Anzeigen der AWS Config Recorder-Daten für registrierte Konten Fehlerbehebung AWS Config in AWS Control Tower

Überwachen von Ressourcenänderungen mit AWS Config

AWS Control Tower aktiviert AWS Config für alle registrierten Konten, sodass es die Compliance durch detektivische Kontrollen überwachen, Ressourcenänderungen aufzeichnen und Ressourcenänderungsprotokolle an das Protokollarchivkonto übermitteln kann.

Wenn Ihre Landing-Zone-Version älter als 3.0 ist: AWS Config Protokolliert für Ihre registrierten Konten alle Änderungen an -Ressourcen für alle Regionen, in denen das Konto ausgeführt wird. Jede Änderung wird als Konfigurationselement (CI) modelliert, das Informationen wie die Ressourcen-ID, die Region, das Datum, an dem jede Änderung aufgezeichnet wurde, und ob sich die Änderung auf eine bekannte Ressource oder eine neu entdeckte bezieht, enthält.

Wenn Ihre Landing Zone Version 3.0 oder höher ist: AWS Control Tower beschränkt die Aufzeichnung für globale Ressourcen, wie IAM-Benutzer, -Gruppen, -Rollen und vom Kunden verwaltete Richtlinien, auf Ihre Heimatregion. Kopien globaler Ressourcenänderungen werden nicht in jeder Region gespeichert. Diese Einschränkung der Ressourcenaufzeichnung entspricht AWS Config den bewährten Methoden von . Eine vollständige Liste der globalen Ressourcen finden Sie in der - AWS Config Dokumentation.

Weitere Informationen zu AWS Configfinden Sie unter Funktionsweise AWS Config von .
Eine Liste der Ressourcen, die unterstützen AWS Config kann, finden Sie unter Unterstützte Ressourcentypen.
Weitere Informationen zum Anpassen der Ressourcenverfolgung in der AWS Control Tower-Umgebung finden Sie im Blogbeitrag Anpassen der AWS Config Ressourcenverfolgung in AWS Control Tower .

AWS Control Tower richtet einen AWS Config Übermittlungskanal in allen registrierten Konten ein. Über diesen Übermittlungskanal werden alle Änderungen protokolliert, die von AWS Config im Protokollarchivkonto aufgezeichnet werden, wo sie in einem Ordner in einem Amazon Simple Storage Service-Bucket gespeichert werden.

Anzeigen der AWS Config Recorder-Daten für registrierte Konten

AWS Config ist in integriert, CloudWatch sodass Sie AWS Config CIs in einem Dashboard anzeigen können. Weitere Informationen finden Sie im Blogbeitrag mit dem Titel AWS Config unterstützt Amazon- CloudWatch Metriken.

Programmgesteuert können Sie Daten anzeigen AWS Config , mit der AWS CLI arbeiten oder andere AWS Tools verwenden.

Abfragen der AWS Config Recorder-Daten für eine bestimmte Ressource

Sie können die AWS CLI verwenden, um eine Liste der letzten Änderungen für eine Ressource abzurufen.

Befehl Ressourcenverlauf:

aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION

Weitere Informationen finden Sie in der API-Dokumentation für get-config-history.

Visualisieren von AWS Config Daten mit Amazon QuickSight

Sie können Ressourcen visualisieren und abfragen, die von AWS Config in Ihrer gesamten Organisation aufgezeichnet wurden. Weitere Informationen finden Sie unter Visualisieren von AWS Config Daten mit Amazon Athena und Amazon QuickSight.

Fehlerbehebung AWS Config in AWS Control Tower

Dieser Abschnitt enthält Informationen zu einigen Problemen, die bei der Verwendung von AWS Config mit AWS Control Tower auftreten können.

Hohe AWS Config Kosten

Wenn Ihr Workflow Prozesse umfasst, die Ressourcen häufig erstellen, aktualisieren oder löschen, oder wenn er Ressourcen in großen Zahlen verarbeitet, kann dieser Workflow eine große Anzahl von CIs generieren. Wenn Sie diese Prozesse in einem Nicht-Produktionskonto ausführen, sollten Sie erwägen, die Registrierung des Kontos aufzuheben. Möglicherweise müssen Sie den AWS Config Recorder für dieses Konto manuell deaktivieren.

Anmerkung

Nachdem Sie die Registrierung des Kontos aufgehoben haben, kann AWS Control Tower keine detektivischen Kontrollen erzwingen oder Kontoereignisse wie AWS Config Aktivitäten für Ressourcen in diesem Konto protokollieren.

Weitere Informationen finden Sie unter Aufheben der Verwaltung eines registrierten Kontos. Informationen zum Deaktivieren des AWS Config Recorders finden Sie unter Verwalten des Konfigurations-Recorders.

Die gleiche Ressource wird mehrmals aufgezeichnet

Überprüfen Sie, ob es sich bei der Ressource um eine globale Ressource handelt. Für Landing Zones von AWS Control Tower vor Version 3.0 AWS Config kann bestimmte globale Ressourcen einmal für jede Region aufzeichnen, in der tätig AWS Config ist. Wenn beispielsweise in acht Regionen aktiviert AWS Config ist, wird jede Rolle achtmal aufgezeichnet.

Die folgenden Ressourcen werden für jede Region, in der tätig AWS Config ist, einmal aufgezeichnet:

AWS::IAM::Group
AWS::IAM::Policy
AWS::IAM::Role
AWS::IAM::User

Andere globale Ressourcen werden nur einmal aufgezeichnet. Hier sind einige Beispiele für Ressourcen, die einmal aufgezeichnet werden:

AWS::Route53::HostedZone
AWS::Route53::HealthCheck
AWS::ECR::PublicRepository
AWS::GlobalAccelerator::Listener
AWS::GlobalAccelerator::EndpointGroup
AWS::GlobalAccelerator::Accelerator

AWS Config hat keine Ressource aufgezeichnet

Bestimmte Ressourcen haben Abhängigkeitsbeziehungen zu anderen Ressourcen. Diese Beziehungen können direkt oder indirekt sein. Eine Liste der veralteten indirekten Beziehungen finden Sie in den häufig gestellten AWS Config Fragen zu .

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Protokollierung AWS Control Tower Tower-Aktionen mit AWS CloudTrail

Verwalten von Config-Kosten