Gestione del Canale di Distribuzione - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione del Canale di Distribuzione

Man mano che AWS Config registra continuamente le modifiche che vengono apportate alle AWS risorse, invia notifiche e stati della configurazione aggiornati attraverso il canale di distribuzione. Puoi gestire il canale di distribuzione per controllare dove AWS Config invia gli aggiornamenti della configurazione.

Puoi avere solo un canale di distribuzione per regione e per account AWS e la disponibilità di un canale di distribuzione è obbligatoria per l'utilizzo di AWS Config.

QuandoAWS ConfigRileva una modifica della configurazione per una risorsa e la notifica supera le dimensioni massime consentite da Amazon SNS, la notifica include un breve riepilogo dell'elemento della configurazione. Puoi visualizzare la notifica completa utilizzando il percorso del bucket Amazon S3 indicato nels3BucketLocation. Per ulteriori informazioni, consultaEsempio di notifica della modifica di un elemento della configurazione sovradimensionato.

Nota

AWS ConfigsupportiAWS KMScrittografia per bucket Amazon S3 utilizzati daAWS Config

È possibile fornire unAWS Key Management Service(AWS KMS) chiave o alias Amazon Resource Name (ARN) per crittografare i dati distribuiti nel bucket Amazon S3 (Amazon S3). Per impostazione predefinita,AWS Configfornisce la cronologia della configurazione e i file snapshot nel bucket Amazon S3 e crittografa i dati inattivi utilizzando la crittografia lato server S3 AES-256, SSE-S3. Tuttavia, se fornisciAWS Configcon la tua chiave KMS o alias ARN,AWS Configutilizza la chiave KMS anziché la crittografia AES-256.

AWS ConfigNon supporta il canale di distribuzione a un bucket Amazon S3 in cui è abilitato il blocco oggetto. Per ulteriori informazioni, consulta Come funziona il blocco oggetti S3.

Aggiornamento del Canale di Distribuzione

Quando aggiorni il canale di distribuzione, puoi specificare le seguenti opzioni:

  • Bucket Amazon S3 verso cuiAWS Configinvia gli snapshot di configurazione e i file della cronologia della configurazione.

  • Quante volteAWS Configdistribuisce gli snapshot di configurazione verso il bucket Amazon S3.

  • L'argomento Amazon SNS a cuiAWS Configinvia le notifiche sulle modifiche della configurazione.

Per aggiornare il canale di distribuzione (console)

  • Puoi utilizzare il pluginAWS ConfigConsole per impostare il bucket Amazon S3 e l'argomento Amazon SNS per il canale di distribuzione. Per la procedura di gestione di tali impostazioni, vedi Configurazione di AWS Config con la console.

    La console non fornisce opzioni per rinominare il canale di distribuzione, impostare la frequenza degli snapshot di configurazione o eliminare il canale di distribuzione. Per eseguire tali operazioni, è necessario utilizzare la AWS CLI, l'API AWS Config o uno degli SDK AWS.

Per aggiornare il canale di distribuzione (AWS CLI)

  1. Utilizza il comando put-delivery-channel:

    $ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

    Il file deliveryChannel.json specifica gli attributi del canale di distribuzione:

    { "name": "default", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }

    L'esempio seguente imposta i seguenti attributi:

    • name— Il nome del canale di distribuzione. Per impostazione predefinita, AWS Config assegna il nome default a un nuovo canale di distribuzione.

      Non puoi aggiornare il nome del canale di distribuzione con il comando put-delivery-channel. Per la procedura da seguire per modificare il nome, vedi Ridenominazione del Canale di Distribuzione.

    • s3BucketName— Il nome del bucket Amazon S3 verso cuiAWS Configdistribuisce gli snapshot di configurazione e i file della cronologia della configurazione.

      Se scegli un bucket appartenente a un altro account AWS, questo dovrà includere policy che concedono le autorizzazioni di accesso a AWS Config. Per ulteriori informazioni, consulta la pagina Autorizzazioni per il bucket Amazon S3 .

    • snsTopicARN— L'Amazon Resource Name (ARN) dell'argomento Amazon SNS a cuiAWS Configinvia le notifiche sulle modifiche della configurazione.

      Se scegli un argomento appartenente a un altro account, tale argomento dovrà includere policy che concedono le autorizzazioni di accesso a AWS Config. Per ulteriori informazioni, consulta la pagina Autorizzazioni per l'argomento Amazon SNS .

    • configSnapshotDeliveryProperties— Contiene ildeliveryFrequencyattributo, che imposta con quale frequenzaAWS Configdistribuisce gli snapshot di configurazione.

  2. (Facoltativo) Puoi utilizzare il comando describe-delivery-channels per verificare che le impostazione del canale di distribuzione siano state aggiornate:

    $ aws configservice describe-delivery-channels { "DeliveryChannels": [ { "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" }, "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "name": "default", "s3BucketName": "config-bucket-123456789012" } ] }

Ridenominazione del Canale di Distribuzione

Per modificare il nome del canale di distribuzione, devi cancellarlo e creare un nuovo canale di distribuzione con il nome desiderato. Prima di eliminare il canale di distribuzione, devi interrompere temporaneamente la registrazione della configurazione.

La console AWS Config non fornisce la possibilità di eliminare il canale di distribuzione, perciò è necessario utilizzare l'interfaccia a riga di comando AWS, l'API AWS Config o uno degli SDK AWS.

Per rinominare il canale di distribuzione (AWS CLI)

  1. Utilizzare il comando stop-configuration-recorder per arrestare la registrazione della configurazione:

    $ aws configservice stop-configuration-recorder --configuration-recorder-name configRecorderName
  2. Utilizzare il comando describe-delivery-channels e prendere nota degli attributi del canale di distribuzione:

    $ aws configservice describe-delivery-channels { "DeliveryChannels": [ { "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" }, "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "name": "default", "s3BucketName": "config-bucket-123456789012" } ] }
  3. Utilizzare il comando delete-delivery-channel per eliminare il canale di distribuzione:

    $ aws configservice delete-delivery-channel --delivery-channel-name default
  4. Utilizzare il comando put-delivery-channel per creare un canale di distribuzione con il nome desiderato:

    $ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

    Il file deliveryChannel.json specifica gli attributi del canale di distribuzione:

    { "name": "myCustomDeliveryChannelName", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }
  5. Utilizza il comando start-configuration-recorder per riprendere la registrazione:

    $ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName