Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengaktifkan pelacakan sumber daya
Sebelum Anda membuat kerangka kerja terkait kepatuhan pertama Anda, Anda harus mengaktifkan pelacakan sumber daya. Melakukannya memungkinkan AWS Config untuk melacak AWS Backup sumber daya Anda. Untuk dokumentasi teknis tentang cara mengelola pelacakan sumber daya, lihat Menyiapkan AWS Config dengan konsol di Panduan AWS Config Pengembang.
Biaya berlaku saat Anda mengaktifkan pelacakan sumber daya. Untuk informasi tentang penetapan harga dan penagihan sumber daya untuk AWS Backup Audit Manager, lihat Pengukuran, biaya, dan penagihan.
Topik
Mengaktifkan pelacakan sumber daya menggunakan konsol
Untuk mengaktifkan pelacakan sumber daya menggunakan konsol:
Buka AWS Backup konsol di https://console.aws.amazon.com/backup
. -
Di panel navigasi kiri, di bawah Audit Manager, pilih Frameworks.
-
Aktifkan pelacakan sumber daya dengan memilih Kelola pelacakan sumber daya.
-
Pilih Buka AWS Config Pengaturan.
-
Pilih Aktifkan atau nonaktifkan perekaman.
-
Pilih Aktifkan perekaman untuk semua jenis sumber daya berikut, atau pilih untuk mengaktifkan perekaman untuk beberapa jenis sumber daya. Lihat kontrol dan remediasi AWS Backup Audit Manager untuk jenis sumber daya yang diperlukan untuk kontrol Anda.
-
AWS Backup: backup plans -
AWS Backup: backup vaults -
AWS Backup: recovery points -
AWS Backup: backup selection
catatan
AWS Backup Audit Manager membutuhkan
AWS Config: resource compliancesetiap kontrol. -
-
Pilih Tutup.
-
Tunggu spanduk biru dengan teks Menghidupkan pelacakan sumber daya untuk transisi ke spanduk hijau dengan teks Pelacakan sumber daya aktif.
Anda dapat memeriksa apakah Anda telah mengaktifkan pelacakan sumber daya dan, jika demikian, jenis sumber daya yang Anda rekam, di dua tempat di AWS Backup konsol. Di panel navigasi kiri, baik:
-
Pilih Kerangka kerja, lalu pilih teks di bawah status AWS Config perekam.
-
Pilih Pengaturan, lalu pilih teks di bawah status AWS Config perekam.
Mengaktifkan pelacakan sumber daya menggunakan AWS Command Line Interface (AWS CLI)
Jika Anda belum onboard AWS Config, mungkin lebih cepat untuk onboard menggunakan. AWS CLI
Untuk mengaktifkan pelacakan sumber daya menggunakan AWS CLI:
-
Ketik perintah berikut untuk menentukan apakah Anda sudah mengaktifkan AWS Config perekam Anda.
$ aws configservice describe-configuration-recorders-
Jika
ConfigurationRecordersdaftar Anda kosong seperti ini:{ "ConfigurationRecorders": [] }Perekam Anda tidak diaktifkan. Lanjutkan ke langkah 2 untuk membuat perekam Anda.
-
Jika Anda sudah mengaktifkan perekaman untuk semua sumber daya,
ConfigurationRecordersoutput Anda akan terlihat seperti ini:{ "ConfigurationRecorders":[ { "recordingGroup":{ "allSupported":true, "resourceTypes":[ ], "includeGlobalResourceTypes":true }, "roleARN":"arn:aws:iam::[account]:role/[roleName]", "name":"default" } ] }Karena Anda mengaktifkan semua sumber daya, Anda sudah mengaktifkan pelacakan sumber daya. Anda tidak perlu menyelesaikan sisa prosedur ini untuk menggunakan AWS Backup Audit Manager.
