Integration von Aktivierungsregeln mit AWS Config Grundlegendes zu Verhaltensweisen von Aktivierungsregeln Erstellen von Regeln zur Aktivierung der Telemetrie Verwalten der Telemetrieregeln Fehlerbehebung der Telemetriekonfiguration

Arbeiten mit Regeln zur Aktivierung der Telemetrie

Sie können Regeln zur Telemetrieaktivierung erstellen, um die Telemetrieerfassung für Ihre AWS-Ressourcen automatisch zu konfigurieren. Mithilfe von Regeln können Sie die Telemetrieerfassung übergreifend in Ihrer Organisation oder Ihren Konten standardisieren und konsistent überwachen.

Themen

Integration von Aktivierungsregeln mit AWS Config
Grundlegendes zu Verhaltensweisen von Aktivierungsregeln
Erstellen von Regeln zur Aktivierung der Telemetrie
Verwalten der Telemetrieregeln
Fehlerbehebung der Telemetriekonfiguration

Integration von Aktivierungsregeln mit AWS Config

Die CloudWatch-Telemetrieprüfung und -konfiguration lassen sich mit AWS Config integrieren, um automatisch Ressourcen zu ermitteln, die Ihrer Aktivierungsregel entsprechen, und sie auf Ihre Telemetriedatenerfassung anzuwenden. Wenn Sie eine Aktivierungsregel erstellen, erstellt die Telemetriekonfiguration einen entsprechenden AWS Config-Recorder. Dieser Recorder enthält Konfigurationselemente für die spezifischen Ressourcentypen, die Sie in der Aktivierungsregel definieren.

Sie können die Telemetriekonfiguration ohne Zusatzkosten aktivieren. Wenn Sie Aktivierungsregeln nutzen, um die Telemetrie automatisch zu verwalten, fallen AWS Config-Gebühren an, die auf der Anzahl der Konfigurationselemente basieren, die für die von Ihnen in der Aktivierungsregel angegebenen Ressourcentypen aufgezeichnet wurden. Weitere Informationen finden Sie unter AWS Config Preise.

Anmerkung

Wenn Sie für AWS Config die Aufzeichnung von Konfigurationselementen für den jeweiligen Ressourcentyp bereits aktiviert haben, werden Ihnen keine weiteren Gebühren berechnet.

Die Telemetriekonfiguration nutzt AWS Config für folgende Zwecke:

Entdecken von Ressourcen übergreifend in Ihrer Organisation oder in Ihren Konten
Verfolgen von Telemetriekonfigurationsänderungen

Grundlegendes zu Verhaltensweisen von Aktivierungsregeln

Die Telemetriekonfiguration folgt beim Bewerten und Anwenden von Regeln bestimmten Mustern:

Aktivierungsregeln werden nach einem Hierarchiemuster bewertet. Zuerst werden die Organisationsregeln bewertet, dann die für Organisationseinheiten (OUs) geltenden Regeln und zuletzt die für einzelne Konten geltenden Regeln. Regeln auf Organisationsebene stellen die Telemetriegrundlage bereit, die für Ihre Organisation erforderlich ist. Regeln auf OU- und Kontoebene können zusätzliche Telemetriedaten, aber nicht weniger Telemetriedaten erfassen. Wird eine solche Regel erstellt, führt das zu einem Regelkonflikt.

Innerhalb jedes Bereichs (Organisation, Organisationseinheit oder Konto) müssen Regeln je nach Ressourcentyp, Telemetrietyp und Zielkonfiguration einzigartig bleiben. Duplizierte Regeln lösen eine Konfliktausnahme aus. Wenn dieselbe Regel in unterschiedlichen Bereichen existiert, z. B. eine Regel auf Organisationsebene für VPC-Flow-Protokolle in CloudWatch und eine Regel auf OU-Ebene für VPC-Flow-Protokolle, wird die Regel auf höherer Ebene in der Hierarchie angewendet. Stehen jedoch mehrere Regeln miteinander in Konflikt, wird keine der Regeln angewendet.

Für VPC-Flow-Protokolle erstellt die Telemetriekonfiguration nur neue Flow-Protokolle für Ressourcen, die dem Regelumfang entsprechen. Zuvor eingerichtete VPC-Flow-Protokolle werden nicht gelöscht oder beeinträchtigt, selbst wenn sie sich von den aktuellen Regelparametern unterscheiden. Für CloudWatch Logs werden bestehende Protokollgruppen beibehalten, vorausgesetzt, sie entsprechen dem Ressourcenmuster.

Wenn Sie eine Aktivierungsregel aktualisieren, übernehmen nur neue Ressourcen, die der Regel entsprechen, die aktualisierte Konfiguration. Die vorhandenen Telemetrieeinstellungen bleiben für die bestehenden Ressourcen unverändert. Wenn eine Ressource aufgrund des manuellen Löschens von Telemetriedaten nicht mehr einer bestehenden Regel entspricht, wird die neue Aktivierungsregel übernommen, sobald die Ressource wieder mit den Richtlinien übereinstimmt.

Erstellen von Regeln zur Aktivierung der Telemetrie

Beim Erstellen einer Regel zu Aktivierung der Telemetrie geben Sie Folgendes an:

Der Geltungsbereich der Regel (die Organisation, Organisationseinheit oder das Konto)
Die Ressourcentypen, auf welche die Regel angewendet werden
Die Telemetrietypen, die aktiviert werden sollen (Metriken, Protokolle oder Ablaufverfolgungen)
Optionale Tags für die Filterung, auf welche Ressourcen sich die Regel auswirkt

Um eine Regel zur Aktivierung von Telemetrie zu erstellen

Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.
Wählen Sie im Navigationsbereich Telemetriekonfiguration aus.
Wählen Sie die Registerkarte Aktivierungsregeln aus.
Wählen Sie Regel hinzufügen aus.
Geben Sie unter Regelname einen Namen für Ihre Regel ein.
Wählen Sie für Regelumfang eine der folgenden Optionen aus:
- Organisation – Die Regel gilt für Ihr gesamtes AWS Organizations
- Organisationseinheit – Die Regel gilt für eine bestimmte Organisationseinheit
- Konto – Die Regel gilt für ein einzelnes Konto
Wählen Sie unter Datenquelle den AWS-Service aus, den Sie konfigurieren möchten.
Wählen Sie Telemetrietyp die Telemetrietypen aus, die aktiviert werden sollen.
Optional: Fügen Sie Tags für die Filterung hinzu, auf welche Ressourcen sich die Regel auswirkt.
Wählen Sie Regel erstellen aus.

Verwalten der Telemetrieregeln

Nach dem Erstellen von Regeln können Sie diese bearbeiten oder löschen. Sie können auch sehen, auf welche Ressourcen sich jede Regel auswirkt, und die Einhaltung der Regeln überwachen.

Um eine bestehende Regel zu verwalten

Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.
Wählen Sie im Navigationsbereich Telemetriekonfiguration aus.
Wählen Sie die Registerkarte Aktivierungsregeln aus.
Wählen Sie eine Regel aus, um ihre Details anzusehen, oder wählen Sie eine der folgenden Aktionen aus:
- Bearbeiten – Regeleinstellungen ändern
- Löschen – Die Regel entfernen

Fehlerbehebung der Telemetriekonfiguration

In diesem Abschnitt werden häufige Probleme beschrieben, die bei der Nutzung von Telemetrie auftreten können, und wie Sie diese beheben können.

Regelkonflikte und deren Lösung

Wenn mehrere Regeln für dieselbe Ressource gelten, löst die Telemetriekonfiguration Konflikte basierend auf den folgenden Prioritäten:

Regeln auf Organisationsebene haben Vorrang vor Regeln auf Kontoebene
Spezifischere Tag-Übereinstimmungen genießen Vorrang vor allgemeinen Regeln
Falls sich mehrere Regeln widersprechen, wird keine der Regeln angewendet. Sie müssen die Konflikte zuerst lösen.

Häufige Probleme

Ressourcen werden bei Erkennung nicht angezeigt

Vergewissern Sie sich, dass folgende Bedingungen erfüllt sind:

Der Ressourcentyp wird unterstützt
AWS Config Recorder ist aktiviert
Sie verfügen über die entsprechenden IAM-Berechtigungen

Die Regeln gelten nicht automatisch

Überprüfen Sie:

Die Konfiguration des Regelumfangs
Tag-Filter

Servicespezifische Überlegungen

Amazon-VPC-Flow-Protokolle

Beim Erstellen der Flow-Protokolle:

Nutzt das Standardmuster /aws/vpc/vpc-id, falls keines angegeben ist
Bestehende, vom Kunden erstellte Flow-Protokolle werden beibehalten
Regelaktualisierungen wirken sich nur auf neue Flow-Protokolle aus

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Anzeigen der Ressourcen

Deaktivieren der Telemetriekonfiguration