Logging e monitoraggio in AWS Config - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Logging e monitoraggio in AWS Config

AWS Config è integrato con AWS CloudTrail, un servizio che offre un record delle operazioni eseguite da un utente, un ruolo o un servizio AWS in AWS Config. Il monitoraggio è importante per garantire l'affidabilità, la disponibilità e le prestazioni di AWS Config e delle soluzioni AWS.

Registrazione delle chiamate API AWS Config con AWS CloudTrail

CloudTrail acquisisce tutte le chiamate API AWS Config come eventi. Le chiamate acquisite includono le chiamate dalla console di AWS Config e le chiamate di codice alle operazioni delle API AWS Config. Se si crea un trail, è possibile abilitare la distribuzione continua di CloudTrail eventi in un bucket Amazon S3, inclusi gli eventi perAWS Config. Se non configuri un trail, è comunque possibile visualizzare gli eventi più recenti nella CloudTrail console inCronologia eventi. Le informazioni raccolte da CloudTrail consentono di determinare la richiesta effettuata ad AWS Config, l'indirizzo IP da cui è partita la richiesta, l'autore della richiesta, il momento in cui è stata eseguita e altri dettagli.

Per ulteriori informazioni su CloudTrail, consultare la AWS CloudTrailGuida per l'utente di .

Informazioni su AWS Config in CloudTrail

CloudTrail è abilitato sull'account AWS al momento della sua creazione. Quando si verifica un'attività inAWS Config, tale attività viene registrata in a CloudTrail evento insieme ad altriAWSeventi del servizioCronologia eventi. È possibile visualizzare, cercare e scaricare gli eventi recenti nell'account AWS. Per ulteriori informazioni, consultaVisualizzazione di eventi con CloudTrail Cronologia eventi.

Per una registrazione continua degli eventi nell'account AWS che includa gli eventi per AWS Config, creare un trail. UNpistaabilita CloudTrail per distribuire i file di log in un bucket Amazon S3. Per impostazione predefinita, quando si crea un percorso nella console, questo sarà valido in tutte le Regioni AWS. Il percorso registra gli eventi di tutte le regioni nella partizione AWS e distribuisce i file di registro nel bucket Amazon S3 specificato. Inoltre, è possibile configurare altriAWSservizi per analizzare con maggiore dettaglio e usare i dati raccolti in CloudTrail registri. Per ulteriori informazioni, consulta gli argomenti seguenti:

All (Tutti)AWS Configle operazioni sono registrate da CloudTrail e sono documentati nelAWS ConfigDocumentazione di riferimento API. Ad esempio, le chiamate alle operazioniDeliverConfigSnapshot,DeleteDeliveryChannel, eDescribeDeliveryChannelsle operazioni generano voci nel CloudTrail file di log.

Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:

  • Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM).

  • Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.

  • Se la richiesta è stata effettuata da un altro servizio AWS.

Per ulteriori informazioni, consultare Elemento userIdentity di CloudTrail.

Comprensione delle voci dei file di log di AWS Config

Un trail è una configurazione che consente la distribuzione di eventi come i file di log in un bucket Amazon S3 specificato dall’utente. CloudTrail I file di log di contengono una o più voci di log. Un evento rappresenta una singola richiesta da un'origine e include informazioni sull’operazione richiesta, data e ora dell'operazione, parametri della richiesta e così via. CloudTrail I file di log di non sono una traccia stack ordinata delle chiamate pubbliche dell'API, quindi non vengono visualizzati in un ordine specifico.

Monitoraggio

È possibile utilizzare altriAWSper monitorareAWS Configrisorse AWS.

  • Puoi usare Amazon Simple Notification Service (SNS) per inviare notifiche ogni volta che è supportatoAWSviene creata, aggiornata o in qualsiasi modo modificata come risultato dell'attività tramite API da parte dell'utente.

  • Puoi usare Amazon CloudWatch Eventi per rilevare e agire ai cambiamenti nello stato diAWS Configin modo rapido.

MonitoraggioAWSModifiche alle risorse con Amazon SQS

AWS Configutilizza Amazon Simple Notification Service (SNS) per inviare notifiche ogni volta che è supportatoAWSviene creata, aggiornata o in qualsiasi modo modificata come risultato dell'attività tramite API da parte dell'utente. Tuttavia, potresti essere interessato alle modifiche della configurazione relative solo a specifiche risorse. Ad esempio, potresti considerare fondamentale sapere quando viene modificata la configurazione di un gruppo di sicurezza, ma non necessario sapere ogni modifica ai tag delle istanze Amazon EC2. In alternativa, puoi scrivere un programma che esegue azioni specifiche quando risorse specifiche vengono aggiornate. Ad esempio, potresti voler avviare un determinato flusso di lavoro quando viene modificata la configurazione di un gruppo di sicurezza. Se vuoi utilizzare i dati daAWS ConfigIn questi o altri modi, utilizza una coda Amazon Simple Queue Service come endpoint di notifica per Amazon SNS.

