AWS Ressourcen aufzeichnen mit AWS Config - AWS Config
ÜberlegungenRegionale und globale RessourcenAWS Config Regeln und globale RessourcentypenAufnahmefrequenzNicht aufgezeichnete Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Ressourcen aufzeichnen mit AWS Config

AWS Config erkennt kontinuierlich, wenn unterstützte Ressourcentypen erstellt, geändert oder gelöscht werden. AWS Config zeichnet diese Ereignisse als Konfigurationselemente auf (CIs).

Sie können festlegen AWS Config , dass Konfigurationsänderungen für alle unterstützten Ressourcentypen oder nur für die unterstützten Ressourcentypen aufgezeichnet werden, die für Sie relevant sind. Eine Liste der unterstützten Ressourcentypen, die aufgezeichnet werden AWS Config können, finden Sie unterUnterstützte Ressourcentypen für AWS Config.

Themen

Überlegungen

Hohe Anzahl von AWS Config Bewertungen

Möglicherweise stellen Sie während Ihres ersten Monats, in dem Sie mit AWS Config aufgezeichnet haben, eine erhöhte Aktivität in Ihrem Konto im Vergleich zu den Folgemonaten fest. AWS Config Führt während des ersten Bootstrapping-Vorgangs Evaluierungen aller Ressourcen in Ihrem Konto durch, die Sie für AWS Config die Aufzeichnung ausgewählt haben.

Wenn Sie kurzlebige Workloads ausführen, können Sie aufgrund der Aufzeichnung von AWS Config Konfigurationsänderungen im Zusammenhang mit dem Erstellen und Löschen dieser temporären Ressourcen eine erhöhte Aktivität feststellen. Eine flüchtige Workload ist eine vorübergehende Nutzung von Computing-Ressourcen, die bei Bedarf geladen und ausgeführt werden. Beispiele hierfür sind Amazon Elastic Compute Cloud (Amazon EC2) Spot-Instances, Amazon EMR-Jobs und AWS Auto Scaling.

Wenn Sie die erhöhte Aktivität durch die Ausführung kurzlebiger Workloads vermeiden möchten, können Sie den vom Kunden verwalteten Konfigurationsrekorder so einrichten, dass diese Ressourcentypen von der Aufzeichnung ausgeschlossen werden, oder Sie können diese Arten von Workloads in einem separaten Konto ausführen, das AWS Config ausgeschaltet ist, um eine erhöhte Konfigurationsaufzeichnung und Regelauswertung zu vermeiden.

Verfügbarkeit in Regionen

Bevor Sie einen Ressourcentyp angeben, der nachverfolgt werden AWS Config soll, überprüfen Sie, ob der Ressourcentyp in der Region, in der AWS Sie ihn eingerichtet haben, unterstützt wird. AWS Config

Wenn ein Ressourcentyp AWS Config in mindestens einer Region unterstützt wird, können Sie die Aufzeichnung dieses Ressourcentyps in allen Regionen aktivieren, die von unterstützt werden AWS Config, auch wenn der angegebene Ressourcentyp in der AWS Region, in der Sie ihn eingerichtet haben, nicht unterstützt wird AWS Config.

Was sind die Unterschiede zwischen regionalen und globalen Ressourcen?

Regionale Ressourcen

Regionale Ressourcen sind mit einer Region verknüpft und können nur in der jeweiligen Region verwendet werden. Sie erstellen sie in einer bestimmten Region AWS-Region, und dann existieren sie in dieser Region. Um diese Ressourcen aufzurufen oder mit ihnen zu interagieren, müssen Sie Ihre Aktivitäten auf diese Region ausrichten. Um beispielsweise eine EC2 Amazon-Instance mit dem zu erstellen AWS Management Console, wählen Sie die aus AWS-Region, in der Sie die Instance erstellen möchten. Wenn Sie das AWS Command Line Interface (AWS CLI) verwenden, um die Instance zu erstellen, fügen Sie den --region Parameter hinzu. Sie verfügen AWS SDKs jeweils über einen eigenen, äquivalenten Mechanismus zur Angabe der Region, die von der Operation verwendet wird.

