Pengaturan manual untuk AWS Config - AWS Config
Langkah 1: PengaturanLangkah 2: AturanLangkah 3: TinjauUntuk informasi selengkapnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pengaturan manual untuk AWS Config

Dengan alur kerja Memulai, Anda dapat melalui semua pilihan manual dari proses penyiapan untuk memulai dengan konsol. AWS Config Untuk proses memulai yang disederhanakan, lihat Pengaturan 1-klik.

Untuk mengatur AWS Config dengan konsol menggunakan Memulai

  1. Masuk ke AWS Management Console dan buka AWS Config konsol di https://console.aws.amazon.com/config/.

  2. Pilih Mulai.

Halaman pengaturan mencakup tiga langkah. Berikut ini memberikan rincian prosedur itu setelah Anda memilih Memulai.

  • Pengaturan: Untuk memilih cara AWS Config konsol merekam sumber daya dan peran, dan memilih di mana riwayat konfigurasi dan file snapshot konfigurasi dikirim.

  • Aturan: Untuk AWS Config aturan dukungan Wilayah AWS itu, langkah ini tersedia bagi Anda untuk mengonfigurasi aturan terkelola awal yang dapat Anda tambahkan ke akun Anda. Setelah menyiapkan, AWS Config akan mengevaluasi AWS sumber daya Anda terhadap aturan yang Anda pilih. Aturan tambahan dapat dibuat dan yang sudah ada dapat diperbarui dan di akun Anda setelah penyiapan.

  • Ulasan: Untuk memverifikasi detail penyiapan Anda.

Langkah 1: Pengaturan

Strategi perekaman

Di bagian Metode perekaman, pilih strategi perekaman. Anda dapat menentukan AWS sumber daya yang AWS Config ingin Anda rekam.

All resource types with customizable overrides

Siapkan AWS Config untuk merekam perubahan konfigurasi untuk semua jenis sumber daya yang didukung saat ini dan masa depan di Wilayah ini. Anda dapat mengganti frekuensi perekaman untuk jenis sumber daya tertentu atau mengecualikan jenis sumber daya tertentu dari perekaman. Untuk informasi selengkapnya, lihat Jenis Sumber Daya yang Didukung.

  • Pengaturan default

    Konfigurasikan frekuensi perekaman default untuk semua jenis sumber daya yang didukung saat ini dan masa depan. Untuk informasi lebih lanjut lihat, Frekuensi Perekaman.

    • Perekaman berkelanjutan - AWS Config akan merekam perubahan konfigurasi secara terus menerus setiap kali terjadi perubahan.

    • Rekaman harian — Anda akan menerima item konfigurasi (CI) yang mewakili status terbaru sumber daya Anda selama periode 24 jam terakhir, hanya jika berbeda dari CI sebelumnya yang direkam.

    catatan

    AWS Firewall Manager tergantung pada perekaman berkelanjutan untuk memantau sumber daya Anda. Jika Anda menggunakan Firewall Manager, disarankan agar Anda mengatur frekuensi perekaman ke Continuous.

  • Ganti pengaturan

    Ganti frekuensi perekaman untuk jenis sumber daya tertentu, atau kecualikan jenis sumber daya tertentu dari perekaman. Jika Anda mengubah frekuensi perekaman untuk jenis sumber daya atau berhenti merekam jenis sumber daya, item konfigurasi yang sudah direkam akan tetap tidak berubah.

Specific resource types

Setel AWS Config untuk merekam perubahan konfigurasi hanya untuk jenis sumber daya yang Anda tentukan.

  • Jenis sumber daya tertentu

    Pilih jenis sumber daya untuk merekam dan frekuensinya. Untuk informasi lebih lanjut lihat, Frekuensi Perekaman.

    • Perekaman berkelanjutan - AWS Config akan merekam perubahan konfigurasi secara terus menerus setiap kali terjadi perubahan.

    • Rekaman harian — Anda akan menerima item konfigurasi (CI) yang mewakili status terbaru sumber daya Anda selama periode 24 jam terakhir, hanya jika berbeda dari CI sebelumnya yang direkam.

    catatan

    AWS Firewall Manager tergantung pada perekaman berkelanjutan untuk memantau sumber daya Anda. Jika Anda menggunakan Firewall Manager, disarankan agar Anda mengatur frekuensi perekaman ke Continuous.

    Jika Anda mengubah frekuensi perekaman untuk jenis sumber daya atau berhenti merekam jenis sumber daya, item konfigurasi yang sudah direkam akan tetap tidak berubah.

