Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Voraussetzungen für die Einrichtung AWS Config mit dem AWS CLI
Vor der AWS CLI Einrichtung AWS von müssen Sie einen Amazon S3-Bucket, ein Amazon SNS SNS-Thema und eine IAM-Rolle mit angehängten Richtlinien als Voraussetzungen erstellen. Anschließend können Sie den AWS CLI Bucket, das Thema und die Rolle für angeben. AWS Config Gehen Sie wie folgt vor, um Ihre Voraussetzungen für AWS Config einzurichten.
Themen
Schritt 1: Einen Amazon S3 S3-Bucket erstellen
Wenn Sie in Ihrem Konto bereits über einen Amazon-S3-Bucket verfügen und diesen verwenden möchten, überspringen Sie diesen Schritt und gehen zu Schritt 2: Erstellen eines Amazon SNS SNS-Themas über.
So erstellen Sie einen Bucket
Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/
. -
Wählen Sie Create Bucket (Bucket erstellen) aus.
-
Geben Sie unter Bucket name (Bucket-Name) einen DNS-kompatiblen Namen für Ihren Bucket ein.
Der Bucket-Name muss ...:
-
überall in Amazon S3 eindeutig sein.
-
zwischen 3 und 63 Zeichen lang sein,
-
Enthält keine Großbuchstaben.
-
mit einem Kleinbuchstaben oder einer Zahl beginnen.
Der Name eines einmal erstellten Buckets kann nicht nachträglich geändert werden. Stellen Sie sicher, dass der von Ihnen gewählte Bucket-Name unter allen in Amazon S3 vorhandenen Bucket-Namen eindeutig ist. Weitere Informationen zu Namensregeln und -konventionen für Buckets finden Sie unter Beschränkungen und Einschränkungen von Buckets im Benutzerhandbuch für Amazon Simple Storage Service.
Wichtig
Vermeiden Sie es, vertrauliche Informationen in den Bucket-Namen aufzunehmen. Der Bucket-Name ist in dem Punkt sichtbar URLs , auf den die Objekte im Bucket verweisen.
-
-
Wählen Sie unter Region die AWS Region aus, in der sich der Bucket befinden soll.
Wählen Sie eine Region in der Nähe aus, um Latenz und Kosten auf einem Minimum zu halten und behördliche Vorschriften zu erfüllen. In einer Region gespeicherte Objekte verbleiben so lange in der Region, bis sie explizit in eine andere Region verschoben werden. Eine Liste der Amazon S3 AWS S3-Regionen finden Sie unter AWS Service-Endpunkte in der Allgemeine Amazon Web Services-Referenz.
-
Wählen Sie unter Bucket settings for Block Public Access (Bucket-Einstellungen für den öffentlichen Zugriff) die Einstellungen für den öffentlichen Zugriff aus, die Sie auf den Bucket anwenden möchten.
Es wird empfohlen, alle Einstellungen aktiviert zu belassen, es sei denn, Sie wissen, dass Sie eine oder mehrere dieser Einstellungen für Ihren Anwendungsfall deaktivieren müssen, z. B. um eine öffentliche Website zu hosten. Einstellungen für den öffentlichen Zugriff, die Sie für den Bucket aktivieren, werden auch für alle Zugriffspunkte aktiviert, die Sie für den Bucket erstellen. Weitere Informationen zum Blockieren des öffentlichen Zugriffs finden Sie unter Verwenden von Amazon S3 Block Public Access im Amazon Simple Storage Service-Benutzerhandbuch.
-
(Optional) Wenn Sie die S3-Objektsperre aktivieren möchten:
-
Wählen Sie Fortschrittliche Einstellungen aus und lesen Sie die anschließend angezeigte Meldung.
Wichtig
Sie können die S3-Objektsperre für einen Bucket nur aktivieren, wenn Sie ihn erstellen. Wenn Sie die Objektsperre für den Bucket aktivieren, können Sie es später nicht mehr deaktivieren. Durch Aktivieren der Objektsperre wird auch die Versionssteuerung für den Bucket aktiviert. Nachdem Sie die Objektsperre für den Bucket aktiviert haben, müssen Sie die Objektsperreneinstellungen konfigurieren, bevor Objekte im Bucket geschützt werden. Weitere Informationen zum Konfigurieren des Schutzes für Objekte finden Sie unter Konfigurieren der S3 Object Lock mit der Amazon-S3-Konsole.
