Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Sumber Daya Rekaman
AWS Config terus mendeteksi kapan jenis sumber daya yang didukung dibuat, diubah, atau dihapus. AWS Config mencatat peristiwa ini sebagai item konfigurasi (CI). Anda dapat menyesuaikan AWS Config untuk merekam perubahan konfigurasi untuk semua jenis sumber daya yang didukung, atau hanya untuk jenis sumber daya yang didukung yang relevan bagi Anda. Untuk daftar jenis sumber daya yang didukung yang AWS Config dapat merekam, lihatJenis Sumber Daya yang Didukung.
Pertimbangan
Jumlah AWS Config Evaluasi yang Tinggi
Anda mungkin melihat peningkatan aktivitas di akun Anda selama perekaman bulan awal Anda dengan AWS Config jika dibandingkan dengan bulan-bulan berikutnya. Selama proses bootstrap awal, AWS Config jalankan evaluasi pada semua sumber daya di akun Anda yang telah Anda pilih untuk direkam. AWS Config
Jika Anda menjalankan beban kerja sementara, Anda mungkin melihat peningkatan aktivitas dari AWS Config saat merekam perubahan konfigurasi yang terkait dengan pembuatan dan penghapusan sumber daya sementara ini. Beban kerja sementara adalah penggunaan sementara sumber daya komputasi yang dimuat dan dijalankan saat diperlukan. Contohnya termasuk Instans Spot Amazon Elastic Compute Cloud (Amazon EC2), pekerjaan EMR Amazon, dan. AWS Auto Scaling Jika Anda ingin menghindari peningkatan aktivitas menjalankan beban kerja sementara, Anda dapat mengatur perekam konfigurasi untuk mengecualikan jenis sumber daya ini agar tidak direkam, atau menjalankan jenis beban kerja ini di akun terpisah dengan AWS Config dimatikan untuk menghindari peningkatan perekaman konfigurasi dan evaluasi aturan.
Ketersediaan Wilayah
Sebelum menentukan jenis sumber daya AWS Config untuk dilacak, periksa Cakupan Sumber Daya menurut ketersediaan Wilayah untuk melihat apakah jenis sumber daya didukung di AWS Wilayah tempat Anda menyiapkan AWS Config. Jika jenis sumber daya didukung oleh AWS Config setidaknya satu Wilayah, Anda dapat mengaktifkan perekaman jenis sumber daya tersebut di semua Wilayah yang didukung oleh AWS Config, meskipun jenis sumber daya yang ditentukan tidak didukung di AWS Wilayah tempat Anda menyiapkan AWS Config.
Apa perbedaan antara sumber daya regional dan global?
- Sumber daya regional
-
Sumber daya regional terikat pada suatu Wilayah dan hanya dapat digunakan di Wilayah tersebut. Anda membuatnya dalam yang ditentukan Wilayah AWS, dan kemudian mereka ada di Wilayah itu. Untuk melihat atau berinteraksi dengan sumber daya tersebut, Anda harus mengarahkan operasi Anda ke Wilayah tersebut. Misalnya, untuk membuat instans Amazon EC2 dengan instans AWS Management Console, Anda memilih instans Wilayah AWS yang ingin Anda buat. Jika Anda menggunakan AWS Command Line Interface (AWS CLI) untuk membuat instance, maka Anda menyertakan --region
parameter. AWS SDK masing-masing memiliki mekanisme ekuivalennya sendiri untuk menentukan Wilayah yang digunakan operasi.
Ada beberapa alasan untuk menggunakan sumber daya Regional. Salah satu alasannya adalah untuk memastikan bahwa sumber daya, dan titik akhir layanan yang Anda gunakan untuk mengaksesnya, sedekat mungkin dengan pelanggan. Ini meningkatkan kinerja dengan meminimalkan latensi. Alasan lain adalah untuk memberikan batas isolasi. Ini memungkinkan Anda membuat salinan sumber daya independen di beberapa Wilayah untuk mendistribusikan beban dan meningkatkan skalabilitas. Pada saat yang sama, ia mengisolasi sumber daya satu sama lain untuk meningkatkan ketersediaan.
Jika Anda menentukan yang berbeda Wilayah AWS di konsol atau dalam AWS CLI
perintah, maka Anda tidak dapat lagi melihat atau berinteraksi dengan sumber daya yang dapat Anda lihat di Wilayah sebelumnya.
Saat Anda melihat Nama Sumber Daya Amazon (ARN) untuk sumber daya Regional, Wilayah yang berisi sumber daya ditentukan sebagai bidang keempat di ARN. Misalnya, instans Amazon EC2 adalah sumber daya Regional. Berikut ini adalah contoh ARN untuk instans Amazon EC2 yang ada di Wilayah. us-east-1
arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
- Sumber daya global
-
Beberapa sumber daya AWS layanan adalah sumber daya global, artinya Anda dapat menggunakan sumber daya dari mana saja. Anda tidak menentukan Wilayah AWS di konsol layanan global. Untuk mengakses sumber daya global, Anda tidak menentukan --region
parameter saat menggunakan operasi layanan AWS CLI dan AWS SDK.
Sumber daya global mendukung kasus di mana sangat penting bahwa hanya satu contoh dari sumber daya tertentu yang dapat eksis pada satu waktu. Dalam skenario ini, replikasi atau sinkronisasi antar salinan di Wilayah yang berbeda tidak memadai. Harus mengakses satu titik akhir global, dengan kemungkinan peningkatan latensi, dianggap dapat diterima untuk memastikan bahwa setiap perubahan langsung terlihat oleh konsumen sumber daya.
Misalnya, klaster global Amazon Aurora (AWS::RDS::GlobalCluster
) adalah sumber daya global, dan karenanya tidak terikat pada suatu Wilayah. Ini berarti Anda dapat membuat cluster global tanpa bergantung pada titik akhir regional. Manfaatnya adalah, sementara Amazon Relational Database Service (Amazon RDS) sendiri diatur oleh Wilayah, Wilayah spesifik tempat cluster global berasal tidak berdampak pada cluster global. Ini muncul sebagai cluster global tunggal yang berkelanjutan di semua Wilayah.
