Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo del registratore di configurazione
Il registratore di configurazione memorizza le modifiche alla configurazione dei tipi di risorse inclusi nell'ambito come elementi di configurazione () CIs.
Esistono due tipi di registratori di configurazione.
| Tipo | Descrizione |
|---|---|
| Registratore di configurazione gestito dal cliente | Un registratore di configurazione gestito dall'utente. I tipi di risorse inclusi nell'ambito sono impostati dall'utente. Per impostazione predefinita, un registratore di configurazione gestito dal cliente registra tutte le risorse supportate nel file Regione AWS where AWS Config is running. |
| Registratore di configurazione collegato al servizio | Un registratore di configurazione collegato a uno specifico. Servizio AWS I tipi di risorse inclusi nell'ambito sono impostati dal servizio collegato. |
Argomenti
Considerazioni per il registratore di configurazione gestito dal cliente
Considerazioni relative ai registratori di configurazione collegati ai servizi
Rilevamento della deriva per il registratore di configurazione
Avvio del registratore di configurazione gestito dal cliente
Arresto del registratore di configurazione gestito dal cliente
Modifica della frequenza di registrazione per il registratore di configurazione gestito dal cliente
Ridenominazione del registratore di configurazione gestito dal cliente
Considerazioni per il registratore di configurazione gestito dal cliente
Un registratore di configurazione gestito dal cliente per account per regione
È possibile disporre di un solo registratore di configurazione gestito dal cliente Account AWS per ciascuno. Regione AWS
L'impostazione predefinita prevede la registrazione di tutti i tipi di risorse supportati, esclusi i tipi di risorse IAM globali
L'impostazione predefinita per un registratore di configurazione gestito dal cliente consiste nel registrare tutti i tipi di risorse supportati, esclusi i seguenti tipi di risorse IAM globali: AWS::IAM::Group AWS::IAM::PolicyAWS::IAM::Role,,, ed AWS::IAM::User è possibile specificare quali tipi di risorse si desidera includere o escludere dalla registrazione.
Per ulteriori informazioni, consulta AWS Risorse di registrazione con AWS Config.
Per l'utilizzo del registratore di configurazione gestito dal cliente vengono addebitati i costi di utilizzo del servizio
Quando si AWS Config inizia a registrare le configurazioni con il registratore di configurazione gestito dal cliente, vengono addebitati i costi di utilizzo del servizio.
Per informazioni sui prezzi, consulta Prezzi di AWS Config
Utilizzatelo AWS Systems Manager per creare un registratore di configurazione gestito dal cliente all'interno di un'organizzazione
È possibile utilizzare AWS Systems Manager Quick Setup per creare un registratore di configurazione gestito dal cliente su più unità organizzative (OUs) e Regioni AWS utilizzare le AWS migliori pratiche.
Per ulteriori informazioni, vedere Creare un registratore di AWS Config configurazione utilizzando Quick Setup nella Guida per l'utente di Systems Manager.
Importante
Politiche e risultati di conformità
Le policy IAM e le altre policy gestite in AWS Organizations possono influire AWS Config sulla disponibilità delle autorizzazioni per registrare le modifiche alla configurazione delle risorse. Inoltre, le regole valutano direttamente la configurazione di una risorsa e le regole non tengono conto di queste politiche durante l'esecuzione delle valutazioni. Assicurati che le politiche in vigore siano in linea con il modo in cui intendi AWS Config utilizzarle.
I risultati di valutazione non aggiornati per le risorse eliminate possono persistere se il registratore di configurazione è spento
Se il registratore di configurazione gestito dal cliente è disattivato, disabilita la capacità di AWS Config Config di tenere traccia delle modifiche alla configurazione delle risorse specificate, incluse le relative eliminazioni. Ciò significa che potresti visualizzare risultati di valutazione non aggiornati per le risorse che vengono eliminate quando il registratore di configurazione gestito dal cliente viene spento, poiché AWS Config non è possibile acquisire gli eventi di eliminazione se la registrazione non è attiva.
Considerazioni relative ai registratori di configurazione collegati ai servizi
È necessario utilizzare il ruolo collegato al AWS Config servizio
Il ruolo AWS Config collegato al servizio è richiesto per i registratori di configurazione collegati al servizio.
Per ulteriori informazioni, consulta la sezione relativa all'utilizzo di ruoli collegati ai servizi per AWS Config.
I registratori di configurazione collegati al servizio registrano sempre
I registratori collegati ai servizi sono fissi. Non è possibile modificare direttamente le impostazioni in un registratore collegato al servizio. Per modificare le impostazioni del registratore, ad esempio l'avvio, l'arresto o l'aggiornamento del registratore, apportate queste modifiche tramite il AWS servizio associato che utilizza il registratore collegato al servizio.
Per ulteriori informazioni, vedere Eliminazione del registratore di configurazione.
L'ambito di registrazione determina se si ricevono elementi di configurazione
L'ambito di registrazione è impostato da Servizio AWS ciò collegato al registratore di configurazione e determina se ricevere gli elementi di configurazione (CIs) nel canale di distribuzione. Se l'ambito di registrazione è INTERNO, non riceverete CIs nel canale di consegna.
