Manuelle Einrichtung für AWS Config - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Manuelle Einrichtung für AWS Config

Mit dem Workflow Erste Schritte können Sie alle manuellen Auswahlen des Einrichtungsvorgangs durchführen, um mit der AWS Config Konsole zu beginnen. Einen vereinfachten Prozess für die ersten Schritte finden Sie unter Einrichtung mit einem Klick.

So richten Sie die Einrichtung AWS Config über die Konsole mithilfe von Get Started ein
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Config Konsole unter https://console.aws.amazon.com/config/.

  2. Wählen Sie Erste Schritte.

Die Einrichtungsseite umfasst drei Schritte. Im Folgenden finden Sie eine Aufgliederung dieses Verfahrens, nachdem Sie Erste Schritte ausgewählt haben.

  • Einstellungen: Wählen Sie aus, wie die AWS Config Konsole Ressourcen und Rollen aufzeichnet, und wählen Sie aus, wohin der Konfigurationsverlauf und die Konfigurations-Snapshot-Dateien gesendet werden sollen.

  • Regeln: Für AWS-Regionen diese AWS Config Support-Regeln steht Ihnen dieser Schritt zur Verfügung, um erste verwaltete Regeln zu konfigurieren, die Sie Ihrem Konto hinzufügen können. Nach der Einrichtung AWS Config werden Ihre AWS Ressourcen anhand der von Ihnen ausgewählten Regeln bewertet. Zusätzliche Regeln können erstellt und bestehende Regeln nach der Einrichtung in Ihrem Konto aktualisiert werden.

  • Überprüfung: Um Ihre Einrichtungsdetails zu überprüfen.

Schritt 1: Einstellungen

Strategie für die Aufzeichnung

Wählen Sie im Abschnitt Aufzeichnungsverfahren eine Aufzeichnungsstrategie aus. Sie können die AWS Ressourcen angeben, die Sie aufzeichnen AWS Config möchten.

All resource types with customizable overrides

AWS Config So eingerichtet, dass Konfigurationsänderungen für alle aktuellen und future unterstützten Ressourcentypen in dieser Region aufgezeichnet werden. Sie können die Aufzeichnungsfrequenz für bestimmte Ressourcentypen außer Kraft setzen oder bestimmte Ressourcentypen von der Aufzeichnung ausschließen. Weitere Informationen finden Sie unter Unterstützte Ressourcentypen.

  • Standardeinstellungen

    Konfigurieren Sie die Standardaufzeichnungsfrequenz für alle derzeit und zukünftig unterstützten Ressourcentypen. Weitere Informationen finden Sie unter Aufzeichnungsfrequenz.

    • Kontinuierliche Aufzeichnung — AWS Config zeichnet bei jeder Änderung kontinuierlich Konfigurationsänderungen auf.

    • Tägliche Aufzeichnung – Sie erhalten ein Konfigurationselement (CI), das den aktuellen Status Ihrer Ressourcen in den letzten 24 Stunden nur dann darstellt, wenn es sich von dem zuvor aufgezeichneten CI unterscheidet.

    Anmerkung

    AWS Firewall Manager hängt von der kontinuierlichen Aufzeichnung ab, um Ihre Ressourcen zu überwachen. Wenn Sie den Firewall Manager verwenden, wird empfohlen, die Aufzeichnungsfrequenz auf „Kontinuierlich“ einzustellen.

  • Überschreibungseinstellungen

    Setzen Sie die Aufzeichnungsfrequenz für bestimmte Ressourcentypen außer Kraft oder schließen Sie bestimmte Ressourcentypen von der Aufzeichnung aus. Wenn Sie die Aufzeichnungsfrequenz für einen Ressourcentyp ändern, bleiben die bereits aufgezeichneten Konfigurationselemente unverändert.

Specific resource types

Legen AWS Config Sie fest, dass Konfigurationsänderungen nur für die von Ihnen angegebenen Ressourcentypen aufgezeichnet werden.

  • Bestimmte Ressourcentypen

    Wählen Sie einen Ressourcentyp und dessen Aufzeichnungsfrequenz aus. Weitere Informationen finden Sie unter Aufzeichnungsfrequenz.

    • Kontinuierliche Aufzeichnung — AWS Config zeichnet Konfigurationsänderungen kontinuierlich auf, wenn eine Änderung eintritt.

