As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ativar o rastreamento de recursos
Antes de criar sua primeira framework relacionada à conformidade, é necessário ativar o rastreamento de recursos. Isso permite AWS Config rastrear seus AWS Backup recursos. Para obter documentação técnica sobre como gerenciar o rastreamento de recursos, consulte Configuração AWS Config com o console no Guia do AWS Config desenvolvedor.
As cobranças serão aplicadas quando você ativar o rastreamento de recursos. Para obter informações sobre controle de recursos, preços e cobrança para o AWS Backup Audit Manager, consulte Medição, custos e cobrança.
Tópicos
Ativar o rastreamento de recursos usando o console
Como ativar o rastreamento de recursos usando o console:
Abra o AWS Backup console em https://console.aws.amazon.com/backup.
-
No painel de navegação esquerdo, em Audit Manager, escolha Frameworks.
-
Ative o rastreamento de recursos escolhendo Gerenciar rastreamento de recursos.
-
Escolha Ir para AWS Config configurações.
-
Escolha Ativar ou desativar a gravação.
-
Escolha Habilitar a gravação para todos os tipos de recursos a seguir ou escolha habilitar a gravação para alguns tipos de recursos. Consulte Controles e correções do AWS Backup Audit Manager para saber quais tipos de recursos são necessários para seus controles.
-
AWS Backup: backup plans -
AWS Backup: backup vaults -
AWS Backup: recovery points -
AWS Backup: backup selection
nota
AWS Backup O Audit Manager
AWS Config: resource complianceexige todos os controles. -
-
Escolha Fechar.
-
Aguarde até que o banner azul com o texto Ativando o rastreamento de recursos faça a transição para o banner verde com o texto O rastreamento de recursos está ativado.
Você pode verificar se ativou o rastreamento de recursos e, em caso afirmativo, quais tipos de recursos você está gravando, em dois lugares no AWS Backup console. No painel de navegação esquerdo:
-
Escolha Frameworks e, em seguida, escolha o texto em Status do gravador do AWS Config .
-
Escolha Configurações e, depois, escolha o texto em Status do gravador do AWS Config .
Ativar o rastreamento de recursos usando a AWS Command Line Interface (AWS CLI)
Se você ainda não embarcou AWS Config, talvez seja mais rápido fazer a integração usando o. AWS CLI
Como ativar o rastreamento de recursos usando a AWS CLI:
-
Digite o comando a seguir para determinar se você já ativou o gravador do AWS Config .
$ aws configservice describe-configuration-recorders-
Se a sua lista de
ConfigurationRecordersestiver vazia como desta forma:{ "ConfigurationRecorders": [] }Seu gravador não está habilitado. Continue para a etapa 2 para criar o gravador.
-
Se já tiver habilitado a gravação para todos os recursos, a saída de
ConfigurationRecordersficará assim:{ "ConfigurationRecorders":[ { "recordingGroup":{ "allSupported":true, "resourceTypes":[ ], "includeGlobalResourceTypes":true }, "roleARN":"arn:aws:iam::[account]:role/[roleName]", "name":"default" } ] }Uma vez que você tenha habilitado todos os recursos, você já terá ativado o rastreamento de recursos. Você não precisa concluir o restante desse procedimento para usar o AWS Backup Audit Manager.
-
Se a
ConfigurationRecordersnão estiver vazia, mas você não tiver habilitado a gravação para todos os recursos, adicione recursos de backup ao seu gravador existente usando o comando a seguir. Depois disso, prossiga para a etapa 3.$ aws configservice describe-configuration-recorders { "ConfigurationRecorders":[ { "name":"default", "roleARN":"arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig", "recordingGroup":{ "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::Backup::BackupPlan", "AWS::Backup::BackupSelection", "AWS::Backup::BackupVault", "AWS::Backup::RecoveryPoint", "AWS::Config::ResourceCompliance" ] } } ] }
-
-
Crie um AWS Config gravador com os tipos de recursos do AWS Backup Audit Manager
$ aws configservice put-configuration-recorder --configuration-recorder name=default, \ roleARN=arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \ --recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \ 'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint','AWS::Config::ResourceCompliance']" -
Descreva seu AWS Config gravador.
$ aws configservice describe-configuration-recordersVerifique se ele tem os tipos de recursos do AWS Backup Audit Manager comparando sua saída com a seguinte saída esperada.
{ "ConfigurationRecorders":[ { "name":"default", "roleARN":"arn:aws:iam::accountId:role/AWSServiceRoleForConfig", "recordingGroup":{ "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::Backup::BackupPlan", "AWS::Backup::BackupSelection", "AWS::Backup::BackupVault", "AWS::Backup::RecoveryPoint", "AWS::Config::ResourceCompliance" ] } } ] } -
Crie um bucket do Amazon S3 como destino para armazenar os arquivos de AWS Config configuração.
$ aws s3api create-bucket --bucketmy-bucket—regionus-east-1 -
Use
policy.jsonpara conceder AWS Config permissão para acessar seu bucket. Veja o exemplo a seguirpolicy.json.$ aws s3api put-bucket-policy --bucketMyBucket--policyfile://policy.json{ "Version":"2012-10-17", "Statement":[ { "Sid":"AWSConfigBucketPermissionsCheck", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:GetBucketAcl", "Resource":"arn:aws:s3:::my-bucket" }, { "Sid":"AWSConfigBucketExistenceCheck", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:ListBucket", "Resource":"arn:aws:s3:::my-bucket" }, { "Sid":"AWSConfigBucketDelivery", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::my-bucket/*" } ] } -
Configure seu bucket como um canal AWS Config de entrega
$ aws configservice put-delivery-channel --delivery-channel name=default,s3BucketName=my-bucket -
Ativar AWS Config gravação
$ aws configservice start-configuration-recorder --configuration-recorder-namedefault -
Verifique se
"FrameworkStatus":"ACTIVE"na última linha de sua saídaDescribeFrameworkda seguinte forma:$ aws backup describe-framework --framework-nametest--regionus-east-1{ "FrameworkName":"test", "FrameworkArn":"arn:aws:backup:us-east-1:accountId:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666", "FrameworkDescription":"", "FrameworkControls":[ { "ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK", "ControlInputParameters":[ { "ParameterName":"requiredRetentionDays", "ParameterValue":"1" } ], "ControlScope":{ } }, { "ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK", "ControlInputParameters":[ { "ParameterName":"requiredFrequencyUnit", "ParameterValue":"hours" }, { "ParameterName":"requiredRetentionDays", "ParameterValue":"35" }, { "ParameterName":"requiredFrequencyValue", "ParameterValue":"1" } ], "ControlScope":{ } }, { "ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN", "ControlInputParameters":[ ], "ControlScope":{ } }, { "ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED", "ControlInputParameters":[ ], "ControlScope":{ } }, { "ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED", "ControlInputParameters":[ ], "ControlScope":{ } } ], "CreationTime":1633463605.233, "DeploymentStatus":"COMPLETED", "FrameworkStatus":"ACTIVE" }
Ativar o rastreamento de recursos usando um modelo do AWS CloudFormation
Para um AWS CloudFormation modelo que ativa o rastreamento de recursos, consulte Usando o AWS Backup Audit Manager com AWS CloudFormation.