Pertimbangan Saat Merekam Sumber Daya

Jumlah AWS Config Evaluasi yang Tinggi

Anda mungkin melihat peningkatan aktivitas di akun Anda selama perekaman bulan awal Anda dengan AWS Config jika dibandingkan dengan bulan-bulan berikutnya. Selama proses bootstrap awal, AWS Config jalankan evaluasi pada semua sumber daya di akun Anda yang telah Anda pilih untuk direkam. AWS Config

Jika Anda menjalankan beban kerja sementara, Anda mungkin melihat peningkatan aktivitas dari AWS Config saat merekam perubahan konfigurasi yang terkait dengan pembuatan dan penghapusan sumber daya sementara ini. Beban kerja sementara adalah penggunaan sementara sumber daya komputasi yang dimuat dan dijalankan saat diperlukan. Contohnya termasuk Instans Spot Amazon Elastic Compute Cloud (AmazonEC2), EMR pekerjaan Amazon, dan AWS Auto Scaling. Jika Anda ingin menghindari peningkatan aktivitas menjalankan beban kerja sementara, Anda dapat mengatur perekam konfigurasi untuk mengecualikan jenis sumber daya ini agar tidak direkam, atau menjalankan jenis beban kerja ini di akun terpisah dengan AWS Config dimatikan untuk menghindari peningkatan perekaman konfigurasi dan evaluasi aturan.

Considerations: All resource types with customizable overrides

Jenis sumber daya yang direkam secara global | Kluster global Aurora pada awalnya disertakan dalam rekaman

Jenis AWS::RDS::GlobalCluster sumber daya akan direkam di semua AWS Config Wilayah yang didukung tempat perekam konfigurasi diaktifkan.

Jika Anda tidak ingin merekam AWS::RDS::GlobalCluster di semua Wilayah yang diaktifkan, pilih”AWS RDS GlobalCluster“, dan pilih penggantian “Kecualikan dari rekaman”.

Jenis sumber daya global | tipe IAM sumber daya awalnya dikecualikan dari perekaman

Jenis IAM sumber daya global pada awalnya dikecualikan dari pencatatan untuk membantu Anda mengurangi biaya. Paket ini mencakup IAM pengguna, grup, peran, dan kebijakan yang dikelola pelanggan. Pilih Hapus untuk menghapus penggantian dan menyertakan sumber daya ini dalam rekaman Anda.

Selain itu, jenis IAM sumber daya global (AWS::IAM::UserAWS::IAM::Group,AWS::IAM::Role,, danAWS::IAM::Policy) tidak dapat dicatat di Wilayah yang didukung AWS Config setelah Februari 2022. Untuk daftar Wilayah tersebut, lihat Merekam AWS Sumber Daya | Sumber Daya Global.

Batas

Anda dapat menambahkan hingga 100 penggantian frekuensi dan 600 penggantian pengecualian.

Rekaman harian tidak didukung untuk jenis sumber daya berikut:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Considerations: Specific resource types

Ketersediaan Wilayah

Sebelum menentukan jenis sumber daya AWS Config untuk dilacak, periksa Cakupan Sumber Daya menurut Ketersediaan Wilayah untuk melihat apakah jenis sumber daya didukung di AWS Wilayah tempat Anda menyiapkan AWS Config. Jika jenis sumber daya didukung oleh AWS Config setidaknya satu Wilayah, Anda dapat mengaktifkan perekaman jenis sumber daya tersebut di semua Wilayah yang didukung oleh AWS Config, meskipun jenis sumber daya yang ditentukan tidak didukung di AWS Wilayah tempat Anda menyiapkan AWS Config.

Batas

Tidak ada batasan jika semua jenis sumber daya memiliki frekuensi yang sama. Anda dapat menambahkan hingga 100 jenis sumber daya dengan frekuensi Harian jika setidaknya satu jenis sumber daya diatur ke Continuous.

Frekuensi harian tidak didukung untuk jenis sumber daya berikut:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Tata kelola data

  • Untuk periode penyimpanan data, pilih periode penyimpanan default untuk menyimpan AWS Config data selama 7 tahun (2557) atau tetapkan periode sewa khusus untuk item yang direkam oleh. AWS Config

    AWS Config memungkinkan Anda untuk menghapus data Anda dengan menentukan periode retensi untuk AndaConfigurationItems. Saat Anda menentukan periode retensi, AWS Config pertahankan periode Anda ConfigurationItems untuk periode yang ditentukan. Anda dapat memilih periode antara minimal 30 hari dan maksimal 7 tahun (2557 hari). AWS Config menghapus data yang lebih lama dari periode retensi yang Anda tentukan.

  • Untuk IAM peran AWS Config, pilih peran AWS Config terkait layanan yang ada atau peran IAM dari akun Anda.

    • Peran terkait layanan telah ditentukan sebelumnya oleh AWS Config dan menyertakan semua izin yang diperlukan layanan untuk memanggil layanan lain. AWS

      catatan

      Direkomendasikan: Gunakan peran terkait Layanan

      Disarankan agar Anda menggunakan peran terkait layanan. Peran terkait layanan menambahkan semua izin yang diperlukan untuk menjalankan seperti yang AWS Config diharapkan.

