Pantau perubahan sumber daya dengan AWS Config - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pantau perubahan sumber daya dengan AWS Config

AWS Control Tower memungkinkan AWS Config pada semua akun yang terdaftar, sehingga dapat memantau kepatuhan melalui kontrol detektif, merekam perubahan sumber daya, dan mengirimkan log perubahan sumber daya ke akun arsip log.

Jika versi landing zone Anda lebih awal dari 3.0: Untuk akun terdaftar Anda, AWS Config catat semua perubahan pada sumber daya, untuk semua Wilayah tempat akun beroperasi. Setiap perubahan dimodelkan sebagai item konfigurasi (CI), yang berisi informasi seperti pengidentifikasi sumber daya, Wilayah, tanggal setiap perubahan dicatat, dan apakah perubahan tersebut terkait dengan sumber daya yang diketahui atau yang baru ditemukan.

Jika versi landing zone Anda 3.0 atau yang lebih baru: AWS Control Tower membatasi perekaman untuk sumber daya global, seperti pengguna IAM, grup, peran, dan kebijakan yang dikelola pelanggan, hanya untuk Wilayah asal Anda. Salinan perubahan sumber daya global tidak disimpan di setiap Wilayah. Keterbatasan perekaman sumber daya ini sesuai dengan praktik AWS Config terbaik. Daftar lengkap sumber daya global tersedia dalam AWS Config dokumentasi.

AWS Control Tower menyiapkan saluran AWS Config pengiriman di semua akun yang terdaftar. Melalui saluran pengiriman ini, ia mencatat semua perubahan yang direkam oleh AWS Config di akun arsip log, di mana mereka disimpan ke folder di bucket Amazon Simple Storage Service.

Melihat data AWS Config perekam pada akun terdaftar

AWS Config terintegrasi dengan CloudWatch sehingga Anda dapat melihat AWS Config CI di dasbor. Untuk informasi selengkapnya, lihat posting blog berjudul AWS Config mendukung CloudWatch metrik Amazon.

Secara terprogram, untuk melihat AWS Config data, Anda dapat bekerja dengan AWS CLI, atau Anda dapat menggunakan alat lain. AWS

Kueri data AWS Config perekam pada sumber daya tertentu

Anda dapat menggunakan AWS CLI untuk mengambil daftar perubahan terbaru untuk sumber daya.

Perintah riwayat sumber daya:

  • aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION

Untuk mempelajari selengkapnya, lihat dokumentasi API untuk get-config-history.

Visualisasikan AWS Config data dengan Amazon QuickSight

Anda dapat memvisualisasikan dan meminta sumber daya yang direkam oleh AWS Config seluruh organisasi Anda. Untuk informasi selengkapnya, lihat Memvisualisasikan AWS Config data menggunakan Amazon Athena dan Amazon. QuickSight

Pemecahan Masalah AWS Config di AWS Control Tower

Bagian ini memberikan informasi tentang beberapa masalah yang mungkin Anda temui saat menggunakan AWS Config AWS Control Tower.

AWS Config Biaya tinggi

Jika alur kerja Anda menyertakan proses yang sering membuat, memperbarui, atau menghapus sumber daya, atau menangani sumber daya dalam jumlah besar, alur kerja tersebut dapat menghasilkan sejumlah besar CI. Jika Anda menjalankan proses ini di akun non-produksi, pertimbangkan untuk membuka pendaftaran akun. Anda mungkin perlu menonaktifkan AWS Config perekam untuk akun itu secara manual.

catatan

Setelah Anda membatalkan pendaftaran akun, AWS Control Tower tidak dapat menerapkan kontrol detektif atau peristiwa akun log, seperti AWS Config aktivitas, untuk sumber daya di akun tersebut.

Untuk informasi selengkapnya, lihat Membatalkan kelola akun yang terdaftar. Untuk mempelajari cara menonaktifkan AWS Config perekam, lihat Mengelola perekam konfigurasi.

Sumber daya yang sama dicatat beberapa kali

Periksa apakah sumber daya adalah sumber daya global. Untuk zona pendaratan AWS Control Tower sebelum versi 3.0, AWS Config dapat merekam sumber daya global tertentu satu kali untuk setiap Wilayah AWS Config yang beroperasi. Misalnya, jika AWS Config diaktifkan pada delapan Wilayah, setiap peran direkam delapan kali.

Sumber daya berikut dicatat satu kali untuk setiap Wilayah AWS Config yang beroperasi:
  • AWS::IAM::Group

  • AWS::IAM::Policy

  • AWS::IAM::Role

  • AWS::IAM::User

Sumber daya global lainnya dicatat hanya sekali. Berikut adalah beberapa contoh sumber daya yang direkam satu kali:
  • AWS::Route53::HostedZone

  • AWS::Route53::HealthCheck

  • AWS::ECR::PublicRepository

  • AWS::GlobalAccelerator::Listener

  • AWS::GlobalAccelerator::EndpointGroup

  • AWS::GlobalAccelerator::Accelerator

AWS Config tidak merekam sumber daya

Sumber daya tertentu memiliki hubungan ketergantungan dengan sumber daya lain. Hubungan ini mungkin langsung atau tidak langsung. Anda dapat menemukan daftar hubungan tidak langsung yang tidak digunakan lagi di FAQ. AWS Config