Scegli quali risorse deve registrare AWS Config - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scegli quali risorse deve registrare AWS Config

AWS Config rileva costantemente quando una qualsiasi risorsa di un tipo supportato viene creata, modificata o eliminata. AWS Config registra tali eventi come elementi di configurazione. Puoi personalizzareAWS Configregistra le modifiche per tutti i tipi di risorse supportati o solo per i tipi di tuo interesse. Per scoprire quali tipi di risorse AWS Config è in grado di registrare, consulta Tipi di risorsa supportati.

Registrazione di tutti i tipi di risorse supportati

Per impostazione predefinita, AWS Config registra le modifiche alla configurazione per tutti i tipi supportati di risorse regionali che AWS Config individua nella regione in cui è in esecuzione. Le risorse regionali sono legate a una regione e possono essere utilizzate solo in tale regione. Esempi di risorse regionali sono le istanze EC2 e i volumi EBS.

Puoi anche fare in modo che AWS Config registri i tipi supportati di risorse globali. Le risorse globali non sono legate a una specifica regione e possono essere utilizzate in tutte le regioni. I tipi di risorse globaliAWS Configsono gli utenti, i gruppi, i ruoli e le policy gestite dal cliente di IAM.

Importante

Tipi di risorse globali su cui è stato inseritoAWS Configla registrazione dopo febbraio 2022 sarà registrata solo nella regione di origine del servizio per la partizione commerciale eAWS GovCloud (US-West) per il GovCloud partizionamento. È possibile visualizzare gli elementi di configurazione per questi nuovi tipi di risorse globali solo nella loro area di origine eAWS GovCloud (US-West).

Tipi di risorse globali supportati onboarded prima di febbraio 2022, ad esempioAWS::IAM::Group,AWS::IAM::Policy,AWS::IAM::Role,AWS::IAM::Userrimangono invariati e continueranno a consegnare gli elementi di configurazione in tutte le regioni abilitateAWS Config. La modifica influirà solo sui nuovi tipi di risorse globali a bordo dopo febbraio 2022.

Registrazione di tipi specifici di risorse

Se non desideri che AWS Config registri le modifiche per tutte le risorse supportate, puoi personalizzarlo per registrare le modifiche solo per tipi specifici. AWS Config registra le modifiche di configurazione per i tipi di risorse che specifichi, incluse la creazione e l'eliminazione di tali risorse.

Se una risorsa non viene registrata, AWS Config rileva solo la creazione e l'eliminazione di tale risorsa e nessun'altra informazione, senza alcun costo per te. Quando una risorsa non registrata viene creata o eliminata, AWS Config invia una notifica e visualizza l'evento nella pagina dei dettagli delle risorse. La pagina dei dettagli di una risorsa non registrata contiene valori nulli per la maggior parte dei dettagli di configurazione e non fornisce informazioni sulle relazioni e sulle modifiche della configurazione.

Le informazioni sulle relazioni fornite da AWS Config per le risorse registrate non sono limitate dai dati mancanti per le risorse non registrate. Se una risorsa registrata è in relazione con una risorsa non registrata, tale relazione è indicata nella pagina dei dettagli della risorsa registrata.

È possibile interrompere la registrazione di un tipo di risorsa da parte di AWS Config in qualsiasi momento. Una volta che AWS Config interrompe la registrazione per una risorsa, conserva le informazioni di configurazione precedentemente acquisite, ed è possibile continuare ad accedere a tali informazioni.

Le regole di AWS Config possono essere utilizzate per valutare la conformità solo per le risorse registrate da AWS Config.

Selezione delle risorse (Console)

Puoi utilizzare la console AWS Config per selezionare i tipi di risorse registrate da AWS Config.

Per scegliere le risorse

  1. Accedi alla AWS Management Console e aprire la console di AWS Config all'indirizzo https://console.aws.amazon.com/config/.

  2. Apri la pagina Settings (Impostazioni):

    • Se stai usando AWS Config in una regione che supporta le regole AWS Config, scegli Settings (Impostazioni) nel riquadro di navigazione. Per l'elenco delle regioni supportate, consultaAWS ConfigRegioni ed endpointnellaRiferimento generale di Amazon Web Services.

