Dimulai AWS Config dengan AWS CLI - AWS Config
PertimbanganLangkah 1: Jalankan put-configuration-recorder perintahLangkah 2: Jalankan put-delivery-channel perintahLangkah 3: Jalankan start-configuration-recorder perintah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Dimulai AWS Config dengan AWS CLI

Untuk memulai AWS Config dengan AWS CLI, gunakan put-configuration-recorder, put-delivery-channel, dan start-configuration-recorderperintah, sebagai berikut:

  • put-configuration-recorderPerintah membuat perekam konfigurasi baru untuk merekam konfigurasi sumber daya yang Anda tentukan.

  • put-delivery-channelPerintah membuat objek saluran pengiriman untuk mengirimkan informasi konfigurasi ke bucket dan SNS topik S3.

  • Setelah saluran pengiriman dibuat, start-configuration-recorder mulai merekam konfigurasi sumber daya yang dipilih, yang dapat Anda lihat di AWS akun Anda.

Anda dapat menentukan nama perekam dan Amazon Resource Name (ARN) dari IAM peran yang diambil oleh AWS Config dan digunakan oleh perekam konfigurasi. AWS Config secara otomatis menetapkan nama “default” saat membuat perekam konfigurasi. Anda tidak dapat mengubah nama perekam konfigurasi setelah dibuat. Untuk mengubah nama perekam konfigurasi, Anda harus menghapusnya dan membuat perekam konfigurasi baru dengan nama baru.

AWS Config Untuk menyiapkan Agregasi Data Multi-Wilayah Multi-Akun dengan AWS CLI, lihat Menyiapkan Agregator Menggunakan Antarmuka Baris AWS Perintah. Anda harus membuat perekam konfigurasi terpisah untuk setiap Wilayah di masing-masing Akun AWS yang ingin Anda rekam item konfigurasi.

Pertimbangan

Prasyarat

Sebelum menyiapkan AWS Config AWS CLI, Anda perlu membuat bucket S3, SNS topik, dan IAM peran dengan kebijakan terlampir sebagai prasyarat. Anda kemudian dapat menggunakan AWS CLI untuk menentukan bucket, topik, dan peran untuk AWS Config. Untuk mengatur prasyarat Anda, lihat Prasyarat AWS Config.

Satu perekam konfigurasi per Wilayah per akun

Anda hanya dapat memiliki satu saluran perekam konfigurasi untuk per Wilayah AWS per per Akun AWS, dan perekam konfigurasi diperlukan untuk digunakan AWS Config.

Satu saluran pengiriman per Wilayah per akun

Anda hanya dapat memiliki satu saluran pengiriman per Wilayah AWS wilayah per Akun AWS, dan saluran pengiriman harus digunakan AWS Config.

Langkah 1: Jalankan put-configuration-recorder perintah

put-configuration-recorderPerintah Anda akan terlihat seperti contoh berikut.

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

Perintah ini menggunakan --configuration-recorder dan ---recording-group bidang.

catatan

Grup rekaman dan perekam konfigurasi

--recording-groupBidang menentukan jenis sumber daya yang direkam.

--configuration-recorderBidang menentukan name dan roleArn juga frekuensi perekaman default untuk perekam konfigurasi (recordingMode). Anda juga dapat menggunakan bidang ini untuk mengganti frekuensi perekaman untuk jenis sumber daya tertentu.

put-configuration-recordermenggunakan opsi berikut untuk --recording-group parameter:

  • allSupported=true— AWS Config mencatat perubahan konfigurasi untuk semua jenis sumber daya yang didukung, tidak termasuk jenis IAM sumber daya global. Saat AWS Config menambahkan dukungan untuk jenis sumber daya baru, AWS Config secara otomatis mulai merekam sumber daya jenis itu.