Nota

Le notifiche possono anche provenire da Amazon SNS sotto forma di email, messaggio SMS (Short Message Service) verso cellulari e smartphone compatibili, messaggio di notifica verso un'applicazione su un dispositivo mobile o messaggio di notifica a uno o più endpoint HTTP o HTTPS.

Puoi fare in modo che una singola coda SQS si sottoscriva a molteplici argomenti, qualora si disponga di un argomento in ogni regione o di un argomento per account in ogni regione. Devi sottoscrivere la coda all'argomento SNS desiderato. (Puoi sottoscrivere molteplici code a un unico argomento SNS). Per ulteriori informazioni, consultaInvio di messaggi Amazon SNS a code Amazon SQS.

Autorizzazioni per Amazon SQS

Per utilizzare Amazon SQS conAWS Config,devi configurare una policy che conceda al tuo account le autorizzazioni per eseguire tutte le operazioni consentite su una coda SQS. La policy di esempio seguente concede all'account numero 111122223333 e all'account numero 444455556666 l'autorizzazione all'invio di messaggi relativi a ogni modifica della configurazione verso la coda denominata arn:aws:sqs:us-east-2:444455556666:queue1.

{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": { "Sid":"Queue1_SendMessage", "Effect": "Allow", "Principal": { "AWS": ["111122223333","444455556666"] }, "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:us-east-2:444455556666:queue1" } }

Inoltre, è necessario creare una policy che conceda le autorizzazioni alle connessioni tra un argomento SNS e la coda SQS che si sottoscrive a tale argomento. Di seguito è riportato un esempio di policy che consente all'argomento SNS con Amazon Resource Name (ARN) arn:aws:sns:us-east-2:111122223333:test-argomento di eseguire qualsiasi operazione sulla coda denominata arn:aws:sqs:us-east-2:111122223333:test-topic-queue.

Nota

Gli account dell'argomento SNS e della coda SQS devono appartenere alla stessa regione.

{ "Version": "2012-10-17", "Id": "SNStoSQS", "Statement": { "Sid":"rule1", "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, "Action": "SQS:SendMessage", "Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue", "Condition" : { "StringEquals" : { "aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic" } } } }

Ogni policy può includere istruzioni che riguardano solo una singola coda, non più code. Per informazioni su altre restrizioni sulle policy Amazon SQS, consultaInformazioni speciali per le policy Amazon SQS.

MonitoraggioAWS Configcon Amazon EventBridge

Amazon EventBridge fornisce quasi in tempo reale un flusso di eventi di sistema che descrivono le modifiche inAWSrisorse AWS. Utilizzo di Amazon EventBridge per rilevare le modifiche nello stato di e agire di conseguenzaAWS Configin modo rapido.

Puoi scegliere di creare una regola che venga eseguita ogni volta che si verifica una transizione di stato o quando si verifica una transizione verso uno o più stati di interesse. Quindi, in base alle regole che crei, Amazon EventBridge richiama una o più operazioni di destinazione quando un evento corrisponde al valore specificato in una regola. A seconda del tipo di evento, potresti voler inviare notifiche, acquisire informazioni sull'evento, intraprendere un'azione correttiva, avviare eventi o eseguire altre operazioni.

Prima di creare regole per gli eventi per AWS Config, tuttavia, dovresti assicurarti di:

  • Acquisire familiarità con eventi, regole e destinazioni di EventBridge. Per ulteriori informazioni, consulta Cos'è Amazon EventBridge?

  • Per ulteriori informazioni su come iniziare a utilizzare EventBridge e impostare le regole, consulta.Nozioni di base su Amazon EventBridge.

  • Crea la destinazione o le destinazioni da utilizzare nelle regole degli eventi.

Amazon EventBridge Formato perAWS Config

La EventBridge eventoperAWS Configha il seguente formato:

{ "version": "0", "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8", "detail-type": "event type", "source": "aws.config", "account": "111122223333", "time": "2018-03-22T00:38:11Z", "region": "us-east-1", "resources": [ resources ], "detail": { specific message type } }

Creazione di Amazon EventBridge Regola perAWS Config

Utilizzare la procedura seguente per creare un EventBridge regola che si attiva su un evento emesso daAWS Config. Gli eventi vengono emessi nel miglior modo possibile.

  1. Nel pannello di navigazione, scegliere Rules (Regole).

  2. Scegli Create rule (Crea regola).

  3. Inserire un nome e una descrizione per la regola.

    Una regola non può avere lo stesso nome di un'altra regola nella stessa regione e sullo stesso bus di eventi.

  4. Per Define pattern (Definisci modello), scegliere Event pattern (Modello eventi).

  5. ScegliereModello predefinito per servizio

  6. Per Service provider (Provider di servizi), selezionare AWS.

  7. PerService name (Nome servizio), scegliConfig.

  8. In Event Type (Tipo di evento), seleziona l'evento specifico che deve attivare la regola:

  9. Scegli Any message type (Qualsiasi tipo di messaggio) per ricevere notifiche di qualsiasi tipo. Scegli Specific message type(s) (Tipo/i di messaggio specifico/i) per ricevere i seguenti tipi di notifiche:

    • Se scegliNotifica di modifica dell'elemento di configurazione, ricevi messaggi quandoAWS Configfornisce correttamente la distribuzione dello snapshot della configurazione verso il bucket Amazon S3.

