Começando AWS Config com o AWS CLI - AWS Config
put-configuration-recorderput-delivery-channelstart-configuration-recorder

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Começando AWS Config com o AWS CLI

nota

Antes de configurar AWS Config com o AWS CLI, você precisa criar um bucket do S3, um tópico do SNS e uma função do IAM com políticas anexadas como pré-requisitos. Em seguida, você pode usar o AWS CLI para especificar o bucket, o tópico e a função do AWS Config. Para configurar seus pré-requisitos, consulte Pré-requisitos AWS Config.

Para começar AWS Config com o AWS CLI, use os start-configuration-recordercomandos put-configuration-recorderput-delivery-channel, e, da seguinte forma:

  • O comando put-configuration-recorder cria um novo gravador de configuração para registrar as configurações de recursos especificadas.

  • O comando put-delivery-channel cria um objeto de canal de entrega para fornecer informações de configuração a um bucket do S3 e a um tópico do SNS.

  • Depois que um canal de entrega é criado, o start-configuration-recorder começa a registrar as configurações de recursos selecionadas, que você pode consultar na sua conta da AWS .

nota

Você pode ter somente um gravador de configuração e um canal de entrega para cada região da AWS em sua conta.

Você pode especificar o nome do gravador e o Amazon Resource Name (ARN) da função do IAM assumida e usada AWS Config pelo gravador de configuração. AWS Config atribui automaticamente o nome de “padrão” ao criar o gravador de configuração. Não é possível alterar o nome do gravador de configuração depois de ele ser criado. Para alterar o nome do gravador de configuração, você deverá excluí-lo e criar um novo gravador de configuração com um novo nome.

AWS Config Para configurar a agregação de dados multirregionais de várias contas com o AWS CLI, consulte Configurando um agregador usando a AWS interface de linha de comando. Você deve criar um gravador de configuração separado para cada região em cada AWS conta na qual deseja registrar os itens de configuração.

put-configuration-recorder

O comando put-configuration-recorder deve se parecer com o exemplo seguinte.

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

Esse comando usa --configuration-recorder os ---recording-group campos e.

nota

Grupo de gravação e gravador de configuração

O campo --recording-group especifica quais tipos de recursos são gravados.

O --configuration-recorder campo especifica name e roleArn também a frequência de gravação padrão para o gravador de configuração ()recordingMode. Também é possível usar esse campo para substituir a frequência de gravação de tipos de recursos específicos.

O put-configuration-recorder usa as seguintes opções para o parâmetro --recording-group:

  • allSupported=true— AWS Config registra as alterações na configuração de todos os tipos de recursos compatíveis, excluindo os tipos globais de recursos do IAM. Quando AWS Config adiciona suporte para um novo tipo de recurso, inicia AWS Config automaticamente a gravação de recursos desse tipo.

  • includeGlobalResourceTypes=true: essa opção é um pacote que se aplica apenas aos tipos globais de recursos do IAM: usuários, grupos, perfis e políticas gerenciadas pelo cliente do IAM. Esses tipos de recursos globais do IAM só podem ser registrados AWS Config em regiões onde AWS Config estavam disponíveis antes de fevereiro de 2022. Você não pode registrar os tipos de recursos globais do IAM nas regiões com suporte AWS Config após fevereiro de 2022. Essa lista em que você não pode gravar os tipos de recursos globais do IAM inclui as seguintes regiões:

    • Ásia-Pacífico (Hyderabad)

    • Ásia-Pacífico (Melbourne)

    • Oeste do Canadá (Calgary)

    • Europa (Espanha)

    • Europa (Zurique)

    • Israel (Tel Aviv)

    • Oriente Médio (Emirados Árabes Unidos)

    Importante

    Os clusters globais do Aurora são gravados em todas as regiões habilitadas

    O tipo de AWS::RDS::GlobalCluster recurso será registrado em todas as AWS Config regiões suportadas nas quais o gravador de configuração está ativado, mesmo se includeGlobalResourceTypes estiver definido como. false A opção includeGlobalResourceTypes é um pacote que se aplica apenas a usuários, grupos e perfis do IAM, além de políticas gerenciadas pelo cliente.

