Konfigurationselements gehören Metadaten, Attribute, Beziehungen, die aktuelle Konfiguration und verwandte Ereignisse. AWS Config erstellt ein Konfigurationselement, wenn es eine Änderung an einem Ressourcentyp erkennt, den es aufzeichnet. Wenn beispielsweise Amazon S3 S3-Buckets aufgezeichnet werden, AWS Config wird jedes Mal, wenn ein Bucket AWS Config erstellt, aktualisiert oder gelöscht wird, ein Konfigurationselement erstellt. Sie können auch auswählen AWS Config , ob ein Konfigurationselement mit der von Ihnen festgelegten Aufzeichnungsfrequenz erstellt werden soll.

Ein Konfigurationsverlauf ist die Sammlung der Konfigurationselemente für eine bestimmte Ressource über einen beliebigen Zeitraum. Ein Konfigurationsverlauf kann Ihnen bei der Beantwortung von Fragen helfen: z. B. wann die Ressource erstmalig erstellt wurde, wie die Ressource im letzten Monat konfiguriert wurde und welche Konfigurationsänderungen gestern um 9.00 Uhr eingeführt wurden. Der Konfigurationsverlauf steht Ihnen in verschiedenen Formaten zur Verfügung. AWS Config liefert automatisch eine Konfigurationsverlaufsdatei für jeden Ressourcentyp, der in einem von Ihnen angegebenen Amazon S3 S3-Bucket aufgezeichnet wird. Sie können eine bestimmte Ressource in der AWS Config Konsole auswählen und mithilfe der Zeitleiste zu allen vorherigen Konfigurationselementen für diese Ressource navigieren. Zusätzlich können Sie über die API auf historische Konfigurationselemente für eine Ressource zugreifen.

Ein Konfigurations-Snapshot ist eine Sammlung der Konfigurationselemente der unterstützten Ressourcen in Ihrem Konto. Dieser Konfigurations-Snapshot liefert ein vollständiges Bild der derzeit aufgezeichneten Ressourcen und deren Konfigurationen. Die Konfigurations-Snapshot ist ein nützliches Tool für die Validierung Ihrer Konfiguration. Sie können beispielsweise den Konfigurations-Snapshot regelmäßig auf falsch konfigurierte Ressourcen oder solche, die potentiell nicht vorhanden sein sollten, hin prüfen. Der Konfigurations-Snapshot ist in mehreren Formaten verfügbar. Der Konfigurations-Snapshot kann an einen von Ihnen angegebenen Amazon Simple Storage Service (Amazon S3)-Bucket übermittelt werden. Darüber hinaus können Sie in der AWS Config Konsole einen Zeitpunkt auswählen und mithilfe der Beziehungen zwischen den Ressourcen durch den Snapshot der Konfigurationselemente navigieren.

Ein Konfigurationsstream ist eine automatisch aktualisierte Liste aller Konfigurationselemente für die Ressourcen, AWS Config die aufgezeichnet werden. Bei jeder Erstellung, Änderung oder Löschung einer Ressource wird von AWS Config ein neues Konfigurationselement erstellt und dem Konfigurations-Stream hinzugefügt. Der Konfigurationsstream verwendet ein Amazon Simple Notiﬁcation Service (Amazon SNS)-Thema Ihrer Wahl. Der Konfigurationsstream ist hilfreich, um Konfigurationsänderungen sofort zu beobachten, sodass Sie potenzielle Probleme erkennen können, Benachrichtigungen zu generieren, wenn bestimmte Ressourcen geändert werden, oder externe Systeme zu aktualisieren, die die Konfiguration Ihrer AWS Ressourcen widerspiegeln müssen.

Aktualisieren des Übermittlungskanals

Beim Aktualisieren des Übermittlungskanals können Sie die folgenden Optionen festlegen:

Der Amazon S3 S3-Bucket, an den Konfigurations-Snapshots und Konfigurationsverlaufsdateien AWS Config gesendet werden.
Wie oft werden AWS Config Konfigurations-Snapshots an Ihren Amazon S3 S3-Bucket gesendet?
Das Amazon SNS SNS-Thema, an das Benachrichtigungen über Konfigurationsänderungen AWS Config gesendet werden.

Sie können die AWS Config Konsole verwenden, um den Amazon S3-Bucket und das Amazon SNS SNS-Thema für Ihren Lieferkanal festzulegen. Die Schritte zum Verwalten dieser Einstellungen finden Sie unter Einrichtung AWS Config mit der Konsole.

Die Konsole bietet keine Optionen zum Umbenennen des Übermittlungskanals, zum Festlegen der Häufigkeit für die Konfiguration von Snapshots oder zum Löschen des Übermittlungskanals. Um diese Aufgaben auszuführen, müssen Sie die AWS CLI, die AWS Config API oder eines der AWS SDKs verwenden.

