本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
选择 AWS Config 所记录的资源
AWS Config 将持续检测任何受支持类型的资源的创建、更改或删除时间。AWS Config 会将这些事件记录为配置项。您可以自定义AWS Config以记录所有支持的资源类型的更改,也可以仅记录与您相关的资源类型的更改。要了解 AWS Config 可记录的资源类型,请参阅 支持的资源类型。
注意
AWS Config评估次数众多
与随后的几个月相比,在使用 AWS Config 录制的第一个月期间,您可能会注意到账户中的活动有所增加。在初始引导过程中AWS Config,浏览您账户中选择AWS Config要记录的所有资源。
如果您正在运行临时工作负载,则可能会看到活动增加,AWS Config因为它记录了与创建和删除这些临时资源相关的配置更改。临时工作负载是指在需要时加载和运行的计算资源的临时使用。示例和 Emazon Elastic Compute Cloud (Amazon EC2) 竞价实例、AWS Auto Scaling Amazon 如果您想避免因运行临时工作负载而增加的活动,可以在AWS Config已关闭的单独账户中运行这些类型的工作负载,以避免增加配置记录和规则评估。
注意
地区可用性
在指定AWS Config要跟踪的资源类型之前,请检查按区域可用性划分的资源覆盖范围,以查看您设置的AWS区域是否支持该资源类型AWS Config。如果至少有一个区域支持某种资源类型,则即使您设置的区域不支持指定的资源类型AWS Config,您也可以在支持的所有AWS区域中启用该资源类型的记录AWS Config。AWS Config
记录所有受支持的资源类型
默认情况下,会AWS Config记录在所运行于的区域中AWS Config发现的所有当前和future 受支持类型的区域性资源的类型的配置更改。AWS当AWS Config添加对新区域性资源的类型的支持时,它将自动开始记录该类型的资源。区域性资源与某个区域相关联,且仅可在该区域中使用。区域性资源的示例和 Amazon EC2 azon EBS 卷。
您还可以让 AWS Config 记录受支持类型的全局性资源。全球性资源不限于某个区域,而是可以用于所有区域。AWS Config 支持的全局资源类型包括 IAM 用户、组、角色和客户管理型策略。
重要
2022 年 2 月之后加载到AWS Config记录的全局资源类型,将仅在服务的主区域中(对于商业分区)和 AWSGovCloud(对分区)进行记录。GovCloud您只能在其主区域和 AWSGovCloud(美国西部查看这些新全局资源类型的配置项目)。
2022 年 2 月之前加载的受支持的全局资源类型(如 AWS::IAM::Group、AWS::IAM::Policy、AWS::IAM::Role、AWS::IAM::User)保持不变,并且它们将继续在 AWS Config 内的所有受支持区域中提供配置项目。该变更将仅影响 2022 年 2 月之后加载的新全局资源类型。
要记录 2022 年 2 月之后加载的全局资源类型,请在您要记录的全局资源类型的主区域中启用 “All Suppce Tyrce Tyrce Tyrce Tyrce Tyrce
主页全球资源类型区域 2022 年 2 月后入职 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| AWS 服务 | 资源类型值 | 主区域 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Elastic Container Registry Public | AWS::ECR::PublicRepository |
美国东部(弗吉尼亚州北部)区域 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Global Accelerator | AWS::GlobalAccelerator::Listener |
美国西部(俄勒冈州)区域 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWS::GlobalAccelerator::EndpointGroup |
美国西部(俄勒冈州)区域 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWS::GlobalAccelerator::Accelerator |
美国西部(俄勒冈州)区域 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Route 53 | AWS::Route53::HostedZone |
美国东部(弗吉尼亚州北部)区域 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWS::Route53::HealthCheck |
美国东部(弗吉尼亚州北部)区域 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
记录特定的资源类型
如果您不希望 AWS Config 记录所有支持资源的更改,则可以对其进行自定义,以使其仅记录特定类型的资源更改。AWS Config 记录您指定的资源类型的配置更改,包括这类资源的创建和删除。
如果未记录某个资源,AWS Config 将仅记录该资源的创建和删除,而不会提供其他详细信息,且您无需支付任何费用。当某个未记录资源被创建或删除时,AWS Config 将发送通知,并在资源详细信息页面显示该事件。在未记录资源的详细信息页面上,大多数配置详细信息的值为 null,且不会显示关于关系和配置更改的信息。
由于未记录资源的数据缺失,因此 AWS Config 为已记录资源提供的关系信息不受限制。如果某个已记录资源与未记录资源相关联,则已记录资源的详细信息页面会提供相应的关系信息。
您可以随时使 AWS Config 停止记录某个类型的资源。在 AWS Config 停止记录某个资源后,它会保留之前捕获的配置信息,并且您可继续访问此类信息。
AWS Config 规则可用于仅评估 AWS Config 记录的那些资源的合规性。
AWS Config规则和全局资源类型
2022 年 2 月之前载入的全球资源类型(AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::Role、、和AWS::IAM::User)由所有支持AWS Config区域记录。这意味着定期报告这些全球资源合规性的规则将继续在所有支持的区域运行评估,即使在您尚未启用全球资源记录的区域也是如此。
注意
定期规则可以在AWS Config录制不支持的资源上运行,并且可以在不启用配置记录器的情况下运行。定期规则不依赖于配置项目。有关更改触发的规则和定期规则之间区别的更多信息,请参阅为规则指定触发器。AWS Config
