一鍵式設定 - AWS Config
設定規則檢閱

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

一鍵式設定

AWS Config 一鍵式設定可減少手動選擇的次數,協助簡化 AWS Config 主控台客戶的入門程序。

注意

如需有關 開始 流程的詳細資訊,請參閱《手動設定》。

使用一鍵式設定使 AWS Config 用主控台進行設定

  1. 請登入 AWS Management Console 並開啟 AWS Config 主控台,網址為 https://console.aws.amazon.com/config/

    [開 AWS Config 始使用] 頁面提供服務的概觀。

  2. 選擇 一鍵式設定

設定 頁面包含三個步驟,但透過 一鍵式設定 工作流程會自動導向到步驟 3 (檢閱)。以下提供該程序的細節。

  • 設定:選取 AWS Config 主控台記錄資源和角色的方式,並選擇傳送組態歷史記錄和組態快照檔案的位置。

  • 規則:對於支援規則的區域,此子區段可供您設定可新增至帳戶的初始 AWS 受管規則。

    注意

    設定完成後, AWS Config 將根據您選擇的規則評估您的 AWS 資源。您可以建立其他規則,以及在設定後更新帳戶中的現有規則。如需有關規則的詳細資訊,請參閱管理 AWS Config 規則

  • 檢閱:驗證設定詳細資訊。

設定

記錄策略

已為您選取記錄可自訂覆寫的所有資源類型的選項。如果您選取此選項, AWS Config 將會記錄此區域中所有目前與 future 支援的資源類型。如需詳細資訊,請參閱《支援的資源類型》。

注意

全域資源類型 | Aurora 全域叢集最初包含在記錄中

AWS::RDS::GlobalCluster源類型將記錄在啟用配置記錄器的所有支援 AWS Config 區域中。

如果您不希望在所有已啟用的區域中記錄 AWS::RDS::GlobalCluster,您可以在設定後從記錄中排除此資源類型。在左側導覽列中,選擇設定,然後選擇基本。從編輯移至記錄方法區段的覆蓋設定,選擇 AWS::RDS::GlobalCluster,並選擇覆寫「從記錄中排除」。

注意

全域資源類型 | IAM 資源類型最初會從記錄中排除

「所有全域記錄的 IAM 資源類型」最初會從記錄中排除,以協助您降低成本。此配套包含 IAM 使用者、群組、角色和客戶管理政策。選擇移除以移除覆寫,並將這些資源包含在您的記錄中。

此附註不涵蓋美國東部 (維吉尼亞北部)。全域 IAM 資源類型最初包含在美國東部 (維吉尼亞北部) 區域,因為該區域充當全球 IAM 資源類型的主區域。

此外,在 2022 年 2 月 AWS Config 之後支援的區域中 AWS::IAM::User AWS::IAM::GroupAWS::IAM::Role,無法記錄全域 IAM 資源類型 (、、和AWS::IAM::Policy)。這個無法記錄全域 IAM 資源類型的清單,包括下列區域:

  • 亞太區域 (海德拉巴)

  • 亞太區域 (墨爾本)

  • 加拿大西部 (卡加利)

  • 歐洲 (西班牙)

  • 歐洲 (蘇黎世)

  • 以色列 (特拉維夫)

  • 中東 (阿拉伯聯合大公國)

  • 預設設定

    默認記錄頻率為您設置為連續。這表示每當發生變更時,都會持續 AWS Config 記錄組態變更。

    AWS Config 還支持將錄製頻率設置為每日的選項。如果您在安裝後選取此選項,您將會收到一個組態項目 (CI),代表過去 24 小時期間內資源的最新狀態,前提是它與先前的 CI 記錄不同時。如需詳細資訊,請參閱記錄頻率

    注意

    AWS Firewall Manager 取決於連續記錄來監視您的資源。如果您使用的是 Firewall Manager,建議您將記錄頻率設定為「持續」。

  • 覆寫設定 — 選擇性

    選擇性地在設定之後,您可以覆寫特定資源型態的記錄頻率,或從記錄中排除特定資源型態。若要覆寫預設設定,請選擇 AWS Config 主控台左側導覽列中的 [設定],然後選擇 [編輯]。

注意

大量的 AWS Config 評估

與之後的月份相比,您可能會注意到在使用 AWS Config 錄製的初始月份期間,帳戶中的活動有所增加。在初始啟動安裝程序期間, AWS Config 會對 AWS Config 您帳戶中選取要記錄的所有資源執行評估。

如果您正在執行暫時工作負載,可能會看到來自 AWS Config 的活動增加,因其會記錄與建立和刪除這些暫時資源相關聯的組態變更。暫時性工作負載是暫時使用因需要而載入和執行的運算資源。範例包括 Amazon Elastic Compute Cloud (Amazon EC2) Spot 執行個體、Amazon EMR 作業和 AWS Auto Scaling。如果您想要避免因執行臨時工作負載而增加的活動,可以在關 AWS Config 閉的情況下在單獨的帳戶中執行這些類型的工作負載,以避免增加組態記錄和規則評估。

資料控管

在本節中為您選擇了 AWS Config 保留 7 年(2557 天)的默認數據保留期。

系統會為您選取「使用現有的 AWS Config 服務連結角色」選項,並將其設定為AWS Config 角色。服務連結角色由預先定義, AWS Config 並包含服務呼叫其他 AWS 服務所需的所有權限。

交付方法

在這個區段為您選取從您的帳戶選擇儲存貯體選項。預設選取帳戶中依 config-bucket-accountid 格式命名的儲存貯體 (例如 config-bucket-012345678901)。如果沒有以此格式建立的儲存貯體,系統會為您建立一個。若要建立儲存貯體,請參閱 Amazon Simple Storage Service 使用者指南中的建立儲存貯體

如需有關 S3 儲存貯體的詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》的《儲存貯體概觀》。

規則

這個步驟不會為您選取 AWS 受管規則 下的任何規則。反之,我們建議您在設定完帳戶後建立與更新規則。

檢閱

檢閱您的 AWS Config 設定詳細資料。您可以返回編輯每個區段的變更。選擇「確認」以完成設定 AWS Config。