-
Jika Anda
ConfigurationRecorderstidak kosong, tetapi Anda belum mengaktifkan perekaman untuk semua sumber daya, tambahkan sumber daya cadangan ke perekam yang ada menggunakan perintah berikut. Kemudian lewati ke langkah 3.$ aws configservice describe-configuration-recorders { "ConfigurationRecorders":[ { "name":"default", "roleARN":"arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig", "recordingGroup":{ "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::Backup::BackupPlan", "AWS::Backup::BackupSelection", "AWS::Backup::BackupVault", "AWS::Backup::RecoveryPoint", "AWS::Config::ResourceCompliance" ] } } ] }
-
-
Membuat AWS Config perekam dengan tipe sumber daya AWS Backup Audit Manager
$ aws configservice put-configuration-recorder --configuration-recorder name=default, \ roleARN=arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \ --recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \ 'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint','AWS::Config::ResourceCompliance']" -
Jelaskan AWS Config perekam Anda.
$ aws configservice describe-configuration-recordersVerifikasi bahwa ia memiliki tipe sumber daya AWS Backup Audit Manager dengan membandingkan output Anda dengan output yang diharapkan berikut.
{ "ConfigurationRecorders":[ { "name":"default", "roleARN":"arn:aws:iam::accountId:role/AWSServiceRoleForConfig", "recordingGroup":{ "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::Backup::BackupPlan", "AWS::Backup::BackupSelection", "AWS::Backup::BackupVault", "AWS::Backup::RecoveryPoint", "AWS::Config::ResourceCompliance" ] } } ] } -
Buat bucket Amazon S3 sebagai tujuan menyimpan file AWS Config konfigurasi.
$ aws s3api create-bucket --bucketmy-bucket—regionus-east-1 -
Gunakan
policy.jsonuntuk memberikan AWS Config izin untuk mengakses bucket Anda. Lihat contohpolicy.jsonberikut.$ aws s3api put-bucket-policy --bucketMyBucket--policyfile://policy.json{ "Version":"2012-10-17", "Statement":[ { "Sid":"AWSConfigBucketPermissionsCheck", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:GetBucketAcl", "Resource":"arn:aws:s3:::my-bucket" }, { "Sid":"AWSConfigBucketExistenceCheck", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:ListBucket", "Resource":"arn:aws:s3:::my-bucket" }, { "Sid":"AWSConfigBucketDelivery", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::my-bucket/*" } ] } -
Konfigurasikan bucket Anda sebagai saluran AWS Config pengiriman
$ aws configservice put-delivery-channel --delivery-channel name=default,s3BucketName=my-bucket -
Aktifkan AWS Config perekaman
$ aws configservice start-configuration-recorder --configuration-recorder-namedefault -
Verifikasi bahwa
"FrameworkStatus":"ACTIVE"di baris terakhirDescribeFrameworkoutput Anda sebagai berikut.$ aws backup describe-framework --framework-nametest--regionus-east-1{ "FrameworkName":"test", "FrameworkArn":"arn:aws:backup:us-east-1:accountId:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666", "FrameworkDescription":"", "FrameworkControls":[ { "ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK", "ControlInputParameters":[ { "ParameterName":"requiredRetentionDays", "ParameterValue":"1" } ], "ControlScope":{ } }, { "ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK", "ControlInputParameters":[ { "ParameterName":"requiredFrequencyUnit", "ParameterValue":"hours" }, { "ParameterName":"requiredRetentionDays", "ParameterValue":"35" }, { "ParameterName":"requiredFrequencyValue", "ParameterValue":"1" } ], "ControlScope":{ } }, { "ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN", "ControlInputParameters":[ ], "ControlScope":{ } }, { "ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED", "ControlInputParameters":[ ], "ControlScope":{ } }, { "ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED", "ControlInputParameters":[ ], "ControlScope":{ } } ], "CreationTime":1633463605.233, "DeploymentStatus":"COMPLETED", "FrameworkStatus":"ACTIVE" }
Mengaktifkan pelacakan sumber daya menggunakan AWS CloudFormation templat
Untuk AWS CloudFormation templat yang mengaktifkan pelacakan sumber daya, lihat Menggunakan AWS Backup Audit Manager dengan AWS CloudFormation.