Es gibt mehrere Gründe für die Nutzung regionaler Ressourcen. Ein Grund besteht darin sicherzustellen, dass sich die Ressourcen und die Service-Endpunkte, über die Sie auf sie zugreifen, so nah wie möglich am Kunden befinden. Dies verbessert die Leistung, indem die Latenz minimiert wird. Ein weiterer Grund ist die Bereitstellung einer Isolationsgrenze. Auf diese Weise können Sie unabhängige Kopien von Ressourcen in mehreren Regionen erstellen, um die Last zu verteilen und die Skalierbarkeit zu verbessern. Gleichzeitig werden die Ressourcen voneinander isoliert, um die Verfügbarkeit zu verbessern.

Wenn Sie AWS-Region in der Konsole oder in einem AWS CLI Befehl eine andere angeben, können Sie die Ressourcen, die Sie in der vorherigen Region sehen konnten, nicht mehr sehen oder mit ihnen interagieren.

Wenn Sie den Amazon-Ressourcennamen (ARN) für eine regionale Ressource betrachten, wird die Region, die die Ressource enthält, als viertes Feld im ARN angegeben. Eine EC2 Amazon-Instance ist beispielsweise eine regionale Ressource. Im Folgenden finden Sie ein Beispiel für einen ARN für eine EC2 Amazon-Instance, die in der us-east-1 Region existiert.

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
Globale Ressourcen

Bei einigen AWS Serviceressourcen handelt es sich um globale Ressourcen, was bedeutet, dass Sie die Ressource von überall aus verwenden können. Sie geben in der Konsole eines globalen Service keine AWS-Region an. Um auf eine globale Ressource zuzugreifen, geben Sie bei der Verwendung der Service AWS CLI - und AWS SDK-Operationen keinen --region Parameter an.

Globale Ressourcen sind für Fälle konzipiert, in denen es entscheidend ist, dass jeweils nur eine Instance einer bestimmten Ressource vorhanden sein kann. In diesen Szenarien ist die Replikation oder Synchronisation zwischen Kopien in verschiedenen Regionen nicht ausreichend. Dass auf einen einzigen globalen Endpunkt zugegriffen werden muss und dadurch potenziell die Latenz erhöht wird, wird als akzeptabel angesehen, um sicherzustellen, dass alle Änderungen für die Nutzer der Ressource sofort sichtbar sind.

Beispielsweise sind globale Amazon-Aurora-Cluster (AWS::RDS::GlobalCluster) globale Ressourcen und daher nicht an eine Region gebunden. Das bedeutet, dass Sie einen globalen Cluster erstellen können, ohne sich auf einen regionalen Endpunkt verlassen zu müssen. Der Vorteil besteht darin, dass der Amazon Relational Database Service (Amazon RDS) selbst zwar nach Regionen organisiert ist, die spezifische Region, aus der ein globaler Cluster stammt, jedoch keinen Einfluss auf den globalen Cluster hat. Er erscheint als ein einzelner, kontinuierlicher globaler Cluster in allen Regionen.

Der Amazon-Ressourcenname (ARN) für eine globale Ressource enthält keine Region. Das vierte Feld ist leer, wie im folgenden Beispiel für einen ARN für einen globalen Cluster.

arn:aws:rds::123456789012:global-cluster:test-global-cluster
Wichtig

Globale Ressourcentypen, die AWS Config nach Februar 2022 integriert wurden, werden nur in der Heimatregion des Dienstes für die kommerzielle Partition und AWS GovCloud (US-West) für die Partition aufgezeichnet. GovCloud Sie können die Konfigurationselemente (CIs) für diese neuen globalen Ressourcentypen nur in ihrer Heimatregion und AWS GovCloud (US-West) einsehen.

Globale Ressourcentypen, die vor Februar 2022 eingeführt wurden (AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role und AWS::IAM::User) bleiben unverändert. Sie können die Aufzeichnung dieser globalen IAM-Ressourcen in allen Regionen aktivieren, in denen sie vor Februar 2022 unterstützt AWS Config wurde. Diese globalen IAM-Ressourcen können nicht in Regionen aufgezeichnet werden, die AWS Config nach Februar 2022 unterstützt werden.

