记录 AWS 资源 - AWS Config

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

记录 AWS 资源

AWS Config 持续检测何时创建、更改或删除支持的资源类型。 AWS Config 将这些事件记录为配置项目 (CIs)。你可以自定义 AWS Config 以记录所有支持的资源类型的配置更改,或者仅记录与您相关的受支持资源类型的配置更改。有关支持的资源类型的列表 AWS Config 可以录制,请参阅支持的资源类型

注意事项

数量众多 AWS Config 评估

在最初一个月的记录中,您可能会注意到账户中的活动有所增加 AWS 与接下来的几个月相比,Config。在最初的引导过程中, AWS Config 对您账户中您选择的所有资源进行评估 AWS Config 进行录制。

如果您运行的是临时工作负载,则可能会看到来自以下内容的活动增加 AWS Config 因为它记录了与创建和删除这些临时资源相关的配置更改。临时工作负载 是临时使用在需要时加载和运行的计算资源。示例包括亚马逊弹性计算云 (AmazonEC2) 竞价型实例、亚马逊EMR任务和 AWS Auto Scaling。 如果要避免因运行临时工作负载而增加的活动,则可以设置配置记录器以排除记录这些资源类型,或者使用单独的账户运行这些类型的工作负载 AWS Config 已关闭以避免增加配置记录和规则评估。

区域可用性

在为指定资源类型之前 AWS Config 要进行跟踪,请查看 “按区域划分的资源覆盖率” 可用性,以查看是否支持该资源类型 AWS 您设置的区域 AWS Config。 如果资源类型受支持 AWS Config 在至少一个区域中,您可以在支持的所有区域中启用该资源类型的记录 AWS Config,即使中不支持指定的资源类型 AWS 您设置的区域 AWS Config.

区域性资源和全局资源有什么区别?

区域性资源

区域性资源与某个区域相关联,且仅可在该区域中使用。你在指定的环境中创建它们 AWS 区域,然后它们存在于该区域。要查看这些资源或与之交互,您必须将操作定向到该区域。例如,要使用创建一个 Amazon EC2 实例 AWS Management Console,你选择 AWS 区域你想在其中创建实例。如果您将 AWS Command Line Interface (AWS CLI) 来创建实例,然后添加--region参数。这些区域有: AWS SDKs每个都有自己的等效机制来指定操作使用的区域。

使用区域性资源有几个原因。原因之一是要确保资源以及您用来访问资源的服务终端节点尽可能靠近客户。这通过最大限度减少延迟来提高性能。另一个原因是为了提供隔离边界。这样,您可以在多个区域中创建独立的资源副本,以分配负载并提高可扩展性。同时,它可以将资源相互隔离,以提高可用性。

如果你指定了不同的 AWS 区域 在控制台中或在 AWS CLI 命令,那么你就无法再看到在前一个区域中可以看到的资源或与之交互了。

当您查看区域资源的 Amazon 资源名称 (ARN) 时,包含该资源的区域被指定为中的第四个字段ARN。例如,Amazon EC2 实例是一种区域资源。以下是该us-east-1地区存在ARN的 Amazon EC2 实例的示例。

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
全局资源

一段时间 AWS 服务资源是全球资源,这意味着您可以从任何地方使用该资源。你没有指定 AWS 区域 在全局服务的控制台中。要访问全局资源,在使用服务时无需指定--region参数 AWS CLI 以及 AWS SDK操作。

全局资源支持在关键时刻某一特定资源只能存在一个实例的情况。在这些情况下,在不同区域的副本之间进行复制或同步是不够的。为了确保资源使用者能即时看到任何变化,访问单一全局终端节点被认为是可以接受的,虽然可能会增加延迟。

例如,Amazon Aurora 全局集群 (AWS::RDS::GlobalCluster) 是全局资源,因此与区域无关。这意味着您无需依赖区域终端节点即可创建全局集群。好处在于,虽然亚马逊关系数据库服务 (AmazonRDS) 本身是按区域组织的,但全球集群所在的特定区域不会影响全球集群。它以单个连续的全局集群形式出现在所有区域。

全球资源的 Amazon 资源名称 (ARN) 不包括区域。第四个字段为空,例如以下全局群集的示例。ARN

arn:aws:rds::123456789012:global-cluster:test-global-cluster
重要

已载入的全球资源类型 AWS Config 2022 年 2 月之后将仅记录在服务所在区域的商业分区中,并且 AWS GovCloud (美国西部)支持 GovCloud 分区。您只能在其所在区域查看这些新的全球资源类型的配置项目 (CIs), AWS GovCloud (美国西部)。

2022 年 2 月之前载入的全局资源类型(AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::RoleAWS::IAM::User)保持不变。您可以在以下所有区域启用对这些全球IAM资源的录制 AWS Config 在 2022 年 2 月之前获得支持。这些全球IAM资源无法记录在支持的区域中 AWS Config 2022 年 2 月之后。

全球资源类型 | IAM 资源

以下IAM资源类型是全局资源:IAM用户、群组、角色和客户托管策略。这些资源类型可以通过以下方式记录 AWS Config 在以下地区中 AWS Config 已在 2022 年 2 月之前上市。您无法记录全球IAM资源类型的列表包括以下区域:亚太地区(海得拉巴)、亚太地区(马来西亚)、亚太地区(墨尔本)、加拿大西部(卡尔加里)、欧洲(西班牙)、欧洲(苏黎世)、以色列(特拉维夫)和中东(UAE)。

