As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Pré-requisitos para configuração com o AWS ConfigAWS CLI
Antes de configurar AWS com o AWS CLI, você precisa criar um bucket do Amazon S3, um SNS tópico da Amazon e uma IAM função com políticas anexadas como pré-requisitos. Em seguida, você pode usar o AWS CLI para especificar o bucket, o tópico e a função do AWS Config. Siga este procedimento para configurar seus pré-requisitos para o AWS Config.
Tópicos
Etapa 1: criar um bucket do Amazon S3
Se você já tem um bucket do S3 em sua conta e deseja usá-lo, ignore esta etapa e vá para Etapa 2: Criando um SNS tópico na Amazon.
Para criar um bucket
Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/
. -
Escolha Criar bucket.
-
Em Nome do bucket, insira um nome DNS compatível com -para seu bucket.
O nome do bucket deve:
-
Seja exclusivo em todo o Amazon S3.
-
Ter entre 3 e 63 caracteres.
-
Não contém caracteres maiúsculos.
-
Começar com uma letra minúscula ou um número.
Depois de criado o bucket, você não pode mudar seu nome. Garanta que o nome do bucket escolhido seja exclusivo entre todos os nomes de buckets existentes no Amazon S3. Para obter mais informações sobre as regras e convenções de nomeação buckets, consulte Restrições e limitações de buckets no Guia do usuário do Amazon Simple Storage Service.
Importante
Evite incluir informações confidenciais no nome do bucket. O nome do bucket é visível URLs nesse ponto para os objetos no bucket.
-
-
Em Região, escolha a AWS região em que você deseja que o bucket resida.
Escolha uma região próxima de você para minimizar a latência e os custos e atender aos requisitos regulatórios. Os objetos armazenados em uma região nunca saem dessa região, a menos que você os transfira para outra região. Para obter uma lista das AWS regiões do Amazon S3, consulte os endpoints AWS de serviço no. Referência geral da Amazon Web Services
-
Em Bucket settings for Block Public Access (Configurações de bucket para o Bloqueio de acesso público), escolha as configurações de bloqueio de acesso público que deseja aplicar ao bucket.
Recomendamos que você deixe todas as configurações ativadas, a menos que saiba que precisa desativar uma ou mais delas para seu caso de uso, como para hospedar um site público. As configurações de bloqueio de acesso público que você habilitar para o bucket também serão ativadas para todos os pontos de acesso criados no bucket. Para obter mais informações sobre como bloquear o acesso público, consulte Usar o bloqueio de acesso público do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.
-
(Opcional) Se você quiser habilitar o bloqueio de objetos do S3:
-
Escolha Configurações avançadas e leia a mensagem exibida.
Importante
Você só pode habilitar o bloqueio de objetos do S3 para um bucket ao criá-lo. Se você habilitar o bloqueio de objetos para o bucket, não poderá desabilitá-lo mais tarde. A ativação do bloqueio de objetos também permite o versionamento para o bucket. Depois de habilitar o bloqueio de objetos para o bucket, você deve definir as configurações de bloqueio de objetos antes que qualquer objeto no bucket seja protegido. Para obter mais informações sobre como configurar a proteção de objetos, consulte Configurar o bloqueio de objetos do S3 usando o console do Amazon S3.
-
Se quiser ativar o bloqueio de objetos, insira enable na caixa de texto e escolha Confirm (Confirmar).
Para obter mais informações sobre o recurso Bloqueio de Objetos do S3, consulte Usar o bloqueio de objetos do S3 no Guia do usuário do Amazon Simple Storage Service.
-
-
Escolha Criar bucket.
Ao usar o AWS SDKs para criar um bucket, você deve criar um cliente e, em seguida, usar o cliente para enviar uma solicitação para criar um bucket. Como prática recomendada, crie o cliente e o bucket na mesma Região da AWS. Se você não especificar uma região ao criar um cliente ou um bucket, o Amazon S3 usará a região padrão Leste dos EUA (Norte da Virgínia).