    • Tägliche Aufzeichnung – Sie erhalten ein Konfigurationselement (CI), das den aktuellen Status Ihrer Ressourcen in den letzten 24 Stunden nur dann darstellt, wenn es sich von dem zuvor aufgezeichneten CI unterscheidet.

    Anmerkung

    AWS Firewall Manager hängt von der kontinuierlichen Aufzeichnung ab, um Ihre Ressourcen zu überwachen. Wenn Sie den Firewall Manager verwenden, wird empfohlen, die Aufzeichnungsfrequenz auf „Kontinuierlich“ einzustellen.

    Wenn Sie die Aufzeichnungsfrequenz für einen Ressourcentyp ändern, bleiben die bereits aufgezeichneten Konfigurationselemente unverändert.

Überlegungen beim Aufzeichnen von Ressourcen

Hohe Anzahl von AWS Config Bewertungen

Möglicherweise stellen Sie während Ihres ersten Monats, in dem Sie mit AWS Config aufgezeichnet haben, eine erhöhte Aktivität in Ihrem Konto im Vergleich zu den Folgemonaten fest. AWS Config Führt während des ersten Bootstrapping-Vorgangs Evaluierungen aller Ressourcen in Ihrem Konto durch, die Sie für AWS Config die Aufzeichnung ausgewählt haben.

Wenn Sie flüchtige Workloads ausführen, sehen Sie möglicherweise eine erhöhte Aktivität durch AWS Config , da Konfigurationsänderungen im Zusammenhang mit dem Erstellen und Löschen dieser temporären Ressourcen aufgezeichnet werden. Eine flüchtige Workload ist eine vorübergehende Nutzung von Computing-Ressourcen, die bei Bedarf geladen und ausgeführt werden. Beispiele hierfür sind Amazon Elastic Compute Cloud (Amazon EC2) Spot-Instances, Amazon EMR-Jobs und AWS Auto Scaling. Wenn Sie die erhöhte Aktivität durch die Ausführung kurzlebiger Workloads vermeiden möchten, können Sie den Konfigurationsrekorder so einrichten, dass diese Ressourcentypen von der Aufzeichnung ausgeschlossen werden, oder Sie können diese Arten von Workloads in einem separaten Konto ausführen, das AWS Config ausgeschaltet ist, um eine erhöhte Konfigurationsaufzeichnung und Regelauswertung zu vermeiden.

Considerations: All resource types with customizable overrides

Global aufgezeichnete Ressourcentypen | Die globalen Aurora-Cluster sind zunächst in der Aufzeichnung enthalten

Der AWS::RDS::GlobalCluster Ressourcentyp wird in allen unterstützten AWS Config Regionen aufgezeichnet, in denen der Konfigurationsrekorder aktiviert ist.

Wenn Sie nicht AWS::RDS::GlobalCluster in allen aktivierten Regionen aufnehmen möchten, wählen Sie“AWS RDS GlobalCluster„und wählen Sie die Option „Von der Aufnahme ausschließen“.

Globale Ressourcentypen | IAM-Ressourcentypen sind zunächst von der Aufzeichnung ausgeschlossen

Die globalen IAM-Ressourcentypen sind zunächst von der Aufzeichnung ausgeschlossen, um Ihnen zu helfen, die Kosten zu senken. Dieses Paket umfasst IAM-Benutzer, -Gruppen, -Rollen und vom Kunden verwaltete Richtlinien. Wählen Sie Entfernen, um die Überschreibung zu entfernen und diese Ressourcen in Ihre Aufzeichnung aufzunehmen.

Darüber hinaus können die globalen IAM-Ressourcentypen (AWS::IAM::User, AWS::IAM::GroupAWS::IAM::Role, undAWS::IAM::Policy) nicht in Regionen aufgezeichnet werden, die AWS Config nach Februar 2022 unterstützt werden. Eine Liste dieser Regionen finden Sie unter AWS Aufzeichnungsressourcen | Globale Ressourcen.

Beschränkungen

Sie können bis zu 100 Frequenzüberschreibungen und 600 Ausschlussüberschreibungen hinzufügen.

