As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Começando AWS Config com o AWS CLI
nota
Antes de configurar AWS Config com o AWS CLI, você precisa criar um bucket do S3, um tópico do SNS e uma função do IAM com políticas anexadas como pré-requisitos. Em seguida, você pode usar o AWS CLI para especificar o bucket, o tópico e a função do AWS Config. Para configurar seus pré-requisitos, consulte Pré-requisitos AWS Config.
Para começar AWS Config com o AWS CLI, use os start-configuration-recordercomandos put-configuration-recorderput-delivery-channel, e, da seguinte forma:
O comando
put-configuration-recorder
cria um novo gravador de configuração para registrar as configurações de recursos especificadas.O comando
put-delivery-channel
cria um objeto de canal de entrega para fornecer informações de configuração a um bucket do S3 e a um tópico do SNS.Depois que um canal de entrega é criado, o
start-configuration-recorder
começa a registrar as configurações de recursos selecionadas, que você pode consultar na sua conta da AWS .
nota
Você pode ter somente um gravador de configuração e um canal de entrega para cada região da AWS em sua conta.
Você pode especificar o nome do gravador e o Amazon Resource Name (ARN) da função do IAM assumida e usada AWS Config pelo gravador de configuração. AWS Config atribui automaticamente o nome de “padrão” ao criar o gravador de configuração. Não é possível alterar o nome do gravador de configuração depois de ele ser criado. Para alterar o nome do gravador de configuração, você deverá excluí-lo e criar um novo gravador de configuração com um novo nome.
AWS Config Para configurar a agregação de dados multirregionais de várias contas com o AWS CLI, consulte Configurando um agregador usando a AWS interface de linha de comando. Você deve criar um gravador de configuração separado para cada região em cada AWS conta na qual deseja registrar os itens de configuração.
put-configuration-recorder
O comando put-configuration-recorder
deve se parecer com o exemplo seguinte.
$ aws configservice put-configuration-recorder \ --configuration-recorder
file://configurationRecorder.json
\ --recording-groupfile://recordingGroup.json
Esse comando usa --configuration-recorder
os ---recording-group
campos e.
nota
Grupo de gravação e gravador de configuração
O campo --recording-group
especifica quais tipos de recursos são gravados.
O --configuration-recorder
campo especifica name
e roleArn
também a frequência de gravação padrão para o gravador de configuração ()recordingMode
. Também é possível usar esse campo para substituir a frequência de gravação de tipos de recursos específicos.
O put-configuration-recorder
usa as seguintes opções para o parâmetro --recording-group
:
-
allSupported=true
— AWS Config registra as alterações na configuração de todos os tipos de recursos compatíveis, excluindo os tipos globais de recursos do IAM. Quando AWS Config adiciona suporte para um novo tipo de recurso, inicia AWS Config automaticamente a gravação de recursos desse tipo. -
includeGlobalResourceTypes=true
: essa opção é um pacote que se aplica apenas aos tipos globais de recursos do IAM: usuários, grupos, perfis e políticas gerenciadas pelo cliente do IAM. Esses tipos de recursos globais do IAM só podem ser registrados AWS Config em regiões onde AWS Config estavam disponíveis antes de fevereiro de 2022. Você não pode registrar os tipos de recursos globais do IAM nas regiões com suporte AWS Config após fevereiro de 2022. Essa lista em que você não pode gravar os tipos de recursos globais do IAM inclui as seguintes regiões:Ásia-Pacífico (Hyderabad)
Ásia-Pacífico (Melbourne)
Oeste do Canadá (Calgary)
Europa (Espanha)
Europa (Zurique)
Israel (Tel Aviv)
Oriente Médio (Emirados Árabes Unidos)
Importante
Os clusters globais do Aurora são gravados em todas as regiões habilitadas
O tipo de
AWS::RDS::GlobalCluster
recurso será registrado em todas as AWS Config regiões suportadas nas quais o gravador de configuração está ativado, mesmo seincludeGlobalResourceTypes
estiver definido como.false
A opçãoincludeGlobalResourceTypes
é um pacote que se aplica apenas a usuários, grupos e perfis do IAM, além de políticas gerenciadas pelo cliente.Se você não quiser registrar
AWS::RDS::GlobalCluster
em todas as regiões habilitadas, use uma das seguintes estratégias de registro:Registrar todos os tipos de recursos atuais e futuros com exclusões (
EXCLUSION_BY_RESOURCE_TYPES
)Registrar tipos de recursos específicos (
INCLUSION_BY_RESOURCE_TYPES
)
Para obter mais informações, consulte Selecting Which Resources are Recorded.
