Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Ressourcen aufzeichnen mit AWS Config
AWS Config erkennt kontinuierlich, wenn unterstützte Ressourcentypen erstellt, geändert oder gelöscht werden. AWS Config zeichnet diese Ereignisse als Konfigurationselemente auf (CIs).
Sie können festlegen AWS Config , dass Konfigurationsänderungen für alle unterstützten Ressourcentypen oder nur für die unterstützten Ressourcentypen aufgezeichnet werden, die für Sie relevant sind. Eine Liste der unterstützten Ressourcentypen, die aufgezeichnet werden AWS Config können, finden Sie unter[Unterstützte Ressourcentypen für AWS Config](resource-config-reference.md).
**Topics**
+ [Überlegungen](#select-resources-considerations)
+ [Regionale und globale Ressourcen](#select-resources-all)
+ [AWS Config Regeln und globale Ressourcentypen](#select-resources-rules-and-global)
+ [Aufnahmefrequenz](#select-resources-recording-frequency)
+ [Nicht aufgezeichnete Ressourcen](#select-resources-non-recorded)
+ [Ressourcen aufzeichnen (Konsole)](select-resources-console.md)
+ [Ressourcen aufzeichnen (AWS CLI)](select-resources-cli.md)
+ [Ressourcen ausschließen](select-resources-excluding.md)
+ [Die Aufnahme wird beendet](select-resources-stopping-recording.md)
## Überlegungen
**Hohe Anzahl von AWS Config Bewertungen**
Möglicherweise stellen Sie während Ihres ersten Monats, in dem Sie mit AWS Config aufgezeichnet haben, eine erhöhte Aktivität in Ihrem Konto im Vergleich zu den Folgemonaten fest. AWS Config Führt während des ersten Bootstrapping-Vorgangs Evaluierungen aller Ressourcen in Ihrem Konto durch, die Sie für AWS Config die Aufzeichnung ausgewählt haben.
Wenn Sie kurzlebige Workloads ausführen, können Sie aufgrund der Aufzeichnung von AWS Config Konfigurationsänderungen im Zusammenhang mit dem Erstellen und Löschen dieser temporären Ressourcen eine erhöhte Aktivität feststellen. Eine *flüchtige Workload* ist eine vorübergehende Nutzung von Computing-Ressourcen, die bei Bedarf geladen und ausgeführt werden. Beispiele sind Spot-Instances von Amazon Elastic Compute Cloud (Amazon EC2), Amazon-EMR-Aufträge und AWS Auto Scaling.
Wenn Sie die erhöhte Aktivität aufgrund der Ausführung kurzlebiger Workloads vermeiden möchten, können Sie den vom Kunden verwalteten Konfigurationsrekorder so einrichten, dass diese Ressourcentypen nicht aufgezeichnet werden, oder Sie können diese Arten von Workloads in einem separaten Konto ausführen, das AWS Config ausgeschaltet ist, um eine erhöhte Konfigurationsaufzeichnung und Regelauswertung zu vermeiden.
**Verfügbarkeit in Regionen**
Bevor Sie einen Ressourcentyp angeben, der nachverfolgt [werden AWS Config soll, überprüfen Sie, ob der Ressourcentyp in der Region](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html), in der AWS Sie ihn eingerichtet haben, unterstützt wird. AWS Config
Wenn ein Ressourcentyp AWS Config in mindestens einer Region unterstützt wird, können Sie die Aufzeichnung dieses Ressourcentyps in allen Regionen aktivieren, die von unterstützt werden AWS Config, auch wenn der angegebene Ressourcentyp in der AWS Region, in der Sie ihn eingerichtet haben, nicht unterstützt wird AWS Config.
## Was sind die Unterschiede zwischen regionalen und globalen Ressourcen?
**Regionale Ressourcen**
*Regionale Ressourcen* sind mit einer Region verknüpft und können nur in der jeweiligen Region verwendet werden. Sie erstellen sie in einer bestimmten Region AWS-Region, und dann existieren sie in dieser Region. Um diese Ressourcen aufzurufen oder mit ihnen zu interagieren, müssen Sie Ihre Aktivitäten auf diese Region ausrichten. Um beispielsweise eine Amazon EC2 EC2-Instance mit dem zu erstellen AWS-Managementkonsole, [wählen Sie die aus AWS-Region](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html), in der Sie die Instance erstellen möchten. Wenn Sie das AWS Command Line Interface (AWS CLI) verwenden, um die Instance zu erstellen, fügen Sie den `--region` Parameter hinzu. Sie verfügen AWS SDKs jeweils über einen eigenen, äquivalenten Mechanismus zur Angabe der Region, die von der Operation verwendet wird.
Es gibt mehrere Gründe für die Nutzung regionaler Ressourcen. Ein Grund besteht darin sicherzustellen, dass sich die Ressourcen und die Service-Endpunkte, über die Sie auf sie zugreifen, so nah wie möglich am Kunden befinden. Dies verbessert die Leistung, indem die Latenz minimiert wird. Ein weiterer Grund ist die Bereitstellung einer Isolationsgrenze. Auf diese Weise können Sie unabhängige Kopien von Ressourcen in mehreren Regionen erstellen, um die Last zu verteilen und die Skalierbarkeit zu verbessern. Gleichzeitig werden die Ressourcen voneinander isoliert, um die Verfügbarkeit zu verbessern.