-
Wenn Sie die Objektsperre aktivieren möchten, geben Sie in das Textfeld enable (Aktivieren) ein und wählen Sie Confirm (Bestätigen) aus.
Weitere Informationen zur S3-Objektsperrenfunktion finden Sie unter Sperren von Objekten mit der Amazon S3-Objektsperre im Amazon Simple Storage Service-Benutzerhandbuch.
-
-
Wählen Sie Create Bucket (Bucket erstellen) aus.
Wenn Sie den verwenden, AWS SDKs um einen Bucket zu erstellen, müssen Sie einen Client erstellen und dann den Client verwenden, um eine Anfrage zum Erstellen eines Buckets zu senden. Als bewährte Methode sollten Sie Ihren Client und Ihren Bucket in derselben AWS-Region erstellen. Wenn Sie beim Erstellen eines Clients oder Buckets keine Region angeben, verwendet Amazon S3 die Standardregion USA Ost (Nord-Virginia).
Um einen Client für den Zugriff auf einen Dual-Stack-Endpunkt zu erstellen, müssen Sie einen AWS-Region angeben. Weitere Informationen finden Sie unter Dual-Stack-Endpunkte von Amazon S3. Eine Liste der verfügbaren AWS-Regionen Regionen und Endpunkte finden Sie unter Regionen und Endpunkte in der. Allgemeine AWS-Referenz
Wenn Sie einen Client erstellen, wird die Region dem regionsspezifischen Endpunkt zugeordnet. Der Client verwendet diesen Endpunkt für die Kommunikation mit Amazon S3: s3.
. Wenn Ihre Region nach dem 20. März 2019 gestartet wurde, müssen sich Ihr Client und Ihr Bucket in derselben Region befinden. Sie können jedoch einen Client in der Region USA Ost (Nord-Virginia) verwenden, um einen Bucket in einer beliebigen Region zu erstellen, die vor dem 20. März 2019 gestartet wurde. Weitere Informationen finden Sie unter Legacy-Endpunkte.<region>
.amazonaws.com
Diese AWS SDK-Codebeispiele erfüllen die folgenden Aufgaben:
-
Erstellen Sie einen Client, indem Sie explizit eine AWS-Region angeben – Im Beispiel verwendet der Client den Endpunkt
s3.us-west-2.amazonaws.com
, um mit Amazon S3 zu kommunizieren. Sie können eine beliebige AWS-Region angeben. Eine Liste von AWS-Regionen finden Sie unter Regionen und Endpunkte in der AWS allgemeinen Referenz. -
Senden einer Bucket-Erstellungs-Anfrage durch Angabe eines Bucket-Namens – Der Client sendet eine Anfrage an Amazon S3, um den Bucket in der Region zu erstellen, in der Sie einen Client erstellt haben.
-
Abrufen von Informationen zum Standort des Buckets – Amazon S3 speichert Informationen zum Standort des Buckets in der Subressource location (Standort), die dem Bucket zugeordnet ist.
Die folgenden Code-Beispiele zeigen, wie CreateBucket
verwendet wird.
Anmerkung
Sie können auch den Amazon-S3-Bucket eines anderen Kontos verwenden. Allerdings müssen Sie ggf. eine Richtlinie für den Bucket erstellen, die AWS Config Zugriffsberechtigungen erteilt. Weitere Informationen zum Erteilen von Berechtigungen für einen Amazon-S3-Bucket finden Sie unter Berechtigungen für den Amazon S3 S3-Bucket für den AWS Config Lieferkanal. Rufen Sie anschließend Schritt 2: Erstellen eines Amazon SNS SNS-Themas auf.
Schritt 2: Erstellen eines Amazon SNS SNS-Themas
Wenn Sie in Ihrem Konto bereits über ein Amazon-SNS-Thema verfügen und dieses verwenden möchten, überspringen Sie diesen Schritt und machen Sie bei Schritt 3: Eine IAM-Rolle erstellen weiter.
