Attivazione del monitoraggio delle risorse - AWS Backup
Attivazione del monitoraggio delle risorse mediante la consoleAttivazione del monitoraggio delle risorse mediante la AWS Command Line Interface (AWS CLI)Attivazione del monitoraggio delle risorse mediante un modello AWS CloudFormation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attivazione del monitoraggio delle risorse

Prima di creare il primo framework correlato alla conformità, è necessario attivare il monitoraggio delle risorse. In questo modo puoi AWS Config tenere traccia delle tue AWS Backup risorse. Per la documentazione tecnica su come gestire il monitoraggio delle risorse, consulta Configurazione AWS Config con la console nella Guida per gli AWS Config sviluppatori.

Quando attivi il monitoraggio delle risorse, vengono applicati costi. Per informazioni sul monitoraggio delle risorse, sui prezzi e sulla fatturazione per AWS Backup Audit Manager, consulta Misurazione, costi e fatturazione.

Attivazione del monitoraggio delle risorse mediante la console

Per attivare il monitoraggio delle risorse mediante la console:

  1. Apri la AWS Backup console in /backup. https://console.aws.amazon.com

  2. Nel riquadro di spostamento a sinistra, in Audit Manager, scegli Framework.

  3. Attiva il monitoraggio delle risorse scegliendo Gestisci il monitoraggio delle risorse.

  4. Scegli Vai alle AWS Config impostazioni.

  5. Scegli Abilita o disabilita la registrazione.

  6. Scegli di abilitare la registrazione per tutti i seguenti tipi di risorse o di abilitare la registrazione per alcuni tipi di risorse. Fai riferimento a Controlli e correzione di AWS Backup Audit Manager per i tipi di risorse richiesti per i controlli.

    • AWS Backup: backup plans

    • AWS Backup: backup vaults

    • AWS Backup: recovery points

    • AWS Backup: backup selection

    Nota

    AWS Backup Audit Manager richiede AWS Config: resource compliance ogni controllo.

  7. Scegli Chiudi.

  8. Attendi che il banner blu contenente il testo Attivazione del tracciamento delle risorse passi al banner verde con il testo Monitoraggio delle risorse è attivo.

Puoi verificare se hai attivato il tracciamento delle risorse e, in tal caso, quali tipi di risorse stai registrando, in due punti della AWS Backup console. Nel riquadro di navigazione a sinistra:

  • Scegli Framework, quindi scegli il testo sotto lo stato del registratore AWS Config .

  • Scegli Impostazioni, quindi scegli il testo sotto lo stato del registratore AWS Config .

Attivazione del monitoraggio delle risorse mediante la AWS Command Line Interface (AWS CLI)

Se non hai ancora effettuato l'onboarding AWS Config, potrebbe essere più veloce effettuare l'onboarding utilizzando il. AWS CLI

Per attivare il monitoraggio delle risorse mediante la AWS CLI:

  1. Digita il seguente comando per determinare se il registratore AWS Config è già abilitato.

    $ aws configservice describe-configuration-recorders

    1. Se l'elenco ConfigurationRecorders è vuoto come il seguente:

      {
  "ConfigurationRecorders": []
}

      Il registratore non è abilitato. Continua con il passaggio 2 per creare il registratore.

    2. Se hai già abilitato la registrazione per tutte le risorse, l'aspetto dell'output ConfigurationRecorders sarà simile al seguente:

      {
  "ConfigurationRecorders":[
    {
      "recordingGroup":{
        "allSupported":true,
        "resourceTypes":[
          
        ],
        "includeGlobalResourceTypes":true
      },
      "roleARN":"arn:aws:iam::[account]:role/[roleName]",
      "name":"default"
    }
  ]
}

      Poiché hai abilitato tutte le risorse, hai già attivato il tracciamento delle risorse. Non è necessario completare il resto di questa procedura per utilizzare AWS Backup Audit Manager.

    3. Se ConfigurationRecorders non è vuoto, ma non hai abilitato la registrazione per tutte le risorse, aggiungi risorse di backup al registratore esistente mediante il comando seguente. Quindi passa alla fase 3.