Para criar um cliente para acessar um endpoint de pilha dupla, você deve especificar um. Região da AWS Para obter mais informações, consulte Endpoints de pilha dupla do Amazon S3. Para obter uma lista dos disponíveis Regiões da AWS, consulte Regiões e endpoints no Referência geral da AWS.
Ao criar um cliente, a região mapeia para o endpoint específico da região. O cliente usa esse endpoint para se comunicar com o Amazon S3: s3.
. Se a sua região foi lançada após 20 de março de 2019,, seu cliente e bucket devem estar na mesma região. No entanto, é possível usar um cliente na região Leste dos EUA (Norte da Virgínia) para criar um bucket em qualquer região iniciada antes de 20 de março de 2019. Para obter mais informações, consulte Endpoints herdados.<region>
.amazonaws.com
Esses exemplos AWS SDK de código executam as seguintes tarefas:
-
Crie um cliente especificando explicitamente uma região da Região da AWS: no exemplo, o cliente usa o endpoint
s3.us-west-2.amazonaws.com
para se comunicar com o Amazon S3. É possível especificar qualquer Região da AWS. Para obter uma lista de Regiões da AWS, consulte Regiões e endpoints na Referência AWS geral. -
Envie uma solicitação de bucket de criação especificando apenas um nome de bucket — O cliente envia uma solicitação ao Amazon S3 para criar o bucket na região onde você criou um cliente.
-
Recupere as informações sobre a localização do bucket. O Amazon S3 armazena as informações de localização do bucket no sub-recurso location que está associado ao bucket.
Os exemplos de código a seguir mostram como usar o CreateBucket
.
nota
Você também pode usar um bucket do Amazon S3 de uma conta diferente, mas pode ser necessário criar uma política para o bucket que conceda permissões de acesso para o AWS Config. Para obter informações sobre a concessão de permissões para um bucket do S3, consulte Permissões para o bucket Amazon S3 para o AWS Config canal de entrega e, em seguida, vá para Etapa 2: Criando um SNS tópico na Amazon.
Etapa 2: Criando um SNS tópico na Amazon
Se você já tem um SNS tópico da Amazon em sua conta e quer usá-lo, pule esta etapa e vá paraEtapa 3: Criar uma IAM função.
Para criar um SNS tópico na Amazon
Abra o SNS console da Amazon em https://console.aws.amazon.com/sns/v3/home
. -
Execute um destes procedimentos:
-
Se nenhum tópico foi criado Conta da AWS antes, leia a descrição da Amazon SNS na página inicial.
-
Se os tópicos já tiverem sido criados abaixo Conta da AWS do seu, no painel de navegação, escolha Tópicos.
-
-
Na página Tópicos, escolha Criar tópico.
-
Na página Criar tópico, na seção Detalhes, faça o seguinte:
-
Em Tipo, escolha um tipo de tópico (Padrão ou FIFO).
-
Insira um Nome para o tópico. Para um FIFOtópico, adicione.fifo ao final do nome.
-
(Opcional) Insira um Nome de exibição para o tópico.
-
(Opcional) Para um FIFO tópico, você pode escolher a desduplicação de mensagens baseada em conteúdo para habilitar a desduplicação de mensagens padrão. Para obter mais informações, consulte Desduplicação de mensagens para FIFO ver os tópicos.
-
-
(Opcional) Expanda a seção Criptografia e faça o seguinte. Para obter mais informações, consulte Criptografia em repouso.
-
Selecione Habilitar criptografia.
-
Especifique a chave mestra do cliente (CMK). Para obter mais informações, consulte Termos de chaves.
Para cada CMK tipo, a Descrição, a Conta e CMKARNsão exibidos.
Importante
Se você não for o proprietário doCMK, ou se fizer login com uma conta que não tenha as
kms:DescribeKey
permissõeskms:ListAliases
e, você não poderá visualizar informações sobre o CMK no SNS console da Amazon.Peça ao proprietário do que CMK lhe conceda essas permissões. Para obter mais informações, consulte a Referência de AWS KMS API permissões: ações e recursos no Guia do AWS Key Management Service desenvolvedor.