Nama Sumber Daya Amazon (ARN) untuk sumber daya global tidak menyertakan Wilayah. Bidang keempat kosong, seperti pada contoh ARN berikut untuk cluster global.
arn:aws:rds::123456789012:global-cluster:test-global-cluster
Jenis sumber daya global yang tersedia AWS Config setelah Februari 2022 hanya akan dicatat di Wilayah asal layanan untuk partisi komersial dan AWS GovCloud (AS-Barat) untuk partisi tersebut. GovCloud Anda dapat melihat item konfigurasi (CI) untuk jenis sumber daya global baru ini hanya di wilayah asal mereka dan AWS GovCloud (AS-Barat).
Jenis sumber daya global yang tersedia sebelum Februari 2022 (AWS::IAM::Group
,, AWS::IAM::Policy
AWS::IAM::Role
, danAWS::IAM::User
) tetap tidak berubah. Anda dapat mengaktifkan perekaman sumber daya IAM global ini di semua Wilayah yang AWS Config didukung sebelum Februari 2022. Sumber daya IAM global ini tidak dapat dicatat di Wilayah yang didukung AWS Config setelah Februari 2022.
- Jenis sumber daya global | Sumber daya IAM
-
Jenis sumber daya IAM berikut adalah sumber daya global: pengguna IAM, grup, peran, dan kebijakan yang dikelola pelanggan. Jenis sumber daya ini dapat direkam oleh AWS Config di Wilayah AWS Config yang tersedia sebelum Februari 2022. Untuk daftar Wilayah tersebut, lihat Merekam AWS Sumber Daya | Sumber Daya Global.
Untuk mencegah duplikat item konfigurasi (CI), Anda harus mempertimbangkan hanya merekam jenis sumber daya IAM global satu kali di salah satu Wilayah yang didukung. Ini juga dapat membantu Anda menghindari evaluasi yang tidak perlu dan pembatasan API.
- Jenis sumber daya global | Hanya Wilayah Beranda
-
Sumber daya global untuk layanan berikut hanya dicatat oleh AWS Config Wilayah asal dari jenis sumber daya global: Amazon Elastic Container Registry Public, AWS Global Accelerator, Amazon Route 53, Amazon CloudFront, dan AWS WAF. Untuk sumber daya global ini, contoh yang sama dari jenis sumber daya dapat digunakan di beberapa AWS Wilayah, tetapi item konfigurasi (CI) hanya dicatat di Wilayah asal untuk partisi komersial atau AWS GovCloud (AS-Barat) untuk partisi. AWS GovCloud (US)
AWS Layanan |
Nilai Jenis Sumber Daya |
Wilayah Asal |
Amazon Elastic Container Registry Publik |
AWS::ECR::PublicRepository |
Wilayah AS Timur (Virginia Utara) |
AWS Global Accelerator |
AWS::GlobalAccelerator::Listener |
Wilayah AS Barat (Oregon) |
AWS::GlobalAccelerator::EndpointGroup |
Wilayah AS Barat (Oregon) |
AWS::GlobalAccelerator::Accelerator |
Wilayah AS Barat (Oregon) |
Amazon Route 53 |
AWS::Route53::HostedZone |
Wilayah AS Timur (Virginia Utara) |
AWS::Route53::HealthCheck |
Wilayah AS Timur (Virginia Utara) |
Amazon CloudFront |
AWS::CloudFront::Distribution |
Wilayah AS Timur (Virginia Utara) |
AWS WAF |
AWS::WAFv2::WebACL |
Wilayah AS Timur (Virginia Utara) |
- Jenis sumber daya global | Kluster global Aurora
-
AWS::RDS::GlobalCluster
adalah sumber daya global yang direkam di semua AWS Config Wilayah yang didukung tempat perekam konfigurasi diaktifkan. Jenis sumber daya global ini unik karena jika Anda mengaktifkan perekaman sumber daya ini dalam satu Wilayah, AWS Config akan merekam item konfigurasi (CI) untuk jenis sumber daya ini di semua Wilayah yang diaktifkan.
Jika Anda tidak ingin merekam AWS::RDS::GlobalCluster
di semua Wilayah yang diaktifkan, gunakan salah satu strategi perekaman berikut untuk AWS Config konsol:
Rekam semua jenis sumber daya dengan penggantian yang dapat disesuaikan, pilih "AWS RDS GlobalCluster “, dan pilih penggantian “Kecualikan dari perekaman”
Rekam jenis sumber daya tertentu.
Jika Anda tidak ingin merekam AWS::RDS::GlobalCluster
di semua Wilayah yang diaktifkan, gunakan salah satu strategi perekaman berikut untuk API/CLI:
Merekam Sumber Daya di AWS Config Konsol
Anda dapat menggunakan AWS Config konsol untuk memilih jenis sumber daya yang AWS Config merekam.
Untuk memilih sumber daya
Masuk ke AWS Management Console dan buka AWS Config konsol di https://console.aws.amazon.com/config/.
-
Pilih Pengaturan di panel navigasi kiri, lalu pilih Edit. Untuk daftar Wilayah yang didukung, lihat AWS Config titik akhir dan kuota di. Referensi Umum Amazon Web Services
-
Di bagian Metode perekaman, pilih strategi perekaman. Anda dapat menentukan AWS sumber daya yang AWS Config ingin Anda rekam.
- All resource types with customizable overrides
-
Siapkan AWS Config untuk merekam perubahan konfigurasi untuk semua jenis sumber daya yang didukung saat ini dan masa depan di Wilayah ini. Anda dapat mengganti frekuensi perekaman untuk jenis sumber daya tertentu atau mengecualikan jenis sumber daya tertentu dari perekaman. Untuk informasi selengkapnya, lihat Jenis Sumber Daya yang Didukung.
Pengaturan default
Konfigurasikan frekuensi perekaman default untuk semua jenis sumber daya yang didukung saat ini dan masa depan. Untuk informasi lebih lanjut lihat, Frekuensi Perekaman.
