Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Arbeiten mit dem Konfigurationsrekorder
Der Konfigurationsrekorder speichert die Konfigurationsänderungen an den Ressourcentypen im Gültigkeitsbereich als Konfigurationselemente (CIs).
Es gibt zwei Arten von Konfigurationsrekordern.
| Typ | Beschreibung |
|---|---|
| Vom Kunden verwalteter Konfigurationsrekorder | Ein von Ihnen verwalteter Konfigurationsrekorder. Die im Geltungsbereich enthaltenen Ressourcentypen werden von Ihnen festgelegt. Standardmäßig zeichnet ein vom Kunden verwalteter Konfigurationsrekorder alle unterstützten Ressourcen in dem Bereich auf, in AWS-Region dem er ausgeführt AWS Config wird. |
| Mit dem Dienst verbundener Konfigurationsrekorder | Ein Konfigurationsrekorder, der mit einem bestimmten AWS-Service verknüpft ist. Die im Gültigkeitsbereich angegebenen Ressourcentypen werden vom verknüpften Dienst festgelegt. |
Themen
Überlegungen zum vom Kunden verwalteten Konfigurationsrekorder
Ein vom Kunden verwalteter Konfigurationsrekorder pro Konto und Region
Sie können jeweils AWS-Konto nur einen vom Kunden verwalteten Konfigurationsrekorder verwenden AWS-Region.
Standardmäßig werden alle unterstützten Ressourcentypen aufgezeichnet, mit Ausnahme der globalen IAM-Ressourcentypen
Standardmäßig zeichnet ein vom Kunden verwalteter Konfigurationsrekorder alle unterstützten Ressourcentypen auf, mit Ausnahme der folgenden globalen IAM-Ressourcentypen:AWS::IAM::Group,, und AWS::IAM::User Sie können angeben AWS::IAM::PolicyAWS::IAM::Role, welche Ressourcentypen Sie in die Aufzeichnung einbeziehen oder von der Aufzeichnung ausschließen möchten.
Weitere Informationen finden Sie unter AWS Ressourcen aufzeichnen mit AWS Config.
Für die Nutzung des vom Kunden verwalteten Konfigurationsrekorders werden Ihnen Gebühren für die Nutzung des Dienstes berechnet
Ihnen werden Gebühren für die Nutzung des Dienstes berechnet, wenn Sie mit der Aufzeichnung von Konfigurationen mit dem vom Kunden verwalteten Konfigurationsrekorder AWS Config beginnen.
Preisinformationen finden Sie unter AWS Config
– Preise
Wird verwendet AWS Systems Manager , um einen vom Kunden verwalteten Konfigurationsrekorder in einem Unternehmen zu erstellen
Sie können AWS Systems Manager Quick Setup verwenden, um einen vom Kunden verwalteten Konfigurationsrekorder für mehrere Organisationseinheiten (OUs) zu erstellen und dabei AWS bewährte Methoden zu AWS-Regionen verwenden.
Weitere Informationen finden Sie unter Erstellen eines AWS Config Konfigurationsrekorders mithilfe von Quick Setup im Systems Manager Manager-Benutzerhandbuch.
Wichtig
Richtlinien und Konformitätsergebnisse
IAM-Richtlinien und andere Richtlinien, die in verwaltet werden, AWS Organizations können sich darauf auswirken, ob Sie AWS Config berechtigt sind, Konfigurationsänderungen für Ihre Ressourcen aufzuzeichnen. Darüber hinaus bewerten Regeln direkt die Konfiguration einer Ressource, und Regeln berücksichtigen diese Richtlinien bei der Durchführung von Evaluierungen nicht. Stellen Sie sicher, dass die geltenden Richtlinien mit der Art und Weise übereinstimmen, wie Sie sie verwenden möchten AWS Config.
Veraltete Evaluierungsergebnisse für gelöschte Ressourcen können bestehen bleiben, wenn der Konfigurationsrekorder ausgeschaltet ist
Wenn der vom Kunden verwaltete Konfigurationsrekorder ausgeschaltet ist, ist AWS Config Config nicht in der Lage, Änderungen an der Konfiguration der von Ihnen angegebenen Ressourcen nachzuverfolgen, einschließlich deren Löschungen. Das bedeutet, dass Sie möglicherweise veraltete Evaluierungsergebnisse für Ressourcen erhalten, die gelöscht werden, wenn der vom Kunden verwaltete Konfigurationsrekorder ausgeschaltet ist, da Löschereignisse AWS Config nicht erfasst werden können, wenn die Aufzeichnung nicht aktiviert ist.
Überlegungen zu serviceverknüpften Konfigurationsrekordern
Die AWS Config serviceverknüpfte Rolle muss verwendet werden
Die AWS Config dienstverknüpfte Rolle ist für dienstverknüpfte Konfigurationsrekorder erforderlich.
Weitere Informationen finden Sie unter Verwenden von Service-verknüpften Rollen für AWS Config.
Mit Diensten verknüpfte Konfigurationsrekorder zeichnen immer auf
Serviceverknüpfte Rekorder sind repariert. Sie können die Einstellungen in einem serviceverknüpften Rekorder nicht direkt ändern. Um Rekordereinstellungen wie das Starten, Stoppen oder Aktualisieren des Rekorders zu ändern, nehmen Sie diese Änderungen über den zugehörigen AWS Dienst vor, der den serviceverknüpften Rekorder verwendet.
Weitere Informationen finden Sie unter Löschen des Konfigurationsrekorders.
Der Umfang der Aufzeichnung bestimmt, ob Sie Konfigurationselemente erhalten
Der Umfang der Aufzeichnung wird von dem festgelegt AWS-Service , der mit dem Konfigurationsrekorder verknüpft ist, und bestimmt, ob Sie Konfigurationselemente (CIs) im Bereitstellungskanal erhalten. Wenn der Aufzeichnungsbereich INTERN ist, erhalten Sie keine CIs Daten im Lieferkanal.
Der Umfang der Aufzeichnung bestimmt, ob Ihnen eine Servicegebühr berechnet wird
Der Umfang der Aufzeichnung wird durch den AWS-Service , der mit dem Konfigurationsrekorder verknüpft ist, festgelegt und bestimmt, ob die im Umfang enthaltenen Konfigurationselemente (CIs) kostenlos aufgezeichnet werden (INTERN) oder ob er sich auf die Kosten Ihrer Rechnung auswirkt (KOSTENPFLICHTIG).
Rangfolge der Aufzeichnungsfrequenz zwischen den Rekordern
Wenn Sie sowohl einen vom Kunden verwalteten Konfigurationsrekorder als auch einen serviceverknüpften Konfigurationsrekorder mit dem Aufzeichnungsbereich „PAID“ haben, die dieselben Ressourcentypen aufzeichnen, hat der Rekorder mit der höheren Aufzeichnungsfrequenz Vorrang. Wenn Ihr vom Kunden verwalteter Rekorder beispielsweise auf tägliche Aufzeichnung eingestellt ist, Sie aber einen AWS Dienst aktivieren, der einen dienstgebundenen Rekorder mit einem Aufzeichnungsbereich von „KOSTENPFLICHTIG“ und kontinuierlicher Aufzeichnung verwendet, werden die betroffenen Ressourcentypen kontinuierlich aufgezeichnet.
Das bedeutet, dass in Ihren Einstellungen für den vom Kunden verwalteten Rekorder zwar immer noch „Tägliche Aufzeichnung“ angezeigt wird, Ihnen jedoch die kontinuierliche Aufzeichnung für die Ressourcentypen in Rechnung gestellt wird, die für beide Rekorder gelten. Dies betrifft nur Ressourcentypen, die von beiden Rekordern aufgezeichnet werden.
Anmerkung
Ihnen wird nur einmal pro Konfigurationselement berechnet, unabhängig von der Anzahl der Konfigurationselemente, die von einem Kunden verwalteten Konfigurationsrekorder oder von serviceverknüpften Konfigurationsrekordern generiert wurden, für die Sie bezahlen.
Beispiel: Rangfolge der Aufzeichnungshäufigkeit
Sie haben Ihren vom Kunden verwalteten Rekorder so konfiguriert, dass er EC2 Amazon-Instances mit täglicher Aufzeichnungsfrequenz aufzeichnet. Später aktivieren Sie eine AWS Servicefunktion, die einen serviceverknüpften Rekorder mit einem Aufzeichnungsbereich von „BEZAHLT“ und einer kontinuierlichen Aufzeichnung verwendet, die auch EC2 Amazon-Instances aufzeichnet. In diesem Szenario:
In den vom Kunden verwalteten Rekordereinstellungen wird weiterhin „Tägliche Aufnahme“ angezeigt
EC2 Amazon-Instances werden kontinuierlich aufgezeichnet und bieten zusätzliche Funktionen, CIs da der serviceverknüpfte Rekorder mit dem Aufzeichnungsbereich „BEZAHLT“ eine höhere Aufzeichnungsfrequenz hat
Ihnen wird die kontinuierliche Aufzeichnung von EC2 Amazon-Instanzen in Rechnung gestellt
Andere Ressourcentypen, die nur von Ihrem Kunden verwalteten Rekorder aufgezeichnet werden, werden weiterhin in einer täglichen Aufzeichnungshäufigkeit aufgezeichnet
Unterstützte Services
Mit Diensten verknüpfte Konfigurationsrekorder werden für die folgenden Dienste unterstützt:
| AWS Service nicht zulässig | Principal des Dienstes | Vorteile der Verwendung mit AWS Config | Weitere Informationen |
|---|---|---|---|
| Amazon CloudWatch | observabilityadmin.amazonaws.com,
telemetry-enablement.observabilityadmin.amazonaws.com |
Sie können Amazon CloudWatch Observability Admin verwenden, um den Status der Telemetriekonfiguration CloudWatch für Ihre AWS Organisation oder Ihr Konto zu ermitteln und zu verstehen. | Weitere Informationen finden Sie unter Prüfen von CloudWatch Telemetriekonfigurationen im CloudWatch Benutzerhandbuch. |
| AWS Security Hub | securityhub.amazonaws.com |
Sie können es verwenden AWS Security Hub , um Sicherheitsergebnisse zentral zu verwalten und Sicherheitsbewertungen für Ihre AWS Konten durchzuführen. Der servicebasierte Rekorder ermöglicht einen ereignisgesteuerten Ansatz zum Abrufen von Ressourcenkonfigurationselementen, die für die Abdeckung der Risikoanalyse erforderlich sind. | Weitere Informationen finden Sie unter Enabling Security Hub im Security Hub Hub-Benutzerhandbuch. |
Drifterkennung für den Konfigurationsrekorder
Der Ressourcentyp AWS::Config::ConfigurationRecorder ist ein Konfigurationselement (Configuration Item, CI) für den Konfigurations-Recorder, das alle Änderungen am Status des Konfigurations-Recorders verfolgt. Sie können mit diesem CI überprüfen, ob sich der Status des Konfigurations-Recorders von seinem vorherigen Status unterscheidet. Dies wird auch als Abweichung bezeichnet.
Dieses CI verfolgt beispielsweise, ob Aktualisierungen von Ressourcentypen vorliegen, deren Nachverfolgung Sie in AWS Config aktiviert haben, ob Sie den Konfigurations-Recorder beendet oder gestartet haben oder ob Sie den Konfigurations-Recorder gelöscht oder deinstalliert haben. Ein abweichender Konfigurations-Recorder weist darauf hin, dass Änderungen an den beabsichtigten Ressourcentypen nicht genau erkannt werden. Wenn Ihr Konfigurations-Recorder abweicht, kann dies zu falsch negativen oder falsch positiven Compliance-Ergebnissen führen.
Der AWS::Config::ConfigurationRecorder Ressourcentyp ist ein Systemressourcentyp von, AWS Config und die Aufzeichnung dieses Ressourcentyps ist standardmäßig in allen unterstützten Regionen aktiviert. Für die Aufzeichnung des Ressourcentyps AWS::Config::ConfigurationRecorder fallen keine zusätzlichen Kosten an.
