開啟資源追蹤 - AWS Backup
使用主控台開啟資源追蹤使用 AWS Command Line Interface (AWS CLI) 開啟資源追蹤使用 AWS CloudFormation 範本開啟資源追蹤

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

開啟資源追蹤

您必須先開啟資源追蹤,才能建立第一個與合規性相關的架構。這樣做 AWS Config 可讓 追蹤您的 AWS Backup 資源。如需如何管理資源追蹤的技術文件,請參閱《 AWS Config 開發人員指南》中的AWS Config 使用 主控台設定

開啟資源追蹤後需支付費用。如需 AWS Backup Audit Manager 資源追蹤定價和帳單的資訊,請參閱計量、成本和帳單

使用主控台開啟資源追蹤

使用主控台開啟資源追蹤:

  1. 在 https://https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 在左側導覽窗格中,選擇 Audit Manager 下的 架構

  3. 選擇 管理資源追蹤 以開啟資源追蹤。

  4. 選擇移至 AWS Config 設定

  5. 選擇 啟用或停用記錄

  6. 選擇 啟用 記錄下列所有資源類型,或選擇啟用記錄部分資源類型。請參閱 AWS Backup Audit Manager 控制項與修補,瞭解控制項需要的資源類型。

    • AWS Backup: backup plans

    • AWS Backup: backup vaults

    • AWS Backup: recovery points

    • AWS Backup: backup selection

  7. 選擇關閉

  8. 等待顯示開啟資源追蹤的藍色橫幅,轉換成顯示已開啟資源追蹤的綠色橫幅。

您可以在 AWS Backup 主控台的兩個位置檢查是否已開啟資源追蹤,如果有的話,檢查要記錄的資源類型。在左側導覽窗格中,執行兩個動作之一:

  • 選擇 架構,然後選擇 AWS Config 記錄器狀態 下的文字。

  • 選擇 設定,然後選擇 AWS Config 記錄器狀態 下的文字。

使用 AWS Command Line Interface (AWS CLI) 開啟資源追蹤

如果您尚未加入 AWS Config,使用 加入速度可能會更快 AWS CLI。

使用 AWS CLI開啟資源追蹤:

  1. 輸入以下命令,確定是否已啟用 AWS Config 記錄器。

    $ aws configservice describe-configuration-recorders

    1. 如果您的 ConfigurationRecorders 清單空白如下:

      {
  "ConfigurationRecorders": []
}

      您的記錄器未啟用。請繼續步驟 2 建立您的記錄器。

    2. 如已啟用記錄所有資源,您的 ConfigurationRecorders 輸出結果會如下所示:

      {
  "ConfigurationRecorders":[
    {
      "recordingGroup":{
        "allSupported":true,
        "resourceTypes":[
          
        ],
        "includeGlobalResourceTypes":true
      },
      "roleARN":"arn:aws:iam::[account]:role/[roleName]",
      "name":"default"
    }
  ]
}

      因為您已啟用所有已開啟資源追蹤的資源。您不需要完成此程序的其餘部分,即可使用 AWS Backup Audit Manager。

  2. 使用 AWS Backup Audit Manager 資源類型建立 AWS Config 記錄器

    $ aws configservice put-configuration-recorder --configuration-recorder name=default, \
roleARN=arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \ 
--recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \
'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint']"

  3. 描述您的 AWS Config 記錄器。

    $ aws configservice describe-configuration-recorders

    比較您的輸出與下列預期輸出,以確認其具有 AWS Backup Audit Manager 資源類型。

    {
  "ConfigurationRecorders":[
    {
      "name":"default",
      "roleARN":"arn:aws:iam::accountId:role/AWSServiceRoleForConfig",
      "recordingGroup":{
        "allSupported":false,
        "includeGlobalResourceTypes":false,
        "resourceTypes":[
          "AWS::Backup::BackupPlan",
          "AWS::Backup::BackupSelection",
          "AWS::Backup::BackupVault",
          "AWS::Backup::RecoveryPoint"
        ]
      }
    }
  ]
}

  4. 建立 Amazon S3 儲存貯體做為儲存 AWS Config 組態檔案的目的地。

    $ aws s3api create-bucket --bucket amzn-s3-demo-bucket —region us-east-1

  5. 使用 policy.json 授予存取儲存貯體的 AWS Config 許可。請參閱下列範例 policy.json

    $ aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json
    {
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"AWSConfigBucketPermissionsCheck",
      "Effect":"Allow",
      "Principal":{
        "Service":"config.amazonaws.com"
      },
      "Action":"s3:GetBucketAcl",
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
    },
    {
      "Sid":"AWSConfigBucketExistenceCheck",
      "Effect":"Allow",
      "Principal":{
        "Service":"config.amazonaws.com"
      },
      "Action":"s3:ListBucket",
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
    },
    {
      "Sid":"AWSConfigBucketDelivery",
      "Effect":"Allow",
      "Principal":{
        "Service":"config.amazonaws.com"
      },
      "Action":"s3:PutObject",
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*"
    }
  ]
}

  6. 將儲存貯體設定為 AWS Config 交付管道

    $ aws configservice put-delivery-channel --delivery-channel name=default,s3BucketName=amzn-s3-demo-bucket

  7. 啟用 AWS Config 錄製

    $ aws configservice start-configuration-recorder --configuration-recorder-name default

  8. 確認 DescribeFramework 輸出最後一行中的 "FrameworkStatus":"ACTIVE" 如下所示。

    $ aws backup describe-framework --framework-name test --region us-east-1
    {
  "FrameworkName":"test",
 "FrameworkArn":"arn:aws:backup:us-east-1:accountId:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666",
  "FrameworkDescription":"",
  "FrameworkControls":[
    {
      "ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
      "ControlInputParameters":[
        {
          "ParameterName":"requiredRetentionDays",
          "ParameterValue":"1"
        }
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
      "ControlInputParameters":[
        {
          "ParameterName":"requiredFrequencyUnit",
          "ParameterValue":"hours"
        },
        {
          "ParameterName":"requiredRetentionDays",
          "ParameterValue":"35"
        },
        {
          "ParameterName":"requiredFrequencyValue",
          "ParameterValue":"1"
        }
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
      "ControlInputParameters":[
        
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED",
      "ControlInputParameters":[
        
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
      "ControlInputParameters":[
        
      ],
      "ControlScope":{
        
      }
    }
  ],
  "CreationTime":1633463605.233,
  "DeploymentStatus":"COMPLETED",
  "FrameworkStatus":"ACTIVE"
}

使用 AWS CloudFormation 範本開啟資源追蹤

如需開啟資源追蹤的 AWS CloudFormation 範本,請參閱搭配使用 AWS Backup Audit Manager AWS CloudFormation