Scegli quali risorse deve registrare AWS Config - AWS Config
Registrazione di tutti i tipi di risorse supportatiRegistrazione di tipi specifici di risorseAWS ConfigRegole e tipi di risorse globaliSelezione delle risorse (Console)Scelta delle Risorse (CLI AWS)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scegli quali risorse deve registrare AWS Config

AWS Config rileva costantemente quando una qualsiasi risorsa di un tipo supportato viene creata, modificata o eliminata. AWS Config registra tali eventi come elementi di configurazione. Puoi personalizzare per AWS Config registrare le modifiche per tutti i tipi di risorse supportati o solo per i tipi che ti interessano. Per scoprire quali tipi di risorse AWS Config è in grado di registrare, consulta Tipi di risorsa supportati.

Nota

Numero elevato di AWS Config valutazioni

Potresti notare un aumento dell'attività nel tuo account durante il primo mese di registrazione con AWS Config rispetto ai mesi successivi. Durante il processo di avvio iniziale, AWS Config esamina tutte le risorse del tuo account che hai selezionato AWS Config per la registrazione.

Se stai eseguendo carichi di lavoro effimeri, potresti riscontrare un aumento dell'attività AWS Config poiché registra le modifiche alla configurazione associate alla creazione e all'eliminazione di queste risorse temporanee. Un carico di lavoro effimero è un uso temporaneo di risorse informatiche che vengono caricate ed eseguite quando necessario. Esempi includono istanze spot Amazon Elastic Compute Cloud (Amazon EC2), job Amazon EMR e. AWS Auto Scaling Se si desidera evitare che l'aumento delle attività causi l'esecuzione di carichi di lavoro effimeri, è possibile eseguire questi tipi di carichi di lavoro in un account separato AWS Config disattivato per evitare una maggiore registrazione della configurazione e la valutazione delle regole.

Nota

Disponibilità della regione

Prima di specificare un tipo di risorsa da AWS Config monitorare, controlla la copertura delle risorse per regione e disponibilità per verificare se il tipo di risorsa è supportato nella AWS regione in cui hai AWS Config configurato. Se un tipo di risorsa è supportato da AWS Config almeno una regione, puoi abilitare la registrazione di quel tipo di risorsa in tutte le regioni supportate daAWS Config, anche se il tipo di risorsa specificato non è supportato dalla AWS regione in cui l'hai impostatoAWS Config.

Registrazione di tutti i tipi di risorse supportati

Per impostazione predefinita, AWS Config registra le modifiche di configurazione per tutti i tipi supportati di risorse regionali che AWS Config individua nella AWS Regione in cui è in esecuzione. Quando AWS Config aggiunge il supporto per un nuovo tipo di risorsa regionale, avvia automaticamente la registrazione delle risorse di tale tipo. Le risorse regionali sono legate a una Regione e possono essere utilizzate solo in tale Regione. Esempi di risorse regionali sono le istanze Amazon EC2 e i volumi Amazon EBS.

Puoi anche fare in modo che AWS Config registri i tipi supportati di risorse globali. Le risorse globali non sono legate a una Regione specifica e possono essere utilizzate in tutte le Regioni. I tipi di risorse globali supportati da AWS Config includono gli utenti IAM, i gruppi, i ruoli e le policy gestite dal cliente.

Importante

I tipi di risorse globali che saranno AWS Config registrati dopo febbraio 2022 verranno registrati solo nella regione di origine del servizio per la partizione commerciale e AWS GovCloud (Stati Uniti occidentali) per la partizione. GovCloud Puoi visualizzare gli elementi di configurazione per questi nuovi tipi di risorse globali solo nella loro regione di origine e AWS GovCloud (Stati Uniti occidentali).

I tipi di risorse globali supportati e introdotti prima del febbraio 2022, ad esempio AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role e AWS::IAM::User, rimangono invariati e continueranno a fornire elementi di configurazione in tutte le regioni supportate in AWS Config. La modifica riguarderà solo i nuovi tipi di risorse globali introdotti dopo febbraio 2022.

Per registrare i tipi di risorse globali inseriti dopo febbraio 2022, abilita Tutti i tipi di risorse supportati nella regione di origine del tipo di risorsa globale che desideri registrare.

Home» Regioni per tipi di risorse globali» Inserito dopo febbraio 2022
Servizio AWS Valore tipo di risorsa Regione di origine
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository US East (N. Virginia) Region
AWS Global Accelerator AWS::GlobalAccelerator::Listener US West (Oregon) Region
AWS::GlobalAccelerator::EndpointGroup US West (Oregon) Region
AWS::GlobalAccelerator::Accelerator US West (Oregon) Region
Amazon Route 53 AWS::Route53::HostedZone US East (N. Virginia) Region
AWS::Route53::HealthCheck US East (N. Virginia) Region

Registrazione di tipi specifici di risorse

Se non desideri che AWS Config registri le modifiche per tutte le risorse supportate, puoi personalizzarlo per registrare le modifiche solo per tipi specifici. AWS Config registra le modifiche di configurazione per i tipi di risorse che specifichi, incluse la creazione e l'eliminazione di tali risorse.