    • Jika tidak, pilih IAM peran dari salah satu peran dan kebijakan izin yang sudah ada sebelumnya.

      catatan

      Kebijakan Otorisasi untuk AWS Organizations Dapat Mencegah Akses

      Jika Anda menggunakan IAM peran yang sudah ada sebelumnya, pastikan tidak ada kebijakan otorisasi AWS Organizations yang AWS Config mencegah izin untuk merekam sumber daya Anda. Untuk informasi selengkapnya tentang kebijakan otorisasi AWS Organizations, lihat Mengelola kebijakan AWS Organizations di Panduan AWS Organizations Pengguna.

      Pertahankan Izin Minimum Saat Menggunakan Kembali peran IAM

      Jika Anda menggunakan AWS layanan yang menggunakan AWS Config, seperti AWS Security Hub atau AWS Control Tower, dan IAM peran telah dibuat, pastikan IAM peran yang Anda gunakan saat menyiapkan memiliki izin minimum yang AWS Config sama dengan peran yang sudah ada sebelumnyaIAM. Anda harus melakukan ini untuk memastikan bahwa AWS layanan lain terus berjalan seperti yang diharapkan.

      Misalnya, jika AWS Control Tower memiliki IAM peran yang memungkinkan AWS Config untuk membaca objek S3, pastikan izin yang sama diberikan ke IAM peran yang Anda gunakan saat mengatur. AWS Config Jika tidak, itu dapat mengganggu cara AWS Control Tower beroperasi.

Metode pengiriman

  • Untuk metode Pengiriman, pilih bucket S3 yang akan AWS Config mengirimkan riwayat konfigurasi dan berkas snapshot konfigurasi:

    • Buat bucket — Untuk nama bucket S3, ketikkan nama untuk bucket S3 Anda.

      Nama yang Anda ketik harus unik di semua nama bucket yang ada di Amazon S3. Salah satu cara untuk membantu memastikan keunikan adalah dengan memasukkan awalan; misalnya, nama organisasi Anda. Anda tidak dapat mengubah nama bucket setelah dibuat. Untuk informasi selengkapnya, lihat Pembatasan dan Batasan Bucket di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

    • Pilih bucket dari akun Anda — Untuk nama bucket S3, pilih bucket pilihan Anda.

    • Pilih bucket dari akun lain — Untuk nama bucket S3, ketikkan nama bucket.

      catatan

      Izin Bucket

      Jika Anda memilih bucket dari akun lain, bucket tersebut harus memiliki kebijakan yang memberikan izin akses AWS Config. Untuk informasi selengkapnya, lihat Izin untuk Bucket Amazon S3 untuk AWS Config Saluran Pengiriman.

  • Untuk SNStopik Amazon, pilih Streaming perubahan konfigurasi dan notifikasi ke SNS topik Amazon untuk AWS Config mengirim notifikasi seperti pengiriman riwayat konfigurasi, pengiriman snapshot konfigurasi, dan kepatuhan.

  • Jika Anda memilih untuk melakukan AWS Config streaming ke SNS topik Amazon, pilih topik target:

    • Buat topik — Untuk Nama Topik, ketikkan nama untuk SNS topik Anda.

    • Pilih topik dari akun Anda — Untuk Nama Topik, pilih topik yang Anda inginkan.

    • Pilih topik dari akun lain — Untuk Topik ARN, ketik Amazon Resource Name (ARN) dari topik tersebut. Jika Anda memilih topik dari akun lain, topik tersebut harus memiliki kebijakan yang memberikan izin akses AWS Config. Untuk informasi selengkapnya, lihat Izin untuk Topik Amazon SNS.

      catatan

      Wilayah untuk SNS Topik Amazon

      SNSTopik Amazon harus ada di Wilayah yang sama dengan Wilayah tempat Anda mengatur AWS Config.

Langkah 2: Aturan

Jika Anda menyiapkan AWS Config di Wilayah yang mendukung aturan, pilih Berikutnya.

Langkah 3: Tinjau

Tinjau detail AWS Config penyiapan Anda. Anda dapat kembali untuk mengedit perubahan untuk setiap bagian. Pilih Konfirmasi untuk menyelesaikan pengaturan AWS Config.

Untuk informasi selengkapnya

Untuk informasi tentang mencari sumber daya yang ada di akun Anda dan memahami konfigurasi sumber daya Anda, lihat Mencari Sumber Daya, MelihatInforman Kepatuhan, dan Melihat Riwayat Kepatuhan.

Anda juga dapat menggunakan Amazon Simple Queue Service untuk memantau AWS sumber daya secara terprogram. Untuk informasi selengkapnya, lihat Memantau Perubahan AWS Sumber Daya dengan Amazon SQS.