Die tägliche Aufzeichnung kann für die folgenden Ressourcentypen nicht angegeben werden:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Considerations: Specific resource types

Verfügbarkeit in Regionen

Bevor Sie einen Ressourcentyp für AWS Config die Nachverfolgung angeben, überprüfen Sie, ob der Ressourcentyp in der AWS Region, in der Sie ihn eingerichtet haben, unterstützt wird AWS Config. Wenn ein Ressourcentyp AWS Config in mindestens einer Region unterstützt wird, können Sie die Aufzeichnung dieses Ressourcentyps in allen Regionen aktivieren, die von unterstützt werden AWS Config, auch wenn der angegebene Ressourcentyp in der AWS Region, in der Sie ihn eingerichtet haben, nicht unterstützt wird AWS Config.

Beschränkungen

Keine Beschränkungen, wenn alle Ressourcentypen dieselbe Frequenz haben. Sie können bis zu 100 Ressourcentypen mit täglicher Aufzeichnungsfrequenz hinzufügen, wenn mindestens ein Ressourcentyp auf „Kontinuierlich“ gesetzt ist.

Die tägliche Frequenz wird für die folgenden Ressourcentypen nicht unterstützt:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Datenverwaltung

  • Wählen Sie unter Datenaufbewahrungszeitraum entweder den Standardaufbewahrungszeitraum für die Aufbewahrung von AWS Config Daten für 7 Jahre (2557) oder legen Sie einen benutzerdefinierten Aufbewahrungszeitraum für Elemente fest, die von aufgezeichnet wurden. AWS Config

    AWS Config ermöglicht es Ihnen, Ihre Daten zu löschen, indem Sie eine Aufbewahrungsfrist für Ihre Daten angeben. ConfigurationItems Wenn Sie einen Aufbewahrungszeitraum angeben, bewahrt AWS Config Ihre ConfigurationItems im angegebenen Zeitraum auf. Sie können einen Zeitraum zwischen mindestens 30 Tagen und maximal 7 Jahren (2557 Tage) wählen. AWS Config löscht Daten, die älter sind als die angegebene Aufbewahrungsfrist.

  • Wählen Sie unter IAM-Rolle für AWS Config entweder eine bestehende AWS Config serviceverknüpfte Rolle oder eine IAM-Rolle aus Ihrem Konto aus.

    • Mit Diensten verknüpfte Rollen sind durch alle Berechtigungen vordefiniert AWS Config und enthalten alle Berechtigungen, die der Dienst zum Aufrufen anderer Dienste benötigt. AWS

      Anmerkung

      Empfehlung: Verwenden Sie die mit dem Dienst verknüpfte Rolle

      Es wird empfohlen, die dienstverknüpfte Rolle zu verwenden. Eine dienstverknüpfte Rolle fügt alle erforderlichen Berechtigungen hinzu, damit sie wie erwartet ausgeführt werden AWS Config kann.

    • Andernfalls wählen Sie eine IAM-Rolle aus einer Ihrer bereits vorhandenen Rollen und Berechtigungsrichtlinien aus.

      Anmerkung

      Richtlinien und Compliance-Ergebnisse

      IAM-Richtlinien und andere Richtlinien, die in verwaltet werden, AWS Organizations können sich darauf auswirken, ob Sie AWS Config berechtigt sind, Konfigurationsänderungen für Ihre Ressourcen aufzuzeichnen. Darüber hinaus bewerten Regeln direkt die Konfiguration einer Ressource, und Regeln berücksichtigen diese Richtlinien bei der Durchführung von Evaluierungen nicht. Stellen Sie sicher, dass die geltenden Richtlinien mit der Art und Weise übereinstimmen, wie Sie sie verwenden möchten AWS Config.

      Behalten Sie bei der Wiederverwendung einer IAM-Rolle die Mindestberechtigungen bei

      Wenn Sie einen AWS Dienst verwenden, der beispielsweise AWS Security Hub oder verwendet AWS Config AWS Control Tower, und bereits eine IAM-Rolle erstellt wurde, stellen Sie sicher, dass die IAM-Rolle, die Sie bei der Einrichtung verwenden, dieselben Mindestberechtigungen wie die bereits vorhandene IAM-Rolle AWS Config beibehält. Sie müssen dies tun, um sicherzustellen, dass der andere AWS Dienst weiterhin wie erwartet ausgeführt wird.

