Verwalten vom Configuration Recorder - AWS Config
Verwalten vom Configuration Recorder (Konsole)Verwalten vom Configuration Recorder (AWS CLI)Abweichungserkennung für den Konfigurations-Recorder

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwalten vom Configuration Recorder

AWS Config verwendet den Konfigurationsrekorder, um Änderungen an Ihren Ressourcenkonfigurationen zu erkennen und diese Änderungen als Konfigurationselemente zu erfassen. Sie müssen einen Konfigurationsrekorder erstellen, bevor AWS Config Sie Ihre Ressourcenkonfigurationen verfolgen können. Wenn Sie den Konfigurationsrekorder starten, AWS Config führt er eine Bestandsaufnahme aller AWS Ressourcen in Ihrem Konto durch.

Sie können nur einen Konfigurationsaufzeichnungskanal pro AWS Region pro Region verwenden AWS-Konto, und der Bereitstellungskanal muss verwendet werden AWS Config.

Wenn Sie mit der Konsole oder der AWS CLI einrichten AWS Config , erstellt und startet AWS Config automatisch den Konfigurationsrekorder für Sie. Weitere Informationen finden Sie unter Erste Schritte mit AWS Config.

Standardmäßig zeichnet der Configuration Recorder alle unterstützten Ressourcen in der Region auf, in der AWS Config ausgeführt wird. Sie können einen benutzerdefinierten Configuration Recorder erstellen, der nur die von Ihnen angegebenen Ressourcentypen aufzeichnet. Weitere Informationen finden Sie unter AWS Ressourcen für die Aufzeichnung.

Wenn Sie mit der Aufzeichnung von Konfigurationen AWS Config beginnen, werden Ihnen Gebühren für die Nutzung des Dienstes berechnet. Preisinformationen finden Sie unter AWS Config – Preise.

Wichtig

Evaluierungsergebnisse für gelöschte Ressourcen können bestehen bleiben, wenn der Konfigurations-Recorder ausgeschaltet ist

Wenn der Konfigurationsrekorder ausgeschaltet ist, ist es nicht möglich, Änderungen AWS Config an der Konfiguration Ihrer Ressourcen nachzuverfolgen, einschließlich deren Löschungen. Dies bedeutet, dass Sie möglicherweise Bewertungsergebnisse für Ressourcen sehen, die zuvor gelöscht wurden, wenn Sie den Konfigurations-Recorder ausschalten.

Verwalten vom Configuration Recorder (Konsole)

Sie können die AWS Config Konsole verwenden, um den Konfigurationsrekorder zu stoppen oder zu starten. Sie können auch die Aufzeichnungsfrequenz des Konfigurations-Recorders ändern.

To stop or start the configuration recorder

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Config Konsole unter https://console.aws.amazon.com/config/.

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen) aus.

  3. Beenden oder Starten des Configuration Recorders:

    • Zum Beenden der Aufzeichnung wählen Sie unter Recording is on (Aufnahme ist an) die Option Turn off (Ausschalten) aus. Wenn Sie dazu aufgefordert werden, klicken Sie auf Weiter.

    • Zum Starten der Aufzeichnung wählen Sie unter Recording is off (Aufnahme ist an) die Option Turn on (Einschalten) aus. Wenn Sie dazu aufgefordert werden, klicken Sie auf Weiter.

To change the recording frequency

AWS Config unterstützt kontinuierliche Aufnahme und tägliche Aufnahme. Mit der kontinuierlichen Aufzeichnung können Sie Konfigurationsänderungen kontinuierlich aufzeichnen, wenn eine Änderung auftritt. Mit der täglichen Aufzeichnung können Sie nur dann ein Konfigurationselement (CI) erhalten, das den neuesten Status Ihrer Ressourcen in den letzten 24 Stunden darstellt, wenn es sich von dem zuvor aufgezeichneten CI unterscheidet. Weitere Informationen finden Sie unter Aufzeichnungsfrequenz.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Config Konsole unter https://console.aws.amazon.com/config/.

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen) aus.

  3. Wählen Sie Bearbeiten, um die Optionen unter „Aufzeichnungsfrequenz“ anzuzeigen.

Verwalten vom Configuration Recorder (AWS CLI)

Sie können den Konfigurationsrekorder AWS CLI zum Stoppen oder Starten verwenden. Sie können den Konfigurationsrekorder auch mithilfe der AWS CLI, der AWS Config API oder eines der AWS SDKs umbenennen oder löschen. Die folgenden Schritte unterstützen Sie bei der Verwendung der AWS CLI.

To stop the configuration recorder

Verwenden Sie den -Befehl:stop-configuration-recorder

$ aws configservice stop-configuration-recorder --configuration-recorder-name configRecorderName
To start the configuration recorder

Verwenden Sie den -Befehl:start-configuration-recorder

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName
To change the recording frequency

Verwenden Sie den put-configuration-recorder-Befehl, um die Aufzeichnungsfrequenz für den Konfigurations-Recorder zu ändern:

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json

Die configurationRecorder.json Datei spezifiziert name und roleArn sowie die Standardaufzeichnungsfrequenz für den Konfigurationsrekorder (recordingMode). Sie können dieses Feld auch verwenden, um die Aufzeichnungsfrequenz für bestimmte Ressourcentypen zu überschreiben.

{
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

put-configuration-recorder verwendet die folgenden Felder für den --configuration-recorder-Parameter:

  • name— Der Name des Konfigurationsrekorders. AWS Config weist bei der Erstellung des Konfigurationsrekorders automatisch den Namen „Standard“ zu.