    Se você não quiser registrar AWS::RDS::GlobalCluster em todas as regiões habilitadas, use uma das seguintes estratégias de registro:

    1. Registrar todos os tipos de recursos atuais e futuros com exclusões (EXCLUSION_BY_RESOURCE_TYPES)

    2. Registrar tipos de recursos específicos (INCLUSION_BY_RESOURCE_TYPES)

    Para obter mais informações, consulte Selecting Which Resources are Recorded.

    Importante

    includeGlobalResourceTipos e a estratégia de registro de exclusão

    O includeGlobalResourceTypes campo não tem impacto na estratégia EXCLUSION_BY_RESOURCE_TYPES de gravação. Isso significa que os tipos globais de recursos do IAM (usuários, grupos, funções e políticas gerenciadas pelo cliente do IAM) não serão adicionados automaticamente como exclusões de exclusionByResourceTypes quando includeGlobalResourceTypes estiver definido como. false

    O includeGlobalResourceTypes campo só deve ser usado para modificar o AllSupported campo, pois o padrão para o AllSupported campo é registrar as alterações de configuração para todos os tipos de recursos compatíveis, exceto os tipos de recursos globais do IAM. Para incluir os tipos de recursos globais do IAM quando AllSupported estiver definido comotrue, certifique-se de includeGlobalResourceTypes definir comotrue.

    Para excluir os tipos de recursos globais do IAM para a estratégia de EXCLUSION_BY_RESOURCE_TYPES gravação, você precisa adicioná-los manualmente ao resourceTypes campo deexclusionByResourceTypes.

    nota

    Campos obrigatórios e opcionais

    Para definir includeGlobalResourceTypes como true, defina o campo allSupported como true.

    Também há a opção de definir o campo useOnly de RecordingStrategy como ALL_SUPPORTED_RESOURCE_TYPES.

    nota

    Campos de substituição

    Se você includeGlobalResourceTypes definir comofalse, mas listar os tipos globais de recursos do IAM no resourceTypes campo de RecordingGroup, ainda AWS Config registrará as alterações de configuração para esses tipos de recursos especificados, independentemente de você definir o includeGlobalResourceTypes campo como false.

    Se você não quiser gravar as alterações na configuração dos tipos globais de recursos do IAM (usuários, grupos e perfis do IAM e políticas gerenciadas pelo cliente), não as liste no campo resourceTypes, além de definir o campo includeGlobalResourceTypes como falso.

  • recordingStrategy: especifica a estratégia de registro para o gravador de configuração. O arquivo recordingGroup.json especifica que tipos de recursos o AWS Config registrará:

    • Se você definir o useOnly campo de RecordingStrategyparaALL_SUPPORTED_RESOURCE_TYPES, AWS Config registrará as alterações de configuração para todos os tipos de recursos compatíveis, excluindo os tipos de recursos globais do IAM. Opcionalmente, você pode definir o allSupported campo de RecordingGroupparatrue. Quando AWS Config adiciona suporte para um novo tipo de recurso, inicia AWS Config automaticamente a gravação de recursos desse tipo.

    • Se você definir o useOnly campo de RecordingStrategycomoINCLUSION_BY_RESOURCE_TYPES, AWS Config registrará as alterações de configuração somente para os tipos de recursos especificados no resourceTypes campo de RecordingGroup.

    • Se você definir o useOnly campo de RecordingStrategyparaEXCLUSION_BY_RESOURCE_TYPES, AWS Config registra as alterações de configuração para todos os tipos de recursos suportados, exceto os tipos de recursos que você especifica para excluir do registro no resourceTypes campo de ExclusionByResourceTypes.

    nota

    Campos obrigatórios e opcionais

    O campo recordingStrategy é opcional quando você define o campo allSupported de --recording-group para true.

    O campo recordingStrategy é opcional quando você lista os tipos de recursos no campo resourceTypes de --recording-group.

    O campo recordingStrategy é obrigatório se você listar os tipos de recursos a serem excluídos do registro no campo resourceTypes de exclusionByResourceTypes.

    nota

    Campos de substituição

    Se você escolher EXCLUSION_BY_RESOURCE_TYPES para a estratégia de gravação, o campo exclusionByResourceTypes substituirá outras propriedades na solicitação.