Erstellen eines Amazon SNS-Themas
Öffnen Sie die Amazon SNS SNS-Konsole unter https://console.aws.amazon.com/sns/v3/home
. -
Führen Sie eine der folgenden Aktionen aus:
-
Wenn noch nie zuvor Themen unter Ihrem AWS-Konto Konto erstellt wurden, lesen Sie die Beschreibung von Amazon SNS auf der Startseite.
-
Wenn AWS-Konto zuvor Themen unter Ihrem Konto erstellt wurden, wählen Sie im Navigationsbereich die Option Themen aus.
-
-
Klicken Sie auf der Seite Themen auf Create New Topic.
-
Führen Sie auf der Seite Create subscription (Abonnement erstellen) im Abschnitt Details die folgenden Schritte aus:
-
FürTypWählen Sie einen Thementyp aus (Standard-oderFIFO).
-
Geben Sie den Namen des neuen Themas ein. Für eineFIFO-ThemaFügen SieFIFOam Ende des Namens hinzu.
-
(Optional) Geben Sie einen Display name (Anzeigenamen) für Ihr Thema ein.
-
(Optional) Für ein FIFO-Thema können SieDeduplizierung für inhaltsbasierte Nachrichten, um die Standardnachrichtendeduplizierung zu aktivieren. Weitere Informationen finden Sie unter Nachrichtendeduplizierung für FIFO-Themen.
-
-
(Optional) Erweitern Sie den Abschnitt Encryption (Verschlüsselung) und gehen Sie wie folgt vor. Weitere Informationen finden Sie unter Verschlüsselung im Ruhezustand.
-
Wählen Sie Enable encryption (Verschlüsselung aktivieren) aus.
-
Geben Sie den Kundenmasterschlüssel (CMK) an. Weitere Informationen finden Sie unter Schlüsselbegriffe.
Für jeden CMK-Typ werden Description (Beschreibung), Account (Konto) und CMK ARN (CMK-ARN) angezeigt.
Wichtig
Wenn Sie nicht der Besitzer des CMK sind oder wenn Sie sich mit einem Konto anmelden, das über keine
kms:ListAliases
undkms:DescribeKey
-Berechtigungen verfügt, können Sie auf der Amazon SNS-Konsole keine Informationen über den CMK aufrufen.Bitten Sie den Inhaber des CMK, Ihnen diese Berechtigungen zu erteilen. Beispiele und weitere Informationen zu AWS KMS -Berechtigungen finden Sie unter API-Berechtigungen: Referenztabelle für Aktionen und Ressourcen im AWS Key Management Service Benutzerhandbuch.
-
Das AWS verwaltete CMK für Amazon SNS (Standard) alias/aws/sns ist standardmäßig ausgewählt.
Anmerkung
Beachten Sie Folgendes:
-
Wenn Sie das erste Mal verwenden AWS Management Console , um das AWS verwaltete CMK für Amazon SNS für ein Thema anzugeben, AWS KMS wird das AWS verwaltete CMK für Amazon SNS erstellt.
-
Alternativ können Sie, wenn Sie die
Publish
Aktion zum ersten Mal für ein Thema verwenden, bei dem SSE aktiviert ist, das AWS verwaltete CMK für Amazon SNS AWS KMS erstellt.
-
-
Um ein benutzerdefiniertes CMK aus Ihrem zu verwenden AWS-Konto, wählen Sie das Feld Customer Master Key (CMK) und wählen Sie dann das benutzerdefinierte CMK aus der Liste aus.
Anmerkung
Anweisungen zur Erstellung benutzerdefinierter CMKs Schlüssel finden Sie unter Creating Keys im Developer Guide AWS Key Management Service
-
Um einen benutzerdefinierten CMK-ARN von Ihrem AWS-Konto oder einem anderen AWS Konto zu verwenden, geben Sie ihn in das Feld Customer Master Key (CMK) ein.
-
-
-
(Optional) Standardmäßig kann nur der Eigentümer des Themas das Thema abonnieren oder Veröffentlichungen dazu vornehmen. Um zusätzliche Zugriffsberechtigungen zu konfigurieren, erweitern Sie den Abschnitt Access policy (Zugriffsrichtlinie). Weitere Informationen finden Sie unter Identity and Access Management in Amazon SNS und Beispiele für die Zugriffskontrolle in Amazon SNS.
