AWS Ressourcen für die Aufzeichnung - AWS Config
ÜberlegungenRegionale und globale RessourcenAufzeichnen von Ressourcen (Konsole)Aufzeichnungsressourcen (AWS CLI)Aufzeichnungsfrequenzbeenden der AufzeichnungNicht aufgezeichnete RessourcenAWS Config Regeln und globale Ressourcentypen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Ressourcen für die Aufzeichnung

AWS Config erkennt kontinuierlich, wenn unterstützte Ressourcentypen erstellt, geändert oder gelöscht werden. AWS Config zeichnet diese Ereignisse als Konfigurationselemente (CIs) auf. Sie können AWS Config so anpassen, dass Änderungen für alle unterstützten Ressourcentypen oder nur für die unterstützten Ressourcentypen aufgezeichnet werden, die für Sie relevant sind. Eine Liste der unterstützten Ressourcentypen, die aufgezeichnet werden AWS Config können, finden Sie unterUnterstützte Ressourcentypen.

Überlegungen

Hohe Anzahl von AWS Config Bewertungen

Möglicherweise stellen Sie während Ihres ersten Monats, in dem Sie mit AWS Config aufgezeichnet haben, eine erhöhte Aktivität in Ihrem Konto im Vergleich zu den Folgemonaten fest. AWS Config Führt während des ersten Bootstrapping-Vorgangs Evaluierungen aller Ressourcen in Ihrem Konto durch, die Sie für AWS Config die Aufzeichnung ausgewählt haben.

Wenn Sie kurzlebige Workloads ausführen, können Sie aufgrund der Aufzeichnung von AWS Config Konfigurationsänderungen im Zusammenhang mit dem Erstellen und Löschen dieser temporären Ressourcen eine erhöhte Aktivität feststellen. Eine flüchtige Workload ist eine vorübergehende Nutzung von Computing-Ressourcen, die bei Bedarf geladen und ausgeführt werden. Beispiele sind Spot-Instances von Amazon Elastic Compute Cloud (Amazon EC2), Amazon-EMR-Aufträge und AWS Auto Scaling. Wenn Sie die erhöhte Aktivität aufgrund der Ausführung kurzlebiger Workloads vermeiden möchten, können Sie den Konfigurationsrekorder so einrichten, dass diese Ressourcentypen von der Aufzeichnung ausgeschlossen werden, oder Sie können diese Arten von Workloads in einem separaten Konto ausführen, das AWS Config ausgeschaltet ist, um eine erhöhte Konfigurationsaufzeichnung und Regelauswertung zu vermeiden.

Verfügbarkeit in Regionen

Bevor Sie einen Ressourcentyp angeben, der nachverfolgt werden AWS Config soll, überprüfen Sie, ob der Ressourcentyp in der Region, in der AWS Sie ihn eingerichtet haben, unterstützt wird. AWS Config Wenn ein Ressourcentyp AWS Config in mindestens einer Region unterstützt wird, können Sie die Aufzeichnung dieses Ressourcentyps in allen Regionen aktivieren, die von unterstützt werden AWS Config, auch wenn der angegebene Ressourcentyp in der AWS Region, in der Sie ihn eingerichtet haben, nicht unterstützt wird AWS Config.

Was sind die Unterschiede zwischen regionalen und globalen Ressourcen?

Regionale Ressourcen

Regionale Ressourcen sind mit einer Region verknüpft und können nur in der jeweiligen Region verwendet werden. Sie erstellen sie in einer bestimmten Region AWS-Region, und dann sind sie in dieser Region vorhanden. Um diese Ressourcen aufzurufen oder mit ihnen zu interagieren, müssen Sie Ihre Aktivitäten auf diese Region ausrichten. Um beispielsweise eine Amazon EC2 EC2-Instance mit dem zu erstellen AWS Management Console, wählen Sie die aus AWS-Region, in der Sie die Instance erstellen möchten. Wenn Sie das AWS Command Line Interface (AWS CLI) verwenden, um die Instance zu erstellen, fügen Sie den --region Parameter hinzu. Die AWS SDKs haben jeweils ihren eigenen äquivalenten Mechanismus zur Angabe der Region, die der Vorgang verwendet.

Es gibt mehrere Gründe für die Nutzung regionaler Ressourcen. Ein Grund besteht darin sicherzustellen, dass sich die Ressourcen und die Service-Endpunkte, über die Sie auf sie zugreifen, so nah wie möglich am Kunden befinden. Dies verbessert die Leistung, indem die Latenz minimiert wird. Ein weiterer Grund ist die Bereitstellung einer Isolationsgrenze. Auf diese Weise können Sie unabhängige Kopien von Ressourcen in mehreren Regionen erstellen, um die Last zu verteilen und die Skalierbarkeit zu verbessern. Gleichzeitig werden die Ressourcen voneinander isoliert, um die Verfügbarkeit zu verbessern.

Wenn Sie AWS-Region in der Konsole oder in einem AWS CLI Befehl eine andere angeben, können Sie die Ressourcen, die Sie in der vorherigen Region sehen konnten, nicht mehr sehen oder mit ihnen interagieren.

Wenn Sie den Amazon-Ressourcennamen (ARN) für eine regionale Ressource betrachten, wird die Region, die die Ressource enthält, als viertes Feld im ARN angegeben. Eine Amazon-EC2-Instance ist beispielsweise eine regionale Ressource. Nachfolgend finden Sie ein Beispiel für den ARN einer Amazon-EC2-Instance in der Region us-east-1.

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
Globale Ressourcen

Bei einigen AWS Dienstressourcen handelt es sich um globale Ressourcen, was bedeutet, dass Sie die Ressource von überall aus verwenden können. Sie geben in der Konsole eines globalen Service keine AWS-Region an. Um auf eine globale Ressource zuzugreifen, geben Sie bei der Verwendung der Service AWS CLI - und AWS SDK-Operationen keinen --region Parameter an.

Globale Ressourcen sind für Fälle konzipiert, in denen es entscheidend ist, dass jeweils nur eine Instance einer bestimmten Ressource vorhanden sein kann. In diesen Szenarien ist die Replikation oder Synchronisation zwischen Kopien in verschiedenen Regionen nicht ausreichend. Dass auf einen einzigen globalen Endpunkt zugegriffen werden muss und dadurch potenziell die Latenz erhöht wird, wird als akzeptabel angesehen, um sicherzustellen, dass alle Änderungen für die Nutzer der Ressource sofort sichtbar sind.

