As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciar o canal de entrega
Ao registrar AWS Config continuamente as alterações que ocorrem em seus AWS recursos, ele envia notificações e estados de configuração atualizados por meio do canal de entrega. Você pode gerenciar o canal de entrega para controlar para onde AWS Config envia as atualizações de configuração.
Você pode ter apenas um canal de entrega por AWS região por AWS conta, e é necessário usar o canal de entrega AWS Config.
Quando AWS Config detecta uma alteração na configuração de um recurso e a notificação excede o tamanho máximo permitido pelo Amazon SNS, a notificação inclui um breve resumo do item de configuração. Você pode visualizar a notificação completa no local do bucket do S3 especificado no campo s3BucketLocation
. Para obter mais informações, consulte Example Oversized Configuration Item Change Notification.
nota
AWS Config suporta AWS KMS criptografia para buckets Amazon S3 usados por AWS Config
Você pode fornecer uma chave AWS Key Management Service (AWS KMS) ou um alias Amazon Resource Name (ARN) para criptografar os dados entregues ao seu bucket do Amazon Simple Storage Service (Amazon S3). Por padrão, AWS Config entrega histórico de configuração e arquivos de snapshot ao seu bucket Amazon S3 e criptografa os dados em repouso usando a criptografia do lado do servidor S3 AES-256, SSE-S3. No entanto, se você AWS Config fornecer sua chave KMS ou o alias ARN, AWS Config use essa chave KMS em vez da criptografia AES-256.
AWS Config não suporta o canal de entrega para um bucket do Amazon S3 em que o bloqueio de objetos está ativado com a retenção padrão ativada. Para obter mais informações, consulte Como o bloqueio de objetos do S3 funciona.
Tópicos
Terminologia
Um item de configuração representa uma point-in-time visualização dos vários atributos de um AWS recurso compatível que existe em sua conta. Os componentes de um item de configuração incluem metadados, atributos, relacionamentos, configuração atual e eventos relacionados. AWS Config cria um item de configuração sempre que detecta uma alteração em um tipo de recurso que está gravando. Por exemplo, se AWS Config estiver gravando buckets do Amazon S3, AWS Config cria um item de configuração sempre que um bucket é criado, atualizado ou excluído. Você também pode selecionar AWS Config para criar um item de configuração na frequência de gravação que você definiu.
Histórico de configuração é uma coleção de itens de configuração para um recurso específico durante um período. Um histórico de configuração pode ajudar a responder perguntas sobre, por exemplo, quando o recurso foi criado, como o recurso foi configurado no decorrer do último mês, e que alterações de configuração foram feitas ontem, às 9h. O histórico de configuração está disponível para você em vários formatos. AWS Config entrega automaticamente um arquivo de histórico de configuração para cada tipo de recurso que está sendo gravado em um bucket do Amazon S3 que você especificar. Você pode selecionar um determinado recurso no AWS Config console e navegar até todos os itens de configuração anteriores desse recurso usando a linha do tempo. Além disso, você pode acessar o histórico de itens de configuração para um recurso a partir da API.
Snapshot de configuração é uma coleção de itens de configuração dos recursos compatíveis existentes na conta. Esse snapshot de configuração é uma imagem completa dos recursos que estão sendo registrados e suas configurações. O snapshot de configuração pode ser uma ferramenta útil para validar sua configuração. Por exemplo, talvez você queira examinar o snapshot de configuração regularmente para recursos que são configurados incorretamente ou que potencialmente não devem existir. O snapshot de configuração está disponível em vários formatos. O snapshot de configuração pode ser enviado a um bucket do Amazon Simple Storage Service (Amazon S3) que você especificar. Além disso, você pode selecionar um momento no AWS Config console e navegar pelo instantâneo dos itens de configuração usando as relações entre os recursos.
Um fluxo de configuração é uma lista atualizada automaticamente de todos os itens de configuração dos recursos que estão AWS Config sendo gravados. Toda vez que um recurso é criado, modificados ou excluídos, o AWS Config cria um item de configuração e o adiciona ao stream de configuração. O fluxo de configuração funciona usando um tópico do Amazon Simple Notification Service (Amazon SNS) de sua escolha. O fluxo de configuração é útil para observar as alterações de configuração à medida que elas ocorrem, para que você possa identificar possíveis problemas, gerar notificações se determinados recursos forem alterados ou atualizar sistemas externos que precisam refletir a configuração de seus AWS recursos.
Atualizar o canal de entrega
Ao atualizar o canal de entrega, você pode definir as seguintes opções:
-
O bucket do Amazon S3 para o qual AWS Config envia instantâneos de configuração e arquivos de histórico de configuração.
-
Com que frequência AWS Config entrega snapshots de configuração para seu bucket do Amazon S3.
-
O tópico do Amazon SNS para o qual AWS Config envia notificações sobre alterações na configuração.
Você pode usar o AWS Config console para definir o bucket do Amazon S3 e o tópico do Amazon SNS para seu canal de entrega. Sobre as etapas para gerenciar essas configurações, consulte Configurando AWS Config com o console.
O console não fornece opções para renomear o canal de entrega, definir a frequência para a configuração de snapshots ou excluir o canal de entrega. Para realizar essas tarefas, você deve usar a AWS CLI AWS Config API ou um dos AWS SDKs.
Os exemplos de códigos a seguir mostram como usar PutDeliveryChannel
.
(Opcional) Você pode usar o comando describe-delivery-channels
para verificar se as configurações de canal de entrega estão atualizadas:
$ aws configservice describe-delivery-channels { "DeliveryChannels": [ { "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" }, "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "name": "default", "s3BucketName": "config-bucket-123456789012" } ] }
Os exemplos de códigos a seguir mostram como usar DescribeDeliveryChannels
.
Renomear o canal de entrega
Para alterar o nome do canal de entrega, você deve excluí-lo e criar um novo canal de entrega com o nome desejado. Antes de excluir o canal de entrega, você deve interromper temporariamente o gravador de configuração.
O AWS Config console não oferece a opção de excluir o canal de entrega, então você deve usar a AWS CLI, a AWS Config API ou um dos AWS SDKs.
Renomeando o canal de entrega usando o AWS CLI
-
Use o comando
stop-configuration-recorder
para interromper o gravador de configuração:$ aws configservice stop-configuration-recorder --configuration-recorder-name
configRecorderName
-
Use o comando
describe-delivery-channels
e anote os atributos de seu canal de entrega:$ aws configservice describe-delivery-channels { "DeliveryChannels": [ { "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" }, "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "name": "default", "s3BucketName": "config-bucket-123456789012" } ] }
-
Use o comando
delete-delivery-channel
para excluir o canal de entrega:$ aws configservice delete-delivery-channel --delivery-channel-name
default
-
Use o comando
put-delivery-channel
para criar um canal de entrega com o nome desejado:$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json
O arquivo deliveryChannel.json especifica os atributos do canal de entrega:
{ "name": "myCustomDeliveryChannelName", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }
-
Use o comando
start-configuration-recorder
para retomar a gravação:$ aws configservice start-configuration-recorder --configuration-recorder-name
configRecorderName