Importante
includeGlobalResourceTipos e a estratégia de registro de exclusão
O
includeGlobalResourceTypes
campo não tem impacto na estratégiaEXCLUSION_BY_RESOURCE_TYPES
de gravação. Isso significa que os tipos globais de recursos do IAM (usuários, grupos, funções e políticas gerenciadas pelo cliente do IAM) não serão adicionados automaticamente como exclusões deexclusionByResourceTypes
quandoincludeGlobalResourceTypes
estiver definido como.false
O
includeGlobalResourceTypes
campo só deve ser usado para modificar oAllSupported
campo, pois o padrão para oAllSupported
campo é registrar as alterações de configuração para todos os tipos de recursos compatíveis, exceto os tipos de recursos globais do IAM. Para incluir os tipos de recursos globais do IAM quandoAllSupported
estiver definido comotrue
, certifique-se deincludeGlobalResourceTypes
definir comotrue
.Para excluir os tipos de recursos globais do IAM para a estratégia de
EXCLUSION_BY_RESOURCE_TYPES
gravação, você precisa adicioná-los manualmente aoresourceTypes
campo deexclusionByResourceTypes
.nota
Campos obrigatórios e opcionais
Para definir
includeGlobalResourceTypes
comotrue
, defina o campoallSupported
comotrue
.Também há a opção de definir o campo
useOnly
deRecordingStrategy
comoALL_SUPPORTED_RESOURCE_TYPES
.nota
Campos de substituição
Se você
includeGlobalResourceTypes
definir comofalse
, mas listar os tipos globais de recursos do IAM noresourceTypes
campo de RecordingGroup, ainda AWS Config registrará as alterações de configuração para esses tipos de recursos especificados, independentemente de você definir oincludeGlobalResourceTypes
campo como false.Se você não quiser gravar as alterações na configuração dos tipos globais de recursos do IAM (usuários, grupos e perfis do IAM e políticas gerenciadas pelo cliente), não as liste no campo
resourceTypes
, além de definir o campoincludeGlobalResourceTypes
como falso. -
recordingStrategy
: especifica a estratégia de registro para o gravador de configuração. O arquivorecordingGroup.json
especifica que tipos de recursos o AWS Config registrará:-
Se você definir o
useOnly
campo de RecordingStrategyparaALL_SUPPORTED_RESOURCE_TYPES
, AWS Config registrará as alterações de configuração para todos os tipos de recursos compatíveis, excluindo os tipos de recursos globais do IAM. Opcionalmente, você pode definir oallSupported
campo de RecordingGroupparatrue
. Quando AWS Config adiciona suporte para um novo tipo de recurso, inicia AWS Config automaticamente a gravação de recursos desse tipo. -
Se você definir o
useOnly
campo de RecordingStrategycomoINCLUSION_BY_RESOURCE_TYPES
, AWS Config registrará as alterações de configuração somente para os tipos de recursos especificados noresourceTypes
campo de RecordingGroup. Se você definir o
useOnly
campo de RecordingStrategyparaEXCLUSION_BY_RESOURCE_TYPES
, AWS Config registra as alterações de configuração para todos os tipos de recursos suportados, exceto os tipos de recursos que você especifica para excluir do registro noresourceTypes
campo de ExclusionByResourceTypes.