Perekaman berkelanjutan - AWS Config akan merekam perubahan konfigurasi secara terus menerus setiap kali terjadi perubahan.
Rekaman harian — Anda akan menerima item konfigurasi (CI) yang mewakili status terbaru sumber daya Anda selama periode 24 jam terakhir, hanya jika berbeda dari CI sebelumnya yang direkam.
AWS Firewall Manager tergantung pada perekaman berkelanjutan untuk memantau sumber daya Anda. Jika Anda menggunakan Firewall Manager, disarankan agar Anda mengatur frekuensi perekaman ke Continuous.
Ganti pengaturan
Ganti frekuensi perekaman untuk jenis sumber daya tertentu, atau kecualikan jenis sumber daya tertentu dari perekaman. Jika Anda mengubah frekuensi perekaman untuk jenis sumber daya atau berhenti merekam jenis sumber daya, item konfigurasi yang sudah direkam akan tetap tidak berubah.
Jenis sumber daya global | Kluster global Aurora pada awalnya disertakan dalam rekaman
Jenis AWS::RDS::GlobalCluster
sumber daya akan direkam di semua AWS Config Wilayah yang didukung tempat perekam konfigurasi diaktifkan.
Jika Anda tidak ingin merekam AWS::RDS::GlobalCluster
di semua Wilayah yang diaktifkan, pilih "AWS RDS GlobalCluster“, dan pilih penggantian “Kecualikan dari perekaman”.
Jenis sumber daya global | Jenis sumber daya IAM awalnya dikecualikan dari perekaman
“Semua jenis sumber daya IAM yang direkam secara global” pada awalnya dikecualikan dari pencatatan untuk membantu Anda mengurangi biaya. Paket ini mencakup pengguna IAM, grup, peran, dan kebijakan yang dikelola pelanggan. Pilih Hapus untuk menghapus penggantian dan menyertakan sumber daya ini dalam rekaman Anda.
Pengecualian untuk catatan ini adalah untuk US East (Virginia N.). Jenis sumber daya IAM global awalnya termasuk dalam Wilayah AS Timur (Virginia N.) karena Wilayah ini berfungsi sebagai Wilayah asal untuk jenis sumber daya IAM global.
Selain itu, jenis sumber daya IAM global (AWS::IAM::User
,AWS::IAM::Group
,AWS::IAM::Role
, danAWS::IAM::Policy
) tidak dapat dicatat di Wilayah yang didukung AWS Config setelah Februari 2022. Untuk daftar Wilayah tersebut, lihat Merekam AWS Sumber Daya | Sumber Daya Global.
Batas
Anda dapat menambahkan hingga 100 penggantian frekuensi dan 600 penggantian pengecualian.
Rekaman harian tidak didukung untuk jenis sumber daya berikut:
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
- Specific resource types
-
Siapkan AWS Config untuk merekam perubahan konfigurasi hanya untuk jenis sumber daya yang Anda tentukan.
Jenis sumber daya tertentu
Pilih jenis sumber daya untuk merekam dan frekuensinya. Untuk informasi lebih lanjut lihat, Frekuensi Perekaman.
Perekaman berkelanjutan - AWS Config akan merekam perubahan konfigurasi secara terus menerus setiap kali terjadi perubahan.
Rekaman harian — Anda akan menerima item konfigurasi (CI) yang mewakili status terbaru sumber daya Anda selama periode 24 jam terakhir, hanya jika berbeda dari CI sebelumnya yang direkam.
AWS Firewall Manager tergantung pada perekaman berkelanjutan untuk memantau sumber daya Anda. Jika Anda menggunakan Firewall Manager, disarankan agar Anda mengatur frekuensi perekaman ke Continuous.
Jika Anda mengubah frekuensi perekaman untuk jenis sumber daya atau berhenti merekam jenis sumber daya, item konfigurasi yang sudah direkam akan tetap tidak berubah.
Ketersediaan Wilayah
Sebelum menentukan jenis sumber daya AWS Config untuk dilacak, periksa Cakupan Sumber Daya menurut ketersediaan Wilayah untuk melihat apakah jenis sumber daya didukung di AWS Wilayah tempat Anda menyiapkan AWS Config. Jika jenis sumber daya didukung oleh AWS Config setidaknya satu Wilayah, Anda dapat mengaktifkan perekaman jenis sumber daya tersebut di semua Wilayah yang didukung oleh AWS Config, meskipun jenis sumber daya yang ditentukan tidak didukung di AWS Wilayah tempat Anda menyiapkan AWS Config.
Batas
Tidak ada batasan jika semua jenis sumber daya memiliki frekuensi yang sama. Anda dapat menambahkan hingga 100 jenis sumber daya dengan frekuensi Harian jika setidaknya satu jenis sumber daya diatur ke Continuous.
Frekuensi harian tidak didukung untuk jenis sumber daya berikut:
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
-
Pilih Simpan untuk menyimpan perubahan Anda.
Merekam Sumber Daya dengan AWS CLI
Anda dapat menggunakan AWS CLI untuk memilih jenis sumber daya yang AWS Config ingin Anda rekam. Anda melakukan ini dengan membuat perekam konfigurasi, yang merekam jenis sumber daya yang Anda tentukan dalam grup rekaman. Dalam grup rekaman, Anda menentukan apakah Anda ingin merekam semua jenis sumber daya yang didukung, atau untuk menyertakan atau mengecualikan jenis sumber daya tertentu.
- Record all current and future supported resource types
-
Siapkan AWS Config untuk merekam perubahan konfigurasi untuk semua jenis sumber daya yang didukung saat ini dan masa depan di Wilayah ini. Untuk informasi selengkapnya, lihat Jenis Sumber Daya yang Didukung.
-
Gunakan perintah put-configuration-recorder
berikut:
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json
\
--recording-group file://recordingGroup.json
Perintah ini menggunakan --configuration-recorder
dan ---recording-group
bidang.
