手动设置 AWS Config - AWS Config
步骤 1:设置步骤 2:规则第 3 步:查看有关更多信息

手动设置 AWS Config

通过入门工作流,您可以完成设置过程的所有手动选择以开始使用 AWS Config 控制台。有关简化的入门流程,请参阅一键设置

使用入门,通过控制台设置 AWS Config

  1. 登录到,AWS 管理控制台然后通过以下网址打开 AWS Config 控制台:https://console.aws.amazon.com/config/home

  2. 选择入门

设置页面包括三个步骤。下文详细介绍了您选择入门之后的该过程。

  • 设置:选择 AWS Config 控制台记录资源和角色的方式,并选择配置历史记录和配置快照文件的发送位置。

  • 规则:对于支持 AWS Config 规则的,AWS 区域本步骤可供您配置可以添加到账户的初始托管规则。设置后,AWS Config 会根据您选择的规则来评估您的 AWS 资源。设置完成后,可以创建其他规则,您账户中的现有规则也会更新。

  • 查看:验证您的设置详细信息。

步骤 1:设置

记录策略

记录方法部分,选择记录策略。指定您希望 AWS Config 记录的 AWS 资源。

All resource types with customizable overrides

设置,AWS Config以记录该区域中所有当前和未来支持的资源类型的配置更改。您可以覆盖特定资源类型的记录频率,也可以从记录中排除特定资源类型。有关更多信息,请参阅支持的资源类型

  • 默认设置

    为所有当前和未来支持的资源类型配置默认记录频率。有关更多信息,请参阅记录频率

    • 连续记录 - AWS Config 在发生更改时连续记录配置更改。

    • 每日记录 - 您会收到代表过去 24 小时内资源的最新状态的配置项(CI),前提是它与之前记录的 CI 不同。

    注意

    AWS Firewall Manager 依赖连续记录来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

  • 覆盖设置

    覆盖特定资源类型的记录频率,或从记录中排除特定资源类型。如果您更改某一资源类型的记录频率或停止记录某一资源类型,则已记录的配置项会保持不变。

Specific resource types

将 AWS Config 设置为仅记录您指定的资源类型的配置更改。

  • 特定的资源类型

    选择要记录的资源类型及其频率。有关更多信息,请参阅记录频率

    • 连续记录 - AWS Config 在发生更改时连续记录配置更改。

    • 每日记录 - 您会收到代表过去 24 小时内资源的最新状态的配置项(CI),前提是它与之前记录的 CI 不同。

    注意

    AWS Firewall Manager 依赖连续记录来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

    如果您更改某一资源类型的记录频率或停止记录某一资源类型,则已记录的配置项会保持不变。

记录资源时的注意事项

大量 AWS Config 评估

您可能会注意到,在最初使用 AWS Config 记录的一个月中,账户活动会多于随后的几个月。在初始引导过程中,AWS Config 会对您账户中选择的、需要 AWS Config 记录的所有资源进行评估。

如果您运行的是临时工作负载,则可能会看到 AWS Config 中的活动增加,因为它会记录与创建和删除这些临时资源相关的配置更改。临时工作负载 是临时使用在需要时加载和运行的计算资源。示例包括 Amazon Elastic Compute Cloud(Amazon EC2)竞价型实例、Amazon EMR 任务和 AWS Auto Scaling。如果您想避免因运行临时工作负载而导致活动增加,则可以设置配置记录器,将这些资源类型排除在记录范围之外,或者在单独的账户中运行这些类型的工作负载,同时将 AWS Config 关闭,以避免增加配置记录和规则评估。

Considerations: All resource types with customizable overrides

全局记录的资源类型 | Aurora 全局集群最初包含在记录范围内

AWS::RDS::GlobalCluster 资源类型将记录在已启用配置记录器的所有受支持 AWS Config 区域中。

如果您不想在所有已启用的区域中记录,AWS::RDS::GlobalCluster请选择“AWS RDS GlobalCluster”,然后选择“从记录中排除”覆盖方法。

全局资源类型 | IAM 资源类型最初不包含在记录范围内

为了帮您降低成本,全局 IAM 资源类型最初将不包含在记录范围内。此捆绑包包括 IAM 用户、组、角色和客户管理型策略。选择移除以删除覆盖,并将这些资源包含在您的记录范围内。

此外,AWS Config 在 2022 年 2 月之后提供支持的区域中,无法记录以下全局 IAM 资源类型:AWS::IAM::UserAWS::IAM::GroupAWS::IAM::RoleAWS::IAM::Policy。有关这些区域的列表,请参阅记录 AWS 资源 | 全球资源

限制

您可以添加最多 100 项频率覆盖和 600 项排除覆盖。

无法为以下资源类型指定每日记录:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Considerations: Specific resource types