如果您没有记录在 2022 年 2 月之前加入的全球资源类型,建议您不要启用以下定期规则,以避免不必要的成本:
报告全球资源合规性的最佳实践
如果您要记录 2022 年 2 月之前加入的全球资源类型(AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::Role、、和AWS::IAM::User),则应仅在支持的区域之一部署范围内的AWS Config规则和一致性包,以避免成本和 API 限制。这适用于常规AWS Config规则、组织AWS Config规则以及其他AWS服务(例如 Security Hub 和 Control Tower)创建的规则。
2022 年 2 月之后加载到AWS Config记录的全局资源类型,将仅在服务的主区域中(对于商业分区)和 AWSGovCloud(对分区)进行记录。GovCloud您应仅在资源类型的主区域中部署这些全球资源范围内的AWS Config规则和一致性包。有关更多信息,请参阅 202 2 年 2 月之后加载的全局资源类型的主区域。
选择资源 (控制台)
您可以使用 AWS Config 控制台选择 AWS Config 记录的资源类型。
选择资源
登录到 AWS Management Console,然后通过以下网址打开 AWS Config 控制台:https://console.aws.amazon.com/config/
。 -
打开 Settings 页面:
-
如果您在支持 AWS Config 规则的区域中使用 AWS Config,请在导航窗格中选择 Settings (设置)。有关支持区域的列表,请参阅 AWS Config 中的 Amazon Web Services 一般参考 区域和终端节点。
-
否则,请选择资源清单页面上的设置图标 (
)。
-
-
在 Resource types to record (要记录的资源类型) 部分中,指定您希望 AWS Config 记录的 AWS 资源的类型:
-
所有资源-使用以下选项AWS Config记录所有支持的资源:
-
记录该区域性资源的类型的所有受支持类型的区域性资源的配置更改。AWS ConfigAWS Config 添加对新区域资源类型的支持后,它将自动开始记录该类型的资源。
-
AWS Config包含全球性资源类型,以及它记录的资源)。AWS Config 添加对新全球性资源类型的支持后,它将自动开始记录该类型的资源。
-
-
特定类型-仅AWS Config记录您指定的AWS资源类型的配置更改。
-
-
保存您的更改:
-
如果您在支持 AWS Config 规则的区域中使用 AWS Config,请选择 Save (保存)。
-
否则,请选择 Continue。在 AWS ConfigConfig 请求读取资源配置页面的权限中,选择 Allo w。
-
选择资源 (AWS CLI)
您可以使用 AWS CLI 选择您希望 AWS Config 记录的资源类型。为此,您可以创建一个配置记录器,以记录您在记录组中指定的资源类型。在记录组中,您可以指定要记录所有受支持类型的资源,还是特定类型的资源。
选择所有受支持的资源
-
使用以下
put-configuration-recorder命令:$ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role--recording-group allSupported=true,includeGlobalResourceTypes=true此命令使用
--recording-group参数的以下选项:-
allSupported=true— AWS Config 记录每个受支持类型的区域性资源的类型的配置更改。AWS Config 添加对新区域资源类型的支持后,它将自动开始记录该类型的资源。 -
includeGlobalResourceTypes=true— AWS Config 包括其记录的资源类型的类型及其记录的资源。AWS Config 添加对新全球性资源类型的支持后,它将自动开始记录该类型的资源。在将此选项设置为
true之前,您必须将allSupported选项设置为true。如果您不希望包括全局性资源,请将此选项设置为
false,或者忽略此选项。
-
-
(可选) 要验证您的配置记录器是否拥有您所需的设置,请使用以下
describe-configuration-recorders命令:$ aws configservice describe-configuration-recorders以下为响应示例:
{ "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": true, "resourceTypes": [], "includeGlobalResourceTypes": true }, "roleARN": "arn:aws:iam::123456789012:role/config-role", "name": "default" } ] }
选择特定类型的资源
-
使用
AWS Configserviceput-configuration-recorder命令,并通过--recording-group选项传递一个或多个资源类型,如以下示例所示:$ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole--recording-groupfile://recordingGroup.jsonrecordingGroup.json文件指定了 AWS Config 将记录的资源类型:{ "allSupported": false, "includeGlobalResourceTypes": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ] }您必须将
resourceTypes和allSupported选项设置为 false 或者忽略它们,才可以为includeGlobalResourceTypes键指定资源类型。 -
(可选) 要验证您的配置记录器是否拥有您所需的设置,请使用以下
describe-configuration-recorders命令:$aws configservice describe-configuration-recorders以下为响应示例:
{ "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ], "includeGlobalResourceTypes": false }, "roleARN": "arn:aws:iam::123456789012:role/config-role", "name": "default" } ] }