Beispielsweise sind globale Amazon-Aurora-Cluster (AWS::RDS::GlobalCluster) globale Ressourcen und daher nicht an eine Region gebunden. Das bedeutet, dass Sie einen globalen Cluster erstellen können, ohne sich auf einen regionalen Endpunkt verlassen zu müssen. Der Vorteil besteht darin, dass der Amazon Relational Database Service (Amazon RDS) selbst zwar nach Regionen organisiert ist, die spezifische Region, aus der ein globaler Cluster stammt, jedoch keinen Einfluss auf den globalen Cluster hat. Er erscheint als ein einzelner, kontinuierlicher globaler Cluster in allen Regionen.

Der Amazon-Ressourcenname (ARN) für eine globale Ressource enthält keine Region. Das vierte Feld ist leer, wie im folgenden Beispiel für einen ARN für einen globalen Cluster.

arn:aws:rds::123456789012:global-cluster:test-global-cluster
Wichtig

Globale Ressourcentypen, die AWS Config nach Februar 2022 integriert wurden, werden nur in der Heimatregion des Dienstes für die kommerzielle Partition und AWS GovCloud (US-West) für die Partition aufgezeichnet. GovCloud Sie können die Konfigurationselemente (CIs) für diese neuen globalen Ressourcentypen nur in ihrer Heimatregion und AWS GovCloud (US-West) einsehen.

Globale Ressourcentypen, die vor Februar 2022 eingeführt wurden (AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role und AWS::IAM::User) bleiben unverändert. Sie können die Aufzeichnung dieser globalen IAM-Ressourcen in allen Regionen aktivieren, in denen sie vor Februar 2022 unterstützt AWS Config wurde. Diese globalen IAM-Ressourcen können nicht in Regionen aufgezeichnet werden, die AWS Config nach Februar 2022 unterstützt werden.

Globale Ressourcentypen | IAM-Ressourcen

Die folgenden IAM-Ressourcentypen sind globale Ressourcen: IAM-Benutzer, -Gruppen und -Rollen sowie vom Kunden verwaltete Richtlinien. Diese Ressourcentypen können AWS Config in Regionen aufgezeichnet werden, in denen sie vor Februar 2022 verfügbar AWS Config waren. Eine Liste dieser Regionen finden Sie unter AWS Ressourcen für die Aufzeichnung | Globale Ressourcen.

Um doppelte Konfigurationselemente (CIs) zu vermeiden, sollten Sie erwägen, die globalen IAM-Ressourcentypen nur einmal in einer der unterstützten Regionen aufzuzeichnen. Dies kann Ihnen auch dabei helfen, unnötige Evaluierungen und API-Drosselungen zu vermeiden.

Globale Ressourcentypen | Nur Heimatregion

Globale Ressourcen für die folgenden Dienste werden nur AWS Config in der Heimatregion des globalen Ressourcentyps aufgezeichnet: Amazon Elastic Container Registry Public AWS Global Accelerator, Amazon Route 53 CloudFront, Amazon und AWS WAF. Für diese globalen Ressourcen kann dieselbe Instanz des Ressourcentyps in mehreren AWS Regionen verwendet werden, aber die Konfigurationselemente (CIs) werden nur in der Heimatregion für die kommerzielle Partition oder AWS GovCloud (US-West) für die AWS GovCloud (US) Partition aufgezeichnet.

Heimatregionen für globale Ressourcentypen
AWS Dienst Ressourcentyp „Value“ Heimatregion
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository Region USA Ost (Nord-Virginia)
AWS Global Accelerator AWS::GlobalAccelerator::Listener Region USA West (Oregon)
AWS::GlobalAccelerator::EndpointGroup Region USA West (Oregon)
AWS::GlobalAccelerator::Accelerator Region USA West (Oregon)
Amazon Route 53 AWS::Route53::HostedZone Region USA Ost (Nord-Virginia)
AWS::Route53::HealthCheck Region USA Ost (Nord-Virginia)
Amazon CloudFront AWS::CloudFront::Distribution Region USA Ost (Nord-Virginia)
AWS WAF AWS::WAFv2::WebACL Region USA Ost (Nord-Virginia)
Globale Ressourcentypen | Globale Aurora-Cluster

AWS::RDS::GlobalClusterist eine globale Ressource, die in allen unterstützten AWS Config Regionen aufgezeichnet wird, in denen der Konfigurationsrekorder aktiviert ist. Dieser globale Ressourcentyp ist insofern einzigartig, als dass, wenn Sie die Aufzeichnung dieser Ressource in einer Region aktivieren, Konfigurationselemente (CIs) für diesen Ressourcentyp in all Ihren aktivierten Regionen aufgezeichnet AWS Config werden.

Wenn Sie nicht AWS::RDS::GlobalCluster in allen aktivierten Regionen aufnehmen möchten, verwenden Sie eine der folgenden Aufzeichnungsstrategien für die AWS Config Konsole:

  • Nehmen Sie alle Ressourcentypen mit anpassbaren Überschreibungen auf, wählen Sie GlobalCluster „AWS RDS“ und anschließend die Option „Von der Aufzeichnung ausschließen“

  • zeichnen Sie bestimmte Ressourcentypen auf.

Wenn AWS::RDS::GlobalCluster nicht in allen aktivierten Regionen aufzeichnen soll, verwenden Sie eine der folgenden Aufzeichnungsstrategien für die API/CLI:

  • Aufzeichnen aller aktuellen und zukünftigen Ressourcentypen mit Ausnahmen (EXCLUSION_BY_RESOURCE_TYPES)

  • zeichnen Sie bestimmte Ressourcentypen auf (INCLUSION_BY_RESOURCE_TYPES).

Ressourcen in der Konsole AWS Config aufzeichnen

Sie können die AWS Config Konsole verwenden, um die Arten von Ressourcen auszuwählen, die AWS Config aufgezeichnet werden sollen.

So wählen Sie Ressourcen aus

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Config Konsole unter https://console.aws.amazon.com/config/.

  2. Wählen Sie in der linken Navigationsleiste Einstellungen und dann Bearbeiten. Eine vollständige Liste der unterstützten Regionen finden Sie unter AWS Config -Endpunkte und -Kontingente in Allgemeine Amazon Web Services-Referenz.

  3. Wählen Sie im Abschnitt Aufzeichnungsverfahren eine Aufzeichnungsstrategie aus. Sie können die AWS Ressourcen angeben, die Sie aufzeichnen AWS Config möchten.

