查看 AWS Config 控制面板 - AWS Config
合规性和资源清单AWS Config 使用情况和成功指标

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看 AWS Config 控制面板

使用控制面板查看您的资源、规则、合规包及其合规状态的概述,并使用 Amazon CloudWatch 可视化您的 AWS Config 使用情况和成功指标。此页面可帮助您快速识别 AWS 账户中的热门资源,AWS 账户中合规性级别最低的合规包,AWS 账户中哪些规则或资源不合规,哪些流量推动了您的 AWS Config 使用量,以及工作流程中出现的衡量成功和失败的关键指标。

使用 AWS Config 控制面板

  1. 登录到 AWS Management Console,然后通过以下网址打开 AWS Config 控制台:https://console.aws.amazon.com/config/

  2. 在左侧导航窗格中,选择控制面板

合规性和资源清单

安装后,AWS Config 会开始记录指定的资源,并根据您的规则对其进行评估。AWS Config 可能需要几分钟时间显示您的资源、规则、合规包及其合规性状态。

按合规性分数列出的合规包

按合规性分数列出的合规包最多显示 10 个合规性分数最低的合规包。合规性分数是合规包中的合规规则资源组合数量与合规包中可能的规则资源组合总数的百分比。

该指标为您提供合规包的合规性状态的简要视图,可用于识别、调查和了解合规包的合规性级别。您可以使用合规性分数来跟踪修正进度,对不同的需求集进行比较,并查看特定更改或部署对合规包的影响。

要在详细视图中查看合规包的部署状态、合规性分数、合规性分数时间线和规则,请选择合规包下的合规包的名称。

Compliance status

合规性状态显示您的合规和不合规规则以及合规和不合规资源的数量。根据对相关规则的评估,确定资源是合规还是不合规。如果资源不符合规则的规范,则该资源和规则将被标记为不合规。

要查看不合规规则和资源的列表,请选择不合规规则不合规资源

按不合规资源列出的规则

按不合规资源列出的规则按资源数量的降序显示排名靠前的不合规规则。选择一条规则以查看其详细信息、参数,以及该特定规则范围内的资源。

要查看不合规规则的完整列表,请选择查看所有不合规规则

资源清单

资源清单按资源数量的降序显示 AWS Config 记录的资源总数,以及您的 AWS 账户中每种资源类型的计数。要打开某一资源类型的所有资源,请选择该资源类型以进入其资源清单页面。

您可以使用下拉列表来指明要查看哪些资源总计。默认情况下,它设置为查看所有资源,但您可以将其更改为 AWS 资源、第三方资源或自定义资源。

注意

使用 Config 规则评估您的 AWS 资源配置消息可能会出于以下原因显示在控制面板上:

  • 您尚未为您的 AWS 账户设置 AWS Config 规则。您可以选择 Add rule 以转到 Rules 页面。

  • AWS Config 仍在按照您的规则评估您的资源。您可以刷新该页面来查看最新的评估结果。

  • AWS Config 根据您的规则评估您的资源,但没有在范围内找到任何资源。您可以在 AWS ConfigSettings 页面中指定 要记录的资源。有关更多信息,请参阅选择 AWS Config 记录哪些资源

AWS Config 使用情况和成功指标

您可以在 AWS Config 控制台中使用 Amazon CloudWatch 控制面板来直观显示您的 AWS Config 使用情况和成功指标。

对于每个控制面板,您都可以执行以下操作:

  • 调整控制面板的时间范围以显示过去 1 小时3 小时12 小时1 天3 天1 周的数据。

  • 选择自定义,输入自定义时间范围:过去指定时间的相对时间或两个日期之间的绝对时间范围。也可以更改时间格式,以 UTC(协调世界时间)或本地时区(在当前使用的计算机操作系统中指定为本地时区的时区)显示控制面板数据。

  • 使用刷新图标旁边的下拉箭头来指定控制面板中数据的刷新频率,或者关闭自动刷新。选择关闭10 秒1 分钟2 分钟5 分钟15 分钟来更改刷新间隔。

  • 选择添加到控制面板,将您当前在 AWS Config 控制面板中查看的 AWS Config 使用情况指标或 AWS Config 成功指标添加到 CloudWatch 控制台。这会在 CloudWatch 控制台中打开一个新选项卡,允许您在 CloudWatch 中创建新的自定义控制面板,其中包含从当前 AWS Config 使用情况指标或 AWS Config 成功指标中复制的信息。

如果您想使用 CloudWatch 对这些指标进行其他分析,请在 CloudWatch 控制台的左侧导航窗格中选择指标,然后选择 AWS/Config。有关您可以通过 CloudWatch 控制台执行的操作的更多信息,请参阅《CloudWatch 用户指南》中的使用 Amazon CloudWatch 控制面板使用 Amazon CloudWatch 指标

AWS Config 使用情况指标

记录的配置项显示为每种资源类型或所有资源类型记录的配置项目数。配置项表示支持的 AWS 资源的各种属性的时间点视图。有关配置项或支持的资源类型的更多信息,请参阅配置项支持的资源类型

您可以使用下拉列表选择要查看的资源类型。默认情况下,设置为查看所有资源类型。

注意

该指标包括可计费和不可计费的 CI

对于您使用配置记录器记录的支持资源类型,记录的配置项将同时报告可计费和不可计费的配置项 (CI)。

可计费 CI 是 configurationItemStatus = OK | ResourceDiscovered | ResourceDeleted 的 CI。

不可计费 CI 是 configurationItemStatus = ResourceNotRecorded | ResourceDeletedNotRecorded 的 CI。

这意味着,即使您关闭了资源类型记录,它仍将作为不可计费 CI 包含在此项指标中。

AWS Config 成功指标

更改通知发送失败显示您的传输通道向 Amazon SNS 主题发送变更通知失败的次数。变更通知会通知您有关 AWS 资源配置状态的变更情况。您可以使用 ConfigStreamDeliveryInfo API 获取上次尝试传输变更通知的 lastErrorCodelastErrorMessage。有关更多信息,请参阅管理传输通道

Config 历史记录导出失败显示导出到您的 Amazon S3 存储桶的配置历史记录失败的数量。配置历史记录是给定资源在指定时间段的配置项集合。有关配置历史记录的更多信息,请参阅配置历史记录

配置记录器权限不足失败显示由于配置记录器的 IAM 角色策略权限不足而导致的权限访问尝试失败的次数。配置记录器可在您的资源配置中检测更改,并将这些更改捕获为配置项。配置记录器需要具备必要的 IAM 权限,才能记录您的 AWS 资源配置。有关更多信息,请参阅用于获取配置详细信息的 IAM 角色策略

Config 快照导出失败显示导出到您的 Amazon S3 存储桶的配置快照失败的数量。配置快照是您账户中受支持资源的配置项集合。有关配置快照的更多信息,请参阅配置 | 快照