nota
Campos obrigatórios e opcionais
O campo
recordingStrategy
é opcional quando você define o campoallSupported
de--recording-group
paratrue
.O campo
recordingStrategy
é opcional quando você lista os tipos de recursos no camporesourceTypes
de--recording-group
.O campo
recordingStrategy
é obrigatório se você listar os tipos de recursos a serem excluídos do registro no camporesourceTypes
deexclusionByResourceTypes
.nota
Campos de substituição
Se você escolher
EXCLUSION_BY_RESOURCE_TYPES
para a estratégia de gravação, o campoexclusionByResourceTypes
substituirá outras propriedades na solicitação.Por exemplo, mesmo que você defina
includeGlobalResourceTypes
como falso, os tipos globais de recursos do IAM gravados globalmente serão automaticamente gravados nessa opção, a menos que esses tipos de recursos sejam especificamente listados como exceções no camporesourceTypes
deexclusionByResourceTypes
.nota
Tipos de recursos globais e a estratégia de gravação de exclusão de recursos
Por padrão, se você escolher a estratégia de
EXCLUSION_BY_RESOURCE_TYPES
gravação, quando AWS Config adiciona suporte para um novo tipo de recurso na região em que você configurou o gravador de configuração, incluindo tipos de recursos globais, AWS Config começa a gravar recursos desse tipo automaticamente.A menos que seja especificamente listado como exclusões,
AWS::RDS::GlobalCluster
será gravado automaticamente em todas as AWS Config regiões suportadas onde o gravador de configuração estiver ativado.Usuários, grupos, funções e políticas gerenciadas pelo cliente do IAM serão registrados na região em que você configurou o gravador de configuração, se essa for uma região em que AWS Config estava disponível antes de fevereiro de 2022. Você não pode registrar os tipos de recursos globais do IAM nas regiões com suporte AWS Config após fevereiro de 2022. Essa lista em que você não pode gravar os tipos de recursos globais do IAM inclui as seguintes regiões:
Ásia-Pacífico (Hyderabad)
Ásia-Pacífico (Melbourne)
Oeste do Canadá (Calgary)
Europa (Espanha)
Europa (Zurique)
Israel (Tel Aviv)
Oriente Médio (Emirados Árabes Unidos)
O exemplo a seguir mostra a sintaxe de solicitação do
recordingGroup.json
.{ "allSupported":
boolean
, "exclusionByResourceTypes": { "resourceTypes": [Comma-separated list of resource types to exclude
] }, "includeGlobalResourceTypes":boolean
, "recordingStrategy": { "useOnly": "Recording strategy for the configuration recorder
" }, "resourceTypes": [Comma-separated list of resource types to include
] }nota
Função preexistente AWS Config
Se você usou um AWS serviço que usa AWS Config, como AWS Security Hub ou AWS Control Tower, e uma AWS Config função já foi criada, certifique-se de que a função do IAM que você usa durante a configuração AWS Config mantenha as mesmas permissões mínimas da AWS Config função já criada. Você deve fazer isso para que o outro AWS serviço continue funcionando conforme o esperado.
Por exemplo, se AWS Control Tower tiver uma função do IAM que AWS Config permite ler objetos do Amazon Simple Storage Service (Amazon S3), certifique-se de que as mesmas permissões sejam concedidas dentro da função do IAM que você usa ao configurar. AWS Config Caso contrário, isso pode interferir na forma como AWS Control Tower opera. Para obter mais informações sobre as funções do IAM para AWS Config, consulte Identity and Access Management for AWS Config.
nota
Alto número de AWS Config avaliações
Você pode notar um aumento na atividade em sua conta durante a gravação do mês inicial com o AWS Config em comparação com os meses subsequentes. Durante o processo inicial de inicialização, AWS Config executa avaliações em todos os recursos da sua conta que você selecionou para serem registrados. AWS Config
Se você estiver executando cargas de trabalho efêmeras, poderá observar um aumento na atividade ao registrar AWS Config as alterações de configuração associadas à criação e exclusão desses recursos temporários. Um workload efêmero é um uso temporário de recursos de computação que são carregados e executados quando necessário. Exemplos incluem instâncias spot do Amazon Elastic Compute Cloud (Amazon EC2), trabalhos do Amazon EMR e o AWS Auto Scaling. Se quiser evitar o aumento da atividade decorrente da execução de workloads efêmeros, você pode executar esses tipos de workloads em uma conta separada, com o AWS Config desativado, para evitar aumento nos registros de configurações e avaliações de regras.
nota
Disponibilidade de regiões
Antes de especificar um tipo de recurso AWS Config para rastrear, verifique a disponibilidade da cobertura de recursos por região para ver se o tipo de recurso é suportado na AWS região em que você está AWS Config configurando. Se um tipo de recurso for suportado AWS Config em pelo menos uma região, você poderá habilitar o registro desse tipo de recurso em todas as regiões com suporte AWS Config, mesmo que o tipo de recurso especificado não seja suportado na AWS região em que você está configurando AWS Config.