    All resource types with customizable overrides

    AWS Config So eingerichtet, dass Konfigurationsänderungen für alle aktuellen und future unterstützten Ressourcentypen in dieser Region aufgezeichnet werden. Sie können die Aufzeichnungsfrequenz für bestimmte Ressourcentypen außer Kraft setzen oder bestimmte Ressourcentypen von der Aufzeichnung ausschließen. Weitere Informationen finden Sie unter Unterstützte Ressourcentypen.

    • Standardeinstellungen

      Konfigurieren Sie die Standardaufzeichnungsfrequenz für alle derzeit und zukünftig unterstützten Ressourcentypen. Weitere Informationen finden Sie unter Aufzeichnungsfrequenz.

      • Kontinuierliche Aufzeichnung — AWS Config zeichnet Konfigurationsänderungen kontinuierlich auf, wenn eine Änderung eintritt.

      • Tägliche Aufzeichnung – Sie erhalten ein Konfigurationselement (CI), das den aktuellen Status Ihrer Ressourcen in den letzten 24 Stunden nur dann darstellt, wenn es sich von dem zuvor aufgezeichneten CI unterscheidet.

      Anmerkung

      AWS Firewall Manager hängt von der kontinuierlichen Aufzeichnung ab, um Ihre Ressourcen zu überwachen. Wenn Sie den Firewall Manager verwenden, wird empfohlen, die Aufzeichnungsfrequenz auf „Kontinuierlich“ einzustellen.

    • Überschreibungseinstellungen

      Setzen Sie die Aufzeichnungsfrequenz für bestimmte Ressourcentypen außer Kraft oder schließen Sie bestimmte Ressourcentypen von der Aufzeichnung aus. Wenn Sie die Aufzeichnungsfrequenz für einen Ressourcentyp ändern, bleiben die bereits aufgezeichneten Konfigurationselemente unverändert.

      Anmerkung

      Globale Ressourcentypen | Die globalen Aurora-Cluster sind zunächst in der Aufzeichnung enthalten

      Der AWS::RDS::GlobalCluster Ressourcentyp wird in allen unterstützten AWS Config Regionen aufgezeichnet, in denen der Konfigurationsrekorder aktiviert ist.

      Wenn Sie AWS::RDS::GlobalCluster nicht in allen aktivierten Regionen aufzeichnen möchten, wählen Sie „AWS RDS GlobalCluster“ und dann die Option „Von der Aufzeichnung ausschließen“.

      Anmerkung

      Globale Ressourcentypen | IAM-Ressourcentypen sind zunächst von der Aufzeichnung ausgeschlossen

      „Alle global aufgezeichneten IAM-Ressourcentypen“ sind zunächst von der Aufzeichnung ausgeschlossen, um Ihnen zu helfen, die Kosten zu senken. Dieses Paket umfasst IAM-Benutzer, -Gruppen, -Rollen und vom Kunden verwaltete Richtlinien. Wählen Sie Entfernen, um die Überschreibung zu entfernen und diese Ressourcen in Ihre Aufzeichnung aufzunehmen.

      Die Ausnahme von dieser Anmerkung gilt für USA Ost (Nord-Virginia). Die globalen IAM-Ressourcentypen sind zunächst in der Region USA Ost (Nord-Virginia) enthalten, da diese Region als Heimatregion für die globalen IAM-Ressourcentypen fungiert.

      Darüber hinaus können die globalen IAM-Ressourcentypen (AWS::IAM::UserAWS::IAM::Group,AWS::IAM::Role, undAWS::IAM::Policy) nicht in Regionen aufgezeichnet werden, die AWS Config ab Februar 2022 unterstützt werden. Eine Liste dieser Regionen finden Sie unter AWS Aufzeichnungsressourcen | Globale Ressourcen.

      Anmerkung

      Beschränkungen

      Sie können bis zu 100 Frequenzüberschreibungen und 600 Ausschlussüberschreibungen hinzufügen.

      Die tägliche Aufzeichnung wird für die folgenden Ressourcentypen nicht unterstützt:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

    Specific resource types

    Richten Sie AWS Config es so ein, dass Konfigurationsänderungen nur für die von Ihnen angegebenen Ressourcentypen aufgezeichnet werden.

    • Bestimmte Ressourcentypen

      Wählen Sie einen Ressourcentyp und dessen Aufzeichnungsfrequenz aus. Weitere Informationen finden Sie unter Aufzeichnungsfrequenz.

      • Kontinuierliche Aufzeichnung — AWS Config zeichnet Konfigurationsänderungen bei jeder Änderung kontinuierlich auf.

      • Tägliche Aufzeichnung – Sie erhalten ein Konfigurationselement (CI), das den aktuellen Status Ihrer Ressourcen in den letzten 24 Stunden nur dann darstellt, wenn es sich von dem zuvor aufgezeichneten CI unterscheidet.

      Anmerkung

      AWS Firewall Manager hängt von der kontinuierlichen Aufzeichnung ab, um Ihre Ressourcen zu überwachen. Wenn Sie den Firewall Manager verwenden, wird empfohlen, die Aufzeichnungsfrequenz auf „Kontinuierlich“ einzustellen.

      Wenn Sie die Aufzeichnungsfrequenz für einen Ressourcentyp ändern, bleiben die bereits aufgezeichneten Konfigurationselemente unverändert.

    Anmerkung

    Verfügbarkeit in Regionen

    Bevor Sie einen Ressourcentyp angeben, der nachverfolgt werden AWS Config soll, überprüfen Sie, ob der Ressourcentyp in der AWS Region, in der Sie ihn eingerichtet haben, unterstützt wird AWS Config. Wenn ein Ressourcentyp AWS Config in mindestens einer Region unterstützt wird, können Sie die Aufzeichnung dieses Ressourcentyps in allen Regionen aktivieren, die von unterstützt werden AWS Config, auch wenn der angegebene Ressourcentyp in der AWS Region, in der Sie ihn eingerichtet haben, nicht unterstützt wird AWS Config.

    Anmerkung

    Beschränkungen

    Keine Beschränkungen, wenn alle Ressourcentypen dieselbe Frequenz haben. Sie können bis zu 100 Ressourcentypen mit täglicher Aufzeichnungsfrequenz hinzufügen, wenn mindestens ein Ressourcentyp auf „Kontinuierlich“ gesetzt ist.