-
O AWS gerenciado CMK para Amazon SNS (padrão) alias/aws/sns é selecionado por padrão.
nota
Lembre-se do seguinte:
-
A primeira vez que você usa o AWS Management Console para especificar o AWS gerenciado CMK para a Amazon SNS para um tópico, AWS KMS cria o AWS gerenciado CMK para a AmazonSNS.
-
Como alternativa, na primeira vez em que você usa a
Publish
ação em um tópico com SSE ativada, AWS KMS cria a ação AWS gerenciada CMK para a AmazonSNS.
-
-
Para usar uma personalizada CMK da sua Conta da AWS, escolha o campo Chave mestra do cliente (CMK) e escolha a personalizada na CMK lista.
nota
Para obter instruções sobre como criar chaves personalizadasCMKs, consulte Criação de chaves no Guia do AWS Key Management Service desenvolvedor
-
Para usar uma conta personalizada CMK ARN da sua Conta da AWS ou de outra AWS conta, insira-a no campo Chave mestra do cliente (CMK).
-
-
-
(Opcional) Por padrão, somente o proprietário do tópico pode publicar ou assinar o tópico. Para configurar permissões de acesso adicionais, expanda a seção Política de acesso. Para obter mais informações, consulte Gerenciamento de identidade e acesso na Amazon SNS e exemplos de casos para controle de SNS acesso da Amazon.
nota
Quando você cria um tópico usando o console, a política padrão usa a chave de condição
aws:SourceOwner
. Essa chave é semelhante aaws:SourceAccount
. -
(Opcional) Para configurar como a Amazon SNS tenta novamente tentativas malsucedidas de entrega de mensagens, expanda a seção Política de nova tentativa de entrega (HTTP/S). Para obter mais informações, consulte Tentativas de entrega de SNS mensagens da Amazon.
-
(Opcional) Para configurar como a Amazon SNS registra a entrega de mensagens CloudWatch, expanda a seção Registro de status de entrega. Para obter mais informações, consulte o status de entrega de SNS mensagens da Amazon.
-
(Opcional) Para adicionar tags de metadados ao tópico, expanda a seção Tags, insira uma Chave e um Valor (opcional) e escolha Adicionar tag. Para obter mais informações, consulte Marcação de SNS tópicos da Amazon.
-
Escolha Criar tópico.
O tópico é criado e a
MyTopic
página é exibida.O nome do tópico ARN, o nome de exibição (opcional) e o ID da AWS conta do proprietário do tópico são exibidos na seção Detalhes.
-
Copie o tópico ARN para a área de transferência, por exemplo:
arn:aws:sns:us-east-2:123456789012:MyTopic
Para inscrever um endereço de e-mail no SNS tópico da Amazon
Abra o SNS console da Amazon em https://console.aws.amazon.com/sns/v3/home
. -
No painel de navegação à esquerda, selecione Assinaturas.
-
Na página Assinaturas, escolha Criar assinatura.
-
Na página Criar assinatura, na seção Detalhes, faça o seguinte:
-
ARNEm Tópico, escolha o Amazon Resource Name (ARN) de um tópico.
-
Em Protocolo, escolha um tipo de endpoint. Os tipos de endpoint disponíveis são:
-
nota
Para assinar um SNSFIFOtópico, escolha essa opção.
-
Em Endpoint, insira o valor do endpoint, como um endereço de e-mail ou o ARN de uma fila da AmazonSQS.
-
Somente endpoints do Firehose: para a função Subscription ARN, especifique a IAM função que você criou para gravar nos streams ARN de entrega do Firehose. Para obter mais informações, consulte Pré-requisitos para inscrever streams de entrega do Firehose nos tópicos da Amazon. SNS
-
(Opcional) Para endpoints FirehoseSQS, Amazon, HTTP /S, você também pode ativar a entrega de mensagens brutas. Para obter mais informações, consulte Entrega de mensagens SNS brutas da Amazon.
