Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Cara AWS Config Kerja
AWS Config memberikan tampilan terperinci tentang konfigurasi AWS sumber daya di AWS akun Anda. Ini mencakup bagaimana sumber daya terkait satu sama lain dan bagaimana sumber daya tersebut dikonfigurasi di masa lalu sehingga Anda dapat melihat bagaimana konfigurasi dan hubungan berubah dari waktu ke waktu.
AWS Resource adalah entitas yang dapat Anda gunakan AWS, seperti instans Amazon Elastic Compute Cloud (EC2), volume Amazon Elastic Block Store (EBS), grup keamanan, atau Amazon Virtual Private Cloud (VPC). Untuk daftar lengkap AWS sumber daya yang didukung oleh AWS Config, lihatJenis Sumber Daya yang Didukung untuk AWS Config.
Penemuan Sumber Daya
Saat Anda mengaktifkan AWS Config, pertama kali menemukan AWS sumber daya yang didukung yang ada di akun Anda dan menghasilkan item konfigurasi untuk setiap sumber daya.
AWS Config juga menghasilkan item konfigurasi saat konfigurasi sumber daya berubah, dan menyimpan catatan historis item konfigurasi sumber daya Anda sejak Anda memulai perekam konfigurasi. Secara default, AWS Config membuat item konfigurasi untuk setiap sumber daya yang didukung di wilayah tersebut. Jika Anda tidak AWS Config ingin membuat item konfigurasi untuk semua sumber daya yang didukung, Anda dapat menentukan jenis sumber daya yang ingin dilacak.
Sebelum menentukan jenis sumber daya AWS Config untuk dilacak, periksa Cakupan Sumber Daya menurut Ketersediaan Wilayah untuk melihat apakah jenis sumber daya didukung di AWS Wilayah tempat Anda menyiapkan AWS Config. Jika jenis sumber daya didukung oleh AWS Config setidaknya satu Wilayah, Anda dapat mengaktifkan perekaman jenis sumber daya tersebut di semua Wilayah yang didukung oleh AWS Config, meskipun jenis sumber daya yang ditentukan tidak didukung AWS Wilayah tempat Anda menyiapkan AWS Config.
Pelacakan Sumber Daya
AWS Config melacak semua perubahan pada sumber daya Anda dengan menjalankan API panggilan Deskripsikan atau Daftar untuk setiap sumber daya di akun Anda. Layanan ini menggunakan API panggilan yang sama untuk menangkap detail konfigurasi untuk semua sumber daya terkait.
Misalnya, menghapus aturan keluar dari grup VPC keamanan menyebabkan AWS Config API panggilan Deskripsikan pada grup keamanan. AWS Config kemudian memanggil API panggilan Deskripsikan pada semua instance yang terkait dengan grup keamanan. Konfigurasi terbaru grup keamanan (sumber daya) dan setiap instance (sumber daya terkait) direkam sebagai item konfigurasi dan dikirimkan dalam aliran konfigurasi ke bucket Amazon Simple Storage Service (Amazon S3).
AWS Config juga melacak perubahan konfigurasi yang tidak diprakarsai oleh. API AWS Config memeriksa konfigurasi sumber daya secara berkala dan menghasilkan item konfigurasi untuk konfigurasi yang telah berubah.
Jika Anda menggunakan AWS Config aturan, AWS Config terus mengevaluasi konfigurasi AWS sumber daya Anda untuk pengaturan yang diinginkan. Tergantung pada aturan, AWS Config akan mengevaluasi sumber daya Anda baik dalam menanggapi perubahan konfigurasi atau secara berkala. Setiap aturan dikaitkan dengan AWS Lambda fungsi, yang berisi logika evaluasi untuk aturan tersebut. Ketika AWS Config mengevaluasi sumber daya Anda, itu memanggil fungsi aturan. AWS Lambda Fungsi mengembalikan status kepatuhan sumber daya yang dievaluasi. Jika sumber daya melanggar ketentuan aturan, AWS Config tandai sumber daya dan aturan sebagai tidak patuh. Saat status kepatuhan sumber daya berubah, AWS Config kirimkan pemberitahuan ke SNS topik Amazon Anda.
Pengiriman Item Konfigurasi
AWS Config dapat mengirimkan item konfigurasi melalui salah satu saluran berikut:
Bucket Amazon S3
AWS Config melacak perubahan dalam konfigurasi AWS sumber daya Anda, dan secara teratur mengirimkan detail konfigurasi yang diperbarui ke bucket Amazon S3 yang Anda tentukan. Untuk setiap jenis sumber daya yang AWS Config merekam, ia mengirimkan file riwayat konfigurasi setiap enam jam. Setiap file riwayat konfigurasi berisi detail tentang sumber daya yang berubah dalam periode enam jam itu. Setiap file menyertakan sumber daya dari satu jenis, seperti EC2 instans Amazon atau EBS volume Amazon. Jika tidak ada perubahan konfigurasi yang terjadi, AWS Config tidak mengirim file.