    Die tägliche Frequenz wird für die folgenden Ressourcentypen nicht unterstützt:

    • AWS::Config::ResourceCompliance

    • AWS::Config::ConformancePackCompliance

    • AWS::Config::ConfigurationRecorder

  4. Wählen Sie Speichern, um Ihre Änderungen zu speichern.

Ressourcen mit der AWS CLI aufzeichnen

Sie können die AWS CLI verwenden, um die Ressourcentypen auszuwählen, die Sie aufzeichnen AWS Config möchten. Dazu erstellen Sie einen Configuration Recorder, der die von Ihnen in der Aufzeichnungsgruppe angegebenen Ressourcentypen aufzeichnet. In der Aufnahmegruppe legen Sie fest, ob Sie alle unterstützten Ressourcentypen aufzeichnen oder bestimmte Ressourcentypen ein- und ausschließen möchten.

Record all current and future supported resource types

AWS Config So eingerichtet, dass Konfigurationsänderungen für alle aktuellen und future unterstützten Ressourcentypen in dieser Region aufgezeichnet werden. Weitere Informationen finden Sie unter Unterstützte Ressourcentypen.

  1. Verwenden Sie den folgenden put-configuration-recorder-Befehl:

    $ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

    Dieser Befehl verwendet die ---recording-group Felder --configuration-recorder und.

    Anmerkung

    Aufnahmegruppe und Konfigurationsrekorder

    Das --recording-group-Feld gibt an, welche Ressourcentypen aufgezeichnet werden.

    Das --configuration-recorder Feld spezifiziert name und roleArn sowie die Standardaufzeichnungsfrequenz für den Konfigurationsrekorder (recordingMode). Sie können dieses Feld auch verwenden, um die Aufzeichnungsfrequenz für bestimmte Ressourcentypen zu überschreiben.

    1. put-configuration-recorder verwendet die folgenden Felder für den --recording-group-Parameter:

      • allSupported=true— AWS Config zeichnet Konfigurationsänderungen für alle unterstützten Ressourcentypen auf, mit Ausnahme der globalen IAM-Ressourcentypen. Wenn Unterstützung für einen neuen Ressourcentyp AWS Config hinzugefügt AWS Config wird, beginnt die Aufzeichnung von Ressourcen dieses Typs automatisch.

      • includeGlobalResourceTypes=true – Diese Option ist ein Paket, das nur für die globalen IAM-Ressourcentypen gilt: IAM-Benutzer, -Gruppen und -Rollen sowie vom Kunden verwaltete Richtlinien. Diese globalen IAM-Ressourcentypen können nur AWS Config in Regionen aufgezeichnet werden, in denen sie vor Februar 2022 verfügbar AWS Config waren. Sie können die globalen IAM-Ressourcentypen nicht in Regionen aufzeichnen, die nach Februar 2022 unterstützt werden AWS Config . Eine Liste dieser Regionen finden Sie unter AWS Aufzeichnungsressourcen | Globale Ressourcen.

        Wichtig

        Globale Aurora-Cluster werden in allen aktivierten Regionen aufgezeichnet

        Der AWS::RDS::GlobalCluster Ressourcentyp wird in allen unterstützten AWS Config Regionen aufgezeichnet, in denen der Konfigurationsrekorder aktiviert ist, auch wenn er nicht auf eingestellt includeGlobalResourceTypes isttrue. Die includeGlobalResourceTypes-Option ist ein Paket, das nur für IAM-Benutzer, -Gruppen, -Rollen und vom Kunden verwaltete Richtlinien gilt.

        Wenn Sie AWS::RDS::GlobalCluster nicht in allen aktivierten Regionen aufzeichnen möchten, verwenden Sie eine der folgenden Aufzeichnungsstrategien:

        1. Aufzeichnen aller derzeitigen und zukünftigen Ressourcentypen mit Ausnahme der von Ihnen angegebenen Typen (EXCLUSION_BY_RESOURCE_TYPES) oder

        2. zeichnen Sie bestimmte Ressourcentypen auf (INCLUSION_BY_RESOURCE_TYPES).

        Weitere Informationen finden Sie unter Auswählen, welche Ressourcen aufgezeichnet werden | Regionale und globale Ressourcen.

        Wichtig

        Inklusion GlobalResourceTypes und Strategie für die Aufzeichnung von Ausschlüssen

        Das includeGlobalResourceTypes Feld hat keinen Einfluss auf die EXCLUSION_BY_RESOURCE_TYPES Aufzeichnungsstrategie. Das bedeutet, dass die globalen IAM-Ressourcentypen (IAM-Benutzer, Gruppen, Rollen und vom Kunden verwaltete Richtlinien) nicht automatisch als Ausnahmen hinzugefügt werden, exclusionByResourceTypes wenn diese Einstellung auf festgelegt includeGlobalResourceTypes ist. false

        Das includeGlobalResourceTypes Feld sollte nur verwendet werden, um das AllSupported Feld zu ändern, da standardmäßig Konfigurationsänderungen für alle unterstützten Ressourcentypen mit Ausnahme der globalen IAM-Ressourcentypen aufgezeichnet werden. AllSupported Um die globalen IAM-Ressourcentypen einzubeziehen, wenn auf gesetzt AllSupported ist, stellen Sie sichertrue, dass Sie auf einstellenincludeGlobalResourceTypes. true

        Um die globalen IAM-Ressourcentypen für die EXCLUSION_BY_RESOURCE_TYPES Aufzeichnungsstrategie auszuschließen, müssen Sie sie manuell zum resourceTypes Feld von hinzufügen. exclusionByResourceTypes

        Anmerkung

        Erforderliche und optionale Felder

        Bevor Sie includeGlobalResourceTypes auf true festlegen können, legen Sie das Feld allSupported auf true fest.

        Optional können Sie das Feld useOnly von RecordingStrategy auch auf ALL_SUPPORTED_RESOURCE_TYPES festlegen.

        Anmerkung

        Überschreiben von Feldern

        Wenn Sie festlegenincludeGlobalResourceTypes, dass globale IAM-Ressourcentypen false jedoch im resourceTypes Feld von aufgeführt AWS Config werden RecordingGroup, werden trotzdem Konfigurationsänderungen für diese angegebenen Ressourcentypen aufgezeichnet, unabhängig davon, ob Sie das includeGlobalResourceTypes Feld auf „Falsch“ setzen.

        Wenn Sie keine Konfigurationsänderungen an den globalen IAM-Ressourcentypen (IAM-Benutzer, -Gruppen, -Rollen und vom Kunden verwaltete Richtlinien) aufzeichnen möchten, stellen Sie sicher, dass Sie sie nicht im Feld resourceTypes auflisten und das Feld includeGlobalResourceTypes auf „false“ setzen.

      Die Datei recordingGroup.json gibt an, welche Ressourcentypen von AWS Config aufgezeichnet werden.

