Bekerja dengan aturan pemberdayaan telemetri

Anda dapat membuat aturan pengaktifan telemetri untuk mengonfigurasi koleksi telemetri secara otomatis untuk sumber daya Anda. AWS Aturan membantu Anda menstandarisasi pengumpulan telemetri di seluruh organisasi atau akun Anda dan memastikan cakupan pemantauan yang konsisten.

Integrasi aturan pemberdayaan dengan AWS Config

CloudWatch Audit dan konfigurasi telemetri terintegrasi AWS Config untuk secara otomatis menemukan sumber daya yang sesuai dengan aturan pemberdayaan Anda dan menerapkannya pada pengumpulan data telemetri Anda. Saat Anda membuat aturan pengaktifan, konfigurasi telemetri akan membuat perekam yang sesuai. AWS Config Perekam ini menyertakan item konfigurasi untuk jenis sumber daya tertentu yang Anda tentukan dalam aturan pemberdayaan.

Anda dapat mengaktifkan konfigurasi Telemetri tanpa biaya tambahan. Saat Anda menggunakan aturan pengaktifan untuk mengelola telemetri secara otomatis, AWS Config biaya akan dikenakan berdasarkan jumlah item konfigurasi yang direkam untuk jenis sumber daya yang Anda tentukan dalam aturan pengaktifan. Untuk informasi selengkapnya, lihat harga AWS Config.

catatan

Jika Anda AWS Config telah mengaktifkan perekaman item konfigurasi untuk jenis sumber daya tertentu, Anda tidak akan dikenakan biaya lagi.

Konfigurasi telemetri digunakan untuk: AWS Config

• Temukan sumber daya di seluruh organisasi atau akun Anda

• Lacak perubahan konfigurasi telemetri

Memahami perilaku aturan pemberdayaan

Konfigurasi telemetri mengikuti pola tertentu saat mengevaluasi dan menerapkan aturan:

Aturan pemberdayaan dievaluasi menurut pola hierarkis. Aturan organisasi dievaluasi terlebih dahulu, kemudian aturan yang berlaku untuk unit organisasi (OUs), dan akhirnya aturan yang berlaku untuk akun individu. Aturan di tingkat organisasi memberikan telemetri dasar yang diperlukan untuk organisasi Anda. Aturan di tingkat OU dan akun dapat mengumpulkan data telemetri tambahan, tetapi mereka tidak dapat mengumpulkan lebih sedikit data telemetri. Jika aturan seperti itu dibuat, itu akan menciptakan konflik aturan.

Dalam setiap lingkup (organisasi, OU, atau akun), aturan harus mempertahankan keunikan berdasarkan jenis sumber daya, jenis telemetri, dan konfigurasi tujuan. Aturan duplikat memicu pengecualian konflik. Jika aturan yang sama ada dalam cakupan yang berbeda, seperti aturan tingkat organisasi untuk log VPC Flow dan aturan tingkat OU CloudWatch untuk log Aliran VPC, aturan yang lebih tinggi dalam hierarki akan diterapkan. Namun, jika ada beberapa aturan yang bertentangan, tidak ada aturan yang diterapkan.

Untuk log Aliran VPC, Telemetry Config hanya membuat log aliran baru untuk sumber daya yang cocok dengan cakupan aturan. Itu tidak menghapus atau memengaruhi log Aliran VPC yang telah dibuat sebelumnya, bahkan jika mereka berbeda dari parameter aturan saat ini. Untuk CloudWatch Log, grup log yang ada dipertahankan asalkan cocok dengan pola sumber daya.

Jika Anda memperbarui aturan pengaktifan, hanya sumber daya baru yang cocok dengan aturan yang mengadopsi konfigurasi yang diperbarui, pengaturan telemetri yang ada tetap tidak berubah untuk sumber daya yang ada. Jika sumber daya menjadi tidak sesuai dengan aturan yang ada karena penghapusan manual data telemetri, aturan pemberdayaan baru diadopsi setelah sumber daya dibawa kembali ke kepatuhan.

Membuat aturan pemberdayaan telemetri

Saat Anda membuat aturan pengaktifan telemetri, Anda menentukan:

• Ruang lingkup aturan (organisasi, unit organisasi, atau akun)

• Jenis sumber daya yang diterapkan aturan

• Jenis telemetri untuk mengaktifkan (metrik, log, atau jejak)

• Tag opsional untuk memfilter sumber daya mana yang dipengaruhi aturan

Untuk membuat aturan pemberdayaan telemetri

1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

2. Di panel navigasi, pilih konfigurasi Telemetri.

3. Pilih tab Aturan Pengaktifan.

4. Pilih Tambahkan aturan.

5. Untuk nama Aturan, masukkan nama untuk aturan Anda.

6. Untuk lingkup Aturan, pilih salah satu dari berikut ini:

   • Organisasi - Aturan berlaku di seluruh Anda AWS Organizations

   • Unit organisasi - Aturan berlaku untuk OU tertentu

   • Akun - Aturan berlaku untuk satu akun

7. Untuk Sumber data, pilih AWS layanan yang akan dikonfigurasi.

8. Untuk jenis Telemetri, pilih jenis telemetri yang akan diaktifkan.

9. Opsional: Tambahkan tag untuk memfilter sumber daya mana yang dipengaruhi aturan.

10. Pilih Buat aturan.

Mengelola aturan telemetri

Setelah membuat aturan, Anda dapat mengedit atau menghapusnya. Anda juga dapat melihat sumber daya mana yang memengaruhi setiap aturan dan memantau kepatuhan aturan.

Untuk mengelola aturan yang ada

1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

2. Di panel navigasi, pilih konfigurasi Telemetri.

3. Pilih tab Aturan Pengaktifan.

4. Pilih aturan untuk melihat detailnya atau pilih salah satu tindakan ini:

   • Edit - Ubah pengaturan aturan

   • Hapus - Hapus aturan

Memecahkan masalah konfigurasi telemetri

Bagian ini menjelaskan masalah umum yang mungkin Anda temui saat menggunakan konfigurasi telemetri dan cara mengatasinya.

Konflik aturan dan resolusi

Ketika beberapa aturan berlaku untuk sumber daya yang sama, konfigurasi telemetri menyelesaikan konflik menggunakan prioritas ini:

1. Aturan tingkat organisasi lebih diutamakan daripada aturan tingkat akun

2. Pencocokan tag yang lebih spesifik lebih diutamakan daripada aturan umum

3. Jika ada beberapa aturan yang saling bertentangan, tidak ada aturan yang diterapkan, Anda harus menyelesaikan konflik terlebih dahulu.

Masalah umum

Sumber daya tidak muncul dalam penemuan

Verifikasi bahwa:

• Jenis sumber daya didukung

• AWS Perekam Config diaktifkan

• Anda memiliki izin IAM yang sesuai

Aturan tidak berlaku secara otomatis

Periksa:

• Konfigurasi ruang lingkup aturan

• Filter tag

Pertimbangan khusus layanan

Log Aliran VPC Amazon

Saat membuat log aliran:

• Menggunakan pola vpc-id default/aws/vpc/ jika tidak ada yang ditentukan

• Log aliran yang dibuat pelanggan yang ada dipertahankan

• Pembaruan aturan hanya memengaruhi log aliran baru