Gravar recursos com a AWS CLI - AWS Config

Gravar recursos com a AWS CLI

Você pode usar a CLI da AWS para selecionar os tipos de recursos que deseja que o AWS Config registre. Isso é feito por meio da criação de um gravador de configuração gerenciado pelo cliente, que grava os tipos de recurso que você especifica em um grupo de gravação. No grupo de registro, é necessário especificar se todos os tipos de recursos compatíveis ou somente tipos específicos de recursos são registrados.

Record all current and future supported resource types

Configure o AWS Config para gravar as alterações de configuração de todos os tipos de recursos compatíveis atuais e futuros nessa região. Para ver uma lista de tipos de recurso compatíveis, consulte Tipos de recurso compatíveis.

  1. Use o comando put-configuration-recorder:

    Esse comando usa os campos --configuration-recorder e ---recording-group.

    $ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

    O campo configuration-recorder

    O arquivo configurationRecorder.json especifica name e roleArn, bem como a frequência de gravação padrão para o gravador de configuração (recordingMode).

    {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

    O campo recording-group

    O arquivo recordingGroup.json especifica quais tipos de recurso são gravados.

    {
    "allSupported": true,
    "recordingStrategy": {
        "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": true
}

    Para ter mais informações sobre esses campos, consulte put-configuration-recorder na Referência de comandos da AWS CLI.

  2. (Opcional) Para verificar se o seu gravador de configuração gerenciado pelo cliente tem as configurações que você quer, use o comando describe-configuration-recorders a seguir.

    $ aws configservice describe-configuration-recorders

    O seguinte é um exemplo de resposta.

    {
    "ConfigurationRecorders": [
        {
            "name": "default"
            "recordingGroup": {
                "allSupported": true,
                "exclusionByResourceTypes": { 
                     "resourceTypes": []
                },
                "includeGlobalResourceTypes": true,
                "recordingStrategy": {
                    "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record all current and future supported resources types excluding the types you specify

Configure o AWS Config para gravar alterações na configuração de todos os tipos de recursos compatíveis atuais e futuros, incluindo tipos globais de recursos, exceto os tipos de recursos especificados para serem excluídos da gravação.

Se você optar por interromper a gravação de um tipo de recurso, os itens de configuração que já foram gravados permanecerão inalterados. Para ver uma lista de tipos de recurso compatíveis, consulte Tipos de recurso compatíveis.

  1. Use o comando put-configuration-recorder:

    Esse comando usa os campos --configuration-recorder e ---recording-group.

    $ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

    O campo configuration-recorder

    O arquivo configurationRecorder.json especifica name e roleArn, bem como a frequência de gravação padrão para o gravador de configuração (recordingMode).

    {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

    O campo recording-group

    O arquivo recordingGroup.json especifica que tipos de recursos o AWS Config registrará. Transfira um ou mais tipos de recurso a serem excluídos no campo resourceTypes de exclusionByResourceTypes, conforme mostrado no exemplo a seguir.

    {
    "allSupported": false,
    "exclusionByResourceTypes": { 
        "resourceTypes": [
            "AWS::Redshift::ClusterSnapshot",
            "AWS::RDS::DBClusterSnapshot",
            "AWS::CloudFront::StreamingDistribution"
        ]
    },
   "includeGlobalResourceTypes": false,
   "recordingStrategy": {
       "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
    },
  
}

    Para ter mais informações sobre esses campos, consulte put-configuration-recorder na Referência de comandos da AWS CLI.

  2. (Opcional) Para verificar se o seu gravador de configuração gerenciado pelo cliente tem as configurações que você quer, use o comando describe-configuration-recorders a seguir.

    $ aws configservice describe-configuration-recorders

    O seguinte é um exemplo de resposta.

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": [
                        "AWS::Redshift::ClusterSnapshot",
                        "AWS::RDS::DBClusterSnapshot",
                        "AWS::CloudFront::StreamingDistribution"
                    ]
                },
                "includeGlobalResourceTypes": false,
                "recordingStrategy": {
                    "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record specific resource types

Configure o AWS Config para gravar alterações na configuração somente para os tipos de recursos especificados.

Se você optar por interromper a gravação de um tipo de recurso, os itens de configuração que já foram gravados permanecerão inalterados. Para ver uma lista de tipos de recurso compatíveis, consulte Tipos de recurso compatíveis.

  1. Use o comando put-configuration-recorder:

    Esse comando usa os campos --configuration-recorder e ---recording-group.

    $ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

    O campo configuration-recorder

    O arquivo configurationRecorder.json especifica name e roleArn, bem como a frequência de gravação padrão para o gravador de configuração (recordingMode).

    {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

    O campo recording-group

    O arquivo recordingGroup.json especifica que tipos de recursos o AWS Config registrará. Transfira um ou mais tipos de recurso a serem excluídos no campo resourceTypes, conforme mostrado no exemplo a seguir.

    {
    "allSupported": false,
    "recordingStrategy": {
        "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": false,
    "resourceTypes": [
        "AWS::EC2::EIP",
        "AWS::EC2::Instance",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::SecurityGroup",
        "AWS::CloudTrail::Trail",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC",
        "AWS::IAM::User",
        "AWS::IAM::Policy"
  ]
}

    Para ter mais informações sobre esses campos, consulte put-configuration-recorder na Referência de comandos da AWS CLI.

  2. (Opcional) Para verificar se o seu gravador de configuração gerenciado pelo cliente tem as configurações que você quer, use o comando describe-configuration-recorders a seguir.

    $ aws configservice describe-configuration-recorders

    O seguinte é um exemplo de resposta.

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": []
                },
                "includeGlobalResourceTypes": false
                "recordingStrategy": {
                    "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [
                    "AWS::EC2::EIP",
                    "AWS::EC2::Instance",
                    "AWS::EC2::NetworkAcl",
                    "AWS::EC2::SecurityGroup",
                    "AWS::CloudTrail::Trail",
                    "AWS::EC2::Volume",
                    "AWS::EC2::VPC",
                    "AWS::IAM::User",
                    "AWS::IAM::Policy"
                ]
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}