      {
    "allSupported": true,
    "recordingStrategy": {
        "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": true
}

    2. put-configuration-recorder verwendet die folgenden Felder für den --configuration-recorder-Parameter:

      • name— Der Name des Konfigurationsrekorders. AWS Config weist bei der Erstellung des Konfigurationsrekorders automatisch den Namen „Standard“ zu.

      • roleARN— Amazon-Ressourcenname (ARN) der IAM-Rolle, die vom Konfigurationsrekorder angenommen AWS Config und von diesem verwendet wird.

      • recordingMode— Gibt die Standardaufzeichnungsfrequenz an, mit AWS Config der Konfigurationsänderungen aufgezeichnet werden. AWS Config unterstützt kontinuierliche Aufnahme und tägliche Aufnahme. Mit der kontinuierlichen Aufzeichnung können Sie Konfigurationsänderungen kontinuierlich aufzeichnen, wenn eine Änderung auftritt. Mit der täglichen Aufzeichnung können Sie nur dann ein Konfigurationselement (CI) erhalten, das den neuesten Status Ihrer Ressourcen in den letzten 24 Stunden darstellt, wenn es sich von dem zuvor aufgezeichneten CI unterscheidet.

        • recordingFrequency— Die Standard-Aufnahmefrequenz, mit AWS Config der Konfigurationsänderungen aufgezeichnet werden.

          Anmerkung

          AWS Firewall Manager hängt von der kontinuierlichen Aufzeichnung ab, um Ihre Ressourcen zu überwachen. Wenn Sie den Firewall Manager verwenden, wird empfohlen, die Aufzeichnungsfrequenz auf „Kontinuierlich“ einzustellen.

        • recordingModeOverrides – In diesem Feld können Sie Ihre Überschreibungen für den Aufzeichnungsmodus angeben. Dies ist ein Array aus recordingModeOverride-Objekten. Jedes recordingModeOverride-Objekt im recordingModeOverrides-Array besteht aus drei Feldern:

          • description – Eine Beschreibung, die Sie für die Überschreibung angeben.

          • recordingFrequency – Die Aufzeichnungsfrequenz, die auf alle in der Überschreibung angegebenen Ressourcentypen angewendet wird.

          • resourceTypes— Eine durch Kommas getrennte Liste, die angibt, welche Ressourcentypen in der AWS Config Überschreibung enthalten sind.

      Anmerkung

      Erforderliche und optionale Felder

      Das recordingMode-Feld für put-configuration-recorder ist optional. Standardmäßig ist die Aufzeichnungsfrequenz für den Konfigurations-Recorder auf „Kontinuierliche Aufzeichnung“ eingestellt.

      Anmerkung

      Beschränkungen

      Die tägliche Aufzeichnung wird für die folgenden Ressourcentypen nicht unterstützt:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      Für die Aufzeichnungsstrategie Aufzeichnen aller derzeit und zukünftig unterstützten Ressourcentypen (ALL_SUPPORTED_RESOURCE_TYPES) werden diese Ressourcentypen auf „Kontinuierliche Aufzeichnung“ gesetzt.

      Die configurationRecorder.json Datei spezifiziert name und roleArn auch die Standardaufzeichnungsfrequenz für den Konfigurationsrekorder ()recordingMode. Sie können dieses Feld auch verwenden, um die Aufzeichnungsfrequenz für bestimmte Ressourcentypen zu überschreiben.

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (Optional) Wenn Sie überprüfen möchten, ob Ihr Konfigurations-Recorder die gewünschten Einstellungen hat, verwenden Sie den folgenden describe-configuration-recorders-Befehl.

    $ aws configservice describe-configuration-recorders

    Nachfolgend finden Sie eine Beispielantwort.

    {
    "ConfigurationRecorders": [
        {
            "name": "default"
            "recordingGroup": {
                "allSupported": true,
                "exclusionByResourceTypes": { 
                     "resourceTypes": []
                },
                "includeGlobalResourceTypes": true,
                "recordingStrategy": {
                    "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record all current and future supported resources types excluding the types you specify

AWS Config So eingerichtet, dass Konfigurationsänderungen für alle aktuellen und future unterstützten Ressourcentypen aufgezeichnet werden, einschließlich globaler Ressourcentypen, mit Ausnahme der Ressourcentypen, die Sie von der Aufzeichnung ausschließen möchten. Wenn Sie die Aufzeichnung für einen Ressourcentyp beenden, bleiben die bereits aufgezeichneten Konfigurationselemente unverändert. Weitere Informationen finden Sie unter Unterstützte Ressourcentypen.

Dieser Befehl verwendet die ---recording-group Felder --configuration-recorder und.

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
Anmerkung

Aufnahmegruppe und Konfigurationsrekorder

Das --recording-group-Feld gibt an, welche Ressourcentypen aufgezeichnet werden.

Das --configuration-recorder Feld spezifiziert name und roleArn sowie die Standardaufzeichnungsfrequenz für den Konfigurationsrekorder (recordingMode). Sie können dieses Feld auch verwenden, um die Aufzeichnungsfrequenz für bestimmte Ressourcentypen zu überschreiben.

  1. Verwenden Sie den Befehl put-configuration-recorder und übergeben Sie einen oder mehrere Ressourcentypen, die ausgeschlossen werden sollen, im Feld resourceTypes von exclusionByResourceTypes, wie im folgenden Beispiel verdeutlicht.

    1. Die Datei recordingGroup.json gibt an, welche Ressourcentypen von AWS Config aufgezeichnet werden.

      {
    "allSupported": false,
    "exclusionByResourceTypes": { 
        "resourceTypes": [
            "AWS::Redshift::ClusterSnapshot",
            "AWS::RDS::DBClusterSnapshot",
            "AWS::CloudFront::StreamingDistribution"
        ]
    },
   "includeGlobalResourceTypes": false,
   "recordingStrategy": {
       "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
    },
  
}

      Voraussetzungen, damit Sie Ressourcentypen angeben können, die von der Aufzeichnung ausgeschlossen werden sollen:

      • Sie müssen die Felder allSupported und includeGlobalResourceTypes des --recording-group-Parameters auf false festlegen oder sie weglassen.

      • Sie müssen das Feld useOnly von RecordingStrategy auf EXCLUSION_BY_RESOURCE_TYPES festlegen.

      Anmerkung

      Überschreiben von Feldern

      Wenn Sie sich für die Aufzeichnungsstrategie EXCLUSION_BY_RESOURCE_TYPES entscheiden, überschreibt das Feld exclusionByResourceTypes andere Eigenschaften in der Anfrage.