  • includeGlobalResourceTypes=true— Opsi ini adalah bundel yang hanya berlaku untuk jenis IAM sumber daya global: IAM pengguna, grup, peran, dan kebijakan yang dikelola pelanggan. Jenis IAM sumber daya global ini hanya dapat dicatat oleh AWS Config di Wilayah AWS Config yang tersedia sebelum Februari 2022. Anda tidak dapat merekam jenis IAM sumber daya global di Wilayah yang didukung AWS Config setelah Februari 2022. Untuk daftar Wilayah tersebut, lihat Merekam AWS Sumber Daya | Sumber Daya Global.

    penting

    Kluster global Aurora dicatat di semua Wilayah yang diaktifkan

    Jenis AWS::RDS::GlobalCluster sumber daya akan direkam di semua AWS Config Wilayah yang didukung tempat perekam konfigurasi diaktifkan, meskipun includeGlobalResourceTypes disetel kefalse. includeGlobalResourceTypesOpsi ini adalah bundel yang hanya berlaku untuk IAM pengguna, grup, peran, dan kebijakan yang dikelola pelanggan.

    Jika Anda tidak ingin merekam AWS::RDS::GlobalCluster di semua Wilayah yang diaktifkan, gunakan salah satu strategi perekaman berikut:

    1. Rekam semua jenis sumber daya saat ini dan masa depan dengan pengecualian (EXCLUSION_BY_RESOURCE_TYPES), atau

    2. Rekam jenis sumber daya tertentu (INCLUSION_BY_RESOURCE_TYPES).

    Untuk informasi selengkapnya, lihat Memilih Sumber Daya yang Direkam.

    penting

    includeGlobalResourceJenis dan strategi perekaman pengecualian

    includeGlobalResourceTypesBidang ini tidak berdampak pada strategi EXCLUSION_BY_RESOURCE_TYPES perekaman. Ini berarti bahwa jenis IAM sumber daya global (IAMpengguna, grup, peran, dan kebijakan yang dikelola pelanggan) tidak akan ditambahkan secara otomatis sebagai pengecualian exclusionByResourceTypes kapan includeGlobalResourceTypes disetel kefalse.

    includeGlobalResourceTypesBidang hanya boleh digunakan untuk memodifikasi AllSupported bidang, karena default untuk AllSupported bidang ini adalah merekam perubahan konfigurasi untuk semua jenis sumber daya yang didukung kecuali jenis IAM sumber daya global. Untuk menyertakan tipe IAM sumber daya global saat AllSupported disetel ketrue, pastikan untuk menyetel includeGlobalResourceTypes ketrue.

    Untuk mengecualikan jenis IAM sumber daya global untuk strategi EXCLUSION_BY_RESOURCE_TYPES perekaman, Anda perlu menambahkannya secara manual ke resourceTypes bidangexclusionByResourceTypes.

    catatan

    Bidang wajib dan opsional

    Sebelum Anda dapat mengatur includeGlobalResourceTypes ketrue, atur allSupported bidang ketrue.

    Secara opsional, Anda dapat mengatur useOnly bidang RecordingStrategy toALL_SUPPORTED_RESOURCE_TYPES.

    catatan

    Bidang utama

    Jika Anda menyetel includeGlobalResourceTypes ke false tetapi mencantumkan jenis IAM sumber daya global di resourceTypes bidang RecordingGroup, masih AWS Config akan merekam perubahan konfigurasi untuk jenis sumber daya yang ditentukan terlepas dari apakah Anda menyetel includeGlobalResourceTypes bidang ke false.

    Jika Anda tidak ingin merekam perubahan konfigurasi ke jenis IAM sumber daya global (IAMpengguna, grup, peran, dan kebijakan yang dikelola pelanggan), pastikan untuk tidak mencantumkannya di resourceTypes bidang selain menyetel includeGlobalResourceTypes bidang ke false.

  • recordingStrategy— Menentukan strategi perekaman untuk perekam konfigurasi. recordingGroup.jsonFile menentukan jenis sumber daya yang AWS Config akan merekam:

    • Jika Anda menyetel useOnly bidang RecordingStrategykeALL_SUPPORTED_RESOURCE_TYPES, AWS Config mencatat perubahan konfigurasi untuk semua jenis sumber daya yang didukung, tidak termasuk jenis IAM sumber daya global. Secara opsional, Anda dapat mengatur allSupported bidang RecordingGrouptotrue. Saat AWS Config menambahkan dukungan untuk jenis sumber daya baru, AWS Config secara otomatis mulai merekam sumber daya jenis itu.