Grup perekaman dan perekam konfigurasi
--recording-group
Bidang menentukan jenis sumber daya yang direkam.
--configuration-recorder
Bidang menentukan name
dan roleArn
juga frekuensi perekaman default untuk perekam konfigurasi (recordingMode
). Anda juga dapat menggunakan bidang ini untuk mengganti frekuensi perekaman untuk jenis sumber daya tertentu.
-
put-configuration-recorder
menggunakan bidang berikut untuk --recording-group
parameter:
-
allSupported=true
— AWS Config mencatat perubahan konfigurasi untuk semua jenis sumber daya yang didukung, tidak termasuk tipe sumber daya IAM global. Saat AWS Config menambahkan dukungan untuk jenis sumber daya baru, AWS Config mulai merekam sumber daya jenis itu secara otomatis.
-
includeGlobalResourceTypes=true
— Opsi ini adalah bundel yang hanya berlaku untuk jenis sumber daya IAM global: pengguna IAM, grup, peran, dan kebijakan yang dikelola pelanggan. Jenis sumber daya IAM global ini hanya dapat dicatat oleh AWS Config di Wilayah AWS Config yang tersedia sebelum Februari 2022. Anda tidak dapat merekam tipe sumber daya IAM global di Wilayah yang didukung AWS Config setelah Februari 2022. Untuk daftar Wilayah tersebut, lihat Merekam AWS Sumber Daya | Sumber Daya Global.
Kluster global Aurora dicatat di semua Wilayah yang diaktifkan
Jenis AWS::RDS::GlobalCluster
sumber daya akan direkam di semua AWS Config Wilayah yang didukung tempat perekam konfigurasi diaktifkan, meskipun tidak includeGlobalResourceTypes
disetel ketrue
. includeGlobalResourceTypes
Opsi ini adalah bundel yang hanya berlaku untuk pengguna IAM, grup, peran, dan kebijakan yang dikelola pelanggan.
Jika Anda tidak ingin merekam AWS::RDS::GlobalCluster
di semua Wilayah yang diaktifkan, gunakan salah satu strategi perekaman berikut:
Rekam semua jenis sumber daya saat ini dan masa depan tidak termasuk tipe yang Anda tentukan (EXCLUSION_BY_RESOURCE_TYPES
), atau
Rekam jenis sumber daya tertentu (INCLUSION_BY_RESOURCE_TYPES
).
Untuk informasi selengkapnya, lihat Memilih Sumber Daya yang Direkam | Sumber Daya Regional dan Global.
termasuk GlobalResourceTypes dan strategi perekaman pengecualian
includeGlobalResourceTypes
Bidang ini tidak berdampak pada strategi EXCLUSION_BY_RESOURCE_TYPES
perekaman. Ini berarti bahwa jenis sumber daya IAM global (pengguna IAM, grup, peran, dan kebijakan yang dikelola pelanggan) tidak akan ditambahkan secara otomatis sebagai pengecualian untuk exclusionByResourceTypes
kapan includeGlobalResourceTypes
disetel ke. false
includeGlobalResourceTypes
Bidang hanya boleh digunakan untuk memodifikasi AllSupported
bidang, karena default untuk AllSupported
bidang ini adalah merekam perubahan konfigurasi untuk semua jenis sumber daya yang didukung kecuali tipe sumber daya IAM global. Untuk menyertakan tipe sumber daya IAM global saat AllSupported
disetel ketrue
, pastikan untuk menyetel includeGlobalResourceTypes
ketrue
.
Untuk mengecualikan jenis sumber daya IAM global untuk strategi EXCLUSION_BY_RESOURCE_TYPES
perekaman, Anda perlu menambahkannya secara manual ke resourceTypes
bidang. exclusionByResourceTypes
Bidang wajib dan opsional
Sebelum Anda dapat mengatur includeGlobalResourceTypes
ketrue
, atur allSupported
bidang ketrue
.
Secara opsional, Anda dapat mengatur useOnly
bidang RecordingStrategy
toALL_SUPPORTED_RESOURCE_TYPES
.
Bidang utama
Jika Anda menyetel includeGlobalResourceTypes
ke false
tetapi mencantumkan tipe sumber daya IAM global di resourceTypes
bidang RecordingGroup, masih AWS Config akan merekam perubahan konfigurasi untuk jenis sumber daya yang ditentukan tersebut terlepas dari apakah Anda menyetel includeGlobalResourceTypes
bidang ke false.
Jika Anda tidak ingin merekam perubahan konfigurasi ke tipe sumber daya IAM global (pengguna IAM, grup, peran, dan kebijakan yang dikelola pelanggan), pastikan untuk tidak mencantumkannya di resourceTypes
bidang selain menyetel includeGlobalResourceTypes
bidang ke false.
recordingGroup.json
File menentukan jenis sumber daya yang AWS Config akan merekam.
{
"allSupported": true,
"recordingStrategy": {
"useOnly": "ALL_SUPPORTED_RESOURCE_TYPES"
},
"includeGlobalResourceTypes": true
}
-
put-configuration-recorder
menggunakan bidang berikut untuk --configuration-recorder
parameter:
name
— Nama perekam konfigurasi. AWS Config secara otomatis menetapkan nama “default” saat membuat perekam konfigurasi.
roleARN
— Amazon Resource Name (ARN) dari peran IAM yang diasumsikan oleh AWS Config dan digunakan oleh perekam konfigurasi.
recordingMode
- Menentukan frekuensi perekaman default yang AWS Config digunakan untuk merekam perubahan konfigurasi. AWS Config mendukung perekaman berkelanjutan dan perekaman harian. Perekaman berkelanjutan memungkinkan Anda merekam perubahan konfigurasi secara terus menerus setiap kali terjadi perubahan. Rekaman harian memungkinkan Anda menerima item konfigurasi (CI) yang mewakili status terbaru sumber daya Anda selama periode 24 jam terakhir, hanya jika berbeda dari CI sebelumnya yang direkam.
-
recordingFrequency
— Frekuensi perekaman default yang AWS Config digunakan untuk merekam perubahan konfigurasi.