Wenn Sie AWS-Region in der Konsole oder in einem AWS CLI Befehl eine andere angeben, können Sie die Ressourcen, die Sie in der vorherigen Region sehen konnten, nicht mehr sehen oder mit ihnen interagieren.
Wenn Sie den [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) für eine regionale Ressource betrachten, wird die Region, die die Ressource enthält, als viertes Feld im ARN angegeben. Eine Amazon-EC2-Instance ist beispielsweise eine regionale Ressource. Nachfolgend finden Sie ein Beispiel für den ARN einer Amazon-EC2-Instance in der Region `us-east-1`.
```
arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
```
**Globale Ressourcen**
Bei einigen AWS Dienstressourcen handelt es sich *um globale Ressourcen*, was bedeutet, dass Sie die Ressource von ***überall*** aus verwenden können. Sie geben in der Konsole eines globalen Service keine AWS-Region an. Um auf eine globale Ressource zuzugreifen, geben Sie bei der Verwendung der Service AWS CLI - und AWS SDK-Operationen keinen `--region` Parameter an.
Globale Ressourcen sind für Fälle konzipiert, in denen es entscheidend ist, dass jeweils nur eine Instance einer bestimmten Ressource vorhanden sein kann. In diesen Szenarien ist die Replikation oder Synchronisation zwischen Kopien in verschiedenen Regionen nicht ausreichend. Dass auf einen einzigen globalen Endpunkt zugegriffen werden muss und dadurch potenziell die Latenz erhöht wird, wird als akzeptabel angesehen, um sicherzustellen, dass alle Änderungen für die Nutzer der Ressource sofort sichtbar sind.
Beispielsweise sind globale Amazon-Aurora-Cluster (`AWS::RDS::GlobalCluster`) globale Ressourcen und daher nicht an eine Region gebunden. Das bedeutet, dass Sie einen globalen Cluster erstellen können, ohne sich auf einen regionalen Endpunkt verlassen zu müssen. Der Vorteil besteht darin, dass der Amazon Relational Database Service (Amazon RDS) selbst zwar nach Regionen organisiert ist, die spezifische Region, aus der ein globaler Cluster stammt, jedoch keinen Einfluss auf den globalen Cluster hat. Er erscheint als ein einzelner, kontinuierlicher globaler Cluster in allen Regionen.
Der [Amazon-Ressourcenname (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) für eine globale Ressource enthält keine Region. Das vierte Feld ist leer, wie im folgenden Beispiel für einen ARN für einen globalen Cluster.
```
arn:aws:rds::123456789012:global-cluster:test-global-cluster
```
Globale Ressourcentypen, die AWS Config nach Februar 2022 integriert wurden, werden nur in der Heimatregion des Dienstes für die kommerzielle Partition und AWS GovCloud (US-West) für die Partition aufgezeichnet. GovCloud Sie können die Konfigurationselemente (CIs) für diese neuen globalen Ressourcentypen nur in ihrer Heimatregion und AWS GovCloud (US-West) einsehen.
Globale Ressourcentypen, die vor Februar 2022 eingeführt wurden (`AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role` und `AWS::IAM::User`) bleiben unverändert. Sie können die Aufzeichnung dieser globalen IAM-Ressourcen in allen Regionen aktivieren, in denen sie vor Februar 2022 unterstützt AWS Config wurde. Diese globalen IAM-Ressourcen können nicht in Regionen aufgezeichnet werden, die AWS Config nach Februar 2022 unterstützt werden.
**Globale Ressourcentypen \$1 IAM-Ressourcen**
Die folgenden IAM-Ressourcentypen sind globale Ressourcen: IAM-Benutzer, -Gruppen und -Rollen sowie vom Kunden verwaltete Richtlinien. Diese Ressourcentypen können AWS Config in Regionen aufgezeichnet werden, in denen sie vor Februar 2022 verfügbar AWS Config waren. Diese Liste, in der Sie die globalen IAM-Ressourcentypen nicht aufzeichnen können, umfasst die folgenden Regionen: Asien-Pazifik (Hyderabad), Asien-Pazifik (Malaysia), Asien-Pazifik (Melbourne), Asien-Pazifik (Thailand), Kanada West (Calgary), Europa (Spanien), Europa (Zürich), Israel (Tel Aviv), Mexiko (Zentral) und Naher Osten (VAE).
Um doppelte Konfigurationselemente (CIs) zu vermeiden, sollten Sie erwägen, die globalen IAM-Ressourcentypen nur einmal in einer der unterstützten Regionen aufzuzeichnen. Dies kann Ihnen auch dabei helfen, unnötige Evaluierungen und API-Drosselungen zu vermeiden.