Die folgenden Codebeispiele zeigen die VerwendungPutDeliveryChannel.

CLI

AWS CLI

Um einen Lieferkanal zu erstellen

Der folgende Befehl stellt die Einstellungen für den Lieferkanal als JSON-Code bereit:


aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Die deliveryChannel.json Datei spezifiziert die Attribute des Lieferkanals:


{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

In diesem Beispiel werden die folgenden Attribute festgelegt:

name- Der Name des Lieferkanals. Standardmäßig weist AWS Config den Namen einem neuen Lieferkanal default zu. Sie können den Namen des Lieferkanals nicht mit dem Befehl aktualisieren. put-delivery-channel Die Schritte zum Ändern des Namens finden Sie unter Umbenennen des Lieferkanals. s3BucketName - Der Name des Amazon S3 S3-Buckets, für den AWS Config Konfigurations-Snapshots und Konfigurationsverlaufsdateien bereitstellt. Wenn Sie einen Bucket angeben, der zu einem anderen AWS Konto gehört, muss dieser Bucket über Richtlinien verfügen, die Config Zugriffsberechtigungen gewähren. AWS Weitere Informationen finden Sie unter Berechtigungen für den Amazon-S3-Bucket.

snsTopicARN— Der Amazon-Ressourcenname (ARN) des Amazon SNS-Themas, an das AWS Config Benachrichtigungen über Konfigurationsänderungen sendet. Wenn Sie ein Thema aus einem anderen Konto auswählen, muss das Thema über Richtlinien verfügen, die Config Zugriffsberechtigungen gewähren. AWS Weitere Informationen finden Sie unter Berechtigungen für das Amazon SNS SNS-Thema.

configSnapshotDeliveryProperties- Enthält das deliveryFrequency Attribut, das festlegt, wie oft AWS Config Konfigurations-Snapshots liefert und wie oft es Evaluierungen für periodische Config-Regeln aufruft.

Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Führen Sie den describe-delivery-channels Befehl aus, um die Einstellungen Ihres Lieferkanals zu überprüfen.

Einzelheiten zur API finden Sie PutDeliveryChannelin der AWS CLI Befehlsreferenz.

PowerShell

Tools für PowerShell

Beispiel 1: In diesem Beispiel wird die DeliveryFrequency-Eigenschaft eines vorhandenen Lieferkanals geändert.


Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName config-bucket-NA -DeliveryChannel_S3KeyPrefix my

Einzelheiten zur API finden Sie unter PutDeliveryChannel AWS Tools for PowerShellCmdlet-Referenz.

(Optional) Sie können den describe-delivery-channels-Befehl verwenden, um zu überprüfen, ob die Einstellungen für den Übermittlungskanal werden:


$ aws configservice describe-delivery-channels
{
    "DeliveryChannels": [
        {
            "configSnapshotDeliveryProperties": {
                "deliveryFrequency": "Twelve_Hours"
            },
            "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

Die folgenden Codebeispiele zeigen die Verwendung. DescribeDeliveryChannels

Umbenennen des Übermittlungskanals

Um den Namen des Übermittlungskanals zu ändern, müssen Sie ihn löschen und einen neuen Übermittlungskanal mit dem gewünschten Namen erstellen. Bevor Sie den Übermittlungskanal löschen können, müssen Sie den Configuration Recorder vorübergehend beenden.

Die AWS Config Konsole bietet keine Option zum Löschen des Bereitstellungskanals, sodass Sie die AWS CLI, die AWS Config API oder eines der AWS SDKs verwenden müssen.

Umbenennen des Bereitstellungskanals mithilfe von AWS CLI

Verwenden Sie den stop-configuration-recorder-Befehl, um den Configuration Recorder zu beenden:


$ aws configservice stop-configuration-recorder --configuration-recorder-name configRecorderName

Verwenden Sie den describe-delivery-channels-Befehl und notieren Sie sich die Attribute des Übermittlungskanals:


$ aws configservice describe-delivery-channels
{
    "DeliveryChannels": [
        {
            "configSnapshotDeliveryProperties": {
                "deliveryFrequency": "Twelve_Hours"
            },
            "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

Verwenden Sie den delete-delivery-channel-Befehl zum Löschen des Übermittlungskanals:
```
$ aws configservice delete-delivery-channel --delivery-channel-name default
```

Verwenden Sie den put-delivery-channel-Befehl zum Erstellen eines Übermittlungskanals mit dem gewünschten Namen:


$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Die Datei „deliveryChannel.json” gibt die Attribute des Übermittlungskanals an:


{
    "name": "myCustomDeliveryChannelName",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Verwenden Sie den Befehl „start-configuration-recorder“, um die Aufzeichnung fortzusetzen:


$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Configuration Recorder

Komponenten eines Konfigurationselements