      Wenn er beispielsweise AWS Control Tower über eine IAM-Rolle verfügt, die das Lesen von S3-Objekten ermöglicht AWS Config , stellen Sie sicher, dass der IAM-Rolle, die Sie bei der Einrichtung verwenden, dieselben Berechtigungen gewährt werden. AWS Config Andernfalls kann es zu Störungen der Funktionsweise von AWS Control Tower kommen.

Bereitstellungsmethode

  • Wählen Sie als Bereitstellungsmethode den S3-Bucket aus, an den AWS Config Konfigurationsverlaufs- und Konfigurations-Snapshot-Dateien sendet:

    • Bucket erstellen – Geben Sie im Feld für den Namen des S3-Buckets einen entsprechenden Namen ein.

      Der von Ihnen eingegebene Bucket-Name muss unter allen in Amazon S3 vorhandenen Bucket-Namen eindeutig sein. Eine Möglichkeit, Eindeutigkeit sicherzustellen, besteht darin, ein Präfix einzufügen, z. B. den Namen Ihres Unternehmens. Sie können den Bucket-Namen nicht ändern, nachdem er erstellt wurde. Weitere Informationen finden Sie unter Bucket-Einschränkungen und -Limits im Benutzerhandbuch zu Amazon Simple Storage Service.

    • Bucket aus Ihrem Konto auswählen – Wählen Sie unter Namen des S3-Buckets Ihren bevorzugten Bucket aus.

    • Bucket aus einem anderen Konto auswählen – Geben Sie unter Namen des S3-Buckets den Bucket-Namen ein.

      Anmerkung

      Bucket-Berechtigungen

      Wenn Sie einen Bucket aus einem anderen Konto auswählen, muss dieser Bucket über Richtlinien verfügen, die Zugriffsberechtigungen für gewähren AWS Config. Weitere Informationen finden Sie unter Berechtigungen für den Amazon S3 S3-Bucket für den AWS Config Lieferkanal.

  • Wählen Sie für Amazon SNS SNS-Thema die Option Konfigurationsänderungen und Benachrichtigungen zu einem Amazon SNS SNS-Thema streamen, um Benachrichtigungen wie die Lieferung des Konfigurationsverlaufs, die Bereitstellung von Konfigurations-Snapshots und die Einhaltung von Vorschriften zu AWS Config senden.

  • Wenn Sie sich für den AWS Config Stream zu einem Amazon SNS SNS-Thema entschieden haben, wählen Sie das Zielthema aus:

    • Thema erstellen – Geben Sie unter Themenname einen Namen für Ihr SNS-Thema ein.

    • Thema aus Ihrem Konto auswählen – Wählen Sie unter Themenname Ihr bevorzugtes Thema aus.

    • Thema aus einem anderen Konto auswählen – Geben Sie unter Thema-ARN den Amazon-Ressourcennamen des Themas ein. Wenn Sie ein Thema aus einem anderen Konto auswählen, muss das Thema über Richtlinien verfügen, die Zugriffsberechtigungen für gewähren AWS Config. Weitere Informationen finden Sie unter Berechtigungen für das Amazon-SNS-Thema.

      Anmerkung

      Region für das Amazon SNS SNS-Thema

      Das Amazon SNS SNS-Thema muss in derselben Region existieren wie die Region, in der Sie es eingerichtet AWS Config haben.

Schritt 2: Regeln

Wenn Sie AWS Config in einer Region einrichten, die Regeln unterstützt, wählen Sie Weiter.

Schritt 3: Prüfen

Überprüfen Sie Ihre AWS Config Einrichtungsdetails. Sie können die Änderungen für jeden Abschnitt auch zu einem späteren Zeitpunkt noch bearbeiten. Wählen Sie Bestätigen, um die Einrichtung abzuschließen AWS Config.

Weitere Informationen

Informationen zum Nachschlagen der vorhandenen Ressourcen in Ihrem Konto und zum Verständnis der Konfigurationen Ihrer Ressourcen finden Sie unter Ressourcen suchen, Compliance-Informationen anzeigen und Konformitätsverlauf anzeigen.

Sie können Amazon Simple Queue Service auch verwenden, um AWS Ressourcen programmgesteuert zu überwachen. Weitere Informationen finden Sie unter Überwachen von AWS Ressourcenänderungen mit Amazon SQS.