**Globale Ressourcentypen \$1 Nur Heimatregion**
Globale Ressourcen für die folgenden Dienste werden nur AWS Config in der Heimatregion des globalen Ressourcentyps aufgezeichnet: Amazon Elastic Container Registry Public AWS Global Accelerator, Amazon Route 53 CloudFront, Amazon und AWS WAF. Für diese globalen Ressourcen kann dieselbe Instanz des Ressourcentyps in mehreren AWS Regionen verwendet werden, aber die Konfigurationselemente (CIs) werden nur in der Heimatregion für die kommerzielle Partition oder AWS GovCloud (US-West) für die AWS GovCloud (US) Partition aufgezeichnet.
**Heimatregionen für globale Ressourcentypen**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/config/latest/developerguide/select-resources.html)
**Globale Ressourcentypen \$1 Globale Aurora-Cluster**
`AWS::RDS::GlobalCluster`ist eine globale Ressource, die in allen unterstützten AWS Config Regionen aufgezeichnet wird, in denen der vom Kunden verwaltete Konfigurationsrekorder aktiviert ist. Dieser globale Ressourcentyp ist insofern einzigartig, als wenn Sie die Aufzeichnung dieser Ressource in einer Region aktivieren, Konfigurationselemente (CIs) für diesen Ressourcentyp in all Ihren aktivierten Regionen aufgezeichnet AWS Config werden.
Wenn `AWS::RDS::GlobalCluster` nicht in allen aktivierten Regionen aufzeichnen soll, verwenden Sie eine der folgenden Aufzeichnungsstrategien für die AWS Config -Konsole:
+ **Erfassen Sie alle Ressourcentypen mit anpassbaren Überschreibungen**, wählen Sie GlobalCluster „AWS RDS“ und anschließend die Option „Von der Aufzeichnung ausschließen“
+ **zeichnen Sie bestimmte Ressourcentypen auf**.
Wenn `AWS::RDS::GlobalCluster` nicht in allen aktivierten Regionen aufzeichnen soll, verwenden Sie eine der folgenden Aufzeichnungsstrategien für die API/CLI:
+ **Aufzeichnen aller aktuellen und zukünftigen Ressourcentypen mit Ausnahmen** (`EXCLUSION_BY_RESOURCE_TYPES`)
+ **zeichnen Sie bestimmte Ressourcentypen auf** (`INCLUSION_BY_RESOURCE_TYPES`).
## AWS Config Regeln und globale Ressourcentypen
Die globalen IAM-Ressourcentypen, die vor Februar 2022 eingeführt wurden (`AWS::IAM::Group`,`AWS::IAM::Policy`, und`AWS::IAM::User`)`AWS::IAM::Role`, können nur AWS Config in Regionen erfasst werden, in denen sie vor Februar 2022 verfügbar AWS Config waren. Diese globalen IAM-Ressourcentypen können nicht in Regionen erfasst werden, die nach Februar 2022 unterstützt werden AWS Config . Eine Liste dieser Regionen finden Sie unter [AWS Aufzeichnungsressourcen \$1 Globale Ressourcen](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all).
Wenn Sie einen globalen IAM-Ressourcentyp in mindestens einer Region aufzeichnen, führen periodische Regeln, die die Einhaltung des globalen IAM-Ressourcentyps melden, Bewertungen in allen Regionen durch, in denen die periodische Regel hinzugefügt wurde, auch wenn Sie die Aufzeichnung des globalen IAM-Ressourcentyps in der Region, in der die periodische Regel hinzugefügt wurde, nicht aktiviert haben.
**Bewährte Verfahren für die Berichterstattung über die Einhaltung der Vorschriften bei globalen Ressourcen, die vor Februar 2022 eingeführt wurden**
Um unnötige Evaluierungen zu vermeiden, sollten Sie AWS Config Regeln und Konformitätspakete, für die diese globalen Ressourcen gelten, nur für eine der unterstützten Regionen bereitstellen. Eine Liste der verwalteten Regeln, die in welchen Regionen unterstützt werden, finden Sie unter [Liste der AWS Config verwalteten Regeln nach Verfügbarkeit in Regionen](https://docs.aws.amazon.com/config/latest/developerguide/managing-rules-by-region-availability.html). Dies gilt für AWS Config Regeln, AWS Config Organisationsregeln und auch für Regeln, die von anderen AWS Diensten erstellt wurden, z. B. AWS Security Hub CSPM und AWS Control Tower.
Wenn Sie keine globalen Ressourcentypen aufzeichnen, die vor Februar 2022 eingeführt wurden, sollten Sie die folgenden regelmäßig wirkenden Regeln nicht aktivieren, um unnötige Kosten zu vermeiden:
+ [access-keys-rotated](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)
+ [account-part-of-organizations](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)
+ [iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
+ [iam-policy-in-use](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)
+ [iam-root-access-key-überprüfen](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)
+ [iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)
+ [iam-user-unused-credentials-überprüfen](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)
+ [mfa-enabled-for-iam-Konsolenzugriff](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)
+ [root-account-hardware-mfa-aktiviert](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)
+ [root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)
**Bewährte Verfahren für die Berichterstattung über die Einhaltung von Vorschriften in Bezug auf globale Ressourcen, die nach Februar 2022 eingeführt wurden**
Globale Ressourcentypen, die nach Februar 2022 in die AWS Config Aufzeichnung integriert wurden, werden nur in der Heimatregion des Dienstes für die kommerzielle Partition und AWS GovCloud (US-West) für die Partition aufgezeichnet. AWS GovCloud (US) Sie sollten AWS Config Regeln und Konformitätspakete bereitstellen, bei denen diese globalen Ressourcen nur für die Heimatregion des Ressourcentyps gelten. Weitere Informationen finden Sie unter [Heimatregionen für globale Ressourcentypen](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all).
