Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prerequisiti per la configurazione AWS Config con AWS CLI
Prima di eseguire la configurazione AWS con AWS CLI, è necessario creare un bucket Amazon S3, un argomento Amazon SNS e un ruolo IAM con policy allegate come prerequisiti. Puoi quindi utilizzare il AWS CLI per specificare il bucket, l'argomento e il ruolo per. AWS Config Segui questa procedura per configurare i prerequisiti per AWS Config.
Argomenti
Fase 1: creazione di un bucket Amazon S3
Se disponi già di un bucket Amazon S3 nell'account e desideri utilizzarlo, puoi ignorare questo passaggio e passare direttamente a Fase 2: Creazione di un argomento Amazon SNS.
Per creare un bucket
Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/
-
Seleziona Crea bucket.
-
In Bucket name (Nome bucket), immettere un nome conforme a DNS per il bucket.
Il nome del bucket deve:
-
Essere univoco in tutto Amazon S3.
-
Deve contenere da 3 a 63 caratteri
-
Non contiene caratteri maiuscoli.
-
Iniziare con una lettera minuscola o un numero.
Una volta creato il bucket, non è possibile modificarne il nome. Assicurati che il nome assegnato al bucket sia univoco tra tutti i nomi di bucket esistenti in Amazon S3. Per ulteriori informazioni sulle regole e le convenzioni di denominazione dei bucket, consulta Restrizioni e limitazioni dei bucket nella Guida per l'utente di Amazon Simple Storage Service.
Importante
Evita di includere informazioni sensibili nel nome del bucket. Il nome del bucket è visibile in URLs quel punto agli oggetti nel bucket.
-
-
In Regione, scegli la AWS regione in cui desideri che risieda il bucket.
Scegliere una regione nelle vicinanze per ridurre al minimo la latenza e i costi o rispondere a requisiti normativi. Gli oggetti archiviati in una regione non la lasciano mai a meno che non vengano trasferiti esplicitamente in un'altra regione. Per un elenco delle AWS regioni Amazon S3, consulta gli endpoint AWS di servizio nel. Riferimenti generali di Amazon Web Services
-
In Bucket settings for Block Public Access (Impostazioni bucket per blocco dell'accesso pubblico), scegliere le impostazioni del blocco dell'accesso pubblico che si desidera applicare al bucket.
Si consiglia di lasciare tutte le impostazioni abilitate, a meno che non si sappia che è necessario disattivarne una o più per il caso d'uso, ad esempio per ospitare un sito Web pubblico. Le impostazioni di blocco dell'accesso pubblico abilitate per il bucket saranno abilitate anche per tutti i punti di accesso creati nel bucket. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta Blocco dell’accesso pubblico di Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.
-
(Facoltativo) Se si desidera abilitare il Blocco degli oggetti S3:
-
Scegliere Advanced settings (Impostazioni avanzate) e leggere il messaggio visualizzato.
Importante
È possibile abilitare il blocco oggetti S3 per un bucket solo quando lo si crea. Se si abilita il blocco oggetti per il bucket, non è possibile disabilitarlo in un secondo momento. L'abilitazione del blocco oggetti consente anche la funzione Versioni multiple del bucket. Dopo aver abilitato il blocco oggetti per il bucket, è necessario configurare le impostazioni di blocco oggetti prima che tutti gli oggetti nel bucket vengano protetti. Per ulteriori informazioni sulla configurazione della protezione per gli oggetti, consulta Configurazione di Object Lock S3 utilizzando la console Amazon S3.
-
Se si desidera abilitare il blocco oggetti, immettere abilita nella casella di testo e scegliere Confirm (Conferma).
Per ulteriori informazioni sulla funzionalità Object Lock S3, consulta Utilizzo di Object Lock S3 nella Guida per l'utente di Amazon Simple Storage Service.
-
-
Seleziona Crea bucket.
Quando si utilizza il AWS SDKs per creare un bucket, è necessario creare un client e quindi utilizzare il client per inviare una richiesta di creazione di un bucket. Come best practice, crea il client e il bucket nella stessa Regione AWS. Se non specifichi una regione quando crei un client o un bucket, Amazon S3 utilizza la regione predefinita Stati Uniti orientali (Virginia settentrionale).
