Configurazione manuale per AWS Config - AWS Config
Fase 1: ImpostazioniFase 2: RegoleFase 3: verificaUlteriori informazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione manuale per AWS Config

Con il flusso di lavoro introduttivo, puoi eseguire tutte le selezioni manuali del processo di configurazione per iniziare a utilizzare la AWS Config console. Per una procedura introduttiva semplificata, consulta Configurazione con 1 clic.

Per eseguire la configurazione AWS Config con la console utilizzando la Guida introduttiva

  1. Accedi a AWS Management Console e apri la AWS Config console all'indirizzo https://console.aws.amazon.com/config/.

  2. Scegli Avvia.

La pagina di configurazione include tre passaggi. Di seguito viene fornita un'analisi dettagliata di tale procedura dopo che hai selezionato Inizia.

  • Impostazioni: per selezionare il modo in cui la AWS Config console registra risorse e ruoli e scegliere dove inviare la cronologia di configurazione e i file degli snapshot di configurazione.

  • Regole: per Regioni AWS queste AWS Config regole di supporto, questo passaggio consente di configurare le regole gestite iniziali che è possibile aggiungere al proprio account. Dopo la configurazione, AWS Config valuterà AWS le tue risorse rispetto alle regole che hai scelto. Dopo la configurazione, puoi creare regole aggiuntive e aggiornare quelle esistenti nell'account.

  • Revisione: per verificare i dettagli della configurazione.

Fase 1: Impostazioni

Strategia di registrazione

Nella sezione Metodo di registrazione, scegli una strategia di registrazione. È possibile specificare le AWS risorse che si AWS Config desidera registrare.

All resource types with customizable overrides

Imposta AWS Config per registrare le modifiche alla configurazione per tutti i tipi di risorse supportati attuali e futuri in questa regione. È possibile sovrascrivere la frequenza di registrazione per tipi di risorse specifici o escludere tipi di risorse specifici dalla registrazione. Per ulteriori informazioni, consulta Tipi di risorsa supportati.

  • Impostazioni predefinite

    Configura la frequenza di registrazione predefinita per tutti i tipi di risorse supportate attuali e future. Per ulteriori informazioni, vedere Frequenza di registrazione.

    • Registrazione continua: AWS Config registrerà le modifiche alla configurazione in modo continuo ogni volta che si verifica una modifica.

    • La registrazione giornaliera consente di ricevere un elemento di configurazione (CI) che rappresenta lo stato più recente delle risorse nelle ultime 24 ore, solo se è diverso dall'elemento della configurazione registrato in precedenza.

    Nota

    AWS Firewall Manager dipende dalla registrazione continua per monitorare le risorse. Se si utilizza Firewall Manager, si consiglia di impostare la frequenza di registrazione su Continuo.

  • Sostituzione delle impostazioni

    Sostituisci la frequenza di registrazione per tipi di risorse specifici o escludi tipi di risorse specifici dalla registrazione. Se cambi la frequenza di registrazione per un tipo di risorsa o interrompi la registrazione per un tipo di risorsa, gli elementi della configurazione già registrati rimarranno invariati.

Specific resource types

Imposta AWS Config per registrare le modifiche alla configurazione solo per i tipi di risorse specificati.

  • Tipi di risorsa specifici

    Scegli un tipo di risorsa da registrare e la relativa frequenza. Per ulteriori informazioni, vedere Frequenza di registrazione.

    • Registrazione continua: AWS Config registrerà le modifiche alla configurazione in modo continuo ogni volta che si verifica una modifica.

    • La registrazione giornaliera consente di ricevere un elemento di configurazione (CI) che rappresenta lo stato più recente delle risorse nelle ultime 24 ore, solo se è diverso dall'elemento della configurazione registrato in precedenza.

    Nota

    AWS Firewall Manager dipende dalla registrazione continua per monitorare le risorse. Se si utilizza Firewall Manager, si consiglia di impostare la frequenza di registrazione su Continuo.

    Se cambi la frequenza di registrazione per un tipo di risorsa o interrompi la registrazione per un tipo di risorsa, gli elementi della configurazione già registrati rimarranno invariati.

Considerazioni sulla registrazione delle risorse

Numero elevato di valutazioni AWS Config

Potresti notare una maggiore attività nel tuo account durante la registrazione del mese iniziale con AWS Config rispetto ai mesi successivi. Durante il processo di avvio iniziale, AWS Config esegue valutazioni su tutte le risorse dell'account che hai selezionato per la AWS Config registrazione.