    • Jika Anda menyetel useOnly bidang RecordingStrategykeINCLUSION_BY_RESOURCE_TYPES, AWS Config mencatat perubahan konfigurasi hanya untuk jenis sumber daya yang Anda tentukan di resourceTypes bidang RecordingGroup.

    • Jika Anda menyetel useOnly bidang RecordingStrategykeEXCLUSION_BY_RESOURCE_TYPES, AWS Config mencatat perubahan konfigurasi untuk semua jenis sumber daya yang didukung kecuali jenis sumber daya yang Anda tentukan untuk dikecualikan agar tidak direkam di resourceTypes bidang ExclusionByResourceTypes.

    catatan

    Bidang wajib dan opsional

    recordingStrategyBidang ini opsional saat Anda mengatur allSupported bidang --recording-group ketrue.

    recordingStrategyKolom ini opsional saat Anda mencantumkan jenis sumber daya di resourceTypes bidang--recording-group.

    recordingStrategyKolom ini diperlukan jika Anda mencantumkan jenis sumber daya untuk dikecualikan dari rekaman di resourceTypes bidangexclusionByResourceTypes.

    catatan

    Bidang utama

    Jika Anda memilih EXCLUSION_BY_RESOURCE_TYPES untuk strategi perekaman, exclusionByResourceTypes bidang akan mengganti properti lain dalam permintaan.

    Misalnya, meskipun Anda menyetel includeGlobalResourceTypes ke false, jenis IAM sumber daya global akan tetap direkam secara otomatis dalam opsi ini kecuali jenis sumber daya tersebut secara khusus terdaftar sebagai pengecualian di resourceTypes bidangexclusionByResourceTypes.

    catatan

    Jenis sumber daya global dan strategi pencatatan pengecualian sumber daya

    Secara default, jika Anda memilih strategi EXCLUSION_BY_RESOURCE_TYPES perekaman, saat AWS Config menambahkan dukungan untuk jenis sumber daya baru di Wilayah tempat Anda menyiapkan perekam konfigurasi, termasuk tipe sumber daya global, AWS Config mulai merekam sumber daya jenis itu secara otomatis.

    Kecuali secara khusus terdaftar sebagai pengecualian, AWS::RDS::GlobalCluster akan direkam secara otomatis di semua AWS Config Wilayah yang didukung jika perekam konfigurasi diaktifkan.

    IAMpengguna, grup, peran, dan kebijakan yang dikelola pelanggan akan direkam di Wilayah tempat Anda menyiapkan perekam konfigurasi jika itu adalah Wilayah yang tersedia sebelum Februari 2022. AWS Config Anda tidak dapat merekam jenis IAM sumber daya global di Wilayah yang didukung AWS Config setelah Februari 2022. Untuk daftar Wilayah tersebut, lihat Merekam AWS Sumber Daya | Sumber Daya Global.

    Berikut ini menunjukkan sintaks Permintaan untuk. recordingGroup.json

    { 
    "allSupported": boolean,
    "exclusionByResourceTypes": { 
        "resourceTypes": [ Comma-separated list of resource types to exclude ]
    },
    "includeGlobalResourceTypes": boolean,
    "recordingStrategy": { 
        "useOnly": "Recording strategy for the configuration recorder"
    },
    "resourceTypes": [ Comma-separated list of resource types to include]
}
    catatan

    Kebijakan Otorisasi untuk AWS Organizations Dapat Mencegah Akses

    Jika Anda menggunakan IAM peran yang sudah ada sebelumnya, pastikan tidak ada kebijakan otorisasi AWS Organizations yang AWS Config mencegah izin untuk merekam sumber daya Anda. Untuk informasi selengkapnya tentang kebijakan otorisasi AWS Organizations, lihat Mengelola kebijakan AWS Organizations di Panduan AWS Organizations Pengguna.