## Aufnahmefrequenz für AWS Config
AWS Config unterstützt *kontinuierliche Aufnahme* und *tägliche Aufnahme*. Mit der kontinuierlichen Aufzeichnung können Sie Konfigurationsänderungen kontinuierlich aufzeichnen, wenn eine Änderung auftritt. Mit der täglichen Aufzeichnung können Sie nur dann ein Konfigurationselement (CI) erhalten, das den neuesten Status Ihrer Ressourcen in den letzten 24 Stunden darstellt, wenn es sich von dem zuvor aufgezeichneten CI unterscheidet. Anweisungen zum Ändern der Aufnahmefrequenz finden Sie unter [Ändern der Aufnahmefrequenz](https://docs.aws.amazon.com/config/latest/developerguide/managing-recorder_console-change-recording-frequency.html).
**Kontinuierliche Aufzeichnung**
Die kontinuierliche Aufzeichnung bietet unter anderem folgende Vorteile:
+ **Überwachung in Echtzeit**: Durch kontinuierliche Aufzeichnungen können unbefugte Änderungen oder unerwartete Änderungen sofort erkannt werden, wodurch Ihre Sicherheits- und Compliance-Bemühungen verbessert werden können.
+ **Detaillierte Analyse**: Durch die kontinuierliche Aufzeichnung können Sie eingehende Analysen der Konfigurationsänderungen an Ihren Ressourcen durchführen, sobald sie auftreten, so dass Sie Muster und Trends sofort erkennen können.
**Tägliche Aufzeichnung**
Die tägliche Aufzeichnung bietet unter anderem folgende Vorteile:
+ **Minimale Unterbrechungen**: Durch die tägliche Aufzeichnung erhalten Sie einen Informationsfluss, der sich besser handhaben lässt, wodurch die Häufigkeit von Benachrichtigungen und die Ermüdung durch zu häufige Warnmeldungen reduziert werden können.
+ **Kosteneffizienz**: Die tägliche Aufzeichnung bietet Ihnen die Flexibilität, Änderungen an Ihren Ressourcen mit einer geringeren Frequenz aufzuzeichnen, wodurch die Kosten im Zusammenhang mit der Anzahl der aufgezeichneten Konfigurationsänderungen gesenkt werden können.
**Anmerkung**
AWS Firewall Manager hängt von der kontinuierlichen Aufzeichnung ab, um Ihre Ressourcen zu überwachen. Wenn Sie den Firewall Manager verwenden, wird empfohlen, die Aufzeichnungsfrequenz auf „Kontinuierlich“ einzustellen.
## Nicht aufgezeichnete Ressourcen
Wenn eine Ressource nicht aufgezeichnet ist, AWS Config erfasst es nur die Erstellung und Löschung dieser Ressource und keine weiteren Details, ohne dass Ihnen dadurch Kosten entstehen. Wenn eine nicht aufgezeichnete Ressource erstellt oder gelöscht wird, AWS Config sendet eine Benachrichtigung und zeigt das Ereignis auf der Seite mit den Ressourcendetails an. Die Detailseite für eine nicht aufgezeichnete Ressource bietet Nullwerte für die meisten Konfigurationsdetails und keine Informationen zu Beziehungen und Konfigurationsänderungen.
Die Beziehungsinformationen, die für aufgezeichnete Ressourcen zur AWS Config Verfügung stehen, sind aufgrund fehlender Daten für nicht aufgezeichnete Ressourcen nicht eingeschränkt. Wenn eine aufgezeichnete Ressource mit einer nicht aufgezeichneten Ressource in Zusammenhang steht, wird diese Beziehung auf der Detailseite der aufgezeichneten Ressource bereitgestellt.
**Überlegungen zum IAM-Ressourcentyp**
Die `AWS::IAM::Role` Ressourcentypen `AWS::IAM::User` `AWS::IAM::Policy`` AWS::IAM::Group`,,, erfassen nur dann den Erstellungs- (`ResourceNotRecorded``ResourceDeletedNotRecorded`) und Löschstatus (), wenn die Ressource als Ressource für die Aufzeichnung im vom Kunden verwalteten Konfigurationsrekorder ausgewählt wurde oder zuvor ausgewählt wurde.
**CI-Aufzeichnungsplan für nicht aufgezeichnete Ressourcen**
Die Konfigurationselemente (CIs) für `ResourceNotRecorded` und `ResourceDeletedNotRecorded` außerhalb der typischen Aufzeichnungszeit für Ressourcentypen. Diese Ressourcentypen werden nur während des periodischen Baselining-Prozesses für den vom Kunden verwalteten Konfigurationsrekorder aufgezeichnet, der seltener erfolgt als bei den anderen Ressourcentypen. Das bedeutet, dass Erstellungs- und Löschbenachrichtigungen nicht bei der Erstellung oder Löschung, sondern während des Baselining-Prozesses gesendet werden.
