的手動設定AWS Config - AWS Config
步驟 1:設定步驟 2:規則步驟 3:檢閱如需詳細資訊

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的手動設定AWS Config

使用入門工作流程,您可以完成設定程序的所有手動選擇,以開始使用AWS Config主控台。如需簡化的入門程序,請參閱一鍵式設定

使用入門AWS Config設定 主控台

  1. 登入AWS 管理主控台並開啟位於 https://https://console.aws.amazon.com/config/home 的AWS Config主控台。

  2. 選擇開始使用

設定頁面包含三個步驟。以下提供在您選擇 開始 之後,該程序的細節。

  • 設定:選取AWS Config主控台記錄資源和角色的方式,然後選擇組態歷史記錄和組態快照檔案的傳送位置。

  • 規則:針對AWS 區域該支援AWS Config規則,此步驟可供您設定可新增至帳戶的初始受管規則。設定後,AWS Config會根據您選擇的規則評估您的AWS資源。您可以建立其他規則,以及在設定後更新帳戶中的現有規則。

  • 檢閱:驗證您的設定詳細資訊。

步驟 1:設定

記錄策略

記錄方法區段中,選擇記錄策略。您可以指定AWS Config要記錄AWS的資源。

All resource types with customizable overrides

設定AWS Config以記錄此區域中所有目前和未來支援之資源類型的組態變更。您可以覆寫特定資源類型的記錄頻率,或從記錄中排除特定資源類型。如需詳細資訊,請參閱《支援的資源類型》。

  • 預設設定

    為所有目前和未來支援的資源類型設定預設記錄頻率。如需詳細資訊,請參閱記錄頻率

    • 持續記錄 – 每次發生變更時,AWS Config都會持續記錄組態變更。

    • 每日記錄 – 您可接收代表過去 24 小時期間內資源最新狀態的組態項目 (CI),前提是該項目必須與先前的 CI 記錄不同。

    注意

    AWS Firewall Manager依賴持續記錄來監控您的 資源。如果您使用的是 Firewall Manager,建議您將記錄頻率設定為「持續」。

  • 覆寫設定

    覆寫特定資源類型的記錄頻率,或從記錄中排除特定資源類型。如果您變更某資源類型的記錄頻率,則已記錄的組態項目會保持不變。

Specific resource types

AWS Config設定為僅記錄您指定的資源類型的組態變更。

  • 特定資源類型

    選擇要記錄的資源類型及其頻率。如需詳細資訊,請參閱記錄頻率

    • 持續記錄 – 每次發生變更時,AWS Config都會持續記錄組態變更。

    • 每日記錄 – 您可接收代表過去 24 小時期間內資源最新狀態的組態項目 (CI),前提是該項目必須與先前的 CI 記錄不同。

    注意

    AWS Firewall Manager依賴持續記錄來監控您的 資源。如果您使用的是 Firewall Manager,建議您將記錄頻率設定為「持續」。

    如果您變更某資源類型的記錄頻率,則已記錄的組態項目會保持不變。

記錄資源時的考量事項

大量AWS Config評估

與後續月份相比,使用AWS Config 的初始月份記錄期間,您可能會注意到帳戶中的活動增加。在初始引導程序期間, 會對您帳戶中已選取要AWS Config記錄的所有資源AWS Config執行評估。

如果您正在執行暫時工作負載,可能會看到來自AWS Config的活動增加,因其會記錄與建立和刪除這些暫時資源相關聯的組態變更。暫時性工作負載是暫時使用因需要而載入和執行的運算資源。範例包括 Amazon Elastic Compute Cloud (Amazon EC2) Spot 執行個體、Amazon EMR 任務和AWS Auto Scaling。如果您想要避免增加執行暫時性工作負載的活動,您可以設定組態記錄器來排除這些資源類型遭到記錄,或在關閉的AWS Config個別帳戶中執行這些類型的工作負載,以避免增加組態記錄和規則評估。

Considerations: All resource types with customizable overrides

全域記錄的資源類型 | Aurora 全域叢集最初包含在記錄中

AWS::RDS::GlobalCluster 資源類型將記錄在啟用組態記錄器的所有支援AWS Config區域中。

如果您不想在所有已啟用的區域中記錄 AWS::RDS::GlobalCluster,請選擇「AWS RDS GlobalCluster」,然後選擇覆寫「從記錄中排除」。

全域資源類型 | IAM 資源類型最初會從記錄中排除

全域 IAM 資源類型一開始會從記錄中排除,以協助您降低成本。此配套包含 IAM 使用者、群組、角色和客戶管理政策。選擇移除以移除覆寫,並將這些資源包含在您的記錄中。

此外,2022 年 2 月AWS Config之後,無法在 支援的區域中記錄全域 IAM 資源類型 (AWS::IAM::UserAWS::IAM::GroupAWS::IAM::Role、 和 AWS::IAM::Policy)。如需這些區域的清單,請參閱錄製AWS資源 | 全域資源

限制

您最多可以增加到 100 個頻率覆寫及 600 個排除覆寫。

下列資源類型無法指定每日記錄:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Considerations: Specific resource types