Anmerkung
Wenn Sie ein Thema mit der Konsole erstellen, verwendet die Standardrichtlinie den Bedingungsschlüssel
aws:SourceOwner
. Dieser Schlüssel ist ähnlich wieaws:SourceAccount
. -
(Optional) Um zu konfigurieren, wie Amazon SNS fehlgeschlagene Nachrichtenzustellversuche wiederholt, erweitern Sie den Abschnitt Delivery retry policy (HTTP/S) (Richtlinie für die Zustellungswiederholung (HTTP/S)). Weitere Informationen finden Sie unter Wiederholungsversuche bei der Nachrichtenzustellung Amazon SNS.
-
(Optional) Um zu konfigurieren, wie Amazon SNS die Zustellung von Nachrichten protokolliert CloudWatch, erweitern Sie den Abschnitt Protokollierung des Lieferstatus. Weitere Informationen finden Sie unter Amazon-SNS-Nachrichtenzustellungsstatus.
-
(Optional) Wenn Sie Metadaten-Tags zum Thema hinzufügen, erweitern Sie den Tag-Abschnitt, geben Sie einen Schlüssel und einen Wert ein (optional), und wählen Sie Tag hinzufügen aus. Weitere Informationen finden Sie unter Markierung von Amazon-SNS-Themen.
-
Wählen Sie Thema erstellen aus.
Das Thema wird erstellt und die
MyTopic
Seite wird angezeigt.Das ThemaName,ARN, (optional)Anzeigename, undEigentümer des ThemasS AWS -Konto-ID werden auf derDetailsSeite angezeigt.
-
Kopieren Sie das Thema ARN in die Zwischenablage, zum Beispiel:
arn:aws:sns:us-east-2:123456789012:MyTopic
So hinterlegen Sie eine E-Mail-Adresse für das abonnierte Amazon-SNS-Thema
Öffnen Sie die Amazon SNS SNS-Konsole unter https://console.aws.amazon.com/sns/v3/home
. -
Wählen Sie im linken Navigationsbereich Subscriptions (Abonnements).
-
Wählen Sie auf der Seite Subscriptions (Abonnements) die Option Create subscription (Abonnement erstellen)aus.
-
Führen Sie auf der Seite Create subscription (Abonnement erstellen) im Abschnitt Details die folgenden Schritte aus:
-
Wählen Sie für Topic ARN den Amazon Resource Name (ARN) eines Themas.
-
Für Protocol wählen Sie einen Endpunkttypen. Folgende Endpunkttypen stehen zur Verfügung:
-
Anmerkung
Um ein SNS FIFO-Thema zu abonnieren, wählen Sie diese Option.
-
Für Endpoint, geben Sie den Endpunktwert ein, wie z. B. eine E-Mail-Adresse oder die ARN einer Amazon-SQS-Warteschlange.
-
Nur Firehose-Endpunkte: Geben Sie für den ARN der Abonnementrolle den ARN der IAM-Rolle an, die Sie für das Schreiben in Firehose-Lieferdatenströme erstellt haben. Weitere Informationen finden Sie unter Voraussetzungen für das Abonnieren von Firehose-Lieferstreams für Amazon SNS SNS-Themen.
-
(Optional) Für Firehose-, Amazon SQS- und HTTP/S-Endpunkte können Sie auch die Zustellung von Rohnachrichten aktivieren. Weitere Informationen finden Sie unter Übermittlung unformatierter Nachrichten Amazon SNS.
-
(Optional) Um eine Filterrichtlinie zu konfigurieren, erweitern Sie den Abschnitt Abonnement-Filterrichtlinie. Weitere Informationen finden Sie unter Filterrichtlinien für Amazon-SNS-Abonnements.
-
(Optional) Um eine Warteschlange für unzustellbare Nachrichten für das Abonnement zu konfigurieren, erweitern Sie den Abschnitt Redrive-Richtlinie (Warteschlange für unzustellbare Nachrichten). Weitere Informationen finden Sie unter Amazon SNS SNS-Warteschlangen für unzustellbare Briefe (). DLQs
-
Wählen Sie Create subscription (Abonnement erstellen) aus.
Die Konsole erstellt das Abonnement und öffnet die Seite Details des Abonnements.