区域可用性

在指定 AWS Config 要跟踪的资源类型之前,请检查按区域可用性列出的资源覆盖范围,以查看您设置 AWS Config 的 AWS 区域是否支持该资源类型。如果 AWS Config 至少在一个区域支持某种资源类型,则即使您设置 AWS Config 的 AWS 区域不支持指定的资源类型,您也可以在 AWS Config 支持的所有区域中启用该资源类型的记录。

限制

如果所有资源类型的频率都相同,则没有限制。如果至少将一种资源类型设置为“持续”,则最多可以添加 100 种频率为“每日”的资源类型。

以下资源类型不支持“每日”频率:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

数据治理

  • 对于数据保留期,可以选择默认保留期,将 AWS Config 数据保留 7 年(2557 天),也可以为 AWS Config 记录的项目设置一个自定义保留期。

    AWS Config 允许您通过为 ConfigurationItems 指定保留期来删除您的数据。指定保留期后,AWS Config 会将您的 ConfigurationItems 保留指定的时间段。您可以选择介于最少 30 天和最多 7 年(2557 天)之间的保留期。AWS Config 会删除超过您指定的保留期的数据。

  • 对于用于 AWS Config 的 IAM 角色,请选择现有的 AWS Config 服务相关角色或从您的账户中选择一个 IAM 角色。

    • 服务相关角色由 AWS Config 预定义,并包含该服务调用其他 AWS 服务所需的一切权限。

      注意

      推荐:使用服务相关角色

      建议您使用服务相关角色。服务相关角色可添加 AWS Config 按预期运行所需的所有必要权限。

    • 否则,请从现有的角色和权限策略中选择一个 IAM 角色。

      注意

      策略与合规结果

      IAM 策略AWS Organizations 中管理的其他策略可能会影响 AWS Config 是否有权记录资源的配置更改。此外,规则会直接评估资源的配置,且执行评估时不会考虑这些策略。确保现行策略与您打算使用 AWS Config 的方式保持一致。

      重用 IAM 角色时保留最低权限

      如果您使用的 AWS 服务使用,AWS Config例如 AWS Security Hub CSPM 或,AWS Control Tower并且已经创建了 IAM 角色,请确保您在设置 AWS Config 时使用的 IAM 角色与现有 IAM 角色保持相同的最低权限。您必须这样做才能确保其他 AWS 服务继续按预期运行。

      例如,如果 AWS Control Tower 拥有允许 AWS Config 读取 S3 对象的 IAM 角色,请确保在设置 AWS Config 时使用的 IAM 角色中授予了相同权限。否则,它可能会干扰 AWS Control Tower 工作方式。

传送方式

  • 对于传送方式,选择 AWS Config 将配置历史记录和配置快照文件发送到的 S3 存储桶:

    • 创建存储桶 – 对于 S3 存储桶名称,键入 S3 存储桶的名称。

      您键入的名称在 Amazon S3 中所有现有的存储桶名称中必须唯一。添加前缀(例如,您所在组织的名称)是确保唯一性的一种方法。存储桶创建完毕后,您无法更改其名称。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的存储桶限制

    • 从您的账户选择一个存储桶 – 对于 S3 存储桶名称,选择您的首选存储桶。

    • 从另一账户选择存储桶 – 对于 S3 存储桶名称,键入存储桶名称。

      注意

      存储桶权限

      如果您从其他账户选择存储桶,则该存储桶必须拥有授予 AWS Config 访问权限的策略。有关更多信息,请参阅 Amazon S3 存储桶的 AWS Config 传输通道权限

  • 对于 Amazon SNS 主题,选择将配置更改和通知流式传输到 Amazon SNS 主题,以便 AWS Config 发送配置历史记录传送、配置快照传送和合规性等通知。

  • 如果您选择让 AWS Config 将信息流式传输到 Amazon SNS 主题,请选择目标主题:

    • 创建主题 – 对于主题名称,键入您的 SNS 主题的名称。

    • 从您的账户选择一个主题 – 对于主题名称,选择您的首选主题。

    • 从另一个账户选择一个主题 – 对于主题 ARN,键入主题的 Amazon 资源名称(ARN)。如果您从其他账户选择主题,则该主题必须拥有授予 AWS Config 访问权限的策略。有关更多信息,请参阅 Amazon SNS 主题的权限

      注意

      Amazon SNS 主题的区域

      Amazon SNS 主题所在的区域必须与您设置 AWS Config 的区域相同。

步骤 2:规则

如果您在支持规则的区域中设置,AWS Config请选择下一步

第 3 步:查看

查看您的 AWS Config 设置详细信息。您可以返回编辑每个部分中所做的更改。要完成设置,AWS Config请选择确认

有关更多信息

有关在账户中查找现有资源和了解资源配置的信息,请参阅查找资源查看合规信息查看合规历史记录

您也可以使用 Amazon Simple Queue Service 以编程方式来监控 AWS 资源。有关更多信息,请参阅 使用 Amazon SQS 监控 AWS 资源更改