**CI-Lieferung und Umfang des servicebasierten Rekorders**
Bei serviceverknüpften Konfigurationsrekordern bestimmt der Umfang der Aufzeichnung, ob Sie Konfigurationselemente (CIs) im Lieferkanal erhalten. Der Umfang der Aufzeichnung wird durch den Dienst festgelegt, der mit dem Konfigurationsrekorder verknüpft ist. Wenn der Umfang der Aufzeichnung intern ist, erhalten Sie keine Daten CIs im Bereitstellungskanal.
# Ressourcen in der AWS Config Konsole aufzeichnen
Sie können die AWS Config Konsole verwenden, um die Ressourcentypen auszuwählen, die mit dem vom Kunden verwalteten Konfigurationsrekorder AWS Config aufgezeichnet werden.
**So wählen Sie Ressourcen aus**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Config Konsole zu [https://console.aws.amazon.com/config/Hause](https://console.aws.amazon.com/config/home).
1. Wählen Sie im linken Navigationsbereich **Einstellungen** aus.
1. Wählen Sie auf der Registerkarte **Vom Kunden verwalteter Rekorder** die Option **Bearbeiten** aus.
1. Wählen Sie im Abschnitt **Aufzeichnungsverfahren** eine Aufzeichnungsstrategie aus. Sie können die AWS Ressourcen angeben, die Sie aufzeichnen AWS Config möchten.
------
#### [ All resource types with customizable overrides ]
AWS Config So eingerichtet, dass Konfigurationsänderungen für alle aktuellen und future unterstützten Ressourcentypen in dieser Region aufgezeichnet werden. Sie können die Aufzeichnungsfrequenz für bestimmte Ressourcentypen außer Kraft setzen oder bestimmte Ressourcentypen von der Aufzeichnung ausschließen. Weitere Informationen finden Sie unter [Unterstützte Ressourcentypen](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html).
+ **Standardeinstellungen**
Konfigurieren Sie die Standardaufzeichnungsfrequenz für alle derzeit und zukünftig unterstützten Ressourcentypen. Weitere Informationen finden Sie unter [Aufzeichnungsfrequenz](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency).
+ Kontinuierliche Aufzeichnung — AWS Config zeichnet bei jeder Änderung kontinuierlich Konfigurationsänderungen auf.
+ Tägliche Aufzeichnung – Sie erhalten ein Konfigurationselement (CI), das den aktuellen Status Ihrer Ressourcen in den letzten 24 Stunden nur dann darstellt, wenn es sich von dem zuvor aufgezeichneten CI unterscheidet.
**Anmerkung**
AWS Firewall Manager hängt von der kontinuierlichen Aufzeichnung ab, um Ihre Ressourcen zu überwachen. Wenn Sie den Firewall Manager verwenden, wird empfohlen, die Aufzeichnungsfrequenz auf „Kontinuierlich“ einzustellen.
+ **Überschreibungseinstellungen**
Setzen Sie die Aufzeichnungsfrequenz für bestimmte Ressourcentypen außer Kraft oder schließen Sie bestimmte Ressourcentypen von der Aufzeichnung aus. Wenn Sie die Aufzeichnungsfrequenz für einen Ressourcentyp ändern, bleiben die bereits aufgezeichneten Konfigurationselemente unverändert.
------
#### [ Specific resource types ]
Richten Sie AWS Config es so ein, dass Konfigurationsänderungen nur für die von Ihnen angegebenen Ressourcentypen aufgezeichnet werden.
+ **Bestimmte Ressourcentypen**
Wählen Sie einen Ressourcentyp und dessen Aufzeichnungsfrequenz aus. Weitere Informationen finden Sie unter [Aufzeichnungsfrequenz](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency).
+ Kontinuierliche Aufzeichnung — AWS Config zeichnet Konfigurationsänderungen bei jeder Änderung kontinuierlich auf.
+ Tägliche Aufzeichnung – Sie erhalten ein Konfigurationselement (CI), das den aktuellen Status Ihrer Ressourcen in den letzten 24 Stunden nur dann darstellt, wenn es sich von dem zuvor aufgezeichneten CI unterscheidet.
**Anmerkung**
AWS Firewall Manager hängt von der kontinuierlichen Aufzeichnung ab, um Ihre Ressourcen zu überwachen. Wenn Sie den Firewall Manager verwenden, wird empfohlen, die Aufzeichnungsfrequenz auf „Kontinuierlich“ einzustellen.
Wenn Sie die Aufzeichnungsfrequenz für einen Ressourcentyp ändern, bleiben die bereits aufgezeichneten Konfigurationselemente unverändert.
------
1. Wählen Sie **Speichern**, um Ihre Änderungen zu speichern.
## Überlegungen beim Aufzeichnen von Ressourcen
**Hohe Anzahl von AWS Config Bewertungen**
Möglicherweise stellen Sie während Ihres ersten Monats, in dem Sie mit AWS Config aufgezeichnet haben, eine erhöhte Aktivität in Ihrem Konto im Vergleich zu den Folgemonaten fest. AWS Config Führt während des ersten Bootstrapping-Vorgangs Evaluierungen aller Ressourcen in Ihrem Konto durch, die Sie für AWS Config die Aufzeichnung ausgewählt haben.