    Pertahankan Izin Minimum Saat Menggunakan Kembali peran IAM

    Jika Anda menggunakan AWS layanan yang menggunakan AWS Config, seperti AWS Security Hub atau AWS Control Tower, dan IAM peran telah dibuat, pastikan IAM peran yang Anda gunakan saat menyiapkan memiliki izin minimum yang AWS Config sama dengan peran yang sudah ada sebelumnyaIAM. Anda harus melakukan ini untuk memastikan bahwa AWS layanan lain terus berjalan seperti yang diharapkan.

    Misalnya, jika AWS Control Tower memiliki IAM peran yang memungkinkan AWS Config untuk membaca objek S3, pastikan izin yang sama diberikan ke IAM peran yang Anda gunakan saat mengatur. AWS Config Jika tidak, itu dapat mengganggu cara AWS Control Tower beroperasi.

    catatan

    Jumlah AWS Config Evaluasi yang Tinggi

    Anda mungkin melihat peningkatan aktivitas di akun Anda selama perekaman bulan awal Anda dengan AWS Config jika dibandingkan dengan bulan-bulan berikutnya. Selama proses bootstrap awal, AWS Config jalankan evaluasi pada semua sumber daya di akun Anda yang telah Anda pilih untuk direkam. AWS Config

    Jika Anda menjalankan beban kerja sementara, Anda mungkin melihat peningkatan aktivitas dari AWS Config saat merekam perubahan konfigurasi yang terkait dengan pembuatan dan penghapusan sumber daya sementara ini. Beban kerja sementara adalah penggunaan sementara sumber daya komputasi yang dimuat dan dijalankan saat diperlukan. Contohnya termasuk Instans Spot Amazon Elastic Compute Cloud (AmazonEC2), EMR pekerjaan Amazon, dan AWS Auto Scaling. Jika Anda ingin menghindari peningkatan aktivitas menjalankan beban kerja sementara, Anda dapat mengatur perekam konfigurasi untuk mengecualikan jenis sumber daya ini agar tidak direkam, atau menjalankan jenis beban kerja ini di akun terpisah dengan AWS Config dimatikan untuk menghindari peningkatan perekaman konfigurasi dan evaluasi aturan.

    catatan

    Ketersediaan Wilayah

    Sebelum menentukan jenis sumber daya AWS Config untuk dilacak, periksa Cakupan Sumber Daya menurut Ketersediaan Wilayah untuk melihat apakah jenis sumber daya didukung di AWS Wilayah tempat Anda menyiapkan AWS Config. Jika jenis sumber daya didukung oleh AWS Config setidaknya satu Wilayah, Anda dapat mengaktifkan perekaman jenis sumber daya tersebut di semua Wilayah yang didukung oleh AWS Config, meskipun jenis sumber daya yang ditentukan tidak didukung di AWS Wilayah tempat Anda menyiapkan AWS Config.

put-configuration-recordermenggunakan bidang berikut untuk --configuration-recorder parameter:

  • name— Nama perekam konfigurasi. AWS Config secara otomatis menetapkan nama “default” saat membuat perekam konfigurasi.

  • roleARN— Amazon Resource Name (ARN) dari IAM peran yang diambil oleh AWS Config dan digunakan oleh perekam konfigurasi.

  • recordingMode- Menentukan frekuensi perekaman default yang AWS Config digunakan untuk merekam perubahan konfigurasi. AWS Config mendukung perekaman berkelanjutan dan perekaman harian. Perekaman berkelanjutan memungkinkan Anda merekam perubahan konfigurasi secara terus menerus setiap kali terjadi perubahan. Rekaman harian memungkinkan Anda menerima item konfigurasi (CI) yang mewakili status terbaru sumber daya Anda selama periode 24 jam terakhir, hanya jika berbeda dari CI sebelumnya yang direkam.

    • recordingFrequency— Frekuensi perekaman default yang AWS Config digunakan untuk merekam perubahan konfigurasi.

      catatan

      AWS Firewall Manager tergantung pada perekaman berkelanjutan untuk memantau sumber daya Anda. Jika Anda menggunakan Firewall Manager, disarankan agar Anda mengatur frekuensi perekaman ke Continuous.