      Selbst wenn Sie beispielsweise includeGlobalResourceTypes auf „false“ setzen, werden globale IAM-Ressourcentypen in dieser Option trotzdem automatisch aufgezeichnet, sofern diese Ressourcentypen nicht ausdrücklich als Ausnahmen im Feld resourceTypes von exclusionByResourceTypes aufgeführt sind.

      Anmerkung

      Globale Ressourcentypen und die Strategie zum Ausschluss von Ressourcen für die Aufzeichnung

      Wenn Sie die EXCLUSION_BY_RESOURCE_TYPES Aufzeichnungsstrategie wählen, wird standardmäßig automatisch mit der Aufzeichnung von Ressourcen dieses Typs AWS Config begonnen, wenn Unterstützung für einen neuen Ressourcentyp in der Region AWS Config hinzugefügt wird, in der Sie den Konfigurationsrekorder eingerichtet haben, einschließlich globaler Ressourcentypen.

      Sofern nicht ausdrücklich als Ausnahmen aufgeführt, AWS::RDS::GlobalCluster werden sie automatisch in allen unterstützten AWS Config Regionen aufgezeichnet, in denen der Konfigurationsrekorder aktiviert ist.

      IAM-Benutzer, -Gruppen, -Rollen und vom Kunden verwaltete Richtlinien werden in der Region aufgezeichnet, in der Sie den Konfigurationsrekorder eingerichtet haben, sofern es sich um eine Region handelt, in der diese vor Februar 2022 verfügbar AWS Config war. Sie können die globalen IAM-Ressourcentypen in Regionen, die nach AWS Config Februar 2022 unterstützt werden, nicht aufzeichnen. Eine Liste dieser Regionen finden Sie unter AWS Aufzeichnungsressourcen | Globale Ressourcen.

    2. put-configuration-recorder verwendet die folgenden Felder für den --configuration-recorder-Parameter:

      • name— Der Name des Konfigurationsrekorders. AWS Config weist bei der Erstellung des Konfigurationsrekorders automatisch den Namen „Standard“ zu.

      • roleARN— Amazon-Ressourcenname (ARN) der IAM-Rolle, die vom Konfigurationsrekorder angenommen AWS Config und von diesem verwendet wird.

      • recordingMode— Gibt die Standardaufzeichnungsfrequenz an, mit AWS Config der Konfigurationsänderungen aufgezeichnet werden. AWS Config unterstützt kontinuierliche Aufnahme und tägliche Aufnahme. Mit der kontinuierlichen Aufzeichnung können Sie Konfigurationsänderungen kontinuierlich aufzeichnen, wenn eine Änderung auftritt. Mit der täglichen Aufzeichnung können Sie nur dann ein Konfigurationselement (CI) erhalten, das den neuesten Status Ihrer Ressourcen in den letzten 24 Stunden darstellt, wenn es sich von dem zuvor aufgezeichneten CI unterscheidet.

        • recordingFrequency— Die Standard-Aufnahmefrequenz, mit AWS Config der Konfigurationsänderungen aufgezeichnet werden.

          Anmerkung

          AWS Firewall Manager hängt von der kontinuierlichen Aufzeichnung ab, um Ihre Ressourcen zu überwachen. Wenn Sie den Firewall Manager verwenden, wird empfohlen, die Aufzeichnungsfrequenz auf „Kontinuierlich“ einzustellen.

        • recordingModeOverrides – In diesem Feld können Sie Ihre Überschreibungen für den Aufzeichnungsmodus angeben. Dies ist ein Array aus recordingModeOverride-Objekten. Jedes recordingModeOverride-Objekt im recordingModeOverrides-Array besteht aus drei Feldern:

          • description – Eine Beschreibung, die Sie für die Überschreibung angeben.

          • recordingFrequency – Die Aufzeichnungsfrequenz, die auf alle in der Überschreibung angegebenen Ressourcentypen angewendet wird.

          • resourceTypes— Eine durch Kommas getrennte Liste, die angibt, welche Ressourcentypen in der AWS Config Überschreibung enthalten sind.

      Anmerkung

      Erforderliche und optionale Felder

      Das recordingMode-Feld für put-configuration-recorder ist optional. Standardmäßig ist die Aufzeichnungsfrequenz für den Konfigurations-Recorder auf „Kontinuierliche Aufzeichnung“ eingestellt.

      Anmerkung

      Beschränkungen

      Die tägliche Aufzeichnung wird für die folgenden Ressourcentypen nicht unterstützt:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      Für die Aufzeichnungsstrategie Aufzeichnen aller derzeit und zukünftig unterstützten Ressourcentypen (ALL_SUPPORTED_RESOURCE_TYPES) werden diese Ressourcentypen auf „Kontinuierliche Aufzeichnung“ gesetzt.

      Die configurationRecorder.json Datei spezifiziert name und roleArn auch die Standardaufzeichnungsfrequenz für den Konfigurationsrekorder ()recordingMode. Sie können dieses Feld auch verwenden, um die Aufzeichnungsfrequenz für bestimmte Ressourcentypen zu überschreiben.

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (Optional) Wenn Sie überprüfen möchten, ob Ihr Konfigurations-Recorder die gewünschten Einstellungen hat, verwenden Sie den folgenden describe-configuration-recorders-Befehl.

    $ aws configservice describe-configuration-recorders

    Nachfolgend finden Sie eine Beispielantwort.

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": [
                        "AWS::Redshift::ClusterSnapshot",
                        "AWS::RDS::DBClusterSnapshot",
                        "AWS::CloudFront::StreamingDistribution"
                    ]
                },
                "includeGlobalResourceTypes": false,
                "recordingStrategy": {
                    "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record specific resource types

Richten Sie AWS Config es so ein, dass Konfigurationsänderungen nur für die von Ihnen angegebenen Ressourcentypen aufgezeichnet werden. Wenn Sie die Aufzeichnung für einen Ressourcentyp beenden, bleiben die bereits aufgezeichneten Konfigurationselemente unverändert.

Dieser Befehl verwendet die ---recording-group Felder --configuration-recorder und.

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
Anmerkung

Aufnahmegruppe und Konfigurationsrekorder

Das --recording-group-Feld gibt an, welche Ressourcentypen aufgezeichnet werden.

Das --configuration-recorder Feld spezifiziert name und roleArn sowie die Standardaufzeichnungsfrequenz für den Konfigurationsrekorder (recordingMode). Sie können dieses Feld auch verwenden, um die Aufzeichnungsfrequenz für bestimmte Ressourcentypen zu überschreiben.