Wenn Sie kurzlebige Workloads ausführen, können Sie aufgrund der Aufzeichnung von AWS Config Konfigurationsänderungen im Zusammenhang mit dem Erstellen und Löschen dieser temporären Ressourcen eine erhöhte Aktivität feststellen. Eine *flüchtige Workload* ist eine vorübergehende Nutzung von Computing-Ressourcen, die bei Bedarf geladen und ausgeführt werden. Beispiele hierfür sind Amazon Elastic Compute Cloud (Amazon EC2) Spot-Instances, Amazon EMR-Jobs und AWS Auto Scaling. Wenn Sie die erhöhte Aktivität durch die Ausführung kurzlebiger Workloads vermeiden möchten, können Sie den vom Kunden verwalteten Konfigurationsrekorder so einrichten, dass diese Ressourcentypen von der Aufzeichnung ausgeschlossen werden, oder Sie können diese Arten von Workloads in einem separaten Konto ausführen, das AWS Config ausgeschaltet ist, um eine erhöhte Konfigurationsaufzeichnung und Regelauswertung zu vermeiden.
------
#### [ Considerations: All resource types with customizable overrides ]
**Global aufgezeichnete Ressourcentypen \$1 Die globalen Aurora-Cluster sind zunächst in der Aufzeichnung enthalten**
Der `AWS::RDS::GlobalCluster` Ressourcentyp wird in allen unterstützten AWS Config Regionen aufgezeichnet, in denen der vom Kunden verwaltete Konfigurationsrekorder aktiviert ist.
Wenn Sie `AWS::RDS::GlobalCluster` nicht in allen aktivierten Regionen aufzeichnen möchten, wählen Sie „AWS RDS GlobalCluster“ und dann die Option „Von der Aufzeichnung ausschließen“.
**Globale Ressourcentypen \$1 IAM-Ressourcentypen sind zunächst von der Aufzeichnung ausgeschlossen**
Die globalen IAM-Ressourcentypen sind zunächst von der Aufzeichnung ausgeschlossen, um Ihnen zu helfen, die Kosten zu senken. Dieses Paket umfasst IAM-Benutzer, -Gruppen, -Rollen und vom Kunden verwaltete Richtlinien. Wählen Sie **Entfernen**, um die Überschreibung zu entfernen und diese Ressourcen in Ihre Aufzeichnung aufzunehmen.
Darüber hinaus können die globalen IAM-Ressourcentypen (`AWS::IAM::User`, `AWS::IAM::Group``AWS::IAM::Role`, und`AWS::IAM::Policy`) nicht in Regionen aufgezeichnet werden, die AWS Config nach Februar 2022 unterstützt werden. Eine Liste dieser Regionen finden Sie unter [AWS Aufzeichnungsressourcen \$1 Globale Ressourcen](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all).
**Beschränkungen**
Sie können bis zu 100 Frequenzüberschreibungen und 600 Ausschlussüberschreibungen hinzufügen.
Die tägliche Aufzeichnung wird für die folgenden Ressourcentypen nicht unterstützt:
+ `AWS::Config::ResourceCompliance`
+ `AWS::Config::ConformancePackCompliance`
+ `AWS::Config::ConfigurationRecorder`
------
#### [ Considerations: Specific resource types ]
**Verfügbarkeit in Regionen**
Bevor Sie einen Ressourcentyp angeben, der nachverfolgt [werden AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html) soll, überprüfen Sie, ob der Ressourcentyp in der AWS Region, in der Sie ihn eingerichtet haben, unterstützt wird AWS Config. Wenn ein Ressourcentyp AWS Config in mindestens einer Region unterstützt wird, können Sie die Aufzeichnung dieses Ressourcentyps in allen Regionen aktivieren, die von unterstützt werden AWS Config, auch wenn der angegebene Ressourcentyp in der AWS Region, in der Sie ihn eingerichtet haben, nicht unterstützt wird AWS Config.
**Beschränkungen**
Keine Beschränkungen, wenn alle Ressourcentypen dieselbe Frequenz haben. Sie können bis zu 100 Ressourcentypen mit täglicher Aufzeichnungsfrequenz hinzufügen, wenn mindestens ein Ressourcentyp auf „Kontinuierlich“ gesetzt ist.
Die tägliche Frequenz wird für die folgenden Ressourcentypen nicht unterstützt:
+ `AWS::Config::ResourceCompliance`
+ `AWS::Config::ConformancePackCompliance`
+ `AWS::Config::ConfigurationRecorder`
------
# Ressourcen mit der AWS CLI aufzeichnen
Sie können die AWS CLI verwenden, um die Ressourcentypen auszuwählen, die Sie aufzeichnen AWS Config möchten. Dazu erstellen Sie einen vom Kunden verwalteten Konfigurationsrekorder, der die Ressourcentypen aufzeichnet, die Sie in einer Aufzeichnungsgruppe angeben. In der Aufnahmegruppe legen Sie fest, ob Sie alle unterstützten Ressourcentypen aufzeichnen oder bestimmte Ressourcentypen ein- und ausschließen möchten.
