Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Attivazione del monitoraggio delle risorse
Prima di creare il primo framework correlato alla conformità, è necessario attivare il monitoraggio delle risorse. In questo modo puoi AWS Config tenere traccia delle tue AWS Backup risorse. Per la documentazione tecnica su come gestire il monitoraggio delle risorse, consulta Configurazione AWS Config con la console nella Guida per gli AWS Config sviluppatori.
Quando attivi il monitoraggio delle risorse, vengono applicati costi. Per informazioni sul monitoraggio delle risorse, sui prezzi e sulla fatturazione per AWS Backup Audit Manager, consulta Misurazione, costi e fatturazione.
Argomenti
Attivazione del monitoraggio delle risorse mediante la console
Per attivare il monitoraggio delle risorse mediante la console:
Apri la AWS Backup console in /backup. https://console.aws.amazon.com
-
Nel riquadro di spostamento a sinistra, in Audit Manager, scegli Framework.
-
Attiva il monitoraggio delle risorse scegliendo Gestisci il monitoraggio delle risorse.
-
Scegli Vai alle AWS Config impostazioni.
-
Scegli Abilita o disabilita la registrazione.
-
Scegli di abilitare la registrazione per tutti i seguenti tipi di risorse o di abilitare la registrazione per alcuni tipi di risorse. Fai riferimento a Controlli e correzione di AWS Backup Audit Manager per i tipi di risorse richiesti per i controlli.
-
AWS Backup: backup plans
-
AWS Backup: backup vaults
-
AWS Backup: recovery points
-
AWS Backup: backup selection
Nota
AWS Backup Audit Manager richiede
AWS Config: resource compliance
ogni controllo. -
-
Scegli Chiudi.
-
Attendi che il banner blu contenente il testo Attivazione del tracciamento delle risorse passi al banner verde con il testo Monitoraggio delle risorse è attivo.
Puoi verificare se hai attivato il tracciamento delle risorse e, in tal caso, quali tipi di risorse stai registrando, in due punti della AWS Backup console. Nel riquadro di navigazione a sinistra:
-
Scegli Framework, quindi scegli il testo sotto lo stato del registratore AWS Config .
-
Scegli Impostazioni, quindi scegli il testo sotto lo stato del registratore AWS Config .
Attivazione del monitoraggio delle risorse mediante la AWS Command Line Interface (AWS CLI)
Se non hai ancora effettuato l'onboarding AWS Config, potrebbe essere più veloce effettuare l'onboarding utilizzando il. AWS CLI
Per attivare il monitoraggio delle risorse mediante la AWS CLI:
-
Digita il seguente comando per determinare se il registratore AWS Config è già abilitato.
$ aws configservice describe-configuration-recorders
-
Se l'elenco
ConfigurationRecorders
è vuoto come il seguente:{ "ConfigurationRecorders": [] }
Il registratore non è abilitato. Continua con il passaggio 2 per creare il registratore.
-
Se hai già abilitato la registrazione per tutte le risorse, l'aspetto dell'output
ConfigurationRecorders
sarà simile al seguente:{ "ConfigurationRecorders":[ { "recordingGroup":{ "allSupported":true, "resourceTypes":[ ], "includeGlobalResourceTypes":true }, "roleARN":"arn:aws:iam::[account]:role/[roleName]", "name":"default" } ] }
Poiché hai abilitato tutte le risorse, hai già attivato il tracciamento delle risorse. Non è necessario completare il resto di questa procedura per utilizzare AWS Backup Audit Manager.
-
Se
ConfigurationRecorders
non è vuoto, ma non hai abilitato la registrazione per tutte le risorse, aggiungi risorse di backup al registratore esistente mediante il comando seguente. Quindi passa alla fase 3.$ aws configservice describe-configuration-recorders { "ConfigurationRecorders":[ { "name":"default", "roleARN":"arn:aws:iam::
accountId
:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig", "recordingGroup":{ "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::Backup::BackupPlan", "AWS::Backup::BackupSelection", "AWS::Backup::BackupVault", "AWS::Backup::RecoveryPoint", "AWS::Config::ResourceCompliance" ] } } ] }
-
-
Crea un AWS Config registratore con i tipi di risorse AWS Backup Audit Manager
$ aws configservice put-configuration-recorder --configuration-recorder name=
default
, \ roleARN=arn:aws:iam::accountId
:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \ --recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \ 'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint','AWS::Config::ResourceCompliance']" -
Descrivi il tuo AWS Config registratore.
$ aws configservice describe-configuration-recorders
Verifica che disponga dei tipi di risorse AWS Backup Audit Manager confrontando l'output con il seguente output previsto.
{ "ConfigurationRecorders":[ { "name":"
default
", "roleARN":"arn:aws:iam::accountId
:role/AWSServiceRoleForConfig", "recordingGroup":{ "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::Backup::BackupPlan", "AWS::Backup::BackupSelection", "AWS::Backup::BackupVault", "AWS::Backup::RecoveryPoint", "AWS::Config::ResourceCompliance" ] } } ] } -
Crea un bucket Amazon S3 come destinazione per archiviare i file di configurazione. AWS Config
$ aws s3api create-bucket --bucket
my-bucket
—regionus-east-1
-
Utilizzo
policy.json
per concedere AWS Config l'autorizzazione ad accedere al tuo bucket. Vedi il seguente esempiopolicy.json
.$ aws s3api put-bucket-policy --bucket
MyBucket
--policyfile://policy.json
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AWSConfigBucketPermissionsCheck", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:GetBucketAcl", "Resource":"arn:aws:s3:::
my-bucket
" }, { "Sid":"AWSConfigBucketExistenceCheck", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:ListBucket", "Resource":"arn:aws:s3:::my-bucket
" }, { "Sid":"AWSConfigBucketDelivery", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::my-bucket
/*" } ] } -
Configura il tuo bucket come canale di AWS Config distribuzione
$ aws configservice put-delivery-channel --delivery-channel name=
default
,s3BucketName=my-bucket
-
Abilita la registrazione AWS Config
$ aws configservice start-configuration-recorder --configuration-recorder-name
default
-
Verifica che
"FrameworkStatus":"ACTIVE"
nell'ultima riga dell'accountDescribeFramework
venga generato come segue.$ aws backup describe-framework --framework-name
test
--regionus-east-1
{ "FrameworkName":"test", "FrameworkArn":"arn:aws:backup:us-east-1:
accountId
:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666
", "FrameworkDescription":"", "FrameworkControls":[ { "ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK", "ControlInputParameters":[ { "ParameterName":"requiredRetentionDays", "ParameterValue":"1" } ], "ControlScope":{ } }, { "ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK", "ControlInputParameters":[ { "ParameterName":"requiredFrequencyUnit", "ParameterValue":"hours" }, { "ParameterName":"requiredRetentionDays", "ParameterValue":"35" }, { "ParameterName":"requiredFrequencyValue", "ParameterValue":"1" } ], "ControlScope":{ } }, { "ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN", "ControlInputParameters":[ ], "ControlScope":{ } }, { "ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED", "ControlInputParameters":[ ], "ControlScope":{ } }, { "ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED", "ControlInputParameters":[ ], "ControlScope":{ } } ], "CreationTime":1633463605.233, "DeploymentStatus":"COMPLETED", "FrameworkStatus":"ACTIVE" }
Attivazione del monitoraggio delle risorse mediante un modello AWS CloudFormation
Per un AWS CloudFormation modello che attiva il monitoraggio delle risorse, vedere Utilizzo di AWS Backup Audit Manager con AWS CloudFormation.