-
Um ein AWS SDK verwenden zu können, müssen Sie es mit Ihren Anmeldeinformationen konfigurieren. Weitere Informationen finden Sie unter Die Dateien für die gemeinsame Konfiguration und die Anmeldeinformationen im AWS SDKs Referenzhandbuch zu Tools.
Die folgenden Code-Beispiele zeigen, wie CreateTopic
verwendet wird.
Anmerkung
Sie können auch ein Amazon-SNS-Thema in einem anderen Konto verwenden, allerdings müssen Sie dann ggf. eine Richtlinie für Themen erstellen, die Zugriffsberechtigungen für AWS Config gewährt. Weitere Informationen zum Erteilen von Berechtigungen für ein Amazon-SNS-Thema finden Sie unter Berechtigungen für das Amazon-SNS-Thema. Rufen Sie anschließend Schritt 3: Eine IAM-Rolle erstellen auf.
Schritt 3: Eine IAM-Rolle erstellen
Wichtig
(Empfohlen) Verwenden Sie die AWS Config serviceverknüpfte Rolle
Es wird empfohlen, die AWS Config dienstverknüpfte Rolle zu verwenden:. AWSServiceRoleForConfig
Dienstbezogene Rollen sind vordefiniert und enthalten alle Berechtigungen, die zum Aufrufen anderer Rollen AWS Config erforderlich sind. AWS-Services Die AWS Config dienstverknüpfte Rolle ist für dienstverknüpfte Konfigurationsrekorder erforderlich.
Weitere Informationen finden Sie unter Verwenden von Service-verknüpften Rollen für AWS Config.
Sie können die IAM-Konsole verwenden, um eine IAM-Rolle zu erstellen, die AWS Config Berechtigungen für den Zugriff auf Ihren Amazon S3-Bucket, für den Zugriff auf Ihr Amazon SNS SNS-Thema und für das Abrufen von Konfigurationsdetails für unterstützte Ressourcen gewährt. AWS Wenn Sie eine IAM-Rolle über die Konsole erstellen, fügt AWS Config automatisch die benötigten Berechtigungen an die Rolle an.
Anmerkung
Wenn Sie einen AWS Dienst verwendet haben, der verwendet AWS Config (z. B. AWS Security Hub oder AWS Control Tower) und bereits eine AWS Config Rolle erstellt wurde, sollten Sie sicherstellen, dass die IAM-Rolle, die Sie bei der Einrichtung verwenden, dieselben Mindestberechtigungen wie die bereits erstellte AWS Config Rolle AWS Config beibehält, damit der andere AWS Dienst weiterhin wie erwartet ausgeführt werden kann.
Wenn AWS Control Tower beispielsweise über eine IAM-Rolle verfügt, die das Lesen von Amazon S3 S3-Objekten ermöglicht AWS Config , sollten Sie sicherstellen, dass innerhalb der IAM-Rolle, die Sie bei der Einrichtung verwenden, dieselben Berechtigungen gewährt werden. AWS Config Andernfalls kann es den Betrieb des AWS Control Tower beeinträchtigen.
Weitere Informationen zu IAM-Rollen für finden Sie AWS Config unter AWS Identity and Access Management.
Um eine Rolle für einen Dienst zu erstellen AWS
Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Klicken Sie im Navigationsbereich der IAM-Konsole auf Rollen, und wählen Sie dann Rolle erstellen.
-
Wählen Sie für Select trusted entity (Vertrauenswürdige Entität auswählen) die Option AWS -Dienst.
-
Wählen Sie den gewünschten Anwendungsfall für AWS Config: Config — Customizable, Config — Organizations, Config oder Config — Conformance Packs. Wählen Sie anschließend Weiter.
-
Überprüfen Sie auf der Seite Name, prüfen und erstellen die Details zu Ihrer Rolle und wählen Sie Rolle erstellen aus.
Um ein AWS SDK verwenden zu können, müssen Sie es mit Ihren Anmeldeinformationen konfigurieren. Weitere Informationen finden Sie unter Die Dateien für die gemeinsame Konfiguration und die Anmeldeinformationen im AWS SDKs Referenzhandbuch zu Tools.
Die folgenden Code-Beispiele zeigen, wie CreateRole
verwendet wird.