Per creare un client per accedere a un endpoint dual-stack, devi specificare un. Regione AWS Per ulteriori informazioni, consulta Endpoint dual-stack Amazon S3. Per un elenco di quelli disponibili Regioni AWS, consulta Regioni ed endpoint in. Riferimenti generali di AWS
Quando si crea un client, la regione viene mappata all'endpoint specifico della regione. Il client utilizza questo endpoint per comunicare con Amazon S3: s3.
. Se la tua regione è stata lanciata dopo il 20 marzo 2019, il tuo client e il tuo bucket devono trovarsi nella stessa regione. Puoi comunque utilizzare un client nella regione Stati Uniti orientali (Virginia settentrionale) per creare un bucket in qualsiasi regione lanciata prima del 20 marzo 2019. Per ulteriori informazioni, consulta Endpoint legacy.<region>
.amazonaws.com
Questi esempi di codice AWS SDK eseguono le seguenti attività:
-
Creazione di un client specificando esplicitamente una Regione AWS - Nell'esempio, il client utilizza l'endpoint
s3.us-west-2.amazonaws.com
per comunicare con Amazon S3. Puoi specificare qualsiasi Regione AWS. Per un elenco di Regioni AWS, consulta Regioni ed endpoint nel Riferimento AWS generale. -
Inviare una richiesta di creazione di bucket specificando solo il nome del bucket - Il client invia ad Amazon S3 la richiesta di creare il bucket nella regione in cui hai creato un client.
-
Recupero delle informazioni sulla posizione del bucket - Amazon S3 memorizza le informazioni sulla posizione del bucket nella risorsa secondaria posizione associata al bucket.
Gli esempi di codice seguenti mostrano come utilizzare CreateBucket
.
Nota
Puoi anche utilizzare un bucket Amazon S3 di un altro account, ma in questo caso potrebbe essere necessario creare una policy che conceda al bucket le autorizzazioni di accesso a AWS Config. Per informazioni sulla concessione di autorizzazioni a un bucket Amazon S3, consulta Autorizzazioni per il bucket Amazon S3 per il canale di distribuzione AWS Config e vai quindi a Fase 2: Creazione di un argomento Amazon SNS.
Fase 2: Creazione di un argomento Amazon SNS
Se nell'account è già presente un argomento Amazon SNS che desideri utilizzare, puoi ignorare questo passaggio e passare direttamente a Fase 3: Creazione di un ruolo IAM.
Come creare un argomento Amazon SNS
-
Esegui una di queste operazioni:
-
Se non è mai stato creato alcun argomento in Account AWS precedenza, leggi la descrizione di Amazon SNS nella home page.
-
Se gli argomenti sono già stati creati sotto il tuo Account AWS nome, nel pannello di navigazione, scegli Argomenti.
-
-
Nella pagina Topics (Argomenti), seleziona Create new topic (Crea nuovo argomento).
-
Nella pagina Create topic (Crea argomento), nella sezione Details (Dettagli), eseguire queste operazioni:
-
Per Type (Tipo), scegli un tipo di argomento (standard o FIFO).
-
Immetti un nome per l'argomento. Per un Argomento FIFO, aggiungere .fifo alla fine del nome.
-
(Facoltativo) Compilare il Display name (Nome visualizzato) per l'argomento.
-
(Facoltativo) Per un argomento FIFO, puoi scegliere Deduplicazione dei messaggi basata sul contenuto per abilitare la deduplicazione predefinita dei messaggi. Per ulteriori informazioni, consulta Deduplicazione dei messaggi per argomenti FIFO.
-
-
(Facoltativo) Espandere la sezione Encryption (Crittografia) e procedere come segue. Per ulteriori informazioni, consultare Crittografia dei dati inattivi.
-
Scegliere Enable encryption (Abilita crittografia).
-
Specificare la chiave master del cliente (CMK). Per ulteriori informazioni, consulta Termini chiave.
Per ciascun tipo di CMK vengono visualizzati i valori Description (Descrizione), Account e CMK ARN (ARN CMK).
Importante
Se non sei il proprietario della CMK, oppure se effettui l'accesso con un account che non dispone delle autorizzazioni
kms:ListAliases
ekms:DescribeKey
, non puoi visualizzare le informazioni sulla CMK sulla console Amazon SNS.Chiedi al proprietario della CMK di riconoscerti queste autorizzazioni. Per esempi e ulteriori informazioni consulta AWS KMS Autorizzazioni API: e Documentazione su operazioni e risorse nella AWS Key Management Service Guida per sviluppatori.