L'ambito di registrazione determina se all'utente viene addebitato un costo di servizio
L'ambito di registrazione è impostato dall' Servizio AWS elemento collegato al registratore di configurazione e determina se gli elementi di configurazione (CIs) inclusi nell'ambito vengono registrati gratuitamente (INTERNAL) o se ciò influisce sui costi della fattura (PAID).
Precedenza della frequenza di registrazione tra i registratori
Se si dispone sia di un registratore di configurazione gestito dal cliente che di un registratore di configurazione collegato al servizio con un ambito di registrazione di «PAID» che registrano gli stessi tipi di risorse, il registratore con la frequenza di registrazione più elevata ha la precedenza. Ad esempio, se il registratore gestito dal cliente è impostato sulla registrazione giornaliera, ma si attiva un AWS servizio che utilizza un registratore collegato al servizio con un ambito di registrazione «PAID» e registrazione continua, i tipi di risorse interessati verranno registrati continuamente.
Ciò significa che, anche se le impostazioni del registratore gestito dal cliente mostrano ancora la dicitura «Registrazione giornaliera», vi verranno addebitati i costi per la registrazione continua per i tipi di risorse che rientrano nell'ambito di entrambi i registratori. Ciò riguarda solo i tipi di risorse che vengono registrati da entrambi i registratori.
Nota
L'addebito viene effettuato una sola volta per elemento di configurazione, indipendentemente dal numero di elementi di configurazione generati da un registratore di configurazione gestito dal cliente o dai registratori di configurazione collegati al servizio per i quali si paga.
Esempio: precedenza della frequenza di registrazione
Hai configurato il tuo registratore gestito dai clienti per registrare EC2 istanze Amazon con frequenza di registrazione giornaliera. Successivamente, abiliti una funzionalità di AWS servizio che utilizza un registratore collegato al servizio con un ambito di registrazione «PAID» e una registrazione continua che registra anche le istanze Amazon. EC2 In questo scenario:
Le impostazioni del registratore gestito dal cliente continueranno a mostrare la dicitura «Registrazione giornaliera»
EC2 Le istanze Amazon verranno registrate in modo continuo e forniranno ulteriori informazioni, CIs poiché il registratore collegato al servizio con ambito di registrazione «PAID» ha una frequenza di registrazione più elevata
Ti verrà addebitato un costo per la registrazione continua delle EC2 istanze Amazon
Gli altri tipi di risorse registrati solo dal registratore gestito dal cliente continueranno a essere registrati con una frequenza di registrazione giornaliera
Servizi supportati
I registratori di configurazione collegati ai servizi sono supportati per i seguenti servizi:
| AWS service | Principale del servizio | Vantaggi dell'utilizzo con AWS Config | Ulteriori informazioni |
|---|---|---|---|
| Amazon CloudWatch | observabilityadmin.amazonaws.com,
telemetry-enablement.observabilityadmin.amazonaws.com |
Puoi utilizzare Amazon CloudWatch Observability Admin per scoprire e comprendere lo stato della configurazione di telemetria CloudWatch per la tua organizzazione o il tuo AWS account. | Per ulteriori informazioni, consulta la sezione Controllo delle configurazioni di CloudWatch telemetria nella Guida per l'utente. CloudWatch |
| AWS Security Hub | securityhub.amazonaws.com |
Puoi utilizzarli AWS Security Hub per gestire centralmente i risultati di sicurezza ed eseguire valutazioni di sicurezza su tutti i tuoi account. AWS Il registratore collegato al servizio consente un approccio basato sugli eventi per ottenere gli elementi di configurazione delle risorse necessari per la copertura dell'analisi dell'esposizione. | Per ulteriori informazioni, vedere Enabling Security Hub nella Guida per l'utente di Security Hub. |
Rilevamento della deriva per il registratore di configurazione
Il tipo di risorsa AWS::Config::ConfigurationRecorder è un elemento di configurazione (CI) del registratore di configurazione che tiene traccia di tutte le modifiche allo stato del registratore di configurazione. Puoi utilizzare questo elemento di configurazione per verificare se lo stato del registratore di configurazione è diverso o se ha subito deviazioni rispetto allo stato precedente.
Ad esempio, questo elemento di configurazione rileva se sono presenti aggiornamenti ai tipi di risorse per cui hai abilitato la registrazione in AWS Config e se il registratore di configurazione è stato interrotto o avviato o se è stato eliminato o disinstallato. Un registratore di configurazione deviato indica che le modifiche ai tipi di risorse previsti non vengono rilevate con precisione. Se il registratore di configurazione è stato deviato, ciò può comportare risultati di conformità falsi negativi o falsi positivi.
Il tipo di AWS::Config::ConfigurationRecorder risorsa è un tipo di risorsa di sistema AWS Config e la registrazione di questo tipo di risorsa è abilitata per impostazione predefinita in tutte le regioni supportate. La registrazione del tipo di risorsa AWS::Config::ConfigurationRecorder è disponibile senza costi aggiuntivi.