Se una risorsa non viene registrata, AWS Config rileva solo la creazione e l'eliminazione di tale risorsa e nessun'altra informazione, senza alcun costo per te. Quando una risorsa non registrata viene creata o eliminata, AWS Config invia una notifica e visualizza l'evento nella pagina dei dettagli delle risorse. La pagina dei dettagli di una risorsa non registrata contiene valori nulli per la maggior parte dei dettagli di configurazione e non fornisce informazioni sulle relazioni e sulle modifiche della configurazione.

Le informazioni sulle relazioni fornite da AWS Config per le risorse registrate non sono limitate dai dati mancanti per le risorse non registrate. Se una risorsa registrata è in relazione con una risorsa non registrata, tale relazione è indicata nella pagina dei dettagli della risorsa registrata.

È possibile interrompere la registrazione di un tipo di risorsa da parte di AWS Config in qualsiasi momento. Una volta che AWS Config interrompe la registrazione per una risorsa, conserva le informazioni di configurazione precedentemente acquisite, ed è possibile continuare ad accedere a tali informazioni.

Le regole di AWS Config possono essere utilizzate per valutare la conformità solo per le risorse registrate da AWS Config.

AWS ConfigRegole e tipi di risorse globali

I tipi di risorse globali introdotti prima di febbraio 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role, eAWS::IAM::User) vengono registrati AWS Config in tutte le regioni supportate. Ciò significa che le regole periodiche che segnalano la conformità di queste risorse globali continueranno a eseguire valutazioni in tutte le regioni supportate, anche in quelle in cui non è stata abilitata la registrazione delle risorse globali.

Nota

Le regole periodiche possono essere eseguite su risorse non supportate dalla AWS Config registrazione e possono essere eseguite senza che il registratore di configurazione sia abilitato. Le regole periodiche non dipendono dagli elementi della configurazione. Per ulteriori informazioni sulla differenza tra regole attivate da modifiche e regole periodiche, vedere Specificare i trigger per le regole. AWS Config

Se non registri i tipi di risorse globali inseriti prima di febbraio 2022, ti consigliamo di non attivare le seguenti regole periodiche per evitare costi inutili:

Procedure ottimali per la segnalazione della conformità sulle risorse globali

Se stai registrando i tipi di risorse globali inseriti prima di febbraio 2022 (AWS::IAM::GroupAWS::IAM::Policy,AWS::IAM::Role, eAWS::IAM::User), dovresti implementare solo AWS Config regole e pacchetti di conformità che prevedano queste risorse globali in una delle regioni supportate per evitare costi e limitazioni alle API. Ciò si applica alle AWS Config regole regolari, AWS Config alle regole organizzative e alle regole create da altri AWS servizi (come Security Hub e Control Tower).

I tipi di risorse globali che saranno AWS Config registrati dopo febbraio 2022 verranno registrati solo nella regione di origine del servizio per la partizione commerciale e AWS GovCloud (Stati Uniti occidentali) per la partizione. GovCloud È consigliabile distribuire AWS Config regole e pacchetti di conformità che includano queste risorse globali nell'area di origine del tipo di risorsa. Per ulteriori informazioni, consulta le Regioni principali per i tipi globali di risorse che individua dopo febbraio 2022.

Selezione delle risorse (Console)

Puoi utilizzare la console AWS Config per selezionare i tipi di risorse registrate da AWS Config.

Per scegliere le risorse

  1. Accedi alla AWS Management Console e aprire la console di AWS Config all'indirizzo https://console.aws.amazon.com/config/.

  2. Apri la pagina Settings (Impostazioni):

    • Se stai usando AWS Config in una regione che supporta le regole AWS Config, scegli Settings (Impostazioni) nel riquadro di navigazione. Per un elenco delle regioni supportate, consultaRegioni ed endpoint di AWS Config nei Riferimenti generali di Amazon Web Services.

    • Altrimenti, scegli l'icona delle impostazioni ( settings icon ) nella pagina Inventario delle risorse.

  3. Nella sezione Resource types to record (Tipi di risorse da registrare), specifica quali tipi di risorse AWS desideri che siano registrate da AWS Config.

    • Tutte le risorse: AWS Config registra tutte le risorse supportate con le seguenti opzioni:

      • Registra tutte le risorse supportate in questa Regione: AWS Config registra le modifiche di configurazione per ogni tipo supportato di risorse regionali. Quando AWS Config aggiunge il supporto per un nuovo tipo di risorsa regionale, avvia automaticamente la registrazione delle risorse di tale tipo.

      • Includi risorse globali: AWS Config include i tipi supportati di risorse globali con le risorse che registra (ad esempio, risorse IAM). Quando AWS Config aggiunge il supporto per un nuovo tipo di risorsa globale, avvia automaticamente la registrazione delle risorse di tale tipo.

    • Tipi specifici: AWS Config registra le modifiche alla configurazione solo per i tipi di AWS risorse specificati.

  4. Salva le modifiche:

    • Se stai utilizzando AWS Config in una regione che supporta le regole di AWS Config, scegli Save (Salva).

    • In caso contrario, scegli Continue (Prosegui). Nella pagina AWS ConfigConfig richiede le autorizzazioni per leggere la pagina di configurazione delle risorse, scegli Consenti.

Scelta delle Risorse (CLI AWS)

Puoi utilizzare la CLI AWS per selezionare i tipi di risorse che vuoi registrare con AWS Config. Per farlo devi creare un registratore di configurazione, che registra i tipi di risorse che specifichi in un gruppo di registrazione. Nel gruppo di registrazione, specifichi se vuoi registrare tutti i tipi supportati o specifici tipi di risorse.

Per selezionare tutte le risorse supportate

  1. Utilizzando il seguente comando put-configuration-recorder:

    $ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role --recording-group allSupported=true,includeGlobalResourceTypes=true

    Questo comando accetta le seguenti opzioni per il parametro --recording-group:

    • allSupported=true— AWS Config registra le modifiche di configurazione per ogni tipo supportato di risorse regionali. Quando AWS Config aggiunge il supporto per un nuovo tipo di risorsa regionale, avvia automaticamente la registrazione delle risorse di tale tipo.

    • includeGlobalResourceTypes=true— AWS Config include i tipi supportati di risorse globali con le risorse che registra. Quando AWS Config aggiunge il supporto per un nuovo tipo di risorsa globale, avvia automaticamente la registrazione delle risorse di tale tipo.

      Prima di impostare questa opzione su true, è necessario impostare l'opzione allSupported su true.

      Se non vuoi includere tutte le risorse, imposta questa opzione a false, oppure omettila.

  2. (Facoltativo) Per verificare che il registratore della configurazione sia impostato come desiderato, utilizza il seguente comando describe-configuration-recorders:

    $ aws configservice describe-configuration-recorders

    Di seguito è riportata una risposta di esempio:

    {
    "ConfigurationRecorders": [
        {
            "recordingGroup": {
                "allSupported": true,
                "resourceTypes": [],
                "includeGlobalResourceTypes": true
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role",
            "name": "default"
        }
    ]
}
Per selezionare specifici tipi di risorse

  1. Utilizza il comando AWS Configservice put-configuration-recorder e passa uno o più tipi di risorse tramite l'opzione --recording-group, come mostrato nell'esempio seguente:

    $ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole --recording-group file://recordingGroup.json

    Il file recordingGroup.json specifica quali tipi di risorse saranno registrate da AWS Config:

    {
  "allSupported": false,
  "includeGlobalResourceTypes": false,
  "resourceTypes": [
    "AWS::EC2::EIP",
    "AWS::EC2::Instance",
    "AWS::EC2::NetworkAcl",
    "AWS::EC2::SecurityGroup",
    "AWS::CloudTrail::Trail",
    "AWS::EC2::Volume",
    "AWS::EC2::VPC",
    "AWS::IAM::User",
    "AWS::IAM::Policy"
  ]
}

    Prima di specificare i tipi di risorse per la chiave resourceTypes, è necessario impostare le opzioni allSupported e includeGlobalResourceTypes a falso o ometterle.

  2. (Facoltativo) Per verificare che il registratore della configurazione sia impostato come desiderato, utilizza il seguente comando describe-configuration-recorders:

    $ aws configservice describe-configuration-recorders

    Di seguito è riportata una risposta di esempio:

    {
    "ConfigurationRecorders": [
        {
            "recordingGroup": {
                "allSupported": false,
                "resourceTypes": [
                    "AWS::EC2::EIP",
                    "AWS::EC2::Instance",
                    "AWS::EC2::NetworkAcl",
                    "AWS::EC2::SecurityGroup",
                    "AWS::CloudTrail::Trail",
                    "AWS::EC2::Volume",
                    "AWS::EC2::VPC",
                    "AWS::IAM::User",
                    "AWS::IAM::Policy"
                ],
                "includeGlobalResourceTypes": false
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role",
            "name": "default"
        }
    ]
}