-
La CMK AWS gestita per Amazon SNS (impostazione predefinita alias/aws/sns) è selezionata per impostazione predefinita.
Nota
Ricorda quanto segue:
-
La prima volta che usi AWS Management Console per specificare la CMK AWS gestita per Amazon SNS per un argomento AWS KMS , crea AWS la CMK gestita per Amazon SNS.
-
In alternativa, la prima volta che utilizzi l'
Publish
azione su un argomento con SSE abilitato, AWS KMS crea la CMK AWS gestita per Amazon SNS.
-
-
Per utilizzare una CMK personalizzata Account AWS, scegli il campo Customer master key (CMK), quindi scegli la CMK personalizzata dall'elenco.
Nota
Per istruzioni sulla creazione di chiavi personalizzate CMKs, consulta Creating Keys nella Developer Guide AWS Key Management Service
-
Per utilizzare un ARN CMK personalizzato dal Account AWS tuo o da AWS un altro account, inseriscilo nel campo Customer master key (CMK).
-
-
-
(Facoltativo) Per impostazione predefinita, solo il proprietario dell'argomento può pubblicare o sottoscrivere l'argomento. Per configurare autorizzazioni di accesso aggiuntive, espandi la sezione Access policy (Policy di accesso) . Per ulteriori informazioni, consulta Identity and Access Management in Amazon SNS ed Esempi di casi per il controllo degli accessi Amazon SNS.
Nota
Quando crei un argomento utilizzando la console, la policy predefinita utilizza la chiave di condizione
aws:SourceOwner
. Questa chiave è analoga aaws:SourceAccount
. -
(Facoltativo) Per configurare il modo in cui Amazon SNS riprova a consegnare i messaggi non recapitati, espandere la sezione Delivery retry policy (HTTP/S) (Policy nuovi tentativi di consegna [HTTP/S]). Per ulteriori informazioni, consulta Tentativi di consegna dei messaggi di Amazon SNS.
-
(Facoltativo) Per configurare il modo in cui Amazon SNS registra la consegna dei messaggi CloudWatch, espandi la sezione Registrazione dello stato di consegna. Per ulteriori informazioni, consulta Stato di consegna dei messaggi di Amazon SNS.
-
(facoltativo) Per aggiungere tag di metadati all'argomento, espandere la sezione Tags (Tag), immettere una Key (Chiave) e un Value (Valore) (opzionale) e scegliere Add tag (Aggiungi tag). Per ulteriori informazioni, consulta Assegnazione di tag all'argomento Amazon SNS.
-
Scegli Create topic (Crea argomento).
L'argomento viene creato e la
MyTopic
pagina viene visualizzata.L'argomento Nome, ARN, (opzionale) Display name (Nome visualizzato), e proprietario dell'argomento's AWS l'ID account viene visualizzato nella sezione Dettagli.
-
Copiare l'ARN dell'argomento negli appunti, ad esempio:
arn:aws:sns:us-east-2:123456789012:MyTopic
Per sottoscrivere un indirizzo e-mail all'argomento Amazon SNS
-
Nel pannello di navigazione sinistro scegli Sottoscrizioni.
-
Nella pagina Sottoscrizioni scegli Crea sottoscrizione.
-
Nella pagina Crea sottoscrizione, nella sezione Dettagli, eseguire queste operazioni:
-
Per argomento ARN, scegli l'Amazon Resource Name (ARN) di un argomento.
-
Per Protocollo, scegli un tipo di endpoint. I tipi di endpoint disponibili sono:
-
Nota
Per sottoscrivere ad un argomento SNS FIFO scegli questa opzione.
-
Per Endpoint, inserisci il valore dell'endpoint, ad esempio un indirizzo e-mail o l'ARN di una coda Amazon SQS.
-
Solo endpoint Firehose: per il ruolo di sottoscrizione ARN, specifica l'ARN del ruolo IAM che hai creato per la scrittura nei flussi di distribuzione Firehose. Per ulteriori informazioni, consulta gli argomenti Prerequisiti per la sottoscrizione dei flussi di distribuzione di Firehose ad Amazon SNS.