    Por exemplo, mesmo que você defina includeGlobalResourceTypes como falso, os tipos globais de recursos do IAM gravados globalmente serão automaticamente gravados nessa opção, a menos que esses tipos de recursos sejam especificamente listados como exceções no campo resourceTypes de exclusionByResourceTypes.

    nota

    Tipos de recursos globais e a estratégia de gravação de exclusão de recursos

    Por padrão, se você escolher a estratégia de EXCLUSION_BY_RESOURCE_TYPES gravação, quando AWS Config adiciona suporte para um novo tipo de recurso na região em que você configurou o gravador de configuração, incluindo tipos de recursos globais, AWS Config começa a gravar recursos desse tipo automaticamente.

    A menos que seja especificamente listado como exclusões, AWS::RDS::GlobalCluster será gravado automaticamente em todas as AWS Config regiões suportadas onde o gravador de configuração estiver ativado.

    Usuários, grupos, funções e políticas gerenciadas pelo cliente do IAM serão registrados na região em que você configurou o gravador de configuração, se essa for uma região em que AWS Config estava disponível antes de fevereiro de 2022. Você não pode registrar os tipos de recursos globais do IAM nas regiões com suporte AWS Config após fevereiro de 2022. Essa lista em que você não pode gravar os tipos de recursos globais do IAM inclui as seguintes regiões:

    • Ásia-Pacífico (Hyderabad)

    • Ásia-Pacífico (Melbourne)

    • Oeste do Canadá (Calgary)

    • Europa (Espanha)

    • Europa (Zurique)

    • Israel (Tel Aviv)

    • Oriente Médio (Emirados Árabes Unidos)

    O exemplo a seguir mostra a sintaxe de solicitação do recordingGroup.json.

    { 
    "allSupported": boolean,
    "exclusionByResourceTypes": { 
        "resourceTypes": [ Comma-separated list of resource types to exclude ]
    },
    "includeGlobalResourceTypes": boolean,
    "recordingStrategy": { 
        "useOnly": "Recording strategy for the configuration recorder"
    },
    "resourceTypes": [ Comma-separated list of resource types to include]
}
    nota

    Função preexistente AWS Config

    Se você usou um AWS serviço que usa AWS Config, como AWS Security Hub ou AWS Control Tower, e uma AWS Config função já foi criada, certifique-se de que a função do IAM que você usa durante a configuração AWS Config mantenha as mesmas permissões mínimas da AWS Config função já criada. Você deve fazer isso para que o outro AWS serviço continue funcionando conforme o esperado.

    Por exemplo, se AWS Control Tower tiver uma função do IAM que AWS Config permite ler objetos do Amazon Simple Storage Service (Amazon S3), certifique-se de que as mesmas permissões sejam concedidas dentro da função do IAM que você usa ao configurar. AWS Config Caso contrário, isso pode interferir na forma como AWS Control Tower opera. Para obter mais informações sobre as funções do IAM para AWS Config, consulte Identity and Access Management for AWS Config.

    nota

    Alto número de AWS Config avaliações

    Você pode notar um aumento na atividade em sua conta durante a gravação do mês inicial com o AWS Config em comparação com os meses subsequentes. Durante o processo inicial de inicialização, AWS Config executa avaliações em todos os recursos da sua conta que você selecionou para serem registrados. AWS Config

    Se você estiver executando cargas de trabalho efêmeras, poderá observar um aumento na atividade ao registrar AWS Config as alterações de configuração associadas à criação e exclusão desses recursos temporários. Um workload efêmero é um uso temporário de recursos de computação que são carregados e executados quando necessário. Exemplos incluem instâncias spot do Amazon Elastic Compute Cloud (Amazon EC2), trabalhos do Amazon EMR e o AWS Auto Scaling. Se quiser evitar o aumento da atividade decorrente da execução de workloads efêmeros, você pode executar esses tipos de workloads em uma conta separada, com o AWS Config desativado, para evitar aumento nos registros de configurações e avaliações de regras.

    nota

    Disponibilidade de regiões

    Antes de especificar um tipo de recurso AWS Config para rastrear, verifique a disponibilidade da cobertura de recursos por região para ver se o tipo de recurso é suportado na AWS região em que você está AWS Config configurando. Se um tipo de recurso for suportado AWS Config em pelo menos uma região, você poderá habilitar o registro desse tipo de recurso em todas as regiões com suporte AWS Config, mesmo que o tipo de recurso especificado não seja suportado na AWS região em que você está configurando AWS Config.