      $ aws configservice describe-configuration-recorders
{
  "ConfigurationRecorders":[
    {
      "name":"default",
      "roleARN":"arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig",
      "recordingGroup":{
        "allSupported":false,
        "includeGlobalResourceTypes":false,
        "resourceTypes":[
          "AWS::Backup::BackupPlan",
          "AWS::Backup::BackupSelection",
          "AWS::Backup::BackupVault",
          "AWS::Backup::RecoveryPoint",
          "AWS::Config::ResourceCompliance"
        ]
      }
    }
  ]
}

  2. Crea un AWS Config registratore con i tipi di risorse AWS Backup Audit Manager

    $ aws configservice put-configuration-recorder --configuration-recorder name=default, \
roleARN=arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \ 
--recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \
'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint','AWS::Config::ResourceCompliance']"

  3. Descrivi il tuo AWS Config registratore.

    $ aws configservice describe-configuration-recorders

    Verifica che disponga dei tipi di risorse AWS Backup Audit Manager confrontando l'output con il seguente output previsto.

    {
  "ConfigurationRecorders":[
    {
      "name":"default",
      "roleARN":"arn:aws:iam::accountId:role/AWSServiceRoleForConfig",
      "recordingGroup":{
        "allSupported":false,
        "includeGlobalResourceTypes":false,
        "resourceTypes":[
          "AWS::Backup::BackupPlan",
          "AWS::Backup::BackupSelection",
          "AWS::Backup::BackupVault",
          "AWS::Backup::RecoveryPoint",
          "AWS::Config::ResourceCompliance"
        ]
      }
    }
  ]
}

  4. Crea un bucket Amazon S3 come destinazione per archiviare i file di configurazione. AWS Config 

    $ aws s3api create-bucket --bucket my-bucket —region us-east-1

  5. Utilizzo policy.json per concedere AWS Config l'autorizzazione ad accedere al tuo bucket. Vedi il seguente esempio policy.json.

    $ aws s3api put-bucket-policy --bucket MyBucket --policy file://policy.json
    {
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"AWSConfigBucketPermissionsCheck",
      "Effect":"Allow",
      "Principal":{
        "Service":"config.amazonaws.com"
      },
      "Action":"s3:GetBucketAcl",
      "Resource":"arn:aws:s3:::my-bucket"
    },
    {
      "Sid":"AWSConfigBucketExistenceCheck",
      "Effect":"Allow",
      "Principal":{
        "Service":"config.amazonaws.com"
      },
      "Action":"s3:ListBucket",
      "Resource":"arn:aws:s3:::my-bucket"
    },
    {
      "Sid":"AWSConfigBucketDelivery",
      "Effect":"Allow",
      "Principal":{
        "Service":"config.amazonaws.com"
      },
      "Action":"s3:PutObject",
      "Resource":"arn:aws:s3:::my-bucket/*"
    }
  ]
}

  6. Configura il tuo bucket come canale di AWS Config distribuzione

    $ aws configservice put-delivery-channel --delivery-channel name=default,s3BucketName=my-bucket

  7. Abilita la registrazione AWS Config 

    $ aws configservice start-configuration-recorder --configuration-recorder-name default

  8. Verifica che "FrameworkStatus":"ACTIVE" nell'ultima riga dell'account DescribeFramework venga generato come segue.

    $ aws backup describe-framework --framework-name test --region us-east-1
    {
  "FrameworkName":"test",
 "FrameworkArn":"arn:aws:backup:us-east-1:accountId:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666",
  "FrameworkDescription":"",
  "FrameworkControls":[
    {
      "ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
      "ControlInputParameters":[
        {
          "ParameterName":"requiredRetentionDays",
          "ParameterValue":"1"
        }
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
      "ControlInputParameters":[
        {
          "ParameterName":"requiredFrequencyUnit",
          "ParameterValue":"hours"
        },
        {
          "ParameterName":"requiredRetentionDays",
          "ParameterValue":"35"
        },
        {
          "ParameterName":"requiredFrequencyValue",
          "ParameterValue":"1"
        }
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
      "ControlInputParameters":[
        
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED",
      "ControlInputParameters":[
        
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
      "ControlInputParameters":[
        
      ],
      "ControlScope":{
        
      }
    }
  ],
  "CreationTime":1633463605.233,
  "DeploymentStatus":"COMPLETED",
  "FrameworkStatus":"ACTIVE"
}

Attivazione del monitoraggio delle risorse mediante un modello AWS CloudFormation

Per un AWS CloudFormation modello che attiva il monitoraggio delle risorse, vedere Utilizzo di AWS Backup Audit Manager con AWS CloudFormation.