  1. Verwenden Sie den Befehl put-configuration-recorder und übergeben Sie einen oder mehrere Ressourcentypen im Feld resourceTypes von recordingGroup, wie im folgenden Beispiel dargestellt.

    1. Die Datei recordingGroup.json gibt an, welche Ressourcentypen von AWS Config aufgezeichnet werden.

      {
    "allSupported": false,
    "recordingStrategy": {
        "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": false,
    "resourceTypes": [
        "AWS::EC2::EIP",
        "AWS::EC2::Instance",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::SecurityGroup",
        "AWS::CloudTrail::Trail",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC",
        "AWS::IAM::User",
        "AWS::IAM::Policy"
  ]
}
      Anmerkung

      Erforderliche und optionale Felder

      Bevor Sie Ressourcentypen angeben können, die in die Aufzeichnung eingeschlossen werden sollen, müssen Sie die Felder allSupported und includeGlobalResourceTypes auf false festlegen oder sie weglassen.

      Das Feld recordingStrategy ist optional, wenn Sie Ressourcentypen im Feld resourceTypes von --recording-group auflisten.

      Anmerkung

      Verfügbarkeit in Regionen

      Bevor Sie einen Ressourcentyp angeben, der nachverfolgt werden AWS Config soll, überprüfen Sie, ob der Ressourcentyp in der AWS Region, in der Sie ihn eingerichtet haben, unterstützt wird AWS Config. Wenn ein Ressourcentyp AWS Config in mindestens einer Region unterstützt wird, können Sie die Aufzeichnung dieses Ressourcentyps in allen Regionen aktivieren, die von unterstützt werden AWS Config, auch wenn der angegebene Ressourcentyp in der AWS Region, in der Sie ihn eingerichtet haben, nicht unterstützt wird AWS Config.

    2. put-configuration-recorder verwendet die folgenden Felder für den --configuration-recorder-Parameter:

      • name— Der Name des Konfigurationsrekorders. AWS Config weist bei der Erstellung des Konfigurationsrekorders automatisch den Namen „Standard“ zu.

      • roleARN— Amazon-Ressourcenname (ARN) der IAM-Rolle, die vom Konfigurationsrekorder angenommen AWS Config und von diesem verwendet wird.

      • recordingMode— Gibt die Standardaufzeichnungsfrequenz an, mit AWS Config der Konfigurationsänderungen aufgezeichnet werden. AWS Config unterstützt kontinuierliche Aufnahme und tägliche Aufnahme. Mit der kontinuierlichen Aufzeichnung können Sie Konfigurationsänderungen kontinuierlich aufzeichnen, wenn eine Änderung auftritt. Mit der täglichen Aufzeichnung können Sie nur dann ein Konfigurationselement (CI) erhalten, das den neuesten Status Ihrer Ressourcen in den letzten 24 Stunden darstellt, wenn es sich von dem zuvor aufgezeichneten CI unterscheidet.

        • recordingFrequency— Die Standard-Aufnahmefrequenz, mit AWS Config der Konfigurationsänderungen aufgezeichnet werden.

          Anmerkung

          AWS Firewall Manager hängt von der kontinuierlichen Aufzeichnung ab, um Ihre Ressourcen zu überwachen. Wenn Sie den Firewall Manager verwenden, wird empfohlen, die Aufzeichnungsfrequenz auf „Kontinuierlich“ einzustellen.

        • recordingModeOverrides – In diesem Feld können Sie Ihre Überschreibungen für den Aufzeichnungsmodus angeben. Dies ist ein Array aus recordingModeOverride-Objekten. Jedes recordingModeOverride-Objekt im recordingModeOverrides-Array besteht aus drei Feldern:

          • description – Eine Beschreibung, die Sie für die Überschreibung angeben.

          • recordingFrequency – Die Aufzeichnungsfrequenz, die auf alle in der Überschreibung angegebenen Ressourcentypen angewendet wird.

          • resourceTypes— Eine durch Kommas getrennte Liste, die angibt, welche Ressourcentypen in der AWS Config Überschreibung enthalten sind.

      Anmerkung

      Erforderliche und optionale Felder

      Das recordingMode-Feld für put-configuration-recorder ist optional. Standardmäßig ist die Aufzeichnungsfrequenz für den Konfigurations-Recorder auf „Kontinuierliche Aufzeichnung“ eingestellt.

      Anmerkung

      Beschränkungen

      Die tägliche Aufzeichnung wird für die folgenden Ressourcentypen nicht unterstützt:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      Für die Aufzeichnungsstrategie Aufzeichnen aller derzeit und zukünftig unterstützten Ressourcentypen (ALL_SUPPORTED_RESOURCE_TYPES) werden diese Ressourcentypen auf „Kontinuierliche Aufzeichnung“ gesetzt.

      Die configurationRecorder.json Datei spezifiziert name und roleArn auch die Standardaufzeichnungsfrequenz für den Konfigurationsrekorder ()recordingMode. Sie können dieses Feld auch verwenden, um die Aufzeichnungsfrequenz für bestimmte Ressourcentypen zu überschreiben.

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (Optional) Wenn Sie überprüfen möchten, ob Ihr Konfigurations-Recorder die gewünschten Einstellungen hat, verwenden Sie den folgenden describe-configuration-recorders-Befehl.

    $ aws configservice describe-configuration-recorders

    Nachfolgend finden Sie eine Beispielantwort.

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": []
                },
                "includeGlobalResourceTypes": false
                "recordingStrategy": {
                    "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [
                    "AWS::EC2::EIP",
                    "AWS::EC2::Instance",
                    "AWS::EC2::NetworkAcl",
                    "AWS::EC2::SecurityGroup",
                    "AWS::CloudTrail::Trail",
                    "AWS::EC2::Volume",
                    "AWS::EC2::VPC",
                    "AWS::IAM::User",
                    "AWS::IAM::Policy"
                ]
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}

Aufzeichnungsfrequenz

AWS Config unterstützt kontinuierliche Aufnahme und tägliche Aufnahme. Mit der kontinuierlichen Aufzeichnung können Sie Konfigurationsänderungen kontinuierlich aufzeichnen, wenn eine Änderung auftritt. Mit der täglichen Aufzeichnung können Sie nur dann ein Konfigurationselement (CI) erhalten, das den neuesten Status Ihrer Ressourcen in den letzten 24 Stunden darstellt, wenn es sich von dem zuvor aufgezeichneten CI unterscheidet.