AWS Firewall Manager tergantung pada perekaman berkelanjutan untuk memantau sumber daya Anda. Jika Anda menggunakan Firewall Manager, disarankan agar Anda mengatur frekuensi perekaman ke Continuous.
-
recordingModeOverrides
— Bidang ini memungkinkan Anda untuk menentukan penggantian Anda untuk mode perekaman. Ini adalah array recordingModeOverride
objek. Setiap recordingModeOverride
objek dalam recordingModeOverrides
array terdiri dari tiga bidang:
description
— Deskripsi yang Anda berikan untuk penggantian.
recordingFrequency
— Frekuensi perekaman yang akan diterapkan ke semua jenis sumber daya yang ditentukan dalam penggantian.
resourceTypes
— Daftar dipisahkan koma yang menentukan jenis sumber daya mana yang AWS Config termasuk dalam penggantian.
Bidang wajib dan opsional
recordingMode
Bidang untuk put-configuration-recorder
adalah opsional. Secara default, frekuensi perekaman untuk perekam konfigurasi diatur ke Perekaman berkelanjutan.
Batas
Rekaman harian tidak didukung untuk jenis sumber daya berikut:
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
Untuk strategi perekaman Record all current and future supported resource types (ALL_SUPPORTED_RESOURCE_TYPES
), tipe resource ini akan diatur ke Continuous recording.
configurationRecorder.json
File menentukan name
dan roleArn
serta frekuensi perekaman default untuk perekam konfigurasi (recordingMode
). Anda juga dapat menggunakan bidang ini untuk mengganti frekuensi perekaman untuk jenis sumber daya tertentu.
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role
",
"recordingMode": {
"recordingFrequency": CONTINUOUS
or DAILY
,
"recordingModeOverrides": [
{
"description": "Description you provide for the override
",
"recordingFrequency": CONTINUOUS
or DAILY
,
"resourceTypes": [ Comma-separated list of resource types to include in the override
]
}
]
}
}
-
(Opsional) Untuk memverifikasi bahwa perekam konfigurasi Anda memiliki pengaturan yang Anda inginkan, gunakan describe-configuration-recorders
perintah berikut.
$ aws configservice describe-configuration-recorders
Berikut ini adalah contoh respons.
{
"ConfigurationRecorders": [
{
"name": "default"
"recordingGroup": {
"allSupported": true,
"exclusionByResourceTypes": {
"resourceTypes": []
},
"includeGlobalResourceTypes": true,
"recordingStrategy": {
"useOnly": "ALL_SUPPORTED_RESOURCE_TYPES"
},
"resourceTypes": [],
},
"recordingMode": {
"recordingFrequency": CONTINUOUS
or DAILY
,
"recordingModeOverrides": [
{
"description": "Description you provide for the override
,
"recordingFrequency": CONTINUOUS
or DAILY
,
"resourceTypes": [ Comma-separated list of resource types to include in the override
]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
- Record all current and future supported resources types excluding the types you specify
-
Siapkan AWS Config untuk merekam perubahan konfigurasi untuk semua jenis sumber daya yang didukung saat ini dan masa depan, termasuk tipe sumber daya global, kecuali jenis sumber daya yang Anda tentukan untuk dikecualikan dari rekaman. Jika Anda memilih untuk berhenti merekam untuk jenis sumber daya, item konfigurasi yang sudah direkam akan tetap tidak berubah. Untuk informasi selengkapnya, lihat Jenis Sumber Daya yang Didukung.
Perintah ini menggunakan --configuration-recorder
dan ---recording-group
bidang.
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json
\
--recording-group file://recordingGroup.json
Grup perekaman dan perekam konfigurasi
--recording-group
Bidang menentukan jenis sumber daya yang direkam.
--configuration-recorder
Bidang menentukan name
dan roleArn
juga frekuensi perekaman default untuk perekam konfigurasi (recordingMode
). Anda juga dapat menggunakan bidang ini untuk mengganti frekuensi perekaman untuk jenis sumber daya tertentu.
-
Gunakan put-configuration-recorder
perintah, dan berikan satu atau beberapa jenis sumber daya untuk dikecualikan di resourceTypes
bidangexclusionByResourceTypes
, seperti yang ditunjukkan pada contoh berikut.
-
recordingGroup.json
File menentukan jenis sumber daya yang AWS Config akan merekam.
{
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": [
"AWS::Redshift::ClusterSnapshot",
"AWS::RDS::DBClusterSnapshot",
"AWS::CloudFront::StreamingDistribution"
]
},
"includeGlobalResourceTypes": false,
"recordingStrategy": {
"useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
},
}
Sebelum Anda dapat menentukan jenis sumber daya untuk dikecualikan dalam rekaman:
Anda harus mengatur allSupported
dan includeGlobalResourceTypes
bidang --recording-group
parameter ke false
atau menghilangkannya.
Anda harus mengatur useOnly
bidang RecordingStrategy
toEXCLUSION_BY_RESOURCE_TYPES
.
Bidang utama
Jika Anda memilih EXCLUSION_BY_RESOURCE_TYPES
untuk strategi perekaman, exclusionByResourceTypes
bidang akan mengganti properti lain dalam permintaan.
Misalnya, meskipun Anda menyetel includeGlobalResourceTypes
ke false, tipe sumber daya IAM global akan tetap direkam secara otomatis dalam opsi ini, kecuali jenis sumber daya tersebut secara khusus terdaftar sebagai pengecualian di resourceTypes
bidang. exclusionByResourceTypes
Jenis sumber daya global dan strategi pencatatan pengecualian sumber daya
Secara default, jika Anda memilih strategi EXCLUSION_BY_RESOURCE_TYPES
perekaman, saat AWS Config menambahkan dukungan untuk jenis sumber daya baru di Wilayah tempat Anda menyiapkan perekam konfigurasi, termasuk tipe sumber daya global, AWS Config mulai merekam sumber daya jenis itu secara otomatis.