-
O put-configuration-recorder
usa os seguintes campos para o parâmetro --configuration-recorder
:
name
— O nome do gravador de configuração. AWS Config atribui automaticamente o nome de “padrão” ao criar o gravador de configuração.roleARN
— Amazon Resource Name (ARN) da função do IAM assumida AWS Config e usada pelo gravador de configuração.recordingMode
— Especifica a frequência de gravação padrão AWS Config usada para registrar as alterações de configuração. AWS Config suporta gravação contínua e gravação diária. A gravação contínua possibilita gravar as alterações na configuração de modo contínuo sempre que ocorre uma alteração. Gravação contínua: você vai receber um item de configuração (CI) que representa o estado mais recente dos recursos no último período de 24 horas, somente se for diferente do CI anterior gravado.-
recordingFrequency
— A frequência de gravação padrão AWS Config usada para registrar alterações na configuração.nota
AWS Firewall Manager depende da gravação contínua para monitorar seus recursos. Se você estiver usando o Firewall Manager, é recomendável definir a frequência de gravação como Contínua.
-
recordingModeOverrides
: esse campo permite especificar as substituições para o modo de gravação. É uma matriz de objetosrecordingModeOverride
. Cada objetorecordingModeOverride
na matrizrecordingModeOverrides
consiste em três campos:description
: uma descrição fornecida para a substituição.recordingFrequency
: a frequência de gravação que será aplicada a todos os tipos de recursos especificados na substituição.resourceTypes
— Uma lista separada por vírgulas que especifica quais tipos de recursos AWS Config estão incluídos na substituição.
-
nota
Campos obrigatórios e opcionais
O campo recordingMode
para put-configuration-recorder
é opcional. Por padrão, a frequência de gravação do gravador de configuração é definida como gravação contínua.
nota
Limites
A gravação diária não é compatível com os seguintes tipos de recursos:
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
Para a estratégia de gravação Registrar todos os tipos de recursos compatíveis atuais e futuros (ALL_SUPPORTED_RESOURCE_TYPES
), esses tipos de recursos serão definidos como Gravação contínua.
O configurationRecorder.json
arquivo especifica name
e roleArn
também a frequência de gravação padrão para o gravador de configuração ()recordingMode
. Também é possível usar esse campo para substituir a frequência de gravação de tipos de recursos específicos.
{ "name": "default", "roleARN": "
arn:aws:iam::123456789012:role/config-role
", "recordingMode": { "recordingFrequency":CONTINUOUS
orDAILY
, "recordingModeOverrides": [ { "description": "Description you provide for the override
", "recordingFrequency":CONTINUOUS
orDAILY
, "resourceTypes": [Comma-separated list of resource types to include in the override
] } ] } }
put-delivery-channel
Use o comando put-delivery-channel
para configurar o canal de entrega.
$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json
O arquivo deliveryChannel.json especifica os atributos do canal de entrega.
{ "name": "default", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }
Esse exemplo define os seguintes atributos:
-
name
: o nome do canal de entrega. Por padrão, AWS Config atribui o nome dedefault
a um novo canal de entrega.Você não pode atualizar o nome do canal de entrega com o comando
put-delivery-channel
. Sobre as etapas para alterar o nome, consulte Renomear o canal de entrega. -
s3BucketName
— O nome do bucket S3 onde AWS Config fornece instantâneos de configuração e arquivos de histórico de configuração.Se você especificar um bucket que pertença a outra AWS conta, esse bucket deverá ter políticas que concedam permissões de acesso AWS Config a. Para ter mais informações, consulte Permissões para o bucket Amazon S3 para o AWS Config canal de entrega.
-
snsTopicARN
— O Amazon Resource Name (ARN) do tópico Amazon SNS, AWS Config onde envia notificações sobre alterações na configuração.Se você escolher um tópico de outra conta, esse tópico deverá ter políticas que concedam permissões de acesso AWS Config a. Para ter mais informações, consulte Permissões para o tópico do Amazon SNS.
-
configSnapshotDeliveryProperties
— Contém odeliveryFrequency
atributo, que define a frequência com que AWS Config fornece instantâneos de configuração.
start-configuration-recorder
Para finalizar a ativação AWS Config, use o start-configuration-recorder
comando.
$ aws configservice start-configuration-recorder --configuration-recorder-name
configRecorderName