Kontinuierliche Aufzeichnung

Die kontinuierliche Aufzeichnung bietet unter anderem folgende Vorteile:

  • Überwachung in Echtzeit: Durch kontinuierliche Aufzeichnungen können unbefugte Änderungen oder unerwartete Änderungen sofort erkannt werden, wodurch Ihre Sicherheits- und Compliance-Bemühungen verbessert werden können.

  • Detaillierte Analyse: Durch die kontinuierliche Aufzeichnung können Sie eingehende Analysen der Konfigurationsänderungen an Ihren Ressourcen durchführen, sobald sie auftreten, so dass Sie Muster und Trends sofort erkennen können.

Tägliche Aufzeichnung

Die tägliche Aufzeichnung bietet unter anderem folgende Vorteile:

  • Minimale Unterbrechungen: Durch die tägliche Aufzeichnung erhalten Sie einen Informationsfluss, der sich besser handhaben lässt, wodurch die Häufigkeit von Benachrichtigungen und die Ermüdung durch zu häufige Warnmeldungen reduziert werden können.

  • Kosteneffizienz: Die tägliche Aufzeichnung bietet Ihnen die Flexibilität, Änderungen an Ihren Ressourcen mit einer geringeren Frequenz aufzuzeichnen, wodurch die Kosten im Zusammenhang mit der Anzahl der aufgezeichneten Konfigurationsänderungen gesenkt werden können.

Anmerkung

AWS Firewall Manager hängt von der kontinuierlichen Aufzeichnung ab, um Ihre Ressourcen zu überwachen. Wenn Sie den Firewall Manager verwenden, wird empfohlen, die Aufzeichnungsfrequenz auf „Kontinuierlich“ einzustellen.

Beenden der Aufzeichnung von Ressourcen

Sie können die Aufzeichnung eines Ressourcentyps jederzeit beenden AWS Config . Nach AWS Config dem Beenden der Aufzeichnung einer Ressource werden die zuvor erfassten Konfigurationsinformationen beibehalten, und Sie können weiterhin auf diese Informationen zugreifen.

Nicht aufgezeichnete Ressourcen

Wenn eine Ressource nicht aufgezeichnet wird, AWS Config erfasst es nur die Erstellung und Löschung dieser Ressource und keine weiteren Details, ohne dass Ihnen dadurch Kosten entstehen. Wenn eine nicht aufgezeichnete Ressource erstellt oder gelöscht wird, AWS Config sendet eine Benachrichtigung und zeigt das Ereignis auf der Seite mit den Ressourcendetails an. Die Detailseite für eine nicht aufgezeichnete Ressource bietet Nullwerte für die meisten Konfigurationsdetails und keine Informationen zu Beziehungen und Konfigurationsänderungen.

Anmerkung

Die Ressourcentypen AWS::IAM::User, AWS::IAM::Policy, AWS::IAM::Group und AWS::IAM::Role erfassen nur den Erstellungs- (ResourceNotRecorded) und Löschstatus (ResourceDeletedNotRecorded), wenn die Ressource als Ressource für die Aufzeichnung im Konfigurations-Recorder ausgewählt ist oder war.

Anmerkung

Die Konfigurationselemente (CIs) für Ressourcentypen ResourceNotRecorded und folgen ResourceDeletedNotRecorded nicht der typischen Aufzeichnungszeit. Diese Ressourcentypen werden nur während des periodischen Baselining-Prozesses für den Konfigurationsrekorder aufgezeichnet, der seltener erfolgt als bei den anderen Ressourcentypen.

Die Beziehungsinformationen, die für aufgezeichnete Ressourcen zur AWS Config Verfügung stehen, sind nicht begrenzt, da Daten für nicht aufgezeichnete Ressourcen fehlen. Wenn eine aufgezeichnete Ressource mit einer nicht aufgezeichneten Ressource in Zusammenhang steht, wird diese Beziehung auf der Detailseite der aufgezeichneten Ressource bereitgestellt.

AWS Config Regeln und globale Ressourcentypen

Die globalen IAM-Ressourcentypen, die vor Februar 2022 eingeführt wurden (AWS::IAM::Group,AWS::IAM::Policy, undAWS::IAM::User)AWS::IAM::Role, können nur AWS Config in Regionen erfasst werden, in denen sie vor Februar 2022 verfügbar AWS Config waren. Diese globalen IAM-Ressourcentypen können nicht in Regionen erfasst werden, die nach Februar 2022 unterstützt werden AWS Config . Eine Liste dieser Regionen finden Sie unter AWS Aufzeichnungsressourcen | Globale Ressourcen.

Wenn Sie einen globalen IAM-Ressourcentyp in mindestens einer Region aufzeichnen, führen periodische Regeln, die die Einhaltung des globalen IAM-Ressourcentyps melden, Bewertungen in allen Regionen durch, in denen die periodische Regel hinzugefügt wurde, auch wenn Sie die Aufzeichnung des globalen IAM-Ressourcentyps in der Region, in der die periodische Regel hinzugefügt wurde, nicht aktiviert haben.

Bewährte Verfahren für die Berichterstattung über die Einhaltung der Vorschriften bei globalen Ressourcen, die vor Februar 2022 eingeführt wurden

Um unnötige Evaluierungen zu vermeiden, sollten Sie AWS Config Regeln und Konformitätspakete, für die diese globalen Ressourcen gelten, nur für eine der unterstützten Regionen bereitstellen. Eine Liste der verwalteten Regeln, die in welchen Regionen unterstützt werden, finden Sie unter Liste der AWS Config verwalteten Regeln nach Verfügbarkeit in Regionen. Dies gilt für AWS Config Regeln, AWS Config Organisationsregeln und auch für Regeln, die von anderen AWS Diensten erstellt wurden, z. B. AWS Security Hub und AWS Control Tower.

Wenn Sie keine globalen Ressourcentypen aufzeichnen, die vor Februar 2022 eingeführt wurden, sollten Sie die folgenden regelmäßig wirkenden Regeln nicht aktivieren, um unnötige Kosten zu vermeiden:

Bewährte Methoden für die Berichterstattung über die Einhaltung von Vorschriften für globale Ressourcen, die nach Februar 2022 eingeführt wurden

Globale Ressourcentypen, die nach Februar 2022 in die AWS Config Aufzeichnung integriert wurden, werden nur in der Heimatregion des Dienstes für die kommerzielle Partition und AWS GovCloud (US-West) für die Partition aufgezeichnet. AWS GovCloud (US) Sie sollten AWS Config Regeln und Konformitätspakete bereitstellen, bei denen diese globalen Ressourcen nur für die Heimatregion des Ressourcentyps gelten. Weitere Informationen finden Sie unter Heimatregionen für globale Ressourcentypen.