Kecuali secara khusus terdaftar sebagai pengecualian, AWS::RDS::GlobalCluster
akan direkam secara otomatis di semua AWS Config Wilayah yang didukung jika perekam konfigurasi diaktifkan.
Pengguna IAM, grup, peran, dan kebijakan yang dikelola pelanggan akan direkam di Wilayah tempat Anda menyiapkan perekam konfigurasi jika itu adalah Wilayah yang tersedia sebelum Februari 2022. AWS Config Anda tidak dapat merekam tipe sumber daya IAM global di Wilayah yang didukung AWS Config setelah Februari 2022. Untuk daftar Wilayah tersebut, lihat Merekam AWS Sumber Daya | Sumber Daya Global.
-
put-configuration-recorder
menggunakan bidang berikut untuk --configuration-recorder
parameter:
name
— Nama perekam konfigurasi. AWS Config secara otomatis menetapkan nama “default” saat membuat perekam konfigurasi.
roleARN
— Amazon Resource Name (ARN) dari peran IAM yang diasumsikan oleh AWS Config dan digunakan oleh perekam konfigurasi.
recordingMode
- Menentukan frekuensi perekaman default yang AWS Config digunakan untuk merekam perubahan konfigurasi. AWS Config mendukung perekaman berkelanjutan dan perekaman harian. Perekaman berkelanjutan memungkinkan Anda merekam perubahan konfigurasi secara terus menerus setiap kali terjadi perubahan. Rekaman harian memungkinkan Anda menerima item konfigurasi (CI) yang mewakili status terbaru sumber daya Anda selama periode 24 jam terakhir, hanya jika berbeda dari CI sebelumnya yang direkam.
-
recordingFrequency
— Frekuensi perekaman default yang AWS Config digunakan untuk merekam perubahan konfigurasi.
AWS Firewall Manager tergantung pada perekaman berkelanjutan untuk memantau sumber daya Anda. Jika Anda menggunakan Firewall Manager, disarankan agar Anda mengatur frekuensi perekaman ke Continuous.
-
recordingModeOverrides
— Bidang ini memungkinkan Anda untuk menentukan penggantian Anda untuk mode perekaman. Ini adalah array recordingModeOverride
objek. Setiap recordingModeOverride
objek dalam recordingModeOverrides
array terdiri dari tiga bidang:
description
— Deskripsi yang Anda berikan untuk penggantian.
recordingFrequency
— Frekuensi perekaman yang akan diterapkan ke semua jenis sumber daya yang ditentukan dalam penggantian.
resourceTypes
— Daftar dipisahkan koma yang menentukan jenis sumber daya mana yang AWS Config termasuk dalam penggantian.
Bidang wajib dan opsional
recordingMode
Bidang untuk put-configuration-recorder
adalah opsional. Secara default, frekuensi perekaman untuk perekam konfigurasi diatur ke Perekaman berkelanjutan.
Batas
Rekaman harian tidak didukung untuk jenis sumber daya berikut:
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
Untuk strategi perekaman Record all current and future supported resource types (ALL_SUPPORTED_RESOURCE_TYPES
), tipe resource ini akan diatur ke Continuous recording.
configurationRecorder.json
File menentukan name
dan roleArn
serta frekuensi perekaman default untuk perekam konfigurasi (recordingMode
). Anda juga dapat menggunakan bidang ini untuk mengganti frekuensi perekaman untuk jenis sumber daya tertentu.
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role
",
"recordingMode": {
"recordingFrequency": CONTINUOUS
or DAILY
,
"recordingModeOverrides": [
{
"description": "Description you provide for the override
",
"recordingFrequency": CONTINUOUS
or DAILY
,
"resourceTypes": [ Comma-separated list of resource types to include in the override
]
}
]
}
}
-
(Opsional) Untuk memverifikasi bahwa perekam konfigurasi Anda memiliki pengaturan yang Anda inginkan, gunakan describe-configuration-recorders
perintah berikut.
$ aws configservice describe-configuration-recorders
Berikut ini adalah contoh respons.
{
"ConfigurationRecorders": [
{
"name": "default",
"recordingGroup": {
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": [
"AWS::Redshift::ClusterSnapshot",
"AWS::RDS::DBClusterSnapshot",
"AWS::CloudFront::StreamingDistribution"
]
},
"includeGlobalResourceTypes": false,
"recordingStrategy": {
"useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
},
"resourceTypes": [],
},
"recordingMode": {
"recordingFrequency": CONTINUOUS
or DAILY
,
"recordingModeOverrides": [
{
"description": "Description you provide for the override
,
"recordingFrequency": CONTINUOUS
or DAILY
,
"resourceTypes": [ Comma-separated list of resource types to include in the override
]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
- Record specific resource types
-
Siapkan AWS Config untuk merekam perubahan konfigurasi hanya untuk jenis sumber daya yang Anda tentukan. Jika Anda memilih untuk berhenti merekam untuk jenis sumber daya, item konfigurasi yang sudah direkam akan tetap tidak berubah.
Perintah ini menggunakan --configuration-recorder
dan ---recording-group
bidang.
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json
\
--recording-group file://recordingGroup.json
Grup perekaman dan perekam konfigurasi
--recording-group
Bidang menentukan jenis sumber daya yang direkam.
--configuration-recorder
Bidang menentukan name
dan roleArn
juga frekuensi perekaman default untuk perekam konfigurasi (recordingMode
). Anda juga dapat menggunakan bidang ini untuk mengganti frekuensi perekaman untuk jenis sumber daya tertentu.
-
Gunakan put-configuration-recorder
perintah, dan meneruskan satu atau beberapa jenis sumber daya di resourceTypes
bidangrecordingGroup
, seperti yang ditunjukkan pada contoh berikut.
-
recordingGroup.json
File menentukan jenis sumber daya yang AWS Config akan merekam.
{
"allSupported": false,
"recordingStrategy": {
"useOnly": "INCLUSION_BY_RESOURCE_TYPES"
},
"includeGlobalResourceTypes": false,
"resourceTypes": [
"AWS::EC2::EIP",
"AWS::EC2::Instance",
"AWS::EC2::NetworkAcl",
"AWS::EC2::SecurityGroup",
"AWS::CloudTrail::Trail",
"AWS::EC2::Volume",
"AWS::EC2::VPC",
"AWS::IAM::User",
"AWS::IAM::Policy"
]
}
Bidang wajib dan opsional
Sebelum Anda dapat menentukan jenis sumber daya untuk disertakan dalam rekaman, Anda harus mengatur allSupported
dan includeGlobalResourceTypes
bidang kefalse
, atau menghilangkannya.
recordingStrategy
Kolom ini opsional saat Anda mencantumkan jenis sumber daya di resourceTypes
bidang--recording-group
.
Ketersediaan Wilayah
Sebelum menentukan jenis sumber daya AWS Config untuk dilacak, periksa Cakupan Sumber Daya menurut ketersediaan Wilayah untuk melihat apakah jenis sumber daya didukung di AWS Wilayah tempat Anda menyiapkan AWS Config. Jika jenis sumber daya didukung oleh AWS Config setidaknya satu Wilayah, Anda dapat mengaktifkan perekaman jenis sumber daya tersebut di semua Wilayah yang didukung oleh AWS Config, meskipun jenis sumber daya yang ditentukan tidak didukung di AWS Wilayah tempat Anda menyiapkan AWS Config.
-
put-configuration-recorder
menggunakan bidang berikut untuk --configuration-recorder
parameter:
name
— Nama perekam konfigurasi. AWS Config secara otomatis menetapkan nama “default” saat membuat perekam konfigurasi.
roleARN
— Amazon Resource Name (ARN) dari peran IAM yang diasumsikan oleh AWS Config dan digunakan oleh perekam konfigurasi.
recordingMode
- Menentukan frekuensi perekaman default yang AWS Config digunakan untuk merekam perubahan konfigurasi. AWS Config mendukung perekaman berkelanjutan dan perekaman harian. Perekaman berkelanjutan memungkinkan Anda merekam perubahan konfigurasi secara terus menerus setiap kali terjadi perubahan. Rekaman harian memungkinkan Anda menerima item konfigurasi (CI) yang mewakili status terbaru sumber daya Anda selama periode 24 jam terakhir, hanya jika berbeda dari CI sebelumnya yang direkam.
-
recordingFrequency
— Frekuensi perekaman default yang AWS Config digunakan untuk merekam perubahan konfigurasi.
AWS Firewall Manager tergantung pada perekaman berkelanjutan untuk memantau sumber daya Anda. Jika Anda menggunakan Firewall Manager, disarankan agar Anda mengatur frekuensi perekaman ke Continuous.
-
recordingModeOverrides
— Bidang ini memungkinkan Anda untuk menentukan penggantian Anda untuk mode perekaman. Ini adalah array recordingModeOverride
objek. Setiap recordingModeOverride
objek dalam recordingModeOverrides
array terdiri dari tiga bidang:
description
— Deskripsi yang Anda berikan untuk penggantian.
recordingFrequency
— Frekuensi perekaman yang akan diterapkan ke semua jenis sumber daya yang ditentukan dalam penggantian.
resourceTypes
— Daftar dipisahkan koma yang menentukan jenis sumber daya mana yang AWS Config termasuk dalam penggantian.
Bidang wajib dan opsional
recordingMode
Bidang untuk put-configuration-recorder
adalah opsional. Secara default, frekuensi perekaman untuk perekam konfigurasi diatur ke Perekaman berkelanjutan.
Batas
Rekaman harian tidak didukung untuk jenis sumber daya berikut:
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
Untuk strategi perekaman Record all current and future supported resource types (ALL_SUPPORTED_RESOURCE_TYPES
), tipe resource ini akan diatur ke Continuous recording.
configurationRecorder.json
File menentukan name
dan roleArn
serta frekuensi perekaman default untuk perekam konfigurasi (recordingMode
). Anda juga dapat menggunakan bidang ini untuk mengganti frekuensi perekaman untuk jenis sumber daya tertentu.
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role
",
"recordingMode": {
"recordingFrequency": CONTINUOUS
or DAILY
,
"recordingModeOverrides": [
{
"description": "Description you provide for the override
",
"recordingFrequency": CONTINUOUS
or DAILY
,
"resourceTypes": [ Comma-separated list of resource types to include in the override
]
}
]
}
}
-
(Opsional) Untuk memverifikasi bahwa perekam konfigurasi Anda memiliki pengaturan yang Anda inginkan, gunakan describe-configuration-recorders
perintah berikut.
$ aws configservice describe-configuration-recorders
Berikut ini adalah contoh respons.
{
"ConfigurationRecorders": [
{
"name": "default",
"recordingGroup": {
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": []
},
"includeGlobalResourceTypes": false
"recordingStrategy": {
"useOnly": "INCLUSION_BY_RESOURCE_TYPES"
},
"resourceTypes": [
"AWS::EC2::EIP",
"AWS::EC2::Instance",
"AWS::EC2::NetworkAcl",
"AWS::EC2::SecurityGroup",
"AWS::CloudTrail::Trail",
"AWS::EC2::Volume",
"AWS::EC2::VPC",
"AWS::IAM::User",
"AWS::IAM::Policy"
]
},
"recordingMode": {
"recordingFrequency": CONTINUOUS
or DAILY
,
"recordingModeOverrides": [
{
"description": "Description you provide for the override
,
"recordingFrequency": CONTINUOUS
or DAILY
,
"resourceTypes": [ Comma-separated list of resource types to include in the override
]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
Frekuensi Perekaman
AWS Config mendukung perekaman berkelanjutan dan perekaman harian. Perekaman berkelanjutan memungkinkan Anda merekam perubahan konfigurasi secara terus menerus setiap kali terjadi perubahan. Rekaman harian memungkinkan Anda menerima item konfigurasi (CI) yang mewakili status terbaru sumber daya Anda selama periode 24 jam terakhir, hanya jika berbeda dari CI sebelumnya yang direkam.