------
#### [ Record all current and future supported resource types ]
AWS Config So eingerichtet, dass Konfigurationsänderungen für alle aktuellen und future unterstützten Ressourcentypen in dieser Region aufgezeichnet werden. Eine Liste der unterstützten Ressourcentypen finden Sie unter [Unterstützte Ressourcentypen](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html).
1. Verwenden Sie den [-Befehl:`put-configuration-recorder`](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)
Dieser Befehl verwendet die `---recording-group` Felder `--configuration-recorder` und.
```
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
```
**Das `configuration-recorder` Feld**
Die `configurationRecorder.json` Datei spezifiziert `name` und `roleArn` auch die Standardaufzeichnungsfrequenz für den Konfigurationsrekorder (`recordingMode`).
```
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role",
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override",
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override ]
}
]
}
}
```
**Das `recording-group` Feld**
Die `recordingGroup.json` Datei gibt an, welche Ressourcentypen aufgezeichnet werden.
```
{
"allSupported": true,
"recordingStrategy": {
"useOnly": "ALL_SUPPORTED_RESOURCE_TYPES"
},
"includeGlobalResourceTypes": true
}
```
Weitere Informationen zu diesen Feldern finden Sie [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)in der *AWS CLI Befehlsreferenz*.
1. (Optional) Verwenden Sie den folgenden [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html)Befehl, um zu überprüfen, ob Ihr vom Kunden verwalteter Konfigurationsrekorder über die gewünschten Einstellungen verfügt.
```
$ aws configservice describe-configuration-recorders
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"ConfigurationRecorders": [
{
"name": "default"
"recordingGroup": {
"allSupported": true,
"exclusionByResourceTypes": {
"resourceTypes": []
},
"includeGlobalResourceTypes": true,
"recordingStrategy": {
"useOnly": "ALL_SUPPORTED_RESOURCE_TYPES"
},
"resourceTypes": [],
},
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override,
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
```
------
#### [ Record all current and future supported resources types excluding the types you specify ]
AWS Config So eingerichtet, dass Konfigurationsänderungen für alle aktuellen und future unterstützten Ressourcentypen aufgezeichnet werden, einschließlich globaler Ressourcentypen, mit Ausnahme der Ressourcentypen, die Sie von der Aufzeichnung ausschließen möchten.
Wenn Sie die Aufzeichnung für einen Ressourcentyp beenden, bleiben die bereits aufgezeichneten Konfigurationselemente unverändert. Eine Liste der unterstützten Ressourcentypen finden Sie unter [Unterstützte Ressourcentypen](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html).
1. Verwenden Sie den [-Befehl:`put-configuration-recorder`](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)
Dieser Befehl verwendet die `---recording-group` Felder `--configuration-recorder` und.
```
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
```
**Das `configuration-recorder` Feld**
Die `configurationRecorder.json` Datei spezifiziert `name` und `roleArn` auch die Standardaufzeichnungsfrequenz für den Konfigurationsrekorder (`recordingMode`).
```
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role",
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override",
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override ]
}
]
}
}
```
**Das `recording-group` Feld**
Die `recordingGroup.json` Datei gibt an, welche Ressourcentypen aufgezeichnet AWS Config werden. Übergeben Sie einen oder mehrere auszuschließende Ressourcentypen im `resourceTypes` Feld von`exclusionByResourceTypes`, wie im folgenden Beispiel gezeigt.
```
{
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": [
"AWS::Redshift::ClusterSnapshot",
"AWS::RDS::DBClusterSnapshot",
"AWS::CloudFront::StreamingDistribution"
]
},
"includeGlobalResourceTypes": false,
"recordingStrategy": {
"useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
},
}
```
Weitere Informationen zu diesen Feldern finden Sie [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)in der *AWS CLI Befehlsreferenz*.
1. (Optional) Verwenden Sie den folgenden [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html)Befehl, um zu überprüfen, ob Ihr vom Kunden verwalteter Konfigurationsrekorder über die gewünschten Einstellungen verfügt.
```
$ aws configservice describe-configuration-recorders
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"ConfigurationRecorders": [
{
"name": "default",
"recordingGroup": {
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": [
"AWS::Redshift::ClusterSnapshot",
"AWS::RDS::DBClusterSnapshot",
"AWS::CloudFront::StreamingDistribution"
]
},
"includeGlobalResourceTypes": false,
"recordingStrategy": {
"useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
},
"resourceTypes": [],
},
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override,
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
```
------
#### [ Record specific resource types ]
Richten Sie AWS Config es so ein, dass Konfigurationsänderungen nur für die von Ihnen angegebenen Ressourcentypen aufgezeichnet werden.
Wenn Sie die Aufzeichnung für einen Ressourcentyp beenden, bleiben die bereits aufgezeichneten Konfigurationselemente unverändert. Eine Liste der unterstützten Ressourcentypen finden Sie unter [Unterstützte Ressourcentypen](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html).