    • recordingModeOverrides— Bidang ini memungkinkan Anda untuk menentukan penggantian Anda untuk mode perekaman. Ini adalah array recordingModeOverride objek. Setiap recordingModeOverride objek dalam recordingModeOverrides array terdiri dari tiga bidang:

      • description— Deskripsi yang Anda berikan untuk penggantian.

      • recordingFrequency— Frekuensi perekaman yang akan diterapkan ke semua jenis sumber daya yang ditentukan dalam penggantian.

      • resourceTypes— Daftar dipisahkan koma yang menentukan jenis sumber daya mana yang AWS Config termasuk dalam penggantian.

catatan

Bidang wajib dan opsional

recordingModeBidang untuk put-configuration-recorderadalah opsional. Secara default, frekuensi perekaman untuk perekam konfigurasi diatur ke Perekaman berkelanjutan.

catatan

Batas

Rekaman harian tidak didukung untuk jenis sumber daya berikut:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Untuk strategi perekaman Record all current and future supported resource types (ALL_SUPPORTED_RESOURCE_TYPES), tipe resource ini akan diatur ke Continuous recording.

configurationRecorder.jsonFile menentukan name dan roleArn serta frekuensi perekaman default untuk perekam konfigurasi (recordingMode). Anda juga dapat menggunakan bidang ini untuk mengganti frekuensi perekaman untuk jenis sumber daya tertentu.

{
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

Langkah 2: Jalankan put-delivery-channel perintah

Contoh kode berikut menunjukkan cara menggunakanPutDeliveryChannel.

CLI
AWS CLI

Untuk membuat saluran pengiriman

Perintah berikut menyediakan pengaturan untuk saluran pengiriman sebagai JSON kode:

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

deliveryChannel.jsonFile menentukan atribut saluran pengiriman:

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Contoh ini menetapkan atribut berikut:

name- Nama saluran pengiriman. Secara default, AWS Config menetapkan nama default ke saluran pengiriman baru. Anda tidak dapat memperbarui nama saluran pengiriman dengan perintah. put-delivery-channel Untuk langkah-langkah mengubah nama, lihat Mengganti nama Saluran Pengiriman. s3BucketName - Nama bucket Amazon S3 tempat AWS Config memberikan snapshot konfigurasi dan file riwayat konfigurasi. Jika Anda menentukan bucket milik AWS akun lain, bucket tersebut harus memiliki kebijakan yang memberikan izin akses ke Config. AWS Untuk informasi selengkapnya, lihat Izin untuk Bucket Amazon S3.

snsTopicARN- Nama Sumber Daya Amazon (ARN) dari SNS topik Amazon tempat AWS Config mengirimkan pemberitahuan tentang perubahan konfigurasi. Jika Anda memilih topik dari akun lain, topik harus memiliki kebijakan yang memberikan izin akses ke Config. AWS Untuk informasi selengkapnya, lihat Izin untuk SNS Topik Amazon.

configSnapshotDeliveryProperties- Berisi deliveryFrequency atribut, yang menetapkan seberapa sering AWS Config memberikan snapshot konfigurasi dan seberapa sering ia memanggil evaluasi untuk aturan Config periodik.

Jika perintah berhasil, AWS Config tidak mengembalikan output. Untuk memverifikasi pengaturan saluran pengiriman Anda, jalankan describe-delivery-channels perintah.

PowerShell
Alat untuk PowerShell

Contoh 1: Contoh ini mengubah deliveryFrequency properti saluran pengiriman yang ada.

Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName amzn-s3-demo-bucket -DeliveryChannel_S3KeyPrefix my

  • Untuk API detailnya, lihat PutDeliveryChanneldi AWS Tools for PowerShell Referensi Cmdlet.

Langkah 3: Jalankan start-configuration-recorder perintah

Untuk menyelesaikan pengaktifan AWS Config, gunakan start-configuration-recorderperintah.

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName