使用配置记录器 - AWS Config
客户托管配置记录器的注意事项与服务相关的配置记录器的注意事项配置记录器的偏差检测

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用配置记录器

配置记录器将范围内资源类型的配置更改存储为配置项目 (CIs)

配置记录器有两种类型。

类型 描述
客户管理的配置记录器 您管理的配置记录器。范围内的资源类型由您设置。默认情况下,客户管理的配置记录器会在运行 AWS 区域 位置 AWS Config 中记录所有支持的资源。
与服务相关的配置记录器 链接到特定的配置记录器 AWS 服务。范围内的资源类型由链接服务设置。
主题

客户托管配置记录器的注意事项

每个区域每个账户一个客户管理的配置记录器

每 AWS 账户 台只能有一个客户管理的配置记录器 AWS 区域。

默认为记录所有支持的资源类型,不包括全球 IAM 资源类型

客户托管配置记录器的默认设置是记录所有支持的资源类型,不包括以下全球 IAM 资源类型:AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::Role、、、和AWS::IAM::User您可以指定要在记录中包含或排除哪些资源类型。

有关更多信息,请参阅 使用录制 AWS 资源 AWS Config

使用客户管理的配置记录器需要支付服务使用费

AWS Config 开始使用客户管理的配置记录器记录配置时,您需要支付服务使用费。

有关定价信息,请参阅 AWS Config 定价

AWS Systems Manager 用于在整个组织中创建客户托管的配置记录器

您可以使用 AWS Systems Manager Quick Setup 在多个组织部门 (OUs) 中创建客户管理的配置记录器,并 AWS 区域 使用 AWS 最佳实践。

有关更多信息,请参阅《Systems Manager 用户指南》中的 “使用快速设置创建 AWS Config 配置记录”。

重要

政策与合规结果

在中管理@@ 的 IAM 策略和其他策略 AWS Organizations可能会影响是否 AWS Config 有权记录资源的配置更改。此外,规则会直接评估资源的配置,而规则在运行评估时不考虑这些策略。确保现行政策与您打算使用的方式保持一致 AWS Config。

如果关闭配置记录器,则已删除资源的过时评估结果可能会持续存在

如果关闭了客户管理的配置记录器,则会禁用 AWS Config Config 跟踪您指定资源配置的更改(包括其删除)的功能。这意味着您可能会看到关闭客户托管配置记录器时删除的资源的评估结果过时,因为如果未开启录制,则 AWS Config 无法捕获删除事件。

与服务相关的配置记录器的注意事项

必须使用 AWS Config 服务相关角色

与 AWS Config 服务相关的配置记录器需要服务相关角色。

有关更多信息,请参阅为 AWS Config使用服务相关角色

与服务相关的配置记录器始终处于录制状态

与服务相关的录像机已修复。您无法直接更改与服务相关的录制器中的设置。要修改录制器设置,例如启动、停止或更新录制器,请通过使用 AWS 服务关联录制器的关联服务进行这些更改。

有关更多信息,请参阅删除配置记录器

录制范围决定您是否收到配置项目

录制范围由链接到配置记录器的设置 AWS 服务 ,并决定您是否在传送渠道中接收配置项目 (CIs)。如果录制范围是内部的,则您不会在配送渠道 CIs 中接收。

录制范围决定是否向您收取服务费

录制范围由链接到配置记录器的设置 AWS 服务 ,它决定范围内的配置项目 (CIs) 是免费录制(内部)还是会影响账单成本(已付费)。

录音机之间的录制频率优先级

如果您同时拥有一台客户管理的配置记录器和一台记录范围为 “付费” 的与服务相关的配置记录器,并且记录相同的资源类型,则记录频率较高的记录器优先。例如,如果您的客户管理的录音机设置为每日录制,但您启用了一项 AWS 服务,该服务使用录制范围为 “付费” 且持续录制的服务关联录制器,则将持续录制受影响的资源类型。

这意味着,即使您的客户管理的录制器设置仍显示 “每日录制”,但对于这两台录音机都适用的资源类型,您仍需要支付连续录制费用。这只会影响两个录音机正在录制的资源类型。

注意

无论您为客户管理的配置记录器或与服务相关的配置记录器生成的配置项目数量多少,您只需为每个配置项目支付一次费用。

例 示例:录制频率优先级

您已将客户托管录制器配置为以每日记录频率记录亚马逊 EC2 实例。稍后,您可以启用一项 AWS 服务功能,该功能使用记录范围为 “付费” 的服务关联录制器和同时记录 Amazon EC2 实例的连续录制。在此场景中:

  • 您的客户管理的录音机设置仍将显示 “每日录制”

  • Amazon EC2 实例将持续录制并提供额外服务, CIs 因为录制范围为 “付费” 的服务关联录制器具有更高的录制频率

  • 您需要为持续录制 Amazon EC2 实例付费

  • 仅由您的客户管理的录音机录制的其他资源类型将继续按每日录制频率录制

受支持的服务

以下服务支持与服务相关的配置记录器:

AWS service 服务主体 与一起使用的好处 AWS Config 了解更多
Amazon CloudWatch observabilityadmin.amazonaws.com, telemetry-enablement.observabilityadmin.amazonaws.com 您可以使用 Amazon O CloudWatch bservability Admin 来发现和了解您的 AWS 组织或账户 CloudWatch 的遥测配置状态。 有关更多信息,请参阅《CloudWatch 用户指南》中的审计 CloudWatch 遥测配置
AWS Security Hub securityhub.amazonaws.com 您可以使用 AWS Security Hub 集中管理安全调查结果,并对 AWS 账户进行安全评估。服务关联记录器支持以事件驱动的方法来获取暴露分析覆盖范围所需的资源配置项目。 有关更多信息,请参阅《 Security Hub 用户指南》中的启用 Security Hub

配置记录器的偏差检测

AWS::Config::ConfigurationRecorder 资源类型是配置记录器的配置项 (CI),用于跟踪配置记录器的所有状态更改。您可以使用此 CI 来检查配置记录器的状态是否与其先前的状态不同或已经偏离

例如,该 CI 会跟踪是否对允许 AWS Config 跟踪的资源类型进行了更新,是否停止或启动了配置记录器,或者是否删除或卸载了配置记录器。发生偏离的配置记录器表示您没有准确检测到预期资源类型的更改。如果您的配置记录器发生偏离,则可能导致漏报或误报合规性结果。

AWS::Config::ConfigurationRecorder资源类型是系统资源类型,默认情况下 AWS Config ,所有支持的区域都启用了该资源类型的记录。AWS::Config::ConfigurationRecorder 资源类型的记录不收取额外费用。