本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
一鍵式設定
AWS Config 一鍵式設定可減少手動選擇的次數,協助簡化 AWS Config 主控台客戶的入門程序。
注意
如需有關 開始 流程的詳細資訊,請參閱《手動設定》。
使用一鍵式設定使 AWS Config 用主控台進行設定
請登入 AWS Management Console 並開啟 AWS Config 主控台,網址為 https://console.aws.amazon.com/config/
。 -
選擇 一鍵式設定。
設定 頁面包含三個步驟,但透過 一鍵式設定 工作流程會自動導向到步驟 3 (檢閱)。以下提供該程序的細節。
-
設定:選取 AWS Config 主控台記錄資源和角色的方式,並選擇傳送組態歷史記錄和組態快照檔案的位置。
-
規則:對於支援規則的區域,此子區段可供您設定可新增至帳戶的初始 AWS 受管規則。
注意
設定完成後, AWS Config 將根據您選擇的規則評估您的 AWS 資源。您可以建立其他規則,以及在設定後更新帳戶中的現有規則。如需有關規則的詳細資訊,請參閱管理 AWS Config 規則。
-
檢閱:驗證設定詳細資訊。
設定
記錄策略
已為您選取記錄可自訂覆寫的所有資源類型的選項。如果您選取此選項, AWS Config 將會記錄此區域中所有目前與 future 支援的資源類型。如需詳細資訊,請參閱《支援的資源類型》。
注意
全域資源類型 | Aurora 全域叢集最初包含在記錄中
資AWS::RDS::GlobalCluster
源類型將記錄在啟用配置記錄器的所有支援 AWS Config 區域中。
如果您不希望在所有已啟用的區域中記錄 AWS::RDS::GlobalCluster
,您可以在設定後從記錄中排除此資源類型。在左側導覽列中,選擇設定,然後選擇基本。從編輯移至記錄方法區段的覆蓋設定,選擇 AWS::RDS::GlobalCluster
,並選擇覆寫「從記錄中排除」。
注意
全域資源類型 | IAM 資源類型最初會從記錄中排除
「所有全域記錄的 IAM 資源類型」最初會從記錄中排除,以協助您降低成本。此配套包含 IAM 使用者、群組、角色和客戶管理政策。選擇移除以移除覆寫,並將這些資源包含在您的記錄中。
此附註不涵蓋美國東部 (維吉尼亞北部)。全域 IAM 資源類型最初包含在美國東部 (維吉尼亞北部) 區域,因為該區域充當全球 IAM 資源類型的主區域。
此外,在 2022 年 2 月 AWS Config 之後支援的區域中 AWS::IAM::User
AWS::IAM::Group
AWS::IAM::Role
,無法記錄全域 IAM 資源類型 (、、和AWS::IAM::Policy
)。這個無法記錄全域 IAM 資源類型的清單,包括下列區域:
亞太區域 (海德拉巴)
亞太區域 (墨爾本)
加拿大西部 (卡加利)
歐洲 (西班牙)
歐洲 (蘇黎世)
以色列 (特拉維夫)
中東 (阿拉伯聯合大公國)
預設設定
默認記錄頻率為您設置為連續。這表示每當發生變更時,都會持續 AWS Config 記錄組態變更。
AWS Config 還支持將錄製頻率設置為每日的選項。如果您在安裝後選取此選項,您將會收到一個組態項目 (CI),代表過去 24 小時期間內資源的最新狀態,前提是它與先前的 CI 記錄不同時。如需詳細資訊,請參閱記錄頻率。
注意
AWS Firewall Manager 取決於連續記錄來監視您的資源。如果您使用的是 Firewall Manager,建議您將記錄頻率設定為「持續」。
-
覆寫設定 — 選擇性
選擇性地在設定之後,您可以覆寫特定資源型態的記錄頻率,或從記錄中排除特定資源型態。若要覆寫預設設定,請選擇 AWS Config 主控台左側導覽列中的 [設定],然後選擇 [編輯]。
注意
大量的 AWS Config 評估
與之後的月份相比,您可能會注意到在使用 AWS Config 錄製的初始月份期間,帳戶中的活動有所增加。在初始啟動安裝程序期間, AWS Config 會對 AWS Config 您帳戶中選取要記錄的所有資源執行評估。
如果您正在執行暫時工作負載,可能會看到來自 AWS Config 的活動增加,因其會記錄與建立和刪除這些暫時資源相關聯的組態變更。暫時性工作負載是暫時使用因需要而載入和執行的運算資源。範例包括 Amazon Elastic Compute Cloud (Amazon EC2) Spot 執行個體、Amazon EMR 作業和 AWS Auto Scaling。如果您想要避免因執行臨時工作負載而增加的活動,可以在關 AWS Config 閉的情況下在單獨的帳戶中執行這些類型的工作負載,以避免增加組態記錄和規則評估。
資料控管
在本節中為您選擇了 AWS Config 保留 7 年(2557 天)的默認數據保留期。
系統會為您選取「使用現有的 AWS Config 服務連結角色」選項,並將其設定為AWS Config 角色。服務連結角色由預先定義, AWS Config 並包含服務呼叫其他 AWS 服務所需的所有權限。
交付方法
在這個區段為您選取從您的帳戶選擇儲存貯體選項。預設選取帳戶中依 config-bucket-accountid 格式命名的儲存貯體 (例如 config-bucket-012345678901)。如果沒有以此格式建立的儲存貯體,系統會為您建立一個。若要建立儲存貯體,請參閱 Amazon Simple Storage Service 使用者指南中的建立儲存貯體。
如需有關 S3 儲存貯體的詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》的《儲存貯體概觀》。
規則
這個步驟不會為您選取 AWS 受管規則 下的任何規則。反之,我們建議您在設定完帳戶後建立與更新規則。
檢閱
檢閱您的 AWS Config 設定詳細資料。您可以返回編輯每個區段的變更。選擇「確認」以完成設定 AWS Config。