为防止配置项目重复 (CIs),您应考虑只在其中一个支持的区域中记录一次全球IAM资源类型。这还可以帮助您避免不必要的评估和限制。API

全局资源类型 | 仅限主区域

以下服务的全球资源仅由以下人员记录 AWS Config 在全球资源类型的主区域中:Amazon 弹性容器注册表公用, AWS Global Accelerator、亚马逊 53 号公路 CloudFront、亚马逊和 AWS WAF。 对于这些全局资源,可以在多个资源中使用同一个资源类型的实例 AWS 区域,但配置项目 (CIs) 仅记录在商业分区的主区域或 AWS GovCloud (美国西部)为 AWS GovCloud (US) 分区。

全局资源类型的主区域
AWS 服务 资源类型值 主区域
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository 美国东部(弗吉尼亚州北部)区域
AWS Global Accelerator AWS::GlobalAccelerator::Listener 美国西部(俄勒冈州)区域
AWS::GlobalAccelerator::EndpointGroup 美国西部(俄勒冈州)区域
AWS::GlobalAccelerator::Accelerator 美国西部(俄勒冈州)区域
Amazon Route 53 AWS::Route53::HostedZone 美国东部(弗吉尼亚州北部)区域
AWS::Route53::HealthCheck 美国东部(弗吉尼亚州北部)区域
Amazon CloudFront AWS::CloudFront::Distribution 美国东部(弗吉尼亚州北部)区域
AWS WAF AWS::WAFv2::WebACL 美国东部(弗吉尼亚州北部)区域
全局资源类型 | Aurora 全局集群

AWS::RDS::GlobalCluster是全局资源,记录在所有支持的资源中 AWS Config 启用配置记录器的地区。这种全球资源类型的独特之处在于,如果您启用在一个区域中记录此资源, AWS Config 将在您启用的所有区域中记录该资源类型的配置项目 (CIs)。

如果您不想AWS::RDS::GlobalCluster在所有已启用的区域中录制,请使用以下录制策略之一 AWS Config 控制台:

  • 使用可自定义的替代项记录所有资源类型,选择”AWS RDS GlobalCluster”,然后选择覆盖 “从录制中排除”

  • 记录特定的资源类型

如果您不想AWS::RDS::GlobalCluster在所有已启用的区域中录制,请对 API /使用以下录制策略之一CLI:

  • 记录所有当前和未来的资源类型,排除项除外 (EXCLUSION_BY_RESOURCE_TYPES)

  • 记录特定的资源类型 (INCLUSION_BY_RESOURCE_TYPES)。

AWS Config 规则和全局资源类型

只能通过以下方式记录 2022 年 2 月之前加入的全球IAM资源类型(AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::Role、、和AWS::IAM::User) AWS Config 在以下地区中 AWS Config 已在 2022 年 2 月之前上市。这些全球IAM资源类型不能记录在支持的区域中 AWS Config 2022 年 2 月之后。有关这些区域的列表,请参阅录制 AWS 资源 | 全球资源

如果您在至少一个区域记录了全球IAM资源类型,则报告该全局IAM资源类型合规性的定期规则将在添加定期规则的所有区域进行评估,即使您尚未在添加定期规则的区域中启用全局IAM资源类型的记录。

2022 年 2 月前上线的全球资源合规报告最佳实践

为避免不必要的评估,您只应部署 AWS Config 规则和合规包,将这些全球资源包含在受支持区域之一的范围内。有关哪些区域支持哪些托管规则的列表,请参阅列表 AWS Config 按地区可用性划分的托管规则。这适用于 AWS Config 规则,组织 AWS Config 规则,以及其他人创建的规则 AWS 服务,例如 AWS Security Hub 以及 AWS Control Tower.

如果您没有记录 2022 年 2 月之前载入的全局资源类型,建议您不要启用以下定期规则,以避免不必要的评估:

2022 年 2 月后上线的全球资源合规报告最佳实践

已载入的全球资源类型 AWS Config 2022 年 2 月之后的录制将仅录制在该服务所在区域的商业分区和 AWS GovCloud (美国西部)为 AWS GovCloud (US) 分区。你应该部署 AWS Config 规则和一致性包,这些全局资源的作用域仅限于该资源类型的主区域。有关更多信息,请参阅全球资源类型的主区域

未记录的资源

如果未记录资源, AWS Config 仅捕获该资源的创建和删除信息,不记录其他细节,您无需为此付出任何代价。创建或删除未录制的资源时, AWS Config 发送通知,并在资源详细信息页面上显示该事件。在未记录资源的详细信息页面上,大多数配置详细信息的值为 null,且不会显示关于关系和配置更改的信息。

注意

仅当资源被选为或以前被选为要在配置记录器中记录的资源时,AWS::IAM::UserAWS::IAM::Policy AWS::IAM::GroupAWS::IAM::Role 资源类型才会捕获创建 (ResourceNotRecorded) 和删除 (ResourceDeletedNotRecorded) 状态。

注意

ResourceNotRecorded和的配置项目 (CIs) ResourceDeletedNotRecorded 不遵循资源类型的典型录制时间。这些资源类型仅在配置记录器的定期基准化过程中进行记录,其频率低于其他资源类型的频率。

关系信息 AWS Config 由于未记录的资源缺少数据,因此为记录的资源提供的资金不受限制。如果某个已记录资源与未记录资源相关联,则已记录资源的详细信息页面会提供相应的关系信息。