區域可用性

在指定AWS Config要追蹤的資源類型之前,請檢查依區域可用性列出的資源涵蓋範圍,以查看您設定AWS的區域是否支援資源類型AWS Config。如果至少一個AWS Config區域中支援 的資源類型,您可以在 支援的所有區域中啟用該資源類型的記錄AWS Config,即使您設定AWS的區域不支援指定的資源類型AWS Config。

限制

如果所有資源類型具有相同頻率,則無限制。如果至少有一種資源類型設定為「持續」,您最多可以使用「每日」頻率增加 100 個資源類型。

以下資源類型不支援每日頻率:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

資料控管

  • 對於資料保留期,請選擇預設保留期以保留AWS Config資料 7 年 (2557),或為 記錄的項目設定自訂租用期AWS Config。

    AWS Config可讓您透過指定 的保留期間來刪除資料ConfigurationItems。指定保留期後,AWS Config就會在該段時間內保留您的 ConfigurationItems。您可以選擇介於最短 30 天到最長 7 年 (2557 天) 之間的期間。 會AWS Config刪除超過您指定保留期間的資料。

  • 針對 的 IAM 角色AWS Config,從您的帳戶選擇現有的AWS Config服務連結角色或 IAM 角色。

    • 服務連結角色由 預先定義AWS Config,並包含服務呼叫其他AWS服務所需的所有許可。

      注意

      建議:使用服務連結角色

      建議您使用 服務連結角色。服務連結角色會新增所有必要的許可,讓AWS Config如預期般執行。

    • 否則,請從其中一個預先存在的角色和許可政策中選擇 IAM 角色。

      注意

      政策和合規結果

      在 中管理的 IAM 政策和其他政策可能會影響 是否AWS Config具有記錄 資源組態變更的許可。 AWS Organizations此外,規則會直接評估資源的組態,而且在執行評估時,規則不會考慮這些政策。確定有效政策符合您打算使用的方式AWS Config。

      重複使用 IAM 角色時保持最低權限

      如果您使用AWS的服務AWS Config,例如AWS Security Hub CSPM或AWS Control Tower,且已建立 IAM 角色,請確定您在設定AWS Config時所使用的 IAM 角色與預先存在的 IAM 角色保持相同的最低許可。您必須執行此操作,以確保其他服務AWS繼續如預期般執行。

      例如,如果AWS Control Tower的 IAM 角色允許AWS Config讀取 S3 物件,請確保將相同的許可授予您設定時使用的 IAM 角色AWS Config。否則可能會干擾AWS Control Tower的操作。

交付方法

  • 請為 交付方法 選擇AWS Config傳送組態歷史記錄和組態快照檔案的目標 S3 儲存貯體:

    • 建立儲存貯體:在 S3 儲存貯體名稱 中輸入您的 S3 儲存貯體名稱。

      您輸入的名稱在 Amazon S3 所有的現有儲存貯體名稱中必須是唯一的。其中一種協助確保唯一性的方法是在儲存貯體名稱的前面加上前綴。例如:您組織的名稱。您無法在建立之後變更儲存貯體的名稱。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的儲存貯體限制

    • 選擇您帳戶的儲存貯體:在 S3 儲存貯體名稱 中選擇您慣用的儲存貯體。

    • 從其他帳戶選擇儲存貯體:在 S3 儲存貯體名稱 中輸入儲存貯體名稱。

      注意

      儲存貯體許可

      如果您從另一個帳戶選擇儲存貯體,則該儲存貯體必須具有授予存取許可的政策AWS Config。如需詳細資訊,請參閱AWS Config 交付管道的 Amazon S3 儲存貯體許可

  • 針對 Amazon SNS 主題,選擇將組態變更和通知串流至 Amazon SNS 主題,讓AWS Config傳送組態歷史記錄交付、組態快照交付和合規等通知。

  • 如果您選擇讓AWS Config串流到 Amazon SNS 主題,請選擇目標主題:

    • 建立主題:在 主題名稱 中輸入 SNS 主題的名稱。

    • 選擇您帳戶中的主題:為 主題名稱 選取您偏好的主題。

    • 從其他帳戶選擇主題:在 主題 ARN 中輸入主題的 Amazon Resource Name (ARN)。如果您從另一個帳戶選擇主題,該主題必須具有授予存取許可的政策AWS Config。如需詳細資訊,請參閱Amazon SNS 主題的許可

      注意

      Amazon SNS 主題的區域

      Amazon SNS 主題必須與您設定的 區域位於相同的 區域中AWS Config。

步驟 2:規則

如果您要AWS Config在支援規則的區域中設定 ,請選擇下一步

步驟 3:檢閱

檢閱您的AWS Config設定詳細資訊。您可以返回編輯每個區段的變更。選擇確認以完成設定AWS Config。

如需詳細資訊

如需查詢帳戶中現有資源並了解資源組態的相關資訊,請參閱查詢資源檢視合規資訊以及檢視合規歷史記錄

您也可以使用 Amazon Simple Queue Service 以程式設計方式監控AWS資源。如需詳細資訊,請參閱使用 Amazon SQS 監控AWS資源變更