-
(Facoltativo) Per gli endpoint Firehose, Amazon SQS, HTTP/S, puoi anche abilitare il recapito di messaggi non elaborati. Per ulteriori informazioni, consulta Consegna di messaggi non elaborati Amazon SNS.
-
(Facoltativo) Per configurare un criterio di filtro, espandere la sezione policy di filtro della sottoscrizione. Per ulteriori informazioni, consulta Policy di filtro degli abbonamenti Amazon SNS.
-
(Facoltativo) Per configurare una coda DLQ per la sottoscrizione, espandere la sezione Policy di redrive (coda DLQ). Per ulteriori informazioni, consulta Amazon SNS dead-letter queues (). DLQs
-
Scegli Create Subscription (Crea sottoscrizione).
La console crea la sottoscrizione e apre la pagina dettagli della sottoscrizione.
-
Per utilizzare un AWS SDK, devi configurarlo con le tue credenziali. Per ulteriori informazioni, consulta I file di configurazione e credenziali condivisi nella and Tools Reference AWS SDKs Guide.
Gli esempi di codice seguenti mostrano come utilizzare CreateTopic
.
Nota
Puoi utilizzare anche un argomento Amazon SNS di un altro account, ma in questo caso potrebbe essere necessario creare una policy che conceda all'argomento le autorizzazioni di accesso a AWS Config. Per informazioni sulla concessione di autorizzazioni a un argomento Amazon SNS, consulta Autorizzazioni per l'argomento Amazon SNS e quindi vai a Fase 3: Creazione di un ruolo IAM.
Fase 3: Creazione di un ruolo IAM
Importante
(Consigliato) Utilizza il ruolo AWS Config collegato al servizio
Si consiglia di utilizzare il ruolo collegato al AWS Config servizio:. AWSServiceRoleForConfig
I ruoli collegati ai servizi sono predefiniti e includono tutte le autorizzazioni necessarie per chiamare altri. AWS Config Servizi AWS Il ruolo AWS Config collegato al servizio è richiesto per i registratori di configurazione collegati al servizio.
Per ulteriori informazioni, consulta la sezione relativa all'utilizzo di ruoli collegati ai servizi per AWS Config.
Puoi utilizzare la console IAM per creare un ruolo IAM che conceda AWS Config le autorizzazioni per accedere al tuo bucket Amazon S3, accedere all'argomento Amazon SNS e ottenere dettagli di configurazione per le risorse supportate. AWS Quando utilizzi la console per creare un ruolo IAM, AWS Config collega automaticamente al ruolo le autorizzazioni richieste per tuo conto.
Nota
Se hai utilizzato un AWS servizio che utilizza AWS Config (come AWS Security Hub o AWS Control Tower) e un AWS Config ruolo è già stato creato, assicurati che il ruolo IAM che usi durante la configurazione AWS Config mantenga gli stessi privilegi minimi del AWS Config ruolo già creato in modo che l'altro AWS servizio continui a funzionare come previsto.
Ad esempio, se AWS Control Tower ha un ruolo IAM che AWS Config consente di leggere oggetti Amazon S3, dovresti garantire che vengano concesse le stesse autorizzazioni all'interno del ruolo IAM che usi durante la configurazione. AWS Config Altrimenti, potrebbe interferire con le operazioni di AWS Control Tower.
Per ulteriori informazioni sui ruoli IAM per AWS Config, consulta AWS Identity and Access Management.
Per creare un ruolo per un AWS servizio
Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione della console IAM, scegliere Ruoli e quindi Crea ruolo.
-
In Seleziona tipo di entità attendibile, scegli Servizio AWS .
-
Scegli il caso d'uso che desideri AWS Config: Config - Customizable, Config - Organizations, Config o Config - Conformance Packs. Quindi, seleziona Next (Successivo).
-
Nella pagina Nomina, verifica e crea, controlla i dettagli del ruolo e seleziona Crea ruolo.
Per utilizzare un AWS SDK, devi configurarlo con le tue credenziali. Per ulteriori informazioni, consulta I file di configurazione e credenziali condivisi nella and Tools Reference AWS SDKs Guide.
Gli esempi di codice seguenti mostrano come utilizzare CreateRole
.