O put-configuration-recorder usa os seguintes campos para o parâmetro --configuration-recorder:

  • name— O nome do gravador de configuração. AWS Config atribui automaticamente o nome de “padrão” ao criar o gravador de configuração.

  • roleARN— Amazon Resource Name (ARN) da função do IAM assumida AWS Config e usada pelo gravador de configuração.

  • recordingMode— Especifica a frequência de gravação padrão AWS Config usada para registrar as alterações de configuração. AWS Config suporta gravação contínua e gravação diária. A gravação contínua possibilita gravar as alterações na configuração de modo contínuo sempre que ocorre uma alteração. Gravação contínua: você vai receber um item de configuração (CI) que representa o estado mais recente dos recursos no último período de 24 horas, somente se for diferente do CI anterior gravado.

    • recordingFrequency— A frequência de gravação padrão AWS Config usada para registrar alterações na configuração.

      nota

      AWS Firewall Manager depende da gravação contínua para monitorar seus recursos. Se você estiver usando o Firewall Manager, é recomendável definir a frequência de gravação como Contínua.

    • recordingModeOverrides: esse campo permite especificar as substituições para o modo de gravação. É uma matriz de objetos recordingModeOverride. Cada objeto recordingModeOverride na matriz recordingModeOverrides consiste em três campos:

      • description: uma descrição fornecida para a substituição.

      • recordingFrequency: a frequência de gravação que será aplicada a todos os tipos de recursos especificados na substituição.

      • resourceTypes— Uma lista separada por vírgulas que especifica quais tipos de recursos AWS Config estão incluídos na substituição.

nota

Campos obrigatórios e opcionais

O campo recordingMode para put-configuration-recorder é opcional. Por padrão, a frequência de gravação do gravador de configuração é definida como gravação contínua.

nota

Limites

A gravação diária não é compatível com os seguintes tipos de recursos:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Para a estratégia de gravação Registrar todos os tipos de recursos compatíveis atuais e futuros (ALL_SUPPORTED_RESOURCE_TYPES), esses tipos de recursos serão definidos como Gravação contínua.

O configurationRecorder.json arquivo especifica name e roleArn também a frequência de gravação padrão para o gravador de configuração ()recordingMode. Também é possível usar esse campo para substituir a frequência de gravação de tipos de recursos específicos.

{
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

put-delivery-channel

Use o comando put-delivery-channel para configurar o canal de entrega.

$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

O arquivo deliveryChannel.json especifica os atributos do canal de entrega.

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Esse exemplo define os seguintes atributos:

  • name: o nome do canal de entrega. Por padrão, AWS Config atribui o nome de default a um novo canal de entrega.

    Você não pode atualizar o nome do canal de entrega com o comando put-delivery-channel. Sobre as etapas para alterar o nome, consulte Renomear o canal de entrega.

  • s3BucketName— O nome do bucket S3 onde AWS Config fornece instantâneos de configuração e arquivos de histórico de configuração.

    Se você especificar um bucket que pertença a outra AWS conta, esse bucket deverá ter políticas que concedam permissões de acesso AWS Config a. Para ter mais informações, consulte Permissões para o bucket Amazon S3 para o AWS Config canal de entrega.

  • snsTopicARN— O Amazon Resource Name (ARN) do tópico Amazon SNS, AWS Config onde envia notificações sobre alterações na configuração.

    Se você escolher um tópico de outra conta, esse tópico deverá ter políticas que concedam permissões de acesso AWS Config a. Para ter mais informações, consulte Permissões para o tópico do Amazon SNS.

  • configSnapshotDeliveryProperties— Contém o deliveryFrequency atributo, que define a frequência com que AWS Config fornece instantâneos de configuração.

start-configuration-recorder

Para finalizar a ativação AWS Config, use o start-configuration-recordercomando.

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName