A AWS Config partire da un registratore di configurazione gestito dal cliente che utilizza AWS CLI

Considerazioni Fase 1: Esegui put-configuration-recorder Passaggio 2: Esegui il put-delivery-channel comando Passaggio 3: Esegui il start-configuration-recorder comando

Puoi iniziare AWS Config creando un registratore di configurazione gestito dal cliente. Per creare un registratore di configurazione gestito dal cliente con AWS CLI, utilizza i seguenti comandi: put-configuration-recorder, put-delivery-channel, e. start-configuration-recorder

Il put-configuration-recorder comando crea un registratore di configurazione gestito dal cliente.
Il put-delivery-channel comando crea un canale di distribuzione in cui AWS Config fornisce informazioni di configurazione a un bucket S3 e a un argomento SNS.
start-configuration-recorderAvvia il registratore di configurazione gestito dal cliente. Il registratore di configurazione gestito dal cliente inizierà a registrare le modifiche alla configurazione per i tipi di risorse specificati.

Argomenti

Considerazioni
Fase 1: Esegui put-configuration-recorder
Passaggio 2: Esegui il put-delivery-channel comando
Passaggio 3: Esegui il start-configuration-recorder comando

Il bucket S3, l'argomento SNS e il ruolo IAM sono obbligatori

Per creare un registratore di configurazione gestito dal cliente, è necessario creare un bucket S3, un argomento SNS e un ruolo IAM con policy allegate come prerequisiti. Per impostare i prerequisiti per, consulta Prerequisiti. AWS Config

Un registratore di configurazione gestito dal cliente per account per regione

È possibile disporre di un solo registratore di configurazione gestito dal cliente Account AWS per ciascuno. Regione AWS

Un canale di distribuzione per account per regione

Puoi avere una sola regione del canale di consegna Account AWS per ciascuna regione Regione AWS.

Politiche e risultati di conformità

Le policy IAM e le altre policy gestite in AWS Organizations possono influire AWS Config sulla disponibilità delle autorizzazioni per registrare le modifiche alla configurazione delle risorse. Inoltre, le regole valutano direttamente la configurazione di una risorsa e le regole non tengono conto di queste politiche durante l'esecuzione delle valutazioni. Assicurati che le politiche in vigore siano in linea con il modo in cui intendi AWS Config utilizzarle.

Usa il put-configuration-recordercomando per creare un registratore di configurazione gestito dal cliente:

Questo comando utilizza i ---recording-group campi --configuration-recorder and.


$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

Il configuration-recorder campo

Il configurationRecorder.json file specifica name e roleArn la frequenza di registrazione predefinita per il registratore di configurazione ()recordingMode. È inoltre possibile utilizzare questo campo per sovrascrivere la frequenza di registrazione per tipi di risorse specifici.


{
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

Il campo recording-group

Il recordingGroup.json file specifica quali tipi di risorse vengono registrati.


{ 
    "allSupported": boolean,
    "exclusionByResourceTypes": { 
        "resourceTypes": [ Comma-separated list of resource types to exclude ]
    },
    "includeGlobalResourceTypes": boolean,
    "recordingStrategy": { 
        "useOnly": "Recording strategy for the configuration recorder"
    },
    "resourceTypes": [ Comma-separated list of resource types to include]
}

Per ulteriori informazioni su questi campi, vedere put-configuration-recordernel AWS CLI Command Reference.

Usa il put-delivery-channelcomando per creare un canale di distribuzione:

Questo comando utilizza il --delivery-channel campo.


$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Il delivery-channel campo

Il deliveryChannel.json file specifica quanto segue:

Il name per il canale di consegna.
Il s3BucketName where AWS Config invia istantanee di configurazione.
Il snsTopicARN where AWS Config invia le notifiche
Il configSnapshotDeliveryProperties che imposta la frequenza con cui AWS Config fornisce istantanee di configurazione e la frequenza con cui richiama le valutazioni per le regole periodiche.


{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Per ulteriori informazioni su questi campi, vedere put-delivery-channelnel Command Reference.AWS CLI

Usa il start-configuration-recordercomando per iniziare AWS Config:


$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

Per ulteriori informazioni su questi campi, vedere start-configuration-recordernel AWS CLI Command Reference.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Prerequisiti

Verifica della configurazione