Se esegui carichi di lavoro temporanei, potresti riscontrare un aumento dell'attività di AWS Config dovuto alla registrazione delle modifiche alla configurazione associate alla creazione e all'eliminazione di queste risorse temporanee. Un carico di lavoro temporaneo è un uso temporaneo di risorse di elaborazione che vengono caricate ed eseguite quando necessario. Gli esempi includono Amazon Elastic Compute Cloud (AmazonEC2) Spot Instances, Amazon EMR jobs e AWS Auto Scaling. Se vuoi evitare l'aumento dell'attività dovuto all'esecuzione di carichi di lavoro temporanei, puoi configurare il registratore di configurazione per escludere questi tipi di risorse dalla registrazione o eseguire questi tipi di carichi di lavoro in un account separato con l'opzione AWS Config disattivata per evitare un aumento della registrazione della configurazione e delle valutazioni delle regole.

Considerations: All resource types with customizable overrides

Tipi di risorse globali | I cluster globali Aurora sono inizialmente inclusi nella registrazione

Il tipo di AWS::RDS::GlobalCluster risorsa verrà registrato in tutte le AWS Config regioni supportate in cui è abilitato il registratore di configurazione.

Se non desideri registrare AWS::RDS::GlobalCluster in tutte le regioni abilitate, scegli»AWS RDS GlobalCluster«, e scegli l'opzione alternativa «Escludi dalla registrazione».

Tipi di risorse globali | I tipi di IAM risorse sono inizialmente esclusi dalla registrazione

I tipi di IAM risorse globali sono inizialmente esclusi dalla registrazione per aiutarvi a ridurre i costi. Questo pacchetto include IAM utenti, gruppi, ruoli e politiche gestite dai clienti. Scegli Rimuovi per rimuovere l'override e includere queste risorse nella registrazione.

Inoltre, i tipi di IAM risorse globali (AWS::IAM::User, AWS::IAM::GroupAWS::IAM::Role, eAWS::IAM::Policy) non possono essere registrati nelle regioni supportate AWS Config dopo febbraio 2022. Per un elenco di tali regioni, consulta AWS Risorse di registrazione | Risorse globali.

Limiti

È possibile aggiungere fino a 100 sostituzioni di frequenza e 600 sostituzioni di esclusione.

La registrazione giornaliera non è supportata per i tipi di risorse seguenti:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Considerations: Specific resource types

Disponibilità nelle regioni

Prima di specificare un tipo di risorsa da AWS Config monitorare, verifica la disponibilità della copertura delle risorse per regione per verificare se il tipo di risorsa è supportato nella AWS regione in cui è stato configurato AWS Config. Se un tipo di risorsa è supportato da AWS Config almeno una regione, puoi abilitare la registrazione di quel tipo di risorsa in tutte le regioni supportate da AWS Config, anche se il tipo di risorsa specificato non è supportato nella AWS regione in cui è stato AWS Config installato.

Limiti

Nessun limite se tutti i tipi di risorse hanno la stessa frequenza. È possibile aggiungere fino a 100 tipi di risorse con frequenza giornaliera se almeno un tipo di risorsa è impostato su Continuo.

La frequenza giornaliera non è supportata per i tipi di risorse seguenti:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Governance dei dati

  • Per Periodo di conservazione dei dati, scegli il periodo di conservazione predefinito per conservare AWS Config i dati per 7 anni (2557) o imposta un periodo di conservazione personalizzato per gli articoli registrati da. AWS Config

    AWS Config ti consente di eliminare i tuoi dati specificando un periodo di conservazione per il tuo. ConfigurationItems Quando specifichi un periodo di conservazione, AWS Config conserva il tuo ConfigurationItems per quel periodo specificato. Puoi scegliere un periodo compreso tra un minimo di 30 giorni e un massimo di 7 anni (2557 giorni). AWS Config elimina i dati più vecchi del periodo di conservazione specificato.

  • Per IAMil ruolo per AWS Config, scegli un ruolo esistente AWS Config collegato al servizio o IAM un ruolo dal tuo account.

    • I ruoli collegati ai servizi sono predefiniti AWS Config e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi. AWS

      Nota

      Consigliato: utilizza il ruolo collegato al servizio

      Si consiglia di utilizzare il ruolo collegato al servizio. Un ruolo collegato al servizio aggiunge tutte le autorizzazioni necessarie per AWS Config l'esecuzione prevista.