Globale Ressourcentypen | IAM-Ressourcen

Die folgenden IAM-Ressourcentypen sind globale Ressourcen: IAM-Benutzer, -Gruppen und -Rollen sowie vom Kunden verwaltete Richtlinien. Diese Ressourcentypen können AWS Config in Regionen aufgezeichnet werden, in denen sie vor Februar 2022 verfügbar AWS Config waren. Diese Liste, in der Sie die globalen IAM-Ressourcentypen nicht aufzeichnen können, umfasst die folgenden Regionen: Asien-Pazifik (Hyderabad), Asien-Pazifik (Malaysia), Asien-Pazifik (Melbourne), Asien-Pazifik (Thailand), Kanada West (Calgary), Europa (Spanien), Europa (Zürich), Israel (Tel Aviv), Mexiko (Zentral) und Naher Osten (VAE).

Um doppelte Konfigurationselemente (CIs) zu vermeiden, sollten Sie erwägen, die globalen IAM-Ressourcentypen nur einmal in einer der unterstützten Regionen aufzuzeichnen. Dies kann Ihnen auch dabei helfen, unnötige Evaluierungen und API-Drosselungen zu vermeiden.

Globale Ressourcentypen | Nur Heimatregion

Globale Ressourcen für die folgenden Dienste werden nur AWS Config in der Heimatregion des globalen Ressourcentyps aufgezeichnet: Amazon Elastic Container Registry Public AWS Global Accelerator, Amazon Route 53 CloudFront, Amazon und AWS WAF. Für diese globalen Ressourcen kann dieselbe Instanz des Ressourcentyps in mehreren AWS Regionen verwendet werden, aber die Konfigurationselemente (CIs) werden nur in der Heimatregion für die kommerzielle Partition oder AWS GovCloud (US-West) für die AWS GovCloud (US) Partition aufgezeichnet.

Heimatregionen für globale Ressourcentypen
AWS Dienst Ressourcentyp „Value“ Heimatregion
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository Region USA Ost (Nord-Virginia)
AWS Global Accelerator AWS::GlobalAccelerator::Listener Region USA West (Oregon)
AWS::GlobalAccelerator::EndpointGroup Region USA West (Oregon)
AWS::GlobalAccelerator::Accelerator Region USA West (Oregon)
Amazon Route 53 AWS::Route53::HostedZone Region USA Ost (Nord-Virginia)
AWS::Route53::HealthCheck Region USA Ost (Nord-Virginia)
Amazon CloudFront AWS::CloudFront::Distribution Region USA Ost (Nord-Virginia)
AWS WAF AWS::WAFv2::WebACL Region USA Ost (Nord-Virginia)
Globale Ressourcentypen | Globale Aurora-Cluster

AWS::RDS::GlobalClusterist eine globale Ressource, die in allen unterstützten AWS Config Regionen aufgezeichnet wird, in denen der vom Kunden verwaltete Konfigurationsrekorder aktiviert ist. Dieser globale Ressourcentyp ist insofern einzigartig, als wenn Sie die Aufzeichnung dieser Ressource in einer Region aktivieren, Konfigurationselemente (CIs) für diesen Ressourcentyp in all Ihren aktivierten Regionen aufgezeichnet AWS Config werden.

Wenn AWS::RDS::GlobalCluster nicht in allen aktivierten Regionen aufzeichnen soll, verwenden Sie eine der folgenden Aufzeichnungsstrategien für die AWS Config -Konsole:

  • Erfassen Sie alle Ressourcentypen mit anpassbaren Überschreibungen, wählen Sie GlobalCluster „AWS RDS“ und anschließend die Option „Von der Aufzeichnung ausschließen“

  • zeichnen Sie bestimmte Ressourcentypen auf.

