您可以指定 AWS Config 自动跟踪您的私有资源类型,并将对这些资源的更改作为配置项记录。这使您能够查看这些私有资源类型的配置历史记录,此外还可以编写 AWS Config 规则 规则以验证配置最佳实践。挂钩扩展需要 AWS Config。
要让 AWS Config 自动跟踪您的私有资源类型,请执行以下操作:
-
通过 CloudFormation 管理资源。这包括通过 CloudFormation 执行所有资源创建、更新和删除操作。
注意
如果您使用 IAM 角色执行堆栈操作,则该 IAM 角色必须有权调用以下 AWS Config 操作:
-
配置 AWS Config 以记录所有资源类型。有关更多信息,请参阅《AWS Config Developer Guide》中的 Recording Configurations for Third-Party Resources using the AWS CLI。
注意
如果私有资源包含同时定义为必需且只写的属性,AWS Config 不支持记录这些私有资源。
根据设计,定义为只写的资源属性不会在用于创建 AWS Config 配置项的架构中返回。因此,包含定义为只写和必需的属性将导致配置项创建失败,因为必需的属性不存在。要查看用于创建配置项的架构,您可以查看 DescribeType 操作的
schema属性。
有关配置项的更多信息,请参阅《AWS Config 开发人员指南》中的配置项。
防止在配置项目中记录敏感属性
您的资源类型可能包含您视为敏感信息(如密码、密钥或其他敏感数据)的属性,您不希望在配置项目中记录这些属性。要防止在配置项目中记录属性,您可以将该属性包括在资源类型架构的 writeOnlyproperties 列表中。作为 writeOnlyproperties 列出的资源属性可由用户指定,但不会由 read 或 list 请求返回。
有关更多信息,请参阅《CloudFormation CLI User Guide》中的 writeOnlyProperties。
