使用配置记录器 - AWS Config
客户管理的配置记录器的注意事项服务相关配置记录器的注意事项配置记录器的偏离检测

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用配置记录器

配置记录器将范围内资源类型的配置更改存储为配置项目 (CIs)

有两种类型的配置记录器。

Type 描述
客户管理的配置记录器 您管理的配置记录器。范围内的资源类型由您设置。默认情况下,客户管理的配置记录器会在运行AWS 区域位置AWS Config中记录所有支持的资源。
服务相关配置记录器 链接到特定的配置记录器AWS 服务。范围内的资源类型由相关服务设置。
主题

客户管理的配置记录器的注意事项

每个区域的每个账户配有一个客户管理的配置记录器

每AWS 账户台只能有一个客户管理的配置记录器AWS 区域。

默认设置为记录所有支持的资源类型,不包括全局 IAM 资源类型

客户管理的配置记录器的默认设置是记录所有支持的资源类型,不包括以下全局 IAM 资源类型:AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::RoleAWS::IAM::User。您可以指定要在记录范围中包含或排除哪些资源类型。

有关更多信息,请参阅 使用 AWS Config 记录 AWS 资源

使用客户管理的配置记录器需要支付服务使用费

AWS Config开始使用客户管理的配置记录器记录配置时,您需要支付服务使用费。

有关定价信息,请参阅 AWS Config定价

AWS Systems Manager用于在整个组织中创建客户托管的配置记录器

您可以使用AWS Systems Manager Quick Setup 在多个组织部门 (OUs) 中创建客户托管的配置记录器,并AWS 区域使用AWS最佳实践。

有关更多信息,请参阅《Systems Manager 用户指南》中的 “使用快速设置创建AWS Config配置记录”。

重要

策略与合规结果

在中管理@@ 的 IAM 策略和其他策略AWS Organizations可能会影响您是否AWS Config有权记录资源的配置更改。此外,规则会直接评估资源的配置,且执行评估时不会考虑这些策略。确保现行策略与您打算使用AWS Config的方式保持一致。

如果配置记录器关闭,已删除资源的状态评估结果可能会持续显示

如果客户管理的配置记录器关闭,将会禁用AWS Config Config 跟踪您指定的资源配置更改的功能,包括其删除操作。这意味着您可能会看到关闭客户托管配置记录器时删除的资源的评估结果过时,因为如果未开启录制,则AWS Config无法捕获删除事件。

服务相关配置记录器的注意事项

必须使用AWS Config服务相关角色

与AWS Config服务相关的配置记录器需要服务相关角色。

有关更多信息,请参阅为AWS Config使用服务相关角色

服务相关配置记录器始终处于记录状态

服务相关记录器已修复。您无法直接更改服务相关记录器中的设置。要修改录制器设置,例如启动、停止或更新录制器,请通过使用AWS服务关联录制器的关联服务进行这些更改。

有关更多信息,请参阅删除配置记录器

记录范围决定您是否会收到配置项

录制范围由链接到配置记录器的设置AWS 服务,并决定您是否在传送渠道中接收配置项目 (CIs)。如果录制范围是内部的,则您不会在配送渠道 CIs 中接收。

记录范围决定是否向您收取服务费

录制范围由链接到配置记录器的设置AWS 服务,它决定范围内的配置项目 (CIs) 是免费录制(内部)还是会影响账单成本(已付费)。

记录器之间的记录频率优先级

如果您同时拥有客户管理的配置记录器和记录范围为“PAID”的服务相关配置记录器,并且它们记录相同的资源类型,则记录频率较高的记录器优先。例如,如果您的客户管理的录音机设置为每日录制,但您启用了一项AWS服务,该服务使用录制范围为 “付费” 且持续录制的服务关联录制器,则将持续录制受影响的资源类型。

这意味着,即使您的客户管理的记录器设置仍显示“每日记录”,但对于同时位于这两个记录器范围内的资源类型,您仍需要支付连续记录费用。这只会影响两个记录器正在记录的资源类型。

注意

无论客户管理的配置记录器或您付费的服务相关配置记录器生成多少个配置项,每个配置项仅计费一次。

例示例:记录频率优先级

您已将客户托管录制器配置为以每日记录频率记录亚马逊 EC2 实例。稍后,您可以启用一项AWS服务功能,该功能使用记录范围为 “付费” 的服务关联录制器和同时记录 Amazon EC2 实例的连续录制。在此场景中:

  • 您的客户管理的记录器设置仍将显示“每日记录”

  • Amazon EC2 实例将持续录制并提供额外服务, CIs 因为录制范围为 “付费” 的服务关联录制器具有更高的录制频率

  • 您需要为持续录制 Amazon EC2 实例付费

  • 仅由您的客户管理的记录器记录的其他资源类型将继续按每日记录频率记录

受支持的服务

以下服务支持服务相关配置记录器:

AWS service 服务主体 与一起使用的好处AWS Config 了解详情
Amazon CloudWatch observabilityadmin.amazonaws.com, telemetry-enablement.observabilityadmin.amazonaws.com 您可以使用 Amazon O CloudWatch bservability Admin 来发现和了解您的AWS组织或账户 CloudWatch 的遥测配置状态。 有关更多信息,请参阅《CloudWatch 用户指南》中的审计 CloudWatch 遥测配置
AWS Security Hub CSPM securityhub.amazonaws.com 您可以使用AWS Security Hub CSPM集中管理安全调查结果,并对AWS账户进行安全评估。服务相关记录器支持以事件驱动的方法来获取暴露分析覆盖范围所需的资源配置项。 有关更多信息,请参阅 Sec urity Hub CSPM 用户指南中的启用 Security Hub

配置记录器的偏离检测

AWS::Config::ConfigurationRecorder 资源类型是配置记录器的配置项(CI),用于跟踪配置记录器的所有状态更改。您可以使用此 CI 来检查配置记录器的状态是否与其先前的状态不同或已经偏离

例如,该 CI 会跟踪是否对允许AWS Config跟踪的资源类型进行了更新,是否停止或启动了配置记录器,或者是否删除或卸载了配置记录器。发生偏离的配置记录器表示您没有准确检测到预期资源类型的更改。如果您的配置记录器发生偏离,则可能导致漏报或误报合规性结果。

AWS::Config::ConfigurationRecorder资源类型是系统资源类型,默认情况下AWS Config,所有支持的区域都启用了该资源类型的记录。AWS::Config::ConfigurationRecorder 资源类型的记录不收取额外费用。