    • In caso contrario, scegliere l'icona delle impostazioni ( 
            settings icon
          ) sulInventario risorse(Certificato creato).

  3. Nella sezione Resource types to record (Tipi di risorse da registrare), specifica quali tipi di risorse AWS desideri che siano registrate da AWS Config.

    • A tutte le risorse–AWS Configregistra tutte le risorse supportate con le seguenti opzioni:

      • Registra tutte le risorse supportate in questa regione–AWS Configregistra le modifiche della configurazione per ogni tipo di risorsa regionale supportato. Quando AWS Config aggiunge il supporto per un nuovo tipo di risorsa regionale, avvia automaticamente la registrazione delle risorse di tale tipo.

      • Includi risorse globali–AWS Configinclude, tra le risorse che registra, i tipi di risorse globali supportati (per esempio, le risorse IAM). Quando AWS Config aggiunge il supporto per un nuovo tipo di risorsa globale, avvia automaticamente la registrazione delle risorse di tale tipo.

    • Tipi specifici–AWS Configregistra le modifiche alla configurazione solo per i tipi diAWSrisorse specificate.

  4. Salva le modifiche:

    • Se stai utilizzando AWS Config in una regione che supporta le regole di AWS Config, scegli Save (Salva).

    • In caso contrario, scegli Continue (Prosegui). NellaAWS ConfigConfig richiede autorizzazioni per leggere la configurazione delle risorsepage, scegliereAbilita.

Scelta delle Risorse (CLI AWS)

Puoi utilizzare la CLI AWS per selezionare i tipi di risorse che vuoi registrare con AWS Config. Per farlo devi creare un registratore di configurazione, che registra i tipi di risorse che specifichi in un gruppo di registrazione. Nel gruppo di registrazione, specifichi se vuoi registrare tutti i tipi supportati o specifici tipi di risorse.

Per selezionare tutte le risorse supportate

  1. Utilizzando il seguente comando put-configuration-recorder:

    $ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role --recording-group allSupported=true,includeGlobalResourceTypes=true

    Questo comando accetta le seguenti opzioni per il parametro --recording-group:

    • allSupported=true–AWS Configregistra le modifiche alla configurazione per ogni tipo dirisorsa regionale. Quando AWS Config aggiunge il supporto per un nuovo tipo di risorsa regionale, avvia automaticamente la registrazione delle risorse di tale tipo.

    • includeGlobalResourceTypes=true–AWS Configinclude, tra le risorse che registra, i tipi di risorse globali supportati. Quando AWS Config aggiunge il supporto per un nuovo tipo di risorsa globale, avvia automaticamente la registrazione delle risorse di tale tipo.

      Prima di impostare questa opzione su true, è necessario impostare l'opzione allSupported su true.

      Se non vuoi includere tutte le risorse, imposta questa opzione a false, oppure omettila.

  2. (Facoltativo) Per verificare che il registratore della configurazione sia impostato come desiderato, utilizza il seguente comando describe-configuration-recorders:

    $ aws configservice describe-configuration-recorders

    Di seguito è riportata una risposta di esempio:

    { "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": true, "resourceTypes": [], "includeGlobalResourceTypes": true }, "roleARN": "arn:aws:iam::123456789012:role/config-role", "name": "default" } ] }

Per selezionare specifici tipi di risorse

  1. Utilizza il comando AWS Configservice put-configuration-recorder e passa uno o più tipi di risorse tramite l'opzione --recording-group, come mostrato nell'esempio seguente:

    $ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole --recording-group file://recordingGroup.json

    Il file recordingGroup.json specifica quali tipi di risorse saranno registrate da AWS Config:

    { "allSupported": false, "includeGlobalResourceTypes": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ] }

    Prima di specificare i tipi di risorse per la chiave resourceTypes, è necessario impostare le opzioni allSupported e includeGlobalResourceTypes a falso o ometterle.

  2. (Facoltativo) Per verificare che il registratore della configurazione sia impostato come desiderato, utilizza il seguente comando describe-configuration-recorders:

    $ aws configservice describe-configuration-recorders

    Di seguito è riportata una risposta di esempio:

    { "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ], "includeGlobalResourceTypes": false }, "roleARN": "arn:aws:iam::123456789012:role/config-role", "name": "default" } ] }