Aufzeichnen von Ressourcentypen in AWS Config - AWS CloudFormation
Verhindern, dass vertrauliche Eigenschaften in einem Konfigurationselement aufgezeichnet werden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aufzeichnen von Ressourcentypen in AWS Config

Sie können festlegen, dass AWS Config Ihre privaten Ressourcentypen automatisch verfolgt und Änderungen an diesen Ressourcen als Konfigurationselemente aufzeichnet. Damit können Sie den Konfigurationsverlauf für diese privaten Ressourcentypen anzeigen und zusätzlich AWS-Config-Regeln-Regeln schreiben, um bewährte Konfigurationsverfahren zu überprüfen. AWS Config ist für die Hook-Erweiterung erforderlich.

So lassen Sie AWS Config Ihre privaten Ressourcentypen automatisch verfolgen:

  • Managen Sie die Ressourcen über CloudFormation. Dies umfasst die Durchführung aller Vorgänge zum Erstellen, Aktualisieren und Löschen von Ressourcen über CloudFormation.

    Anmerkung

    Wenn Sie eine IAM-Rolle zum Ausführen Ihrer Stack-Vorgänge verwenden, muss diese IAM-Rolle über die Berechtigung zum Aufrufen der folgenden AWS Config-Aktionen verfügen:

  • Konfigurieren Sie AWS Config, um alle Ressourcentypen aufzuzeichnen. Weitere Informationen finden Sie unter Aufzeichnung von Konfigurationen für Ressourcen von Drittanbietern mit AWS CLI im AWS Config Entwicklerhandbuch.

    Anmerkung

    AWS Config unterstützt keine Aufzeichnung privater Ressourcen, die Eigenschaften enthalten, die sowohl als erforderlich als auch lesegeschützt definiert sind.

    Ressourceneigenschaften, die als lesegeschützt definiert sind, werden im Schema, das zum Erstellen des AWS Config-Konfigurationselements verwendet wird, nicht zurückgegeben. Aus diesem Grund führt das Einschließen einer Eigenschaft, die sowohl als lesegeschützt als auch als erforderlich definiert ist, dazu, dass die Erstellung des Konfigurationselements fehlschlägt, da keine erforderliche Eigenschaft vorhanden sein wird. Um das Schema zu sehen, das für die Erstellung des Konfigurationsobjekts verwendet wird, können Sie die Eigenschaft schema der Aktion DescribeType überprüfen.

Weitere Informationen zu Konfigurationselementen finden Sie unter Konfigurationselemente im AWS Config-Entwicklerhandbuch.

Verhindern, dass vertrauliche Eigenschaften in einem Konfigurationselement aufgezeichnet werden

Ihr Ressourcentyp kann Eigenschaften enthalten, die Sie als vertrauliche Informationen betrachten, z. B. Passwörter, Secrets oder andere vertrauliche Daten, die nicht als Teil des Konfigurationselements aufgezeichnet werden sollen. Um zu verhindern, dass eine Eigenschaft im Konfigurationselement aufgezeichnet wird, können Sie diese Eigenschaft in die writeOnlyproperties-Liste in Ihrem Ressourcentypschema aufnehmen. Als writeOnlyproperties aufgelistete Ressourceneigenschaften können vom Benutzer angegeben werden, werden aber nicht von einer read oder list-Anforderung zurückgegeben.

Weitere Informationen finden Sie unter writeOnlyProperties im CloudFormation CLI Benutzerhandbuch.