  • roleARN— Amazon-Ressourcenname (ARN) der IAM-Rolle, die vom Konfigurationsrekorder angenommen AWS Config und von diesem verwendet wird.

  • recordingMode— Gibt die Standardaufzeichnungsfrequenz an, mit AWS Config der Konfigurationsänderungen aufgezeichnet werden. AWS Config unterstützt kontinuierliche Aufnahme und tägliche Aufnahme. Mit der kontinuierlichen Aufzeichnung können Sie Konfigurationsänderungen kontinuierlich aufzeichnen, wenn eine Änderung auftritt. Mit der täglichen Aufzeichnung können Sie nur dann ein Konfigurationselement (CI) erhalten, das den neuesten Status Ihrer Ressourcen in den letzten 24 Stunden darstellt, wenn es sich von dem zuvor aufgezeichneten CI unterscheidet.

    • recordingFrequency— Die Standard-Aufnahmefrequenz, mit AWS Config der Konfigurationsänderungen aufgezeichnet werden.

      Anmerkung

      AWS Firewall Manager hängt von der kontinuierlichen Aufzeichnung ab, um Ihre Ressourcen zu überwachen. Wenn Sie den Firewall Manager verwenden, wird empfohlen, die Aufzeichnungsfrequenz auf „Kontinuierlich“ einzustellen.

    • recordingModeOverrides – In diesem Feld können Sie Ihre Überschreibungen für den Aufzeichnungsmodus angeben. Dies ist ein Array aus recordingModeOverride-Objekten. Jedes recordingModeOverride-Objekt im recordingModeOverrides-Array besteht aus drei Feldern:

      • description – Eine Beschreibung, die Sie für die Überschreibung angeben.

      • recordingFrequency – Die Aufzeichnungsfrequenz, die auf alle in der Überschreibung angegebenen Ressourcentypen angewendet wird.

      • resourceTypes— Eine durch Kommas getrennte Liste, die angibt, welche Ressourcentypen in der AWS Config Überschreibung enthalten sind.

Anmerkung

Erforderliche und optionale Felder

Das recordingMode-Feld für put-configuration-recorder ist optional. Standardmäßig ist die Aufzeichnungsfrequenz für den Konfigurations-Recorder auf „Kontinuierliche Aufzeichnung“ eingestellt.

Anmerkung

Beschränkungen

Die tägliche Aufzeichnung wird für die folgenden Ressourcentypen nicht unterstützt:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Für die Aufzeichnungsstrategie Aufzeichnen aller derzeit und zukünftig unterstützten Ressourcentypen‭ (ALL_SUPPORTED_RESOURCE_TYPES) werden diese Ressourcentypen auf „Kontinuierliche Aufzeichnung“ gesetzt.

To delete the configuration recorder

Verwenden Sie den -Befehl:delete-configuration-recorder

$ aws configservice delete-configuration-recorder --configuration-recorder-name default
To rename the configuration recorder

Zum Ändern des Namens für den Configuration Recorder müssen Sie diesen löschen und einen neuen Configuration Recorder mit dem gewünschten Namen erstellen.

  1. Verwenden Sie den Befehl „describe-configuration-recorders“, um den Namen des aktuellen Configuration Recorders nachzuschlagen:

    $ aws configservice describe-configuration-recorders
{
    "ConfigurationRecorders": [
        {
            "roleARN": "arn:aws:iam::012345678912:role/myConfigRole",
            "name": "default"
        }
    ]
}

  2. Verwenden Sie den Befehl „delete-configuration-recorder“ zum Löschen des aktuellen Configuration Recorders:

    $ aws configservice delete-configuration-recorder --configuration-recorder-name default

  3. Verwenden Sie den Befehl „put-configuration-recorder“ zum Erstellen eines Configuration Recorders mit dem gewünschten Namen:

    $ aws configservice put-configuration-recorder --configuration-recorder name=configRecorderName,roleARN=arn:aws:iam::012345678912:role/myConfigRole

  4. Verwenden Sie den Befehl „start-configuration-recorder“, um die Aufzeichnung fortzusetzen:

    $ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

Abweichungserkennung für den Konfigurations-Recorder

Der Ressourcentyp AWS::Config::ConfigurationRecorder ist ein Konfigurationselement (Configuration Item, CI) für den Konfigurations-Recorder, das alle Änderungen am Status des Konfigurations-Recorders verfolgt. Sie können mit diesem CI überprüfen, ob sich der Status des Konfigurations-Recorders von seinem vorherigen Status unterscheidet. Dies wird auch als Abweichung bezeichnet. Dieses CI verfolgt beispielsweise, ob Aktualisierungen von Ressourcentypen vorliegen, deren Nachverfolgung Sie aktiviert AWS Config haben, ob Sie den Konfigurationsrekorder gestoppt oder gestartet haben oder ob Sie den Konfigurationsrekorder gelöscht oder deinstalliert haben. Ein abweichender Konfigurations-Recorder weist darauf hin, dass Änderungen an den beabsichtigten Ressourcentypen nicht genau erkannt werden. Wenn Ihr Konfigurations-Recorder abweicht, kann dies zu falsch negativen oder falsch positiven Compliance-Ergebnissen führen.

Der AWS::Config::ConfigurationRecorder Ressourcentyp ist ein Systemressourcentyp von, AWS Config und die Aufzeichnung dieses Ressourcentyps ist standardmäßig in allen unterstützten Regionen aktiviert. Für die Aufzeichnung des Ressourcentyps AWS::Config::ConfigurationRecorder fallen keine zusätzlichen Kosten an.