AWS Config mengirimkan snapshot konfigurasi ke bucket Amazon S3 saat Anda menggunakan deliver-config-snapshotperintah dengan AWS CLI, atau saat Anda menggunakan tindakan dengan DeliverConfigSnapshotfile. AWS Config API Snapshot konfigurasi berisi detail konfigurasi untuk semua sumber daya yang AWS Config merekam dalam file Anda Akun AWS. File riwayat konfigurasi dan snapshot konfigurasi dalam JSON format.
catatan
AWS Config hanya mengirimkan file riwayat konfigurasi dan snapshot konfigurasi ke bucket S3 yang ditentukan; AWS Config tidak mengubah kebijakan siklus hidup untuk objek di bucket S3. Anda dapat menggunakan kebijakan siklus hidup untuk menentukan apakah Anda ingin menghapus atau mengarsipkan objek ke Amazon S3 Glacier. Untuk informasi selengkapnya, lihat Mengelola Konfigurasi Siklus Hidup di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Anda juga dapat melihat Pengarsipan Data Amazon S3 ke posting blog S3 Glacier
SNSTopik Amazon
Topik Amazon Simple Notification Service (AmazonSNS) adalah saluran komunikasi yang SNS digunakan Amazon untuk mengirimkan pesan (atau pemberitahuan) ke titik akhir berlangganan seperti alamat email atau klien. Jenis SNS notifikasi Amazon lainnya termasuk pesan pemberitahuan push ke aplikasi di ponsel, pemberitahuan Layanan Pesan Singkat (SMS) ke ponsel dan ponsel pintar yang SMS diaktifkan, dan HTTP POST permintaan. Untuk hasil terbaik, gunakan Amazon SQS sebagai titik akhir notifikasi untuk SNS topik, lalu proses informasi dalam notifikasi secara terprogram.
AWS Config menggunakan SNS topik Amazon yang Anda tentukan untuk mengirimi Anda pemberitahuan. Jenis notifikasi yang Anda terima ditunjukkan oleh nilai messageType kunci di badan pesan, seperti pada contoh berikut:
"messageType": "ConfigurationHistoryDeliveryCompleted"
Pemberitahuan dapat berupa salah satu jenis pesan berikut.
| Jenis pesan | Deskripsi |
|---|---|
| ComplianceChangeNotification | Jenis kepatuhan sumber daya yang AWS Config mengevaluasi telah berubah. Jenis kepatuhan menunjukkan apakah sumber daya sesuai dengan AWS Config aturan tertentu, dan diwakili oleh ComplianceType kunci dalam pesan. Pesan termasuk newEvaluationResult dan oldEvaluationResult objek untuk perbandingan. |
| ConfigRulesEvaluationStarted | AWS Config mulai mengevaluasi aturan Anda terhadap sumber daya yang ditentukan. |
| ConfigurationSnapshotDeliveryStarted | AWS Config mulai mengirimkan snapshot konfigurasi ke bucket Amazon S3 Anda. Nama bucket Amazon S3 disediakan untuk s3Bucket kunci dalam pesan. |
| ConfigurationSnapshotDeliveryCompleted | AWS Config berhasil mengirimkan snapshot konfigurasi ke bucket Amazon S3 Anda. |
| ConfigurationSnapshotDeliveryFailed | AWS Config gagal mengirimkan snapshot konfigurasi ke bucket Amazon S3 Anda. |
| ConfigurationHistoryDeliveryCompleted | AWS Config berhasil mengirimkan riwayat konfigurasi ke bucket Amazon S3 Anda. |
| ConfigurationItemChangeNotification | Sumber daya telah dibuat, dihapus, atau diubah dalam konfigurasi. Pesan ini mencakup detail item konfigurasi yang AWS Config dibuat untuk perubahan ini, dan itu termasuk jenis perubahan. Pemberitahuan ini dikirimkan dalam beberapa menit setelah perubahan dan secara kolektif dikenal sebagai aliran konfigurasi. |
| OversizedConfigurationItemChangeNotification | Jenis pesan ini dikirimkan ketika pemberitahuan perubahan item konfigurasi melebihi ukuran maksimum yang diizinkan oleh AmazonSNS. Pesan tersebut mencakup ringkasan item konfigurasi. Dengan pengecualian SMS pesan, SNS pesan Amazon dapat berisi hingga 256 KB data teks, termasuk XMLJSON, dan teks yang tidak diformat. Anda dapat melihat notifikasi lengkap di lokasi bucket Amazon S3 yang ditentukan. |
| OversizedConfigurationItemChangeDeliveryFailed | AWS Config gagal mengirimkan pemberitahuan perubahan item konfigurasi berukuran besar ke bucket Amazon S3 Anda. |
Misalnya notifikasi, lihatPemberitahuan yang AWS Config Mengirim ke SNS topik Amazon. Untuk informasi selengkapnya tentang AmazonSNS, lihat Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon.
catatan
Mengapa saya tidak dapat melihat perubahan konfigurasi terbaru saya?
AWS Config biasanya mencatat perubahan konfigurasi ke sumber daya Anda tepat setelah perubahan terdeteksi, atau pada frekuensi yang Anda tentukan. Namun, ini atas dasar upaya terbaik dan kadang-kadang bisa memakan waktu lebih lama. Jika masalah berlanjut setelah beberapa waktu, hubungi AWS Support
Kontrol Akses ke AWS Config
AWS Identity and Access Management adalah layanan web yang memungkinkan pelanggan Amazon Web Services (AWS) untuk mengelola pengguna dan izin pengguna.
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
-
Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
-
Pengguna yang dikelola IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti petunjuk di Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan IAM Pengguna.
-
IAMpengguna:
-
Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk di Buat peran untuk IAM pengguna di Panduan IAM Pengguna.
-
(Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) di Panduan IAM Pengguna.
-
