Visualizza i dati del AWS Config registratore sugli account registrati Risoluzione dei problemi AWS Config in AWS Control Tower

Monitora le modifiche alle risorse con AWS Config

AWS Control Tower è abilitato AWS Config su tutti gli account registrati, in modo da monitorare la conformità attraverso controlli investigativi, registrare le modifiche alle risorse e fornire i log delle modifiche delle risorse all'account di archiviazione dei log.

Se la versione della tua landing zone è precedente alla 3.0: per gli account registrati, AWS Config registra tutte le modifiche alle risorse, per tutte le regioni in cui opera l'account. Ogni modifica è modellata come un elemento di configurazione (CI), che contiene informazioni come l'identificatore della risorsa, la regione, la data di registrazione di ogni modifica e se la modifica si riferisce a una risorsa nota o scoperta di recente.

Se la versione della tua landing zone è 3.0 o successiva: AWS Control Tower limita la registrazione per risorse globali, come utenti, gruppi, ruoli e policy gestite dai clienti IAM, solo alla tua regione di origine. Le copie delle modifiche globali alle risorse non vengono archiviate in tutte le regioni. Questa limitazione della registrazione delle risorse è conforme alle AWS Config migliori pratiche. Un elenco completo delle risorse globali è disponibile nella AWS Config documentazione.

Per ulteriori informazioni AWS Config, consulta How AWS Config works.
Per un elenco delle risorse che AWS Config possono supportare, consulta Tipi di risorse supportati.
Per ulteriori informazioni su come personalizzare il monitoraggio delle risorse nell'ambiente AWS Control Tower, consulta il post del blog intitolato Personalizza il monitoraggio AWS Config delle risorse in AWS Control Tower.

AWS Control Tower configura un canale AWS Config di distribuzione in tutti gli account registrati. Attraverso questo canale di distribuzione, registra tutte le modifiche registrate AWS Config nell'account di archiviazione dei log, dove vengono archiviate in una cartella in un bucket Amazon Simple Storage Service.

Visualizza i dati del AWS Config registratore sugli account registrati

AWS Config è integrato in CloudWatch modo da poter visualizzare gli IC in AWS Config una dashboard. Per ulteriori informazioni, consulta il post del blog intitolato AWS Config support Amazon CloudWatch metrics.

A livello di programmazione, per visualizzare AWS Config i dati, puoi utilizzare la AWS CLI o utilizzare altri strumenti. AWS

Interroga i dati del AWS Config registratore su una risorsa specifica

È possibile utilizzare la AWS CLI per recuperare un elenco delle modifiche più recenti per una risorsa.

Comando di cronologia delle risorse:

aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION

Per ulteriori informazioni, consulta la documentazione dell'API per get-config-history.

Visualizza i AWS Config dati con Amazon QuickSight

Puoi visualizzare e interrogare le risorse registrate da AWS Config tutta l'organizzazione. Per ulteriori informazioni, consulta Visualizzazione AWS Config dei dati con Amazon Athena e Amazon. QuickSight

Risoluzione dei problemi AWS Config in AWS Control Tower

Questa sezione fornisce informazioni su alcuni problemi che potresti riscontrare durante l'utilizzo AWS Config con AWS Control Tower.

AWS Config Costi elevati

Se il flusso di lavoro include processi che creano, aggiornano o eliminano risorse frequentemente o se gestisce un gran numero di risorse, tale flusso di lavoro può generare un gran numero di CI. Se esegui questi processi in un account non di produzione, valuta la possibilità di annullare la registrazione dell'account. Potrebbe essere necessario disattivare manualmente il AWS Config registratore per quell'account.

Nota

Dopo aver annullato la registrazione dell'account, AWS Control Tower non può applicare controlli investigativi o registrare gli eventi dell'account, come AWS Config le attività, per le risorse in quell'account.

Per ulteriori informazioni, consulta Annullare la gestione di un account registrato. Per informazioni su come disattivare il AWS Config registratore, vedere Gestione del registratore di configurazione.

La stessa risorsa viene registrata più volte

Verifica se la risorsa è una risorsa globale. Per le zone di atterraggio di AWS Control Tower precedenti alla versione 3.0, AWS Config è AWS Config possibile registrare determinate risorse globali una volta per ogni regione in cui opera. Ad esempio, se AWS Config è abilitato su otto regioni, ogni ruolo viene registrato otto volte.

Le seguenti risorse vengono registrate una volta per ogni regione in AWS Config cui opera:

AWS::IAM::Group
AWS::IAM::Policy
AWS::IAM::Role
AWS::IAM::User

Le altre risorse globali vengono registrate una sola volta. Ecco alcuni esempi di risorse che vengono registrate una sola volta:

AWS::Route53::HostedZone
AWS::Route53::HealthCheck
AWS::ECR::PublicRepository
AWS::GlobalAccelerator::Listener
AWS::GlobalAccelerator::EndpointGroup
AWS::GlobalAccelerator::Accelerator

AWS Config non ha registrato una risorsa

Alcune risorse hanno relazioni di dipendenza con altre risorse. Queste relazioni possono essere dirette o indirette. Puoi trovare un elenco di relazioni indirette obsolete nelle domande frequenti. AWS Config

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Registrazione delle azioni di AWS Control Tower con AWS CloudTrail

Gestisci i costi di Config