Wenn AWS::RDS::GlobalCluster nicht in allen aktivierten Regionen aufzeichnen soll, verwenden Sie eine der folgenden Aufzeichnungsstrategien für die API/CLI:

  • Aufzeichnen aller aktuellen und zukünftigen Ressourcentypen mit Ausnahmen (EXCLUSION_BY_RESOURCE_TYPES)

  • zeichnen Sie bestimmte Ressourcentypen auf (INCLUSION_BY_RESOURCE_TYPES).

AWS Config Regeln und globale Ressourcentypen

Die globalen IAM-Ressourcentypen, die vor Februar 2022 eingeführt wurden (AWS::IAM::Group,AWS::IAM::Policy, undAWS::IAM::User)AWS::IAM::Role, können nur AWS Config in Regionen erfasst werden, in denen sie vor Februar 2022 verfügbar AWS Config waren. Diese globalen IAM-Ressourcentypen können nicht in Regionen erfasst werden, die nach Februar 2022 unterstützt werden AWS Config . Eine Liste dieser Regionen finden Sie unter AWS Aufzeichnungsressourcen | Globale Ressourcen.

Wenn Sie einen globalen IAM-Ressourcentyp in mindestens einer Region aufzeichnen, führen periodische Regeln, die die Einhaltung des globalen IAM-Ressourcentyps melden, Bewertungen in allen Regionen durch, in denen die periodische Regel hinzugefügt wurde, auch wenn Sie die Aufzeichnung des globalen IAM-Ressourcentyps in der Region, in der die periodische Regel hinzugefügt wurde, nicht aktiviert haben.

Bewährte Verfahren für die Berichterstattung über die Einhaltung der Vorschriften bei globalen Ressourcen, die vor Februar 2022 eingeführt wurden

Um unnötige Evaluierungen zu vermeiden, sollten Sie AWS Config Regeln und Konformitätspakete, für die diese globalen Ressourcen gelten, nur für eine der unterstützten Regionen bereitstellen. Eine Liste der verwalteten Regeln, die in welchen Regionen unterstützt werden, finden Sie unter Liste der AWS Config verwalteten Regeln nach Verfügbarkeit in Regionen. Dies gilt für AWS Config Regeln, AWS Config Organisationsregeln und auch für Regeln, die von anderen AWS Diensten erstellt wurden, z. B. AWS Security Hub und AWS Control Tower.

Wenn Sie keine globalen Ressourcentypen aufzeichnen, die vor Februar 2022 eingeführt wurden, sollten Sie die folgenden regelmäßig wirkenden Regeln nicht aktivieren, um unnötige Kosten zu vermeiden:

Bewährte Verfahren für die Berichterstattung über die Einhaltung von Vorschriften in Bezug auf globale Ressourcen, die nach Februar 2022 eingeführt wurden

Globale Ressourcentypen, die nach Februar 2022 in die AWS Config Aufzeichnung integriert wurden, werden nur in der Heimatregion des Dienstes für die kommerzielle Partition und AWS GovCloud (US-West) für die Partition aufgezeichnet. AWS GovCloud (US) Sie sollten AWS Config Regeln und Konformitätspakete bereitstellen, bei denen diese globalen Ressourcen nur für die Heimatregion des Ressourcentyps gelten. Weitere Informationen finden Sie unter Heimatregionen für globale Ressourcentypen.

Aufnahmefrequenz für AWS Config

AWS Config unterstützt kontinuierliche Aufnahme und tägliche Aufnahme. Mit der kontinuierlichen Aufzeichnung können Sie Konfigurationsänderungen kontinuierlich aufzeichnen, wenn eine Änderung auftritt. Mit der täglichen Aufzeichnung können Sie nur dann ein Konfigurationselement (CI) erhalten, das den neuesten Status Ihrer Ressourcen in den letzten 24 Stunden darstellt, wenn es sich von dem zuvor aufgezeichneten CI unterscheidet. Anweisungen zum Ändern der Aufnahmefrequenz finden Sie unter Ändern der Aufnahmefrequenz.

