Integrazione delle regole di abilitazione con AWS Config Comprensione del comportamento delle regole di abilitazione Creazione di regole di abilitazione della telemetria Gestione delle regole di telemetria Risoluzione degli errori di configurazione della telemetria

Utilizzo delle regole di abilitazione della telemetria

Puoi creare regole di abilitazione della telemetria per configurare automaticamente la raccolta di telemetria per le tue risorse AWS. Le regole permettono di standardizzare la raccolta della telemetria in tutta l'organizzazione o nei singoli account, garantendo una copertura di monitoraggio uniforme.

Argomenti

Integrazione delle regole di abilitazione con AWS Config
Comprensione del comportamento delle regole di abilitazione
Creazione di regole di abilitazione della telemetria
Gestione delle regole di telemetria
Risoluzione degli errori di configurazione della telemetria

Integrazione delle regole di abilitazione con AWS Config

Il controllo e la configurazione della telemetria di CloudWatch si integrano con AWS Config per scoprire automaticamente le risorse che corrispondono alla regola di abilitazione e applicarle alla raccolta dei dati della telemetria. Quando crei una regola di abilitazione, la configurazione della telemetria crea un registratore AWS Config corrispondente. Questo registratore include elementi di configurazione per i tipi di risorse specifici definiti nella regola di abilitazione.

Puoi abilitare la configurazione della telemetria senza costi aggiuntivi. Quando si utilizzano le regole di abilitazione per gestire automaticamente la telemetria, i costi relativi a AWS Config vengono applicati in base al numero di elementi di configurazione registrati per i tipi di risorse specificati nella regola di abilitazione. Per ulteriori informazioni, consultare Prezzi di AWS Config.

Nota

Se hai già abilitato AWS Config per la registrazione degli elementi di configurazione per il tipo di risorsa specifico, non ti verrà addebitato alcun nuovo costo.

La configurazione della telemetria si avvale di AWS Config per:

Rilevare le risorse nell'organizzazione o negli account
Tracciare le modifiche alla configurazione della telemetria

Comprensione del comportamento delle regole di abilitazione

La configurazione della telemetria segue schemi specifici durante la valutazione e l'applicazione delle regole:

Le regole di abilitazione vengono valutate secondo uno schema gerarchico. Vengono valutate prima le regole organizzative, poi le regole che si applicano alle unità organizzative (UO) e infine le regole che si applicano ai singoli account. Le regole a livello organizzativo forniscono la telemetria di base richiesta per l'organizzazione. Le regole a livello di unità organizzativa e di account possono raccogliere dati di telemetria aggiuntivi, ma non possono raccogliere meno dati di telemetria. Se viene creata una regola di questo tipo, si creerà un conflitto di regole.

All'interno di ogni ambito (organizzazione, unità organizzativa o account), le regole devono mantenere l'unicità in base al tipo di risorsa, al tipo di telemetria e alla configurazione di destinazione. Le regole duplicate attivano un'eccezione di conflitto. Se la stessa regola esiste in ambiti diversi, ad esempio una regola a livello di organizzazione per i log di flusso VPC su CloudWatch e una regola a livello di unità organizzativa per i log di flusso VPC, viene applicata la regola più in alto nella gerarchia. Tuttavia, se ci sono più regole in conflitto, nessuna delle regole viene applicata.

Per i log di flusso VPC, la configurazione della telemetria crea solo nuovi log di flusso per le risorse che corrispondono all'ambito della regola. Non elimina né influisce sui log di flusso VPC precedentemente stabiliti, anche se differiscono dai parametri delle regole correnti. Per CloudWatch Logs, i gruppi di log esistenti vengono mantenuti a condizione che corrispondano al modello di risorse.

Se si aggiorna una regola di abilitazione, solo le nuove risorse che corrispondono alla regola adottano la configurazione aggiornata, mentre le impostazioni di telemetria esistenti rimangono invariate per le risorse esistenti. Se una risorsa non è conforme a una regola esistente a causa dell'eliminazione manuale dei dati di telemetria, la nuova regola di abilitazione viene adottata una volta che per la risorsa viene ripristinata la conformità.

Creazione di regole di abilitazione della telemetria

Quando crei una regola di abilitazione della telemetria, specifica:

L'ambito della regola (organizzazione, unità organizzativa o account)
I tipi di risorse a cui viene applicata la regola
I tipi di telemetria da abilitare (metriche, log o tracce)
Tag opzionali per filtrare le risorse interessate dalla regola

Per creare una regola di abilitazione della telemetria

Apri la console CloudWatch all'indirizzo https://console.aws.amazon.com/cloudwatch/.
Nel pannello di navigazione, scegli Configurazione della telemetria.
Scegli la scheda Regole di abilitazione.
Scegli Aggiungi regola.
In Nome regola, inserisci un nome per la regola.
Per Ambito della regola, scegli una delle seguenti opzioni:
- Organizzazione: la regola si applica a tutta l'organizzazione AWS Organizations
- Unità organizzativa: la regola si applica a un'unità organizzativa specifica
- Account: la regola si applica a un singolo account
Per Origine dati, seleziona il servizio AWS da configurare.
Per Tipo di telemetria, seleziona i tipi di telemetria da abilitare.
Facoltativo: aggiungi tag per filtrare le risorse interessate dalla regola.
Scegli Crea regola.

Gestione delle regole di telemetria

Dopo aver creato le regole, puoi modificarle o eliminarle. Inoltre, puoi visualizzare le risorse interessate da ciascuna regola e monitorare la conformità delle regole.

Per gestire una regola esistente

Apri la console CloudWatch all'indirizzo https://console.aws.amazon.com/cloudwatch/.
Nel pannello di navigazione, scegli Configurazione della telemetria.
Scegli la scheda Regole di abilitazione.
Seleziona una regola per visualizzarne i dettagli o scegli una di queste operazioni:
- Modifica: modifica le impostazioni delle regole
- Elimina: rimuovi la regola

Risoluzione degli errori di configurazione della telemetria

Questa sezione descrive i problemi comuni che possono verificarsi durante l'utilizzo della configurazione della telemetria e come risolverli.

Conflitti tra regole e risoluzione

Quando più regole si applicano alla stessa risorsa, la configurazione della telemetria risolve i conflitti utilizzando le seguenti priorità:

Le regole a livello di organizzazione hanno la precedenza sulle regole a livello di account
Corrispondenze di tag più specifiche hanno la precedenza sulle regole generali
Se esistono più regole in conflitto tra loro, nessuna delle regole viene applicata ed è necessario prima risolvere i conflitti.

Problemi comuni

Risorse non presenti nel rilevamento

Verificare che:

Il tipo di risorsa è supportato
Il registratore AWS Config è abilitato
Disponi delle autorizzazioni IAM appropriate

Le regole non si applicano automaticamente

Verifica:

La configurazione dell'ambito della regola
Filtri per i tag

Le considerazioni specifiche per il servizio

Log di flusso Amazon VPC

Durante la creazione di log di flusso:

Utilizza il modello predefinito /aws/vpc/vpc-id se non ne è specificato nessuno
I log di flusso esistenti creati dal cliente vengono conservati
Gli aggiornamenti delle regole riguardano solo i nuovi log di flusso

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Visualizzazione delle risorse

Disattivazione della configurazione della telemetria