    • Se scegli ComplianceChangeNotification, riceverai dei messaggi quando il tipo di conformità di una risorsa valutato da AWS Config viene modificato.

    • Se scegli ConfigRulesEvaluationStarted, riceverai dei messaggi quando AWS Config inizia a valutare la tua regola rispetto alle risorse specificate.

    • Se scegliConfigurazione Snapshot Delivery completata, ricevi messaggi quandoAWS Configfornisce correttamente la distribuzione dello snapshot della configurazione verso il bucket Amazon S3.

    • Se scegliConfigurazione Snapshot Delivery non riuscita, ricevi messaggi quandoAWS Confignon riesce a distribuire lo snapshot della configurazione verso il bucket Amazon S3.

    • Se scegliConfigurazione Snapshot Delivery iniziata, ricevi messaggi quandoAWS Configinizia a distribuire lo snapshot della configurazione verso il bucket Amazon S3.

    • Se scegliCronologia configurazione Consegna completata, ricevi messaggi quandoAWS Configfornisce correttamente la cronologia della configurazione verso il bucket Amazon S3.

  10. Se hai scelto un tipo di evento specifico dalEvent Type (Tipo di evento)elenco a discesa, scegliQualsiasi tipo di risorsaper creare una regola che si applica a tuttiAWS Configtipi di risorse supportati.

    Oppure scegli Specific resource type(s) (Tipo/i specifico/i di risorse), quindi digita il tipo di risorsa di AWS Config supportato (ad esempio AWS::EC2::Instance).

  11. Se hai scelto un tipo di evento specifico dalEvent Type (Tipo di evento)elenco a discesa, scegliQualsiasi ID della risorsaper includere qualsiasiAWS ConfigID risorsa supportato.

    Oppure scegli Specific resource ID(s) (ID specifico/i di risorse), quindi digita l'ID della risorsa di AWS Config supportata (ad esempio i-04606de676e635647).

  12. Se hai scelto un tipo di evento specifico dalEvent Type (Tipo di evento)elenco a discesa, scegliQualsiasi nome di regolaper includere qualsiasiAWS Configregola supportata.

    Oppure scegli Specific resource type(s) (Tipo/i specifico/i di risorse), quindi digita la regola di AWS Config supportata (ad esempio required-tags).

  13. Per Select event bus (Seleziona bus di eventi), scegliere il bus di eventi che si desidera associare a questa regola. Se desideri che questa regola venga attivata su eventi corrispondenti provenienti dal tuo account, seleziona Bus eventi predefinito AWS. Quando un servizio di AWS nell'account emette un evento, passa sempre al bus di eventi predefinito dell'account.

  14. PerSeleziona bersagli, scegli il tipo di destinazione da utilizzare con questa regola, quindi configura le eventuali altre opzioni richieste da quel tipo.

  15. I campi visualizzati variano a seconda del servizio scelto. Immettere informazioni specifiche per questo tipo di destinazione secondo necessità.

  16. Per molti tipi di target, EventBridge necessita di autorizzazioni per l'invio degli eventi alla destinazione. In questi casi, EventBridge può creare il ruolo IAM necessario per l'esecuzione della regola.

    • Per creare un ruolo IAM automaticamente, seleziona Create a new role for this specific resource (Crea un nuovo ruolo per questa risorsa specifica).

    • Per utilizzare un ruolo IAM creato in precedenza, seleziona Use existing role (Utilizza un ruolo esistente).

  17. Per Policy tentativi e coda DLQ:, in Policy tentativi:

    • PerEtà massima dell'evento, inserire un valore compreso tra un minuto (00:01) e 24 ore (24:00).

    • Per Tentativi, specifica un numero compreso tra 0 e 185.

  18. PerDead-letter Queue, scegli se utilizzare una coda Amazon SQS standard come coda di lettera morta. EventBridge invia eventi che corrispondono a questa regola alla coda delle lettere morte se non vengono recapitati correttamente alla destinazione. Completa una delle seguenti operazioni:

    • Scegli Nessuna per non utilizzare una coda DLQ.

    • ScegliereSeleziona una coda Amazon SQS nella correnteAWSaccount da utilizzare come coda dead-lettere quindi seleziona la coda da utilizzare dall'elenco a discesa.

    • Scegli Seleziona una coda Amazon SQS in un altro account AWS come coda DLQ e specifica l'ARN della coda da utilizzare. È necessario collegare una policy basata sulle risorse alla coda che concede EventBridge Per l'invio di messaggi. Per ulteriori informazioni, consultaPolicy sui tentativi di eventi e utilizzo di code dead-letter.

  19. (Facoltativo) Scegliere Add target (Aggiungi target) per aggiungere un altro target per questa regola.

  20. (Facoltativo) Inserire uno o più tag per la regola. Per ulteriori informazioni, consultaAmazon EventBridge tag.

  21. Verifica la configurazione delle regole per accertarti che soddisfi i tuoi requisiti di monitoraggio di eventi.

  22. ScegliereCreateper confermare la tua scelta.