Iniciar o AWS Config com um gravador de configuração gerenciado pelo cliente usando a AWS CLI - AWS Config
ConsideraçõesEtapa 1: executar o comando put-configuration-recorderEtapa 2: executar o comando put-delivery-channelEtapa 3: executar o comando start-configuration-recorder

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Iniciar o AWS Config com um gravador de configuração gerenciado pelo cliente usando a AWS CLI

Você pode iniciar o AWS Config criando um gravador de configuração gerenciado pelo cliente. Para criar um gravador de configuração gerenciado pelo cliente com aAWS CLI, use os seguintes comandos: put-configuration-recorder, put-delivery-channel e start-configuration-recorder.

  • O comando put-configuration-recorder cria um gravador de configuração gerenciado pelo cliente.

  • O comando put-delivery-channel cria um objeto de canal de entrega para fornecer informações de configuração a um bucket do S3 e a um tópico do SNS.

  • Em seguida, start-configuration-recorder inicia o gravador de configuração gerenciado pelo cliente. O gravador de configuração gerenciado pelo cliente começará a registrar alterações de configuração para os tipos de recurso que você especificar.

Considerações

O bucket do S3, o tópico do SNS e o perfil do IAM são obrigatórios

Para criar um gravador de configuração gerenciado pelo cliente, você precisa criar um bucket do S3, um tópico do SNS e um perfil do IAM com políticas anexadas como pré-requisitos. Para configurar seus pré-requisitos para o AWS Config, consulte Pré-requisitos.

Um gravador de configuração gerenciado pelo cliente por conta por região

Só e possível ter um gravador de configuração gerenciado pelo cliente por Conta da AWS e por Região da AWS.

Um canal de entrega por conta por região

É possível ter somente uma região de canal de entrega por Conta da AWS para cada Região da AWS.

Políticas e resultados de conformidade

As políticas do IAM e outras políticas gerenciadas no AWS Organizations podem determinar se o AWS Config tem permissões para registrar alterações na configuração de seus recursos. Além disso, as regras avaliam diretamente a configuração de um recurso e não levam em conta essas políticas ao executar avaliações. As políticas em vigor devem estar alinhadas com a forma como você pretende usar o AWS Config.

Etapa 1: executar o comando put-configuration-recorder

Use o comando put-configuration-recorder para criar um gravador de configuração gerenciado pelo cliente:

Esse comando usa os campos --configuration-recorder e ---recording-group.

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

O campo configuration-recorder

O arquivo configurationRecorder.json especifica name e roleArn, bem como a frequência de gravação padrão para o gravador de configuração (recordingMode). Também é possível usar esse campo para substituir a frequência de gravação de tipos de recurso específicos.

{
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

O campo recording-group

O arquivo recordingGroup.json especifica quais tipos de recurso são gravados.

{ 
    "allSupported": boolean,
    "exclusionByResourceTypes": { 
        "resourceTypes": [ Comma-separated list of resource types to exclude ]
    },
    "includeGlobalResourceTypes": boolean,
    "recordingStrategy": { 
        "useOnly": "Recording strategy for the configuration recorder"
    },
    "resourceTypes": [ Comma-separated list of resource types to include]
}

Para ter mais informações sobre esses campos, consulte put-configuration-recorder na Referência de comandos da AWS CLI.

Etapa 2: executar o comando put-delivery-channel

Use o comando put-delivery-channel para criar um canal de entrega:

Esse comando usa o campo --delivery-channel.

$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

O campo delivery-channel

O arquivo deliveryChannel.json especifica o seguinte:

  • O name do canal de entrega.

  • O s3BucketName no qual o AWS Config envia snapshots de configuração.

  • O snsTopicARN no qual o AWS Config envia notificações.

  • O configSnapshotDeliveryProperties que define com que frequência o AWS Config fornece snapshots de configuração e com que frequência invoca avaliações de regras periódicas.

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Para ter mais informações sobre esses campos, consulte put-delivery-channel na Referência de comandos da AWS CLI.

Etapa 3: executar o comando start-configuration-recorder

Use o comando start-configuration-recorder para iniciar o AWS Config:

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

Para ter mais informações sobre esses campos, consulte start-configuration-recorder na Referência de comandos da AWS CLI.