    • Altrimenti, scegli un IAM ruolo tra uno dei ruoli e delle politiche di autorizzazione preesistenti.

      Nota

      Politiche di autorizzazione per AWS Organizations Can Prevent Access

      Se utilizzi un IAM ruolo preesistente, assicurati che non esista una politica di autorizzazione AWS Organizations che AWS Config impedisca di avere il permesso di registrare le tue risorse. Per ulteriori informazioni sulle politiche di autorizzazione per AWS Organizations, consulta la sezione Gestione delle politiche AWS Organizations nella Guida per l'AWS Organizations utente.

      Mantieni le autorizzazioni minime quando riutilizzi un ruolo IAM

      Se utilizzi un AWS servizio che utilizza AWS Config, come AWS Security Hub o AWS Control Tower, e un IAM ruolo è già stato creato, assicurati che il IAM ruolo che usi durante la configurazione AWS Config mantenga le stesse autorizzazioni minime del ruolo preesistente. IAM È necessario eseguire questa operazione per garantire che l'altro AWS servizio continui a funzionare come previsto.

      Ad esempio, se AWS Control Tower ha un IAM ruolo che consente di AWS Config leggere oggetti S3, assicurati che vengano concesse le stesse autorizzazioni al IAM ruolo che usi durante la configurazione. AWS Config Altrimenti, potrebbe interferire con il funzionamento AWS Control Tower .

Metodo di distribuzione

  • In Metodo di distribuzione, seleziona il bucket S3 a cui AWS Config invia la cronologia della configurazione e i file di snapshot della configurazione:

    • Crea un bucket: digita un nome del bucket S3 nel campo corrispondente.

      Il nome scelto deve essere univoco tra tutti i nomi di bucket esistenti in Amazon S3. Una delle possibilità per garantire l'univocità consiste nell'aggiungere un prefisso, come ad esempio il nome dell'organizzazione. Dopo la creazione, non potrai più modificare il nome del bucket. Per ulteriori informazioni, consulta Restrizioni e limitazioni dei bucket nella Guida per l'utente di Amazon Simple Storage Service.

    • Scegli un bucket dal tuo account: per il campo Nome bucket S3, scegli il bucket preferito.

    • Scegli un bucket da un altro account: digita il nome del bucket S3 nel campo corrispondente.

      Nota

      Autorizzazioni Bucket

      Se scegli un bucket da un altro account, quel bucket deve avere politiche che concedano le autorizzazioni di accesso a. AWS Config Per ulteriori informazioni, consulta Autorizzazioni per il bucket Amazon S3 per il canale di distribuzione AWS Config.

  • Per l'SNSargomento Amazon, scegli Trasmetti modifiche alla configurazione e notifiche su un SNS argomento Amazon per AWS Config inviare notifiche come la consegna della cronologia di configurazione, la consegna degli snapshot di configurazione e la conformità.

  • Se hai scelto di trasmettere AWS Config in streaming su un SNS argomento Amazon, scegli l'argomento di destinazione:

    • Crea un argomento: in Nome argomento, digita un nome per l'SNSargomento.

    • Scegli un argomento dal tuo account: in Nome argomento, seleziona l'argomento preferito.

    • Scegli un argomento da un altro account: per Argomento ARN, digita il nome della risorsa Amazon (ARN) dell'argomento. Se scegli un argomento da un altro account, l'argomento deve avere politiche che concedano le autorizzazioni di accesso a AWS Config. Per ulteriori informazioni, consulta Autorizzazioni per l'argomento Amazon SNS.

      Nota

      Regione per l'SNSargomento Amazon

      L'SNSargomento Amazon deve esistere nella stessa regione della regione in cui lo hai impostato AWS Config.

Fase 2: Regole

Se stai effettuando la configurazione AWS Config in una regione che supporta le regole, scegli Avanti.

Fase 3: verifica

Controlla i dettagli della AWS Config configurazione. Puoi tornare indietro per regolare le modifiche per ogni sezione. Scegli Conferma per completare la configurazione AWS Config.

Ulteriori informazioni

Per informazioni sulla ricerca delle risorse esistenti nel tuo account e sulla comprensione delle configurazioni delle tue risorse, vedi Ricerca delle risorse, Visualizzazione delle informazioni sulla conformità e Visualizzazione della cronologia della conformità.

Puoi anche utilizzare Amazon Simple Queue Service per monitorare AWS le risorse a livello di codice. Per ulteriori informazioni, consulta Monitoraggio AWS delle modifiche alle risorse con Amazon SQS.