Perekaman terus menerus
Beberapa manfaat perekaman berkelanjutan meliputi:
Pemantauan Real-time: Perekaman berkelanjutan dapat memberikan deteksi langsung untuk perubahan yang tidak sah atau perubahan tak terduga, yang dapat meningkatkan upaya keamanan dan kepatuhan Anda.
Analisis Terperinci: Perekaman berkelanjutan dapat memungkinkan Anda melakukan analisis mendalam tentang perubahan konfigurasi pada sumber daya Anda saat terjadi, yang memungkinkan Anda mengidentifikasi pola dan tren saat ini.
Rekaman harian
Beberapa manfaat perekaman harian meliputi:
Gangguan Minimal: Rekaman harian dapat memberi Anda aliran informasi yang lebih mudah ditangani, yang dapat mengurangi frekuensi pemberitahuan dan kelelahan peringatan.
Efisiensi Biaya: Rekaman harian dapat memberi Anda fleksibilitas untuk merekam perubahan pada sumber daya Anda pada frekuensi yang lebih rendah, yang dapat mengurangi biaya yang terkait dengan jumlah perubahan konfigurasi yang direkam.
AWS Firewall Manager tergantung pada perekaman berkelanjutan untuk memantau sumber daya Anda. Jika Anda menggunakan Firewall Manager, disarankan agar Anda mengatur frekuensi perekaman ke Continuous.
Menghentikan Rekaman Sumber Daya
Anda dapat berhenti AWS Config merekam jenis sumber daya kapan saja. Setelah AWS Config berhenti merekam sumber daya, ia mempertahankan informasi konfigurasi yang sebelumnya ditangkap, dan Anda dapat terus mengakses informasi ini.
Sumber Daya yang tidak direkam
Jika sumber daya tidak direkam, hanya AWS Config menangkap pembuatan dan penghapusan sumber daya itu, dan tidak ada detail lainnya, tanpa biaya kepada Anda. Ketika sumber daya yang tidak direkam dibuat atau dihapus, AWS Config mengirimkan pemberitahuan, dan menampilkan acara di halaman detail sumber daya. Halaman detail untuk sumber daya yang tidak direkam memberikan nilai nol untuk sebagian besar detail konfigurasi, dan tidak memberikan informasi tentang hubungan dan perubahan konfigurasi.
Jenis AWS::IAM::Role
sumber daya AWS::IAM::User
AWS::IAM::Policy
AWS::IAM::Group
,,, hanya akan menangkap status creation (ResourceNotRecorded
) dan deletion (ResourceDeletedNotRecorded
) jika sumber daya, atau sebelumnya, dipilih sebagai sumber daya untuk direkam dalam perekam konfigurasi.
Item konfigurasi (CI) untuk ResourceNotRecorded
dan ResourceDeletedNotRecorded
tidak mengikuti waktu perekaman khas untuk jenis sumber daya. Jenis sumber daya ini hanya dicatat selama proses baselining berkala untuk perekam konfigurasi, yang pada irama yang lebih jarang daripada jenis sumber daya lainnya.
Informasi hubungan yang AWS Config menyediakan sumber daya yang direkam tidak terbatas karena data yang hilang untuk sumber daya yang tidak direkam. Jika sumber daya yang direkam terkait dengan sumber daya yang tidak direkam, hubungan itu disediakan di halaman detail sumber daya yang direkam.
AWS Config Aturan dan Jenis Sumber Daya Global
Jenis sumber daya IAM global yang tersedia sebelum Februari 2022 (AWS::IAM::Group
,, AWS::IAM::Policy
AWS::IAM::Role
, danAWS::IAM::User
) hanya dapat direkam oleh AWS Config di Wilayah yang tersedia sebelum AWS Config Februari 2022. Jenis sumber daya IAM global ini tidak dapat dicatat di Wilayah yang didukung AWS Config setelah Februari 2022. Untuk daftar Wilayah tersebut, lihat Merekam AWS Sumber Daya | Sumber Daya Global.
Jika Anda merekam jenis sumber daya IAM global di setidaknya satu Wilayah, aturan periodik yang melaporkan kepatuhan pada jenis sumber daya IAM global akan menjalankan evaluasi di semua Wilayah di mana aturan periodik ditambahkan, bahkan jika Anda belum mengaktifkan pencatatan jenis sumber daya IAM global di Wilayah tempat aturan periodik ditambahkan.
Praktik Terbaik untuk melaporkan kepatuhan terhadap sumber daya global yang tersedia sebelum Februari 2022
Untuk menghindari evaluasi yang tidak perlu, Anda hanya harus menerapkan AWS Config aturan dan paket kesesuaian yang memiliki sumber daya global ini dalam cakupan ke salah satu Wilayah yang didukung. Untuk daftar aturan terkelola yang didukung di Wilayah mana, lihat Daftar Aturan AWS Config Terkelola menurut Ketersediaan Wilayah. Ini berlaku untuk AWS Config aturan, AWS Config aturan organisasi, dan juga aturan yang dibuat oleh AWS layanan lain, seperti AWS Security Hub dan AWS Control Tower.
Jika Anda tidak merekam jenis sumber daya global yang tersedia sebelum Februari 2022, Anda disarankan untuk tidak mengaktifkan aturan berkala berikut untuk menghindari evaluasi yang tidak perlu:
Praktik Terbaik untuk melaporkan kepatuhan terhadap sumber daya global yang tersedia setelah Februari 2022
Jenis sumber daya global yang dimasukkan ke dalam AWS Config rekaman setelah Februari 2022 hanya akan direkam di Wilayah asal layanan untuk partisi komersial dan AWS GovCloud (AS-Barat) untuk partisi. AWS GovCloud (US) Anda harus menerapkan AWS Config aturan dan paket kesesuaian yang memiliki sumber daya global ini dalam cakupan hanya ke Wilayah asal tipe sumber daya. Untuk informasi selengkapnya, lihat Wilayah Beranda untuk Jenis Sumber Daya Global.