1. Verwenden Sie den [-Befehl:`put-configuration-recorder`](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)
Dieser Befehl verwendet die `---recording-group` Felder `--configuration-recorder` und.
```
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
```
**Das `configuration-recorder` Feld**
Die `configurationRecorder.json` Datei spezifiziert `name` und `roleArn` auch die Standardaufzeichnungsfrequenz für den Konfigurationsrekorder (`recordingMode`).
```
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role",
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override",
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override ]
}
]
}
}
```
**Das `recording-group` Feld**
Die `recordingGroup.json` Datei gibt an, welche Ressourcentypen aufgezeichnet AWS Config werden. Übergeben Sie einen oder mehrere auszuschließende Ressourcentypen in das `resourceTypes` Feld, wie im folgenden Beispiel gezeigt.
```
{
"allSupported": false,
"recordingStrategy": {
"useOnly": "INCLUSION_BY_RESOURCE_TYPES"
},
"includeGlobalResourceTypes": false,
"resourceTypes": [
"AWS::EC2::EIP",
"AWS::EC2::Instance",
"AWS::EC2::NetworkAcl",
"AWS::EC2::SecurityGroup",
"AWS::CloudTrail::Trail",
"AWS::EC2::Volume",
"AWS::EC2::VPC",
"AWS::IAM::User",
"AWS::IAM::Policy"
]
}
```
Weitere Informationen zu diesen Feldern finden Sie [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)in der *AWS CLI Befehlsreferenz*.
1. (Optional) Verwenden Sie den folgenden [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html)Befehl, um zu überprüfen, ob Ihr vom Kunden verwalteter Konfigurationsrekorder über die gewünschten Einstellungen verfügt.
```
$ aws configservice describe-configuration-recorders
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"ConfigurationRecorders": [
{
"name": "default",
"recordingGroup": {
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": []
},
"includeGlobalResourceTypes": false
"recordingStrategy": {
"useOnly": "INCLUSION_BY_RESOURCE_TYPES"
},
"resourceTypes": [
"AWS::EC2::EIP",
"AWS::EC2::Instance",
"AWS::EC2::NetworkAcl",
"AWS::EC2::SecurityGroup",
"AWS::CloudTrail::Trail",
"AWS::EC2::Volume",
"AWS::EC2::VPC",
"AWS::IAM::User",
"AWS::IAM::Policy"
]
},
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override,
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
```
------
# Ressourcen von der Aufzeichnung ausschließen mit AWS Config
AWS Config ermöglicht es Ihnen, bestimmte AWS Ressourcentypen von der Inventarverfolgung und Konformitätsüberwachung auszuschließen und gleichzeitig alle anderen unterstützten Ressourcentypen zu verfolgen AWS Config, die derzeit verfügbar sind, einschließlich derer, die in future hinzugefügt werden. Mit dieser Funktion können Sie sich auf wichtige Ressourcen konzentrieren, die Ihren Compliance- und Governance-Standards unterliegen.
------
#### [ Excluding resources (Console) ]
Wenn Sie einen AWS Ressourcentyp nicht aufzeichnen möchten, verwenden Sie eine der folgenden Aufzeichnungsstrategien für die AWS Config Konsole:
+ **Zeichnen Sie alle Ressourcentypen mit anpassbaren Überschreibungen** auf, wählen Sie den Ressourcentyp aus, den Sie ausschließen möchten, und wählen Sie die Überschreibung „Von der Aufzeichnung ausschließen“
+ **zeichnen Sie bestimmte Ressourcentypen auf**.
Ausführlichere Schritte finden Sie unter [Ressourcen aufzeichnen (Konsole)](https://docs.aws.amazon.com/config/latest/developerguide/select-resources-console.html).
------
#### [ Excluding resources (AWS CLI) ]
Wenn Sie keinen AWS Ressourcentyp aufzeichnen möchten, verwenden Sie eine der folgenden Aufzeichnungsstrategien für die API/CLI:
+ **Aufzeichnen aller aktuellen und zukünftigen Ressourcentypen mit Ausnahmen** (`EXCLUSION_BY_RESOURCE_TYPES`)
+ **zeichnen Sie bestimmte Ressourcentypen auf** (`INCLUSION_BY_RESOURCE_TYPES`).
Ausführlichere Schritte finden Sie unter [Ressourcen aufzeichnen ()AWS CLI](https://docs.aws.amazon.com/config/latest/developerguide/select-resources-cli.html).
------
# Die Aufzeichnung mit AWS Config dem vom Kunden verwalteten Konfigurationsrekorder beenden
Sie können die Aufzeichnung mit dem AWS Config vom Kunden verwalteten Konfigurationsrekorder jederzeit beenden. Nach AWS Config dem Beenden der Aufzeichnung einer Ressource werden die zuvor erfassten Konfigurationsinformationen beibehalten, und Sie können weiterhin auf diese Informationen zugreifen.
Anweisungen zum Beenden der Aufzeichnung finden Sie unter [Stoppen des vom Kunden verwalteten Konfigurationsrekorders](https://docs.aws.amazon.com/config/latest/developerguide/managing-recorder_console-stop.html).