-
(Opcional) Para configurar uma política de filtros, expanda a seção Subscription filter policy (Política de filtro de assinatura). Para obter mais informações, consulte as políticas de filtro de SNS assinatura da Amazon.
-
(Opcional) Para configurar uma fila de mensagens não entregues para a assinatura, expanda a seção Redrive policy (dead-letter queue) (Política de redirecionamento (fila de mensagens não entregues)). Para obter mais informações, consulte Amazon SNS dead-letter queues (). DLQs
-
Selecione Create subscription.
O console cria a assinatura e abre a página Details (Detalhes) da assinatura.
-
Para usar um AWS SDK, você deve configurá-lo com suas credenciais. Para obter mais informações, consulte Os arquivos compartilhados de configuração e credenciais no Guia de referência de ferramentas AWS SDKs e ferramentas.
Os exemplos de código a seguir mostram como usar o CreateTopic
.
nota
Você também pode usar um SNS tópico da Amazon em uma conta diferente, mas, nesse caso, talvez seja necessário criar uma política para o tópico que conceda permissões de acesso AWS Config a. Para obter informações sobre como conceder permissões para um SNS tópico da Amazon, consulte Permissões para o SNS tópico da Amazon e acesseEtapa 3: Criar uma IAM função.
Etapa 3: Criar uma IAM função
Importante
(Recomendado) Use a função AWS Config vinculada ao serviço
É recomendável usar a função AWS Config vinculada ao serviço:. AWSServiceRoleForConfig
As funções vinculadas ao serviço são predefinidas e incluem todas as permissões AWS Config necessárias para chamar outras pessoas. Serviços da AWS A função AWS Config vinculada ao serviço é necessária para gravadores de configuração vinculados ao serviço.
Para obter mais informações, consulte Uso de funções vinculadas ao serviço para o AWS Config.
Você pode usar o IAM console para criar uma IAM função que conceda AWS Config permissões para acessar seu bucket do Amazon S3, acessar seu SNS tópico da Amazon e obter detalhes de configuração dos recursos suportados AWS . Quando você usa o console para criar uma IAM função, anexa AWS Config automaticamente as permissões necessárias à função para você.
nota
Se você usou um AWS serviço que usa AWS Config (como AWS Security Hub ou AWS Control Tower) e uma AWS Config função já foi criada, certifique-se de que a IAM função usada durante a configuração AWS Config mantenha os mesmos privilégios mínimos da AWS Config função já criada para que o outro AWS serviço continue sendo executado conforme o esperado.
Por exemplo, se a AWS Control Tower tiver uma IAM função que AWS Config permita ler objetos do Amazon S3, você deve garantir que as mesmas permissões sejam concedidas dentro da IAM função que você usa ao configurar. AWS Config Caso contrário, isso pode interferir nas operações da Torre de AWS Controle.
Para obter mais informações sobre IAM funções para AWS Config, consulte AWS Identity and Access Management.
Para criar uma função para um AWS serviço
Faça login no AWS Management Console e abra o IAM console em https://console.aws.amazon.com/iam/
. -
No painel de navegação do console do IAM, escolha Funções e, em seguida, Criar função.
-
Em Select trusted entity (Selecionar entidade confiável), escolha AWS Service (Serviço).
-
Escolha o caso de uso que você deseja para AWS Config: Config - Customizable, Config - Organizations, Config ou Config - Conformance Packs. Em seguida, escolha Próximo.
-
Na página Nomear, revisar e criar, analise os detalhes do perfil e selecione Criar perfil.
Para usar um AWS SDK, você deve configurá-lo com suas credenciais. Para obter mais informações, consulte Os arquivos compartilhados de configuração e credenciais no Guia de referência de ferramentas AWS SDKs e ferramentas.
Os exemplos de código a seguir mostram como usar o CreateRole
.