Kontinuierliche Aufzeichnung

Die kontinuierliche Aufzeichnung bietet unter anderem folgende Vorteile:

  • Überwachung in Echtzeit: Durch kontinuierliche Aufzeichnungen können unbefugte Änderungen oder unerwartete Änderungen sofort erkannt werden, wodurch Ihre Sicherheits- und Compliance-Bemühungen verbessert werden können.

  • Detaillierte Analyse: Durch die kontinuierliche Aufzeichnung können Sie eingehende Analysen der Konfigurationsänderungen an Ihren Ressourcen durchführen, sobald sie auftreten, so dass Sie Muster und Trends sofort erkennen können.

Tägliche Aufzeichnung

Die tägliche Aufzeichnung bietet unter anderem folgende Vorteile:

  • Minimale Unterbrechungen: Durch die tägliche Aufzeichnung erhalten Sie einen Informationsfluss, der sich besser handhaben lässt, wodurch die Häufigkeit von Benachrichtigungen und die Ermüdung durch zu häufige Warnmeldungen reduziert werden können.

  • Kosteneffizienz: Die tägliche Aufzeichnung bietet Ihnen die Flexibilität, Änderungen an Ihren Ressourcen mit einer geringeren Frequenz aufzuzeichnen, wodurch die Kosten im Zusammenhang mit der Anzahl der aufgezeichneten Konfigurationsänderungen gesenkt werden können.

Anmerkung

AWS Firewall Manager hängt von der kontinuierlichen Aufzeichnung ab, um Ihre Ressourcen zu überwachen. Wenn Sie den Firewall Manager verwenden, wird empfohlen, die Aufzeichnungsfrequenz auf „Kontinuierlich“ einzustellen.

Nicht aufgezeichnete Ressourcen

Wenn eine Ressource nicht aufgezeichnet ist, AWS Config erfasst es nur die Erstellung und Löschung dieser Ressource und keine weiteren Details, ohne dass Ihnen dadurch Kosten entstehen. Wenn eine nicht aufgezeichnete Ressource erstellt oder gelöscht wird, AWS Config sendet eine Benachrichtigung und zeigt das Ereignis auf der Seite mit den Ressourcendetails an. Die Detailseite für eine nicht aufgezeichnete Ressource bietet Nullwerte für die meisten Konfigurationsdetails und keine Informationen zu Beziehungen und Konfigurationsänderungen.

Anmerkung

Die AWS::IAM::Role Ressourcentypen AWS::IAM::User AWS::IAM::Policy AWS::IAM::Group,,, erfassen nur dann den Erstellungs- (ResourceNotRecordedResourceDeletedNotRecorded) und Löschstatus (), wenn die Ressource als Ressource für die Aufzeichnung im vom Kunden verwalteten Konfigurationsrekorder ausgewählt wurde oder zuvor ausgewählt wurde.

Anmerkung

Die Konfigurationselemente (CIs) für Ressourcentypen ResourceNotRecorded und folgen ResourceDeletedNotRecorded nicht der typischen Aufzeichnungszeit für Ressourcentypen. Diese Ressourcentypen werden nur während des periodischen Baselining-Prozesses für den vom Kunden verwalteten Konfigurationsrekorder aufgezeichnet, der seltener erfolgt als bei den anderen Ressourcentypen.

Anmerkung

Bei serviceverknüpften Konfigurationsrekordern bestimmt der Umfang der Aufzeichnung, ob Sie Konfigurationselemente (CIs) im Lieferkanal erhalten. Der Umfang der Aufzeichnung wird durch den Dienst festgelegt, der mit dem Konfigurationsrekorder verknüpft ist. Wenn der Umfang der Aufzeichnung intern ist, erhalten Sie keine Daten CIs im Bereitstellungskanal.

Die Beziehungsinformationen für AWS Config aufgezeichnete Ressourcen sind nicht begrenzt, da Daten für nicht aufgezeichnete Ressourcen fehlen. Wenn eine aufgezeichnete Ressource mit einer nicht aufgezeichneten Ressource in Zusammenhang steht, wird diese Beziehung auf der Detailseite der aufgezeichneten Ressource bereitgestellt.