Risorse di registrazione con AWS CLI - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risorse di registrazione con AWS CLI

È possibile utilizzare il AWS CLI per selezionare i tipi di risorse che si AWS Config desidera registrare. Per farlo devi creare un registratore di configurazione, che registra i tipi di risorse che specifichi in un gruppo di registrazione. Nel gruppo di registrazione, specifica se desideri registrare tutti i tipi di risorse supportati o se desideri includere o escludere tipi di risorse specifici.

Record all current and future supported resource types

Imposta AWS Config per registrare le modifiche alla configurazione per tutti i tipi di risorse supportati attuali e futuri in questa regione. Per ulteriori informazioni, consulta Tipi di risorsa supportati.

  1. Utilizzando il seguente comando put-configuration-recorder:

    $ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

    Questo comando utilizza i ---recording-group campi --configuration-recorder and.

    Nota

    Gruppo di registrazione e registratore di configurazione

    Il campo --recording-group specifica quali tipi di risorse vengono registrati.

    Il --configuration-recorder campo specifica name e la frequenza roleArn di registrazione predefinita per il registratore di configurazione (). recordingMode È inoltre possibile utilizzare questo campo per sovrascrivere la frequenza di registrazione per tipi di risorse specifici.

    1. put-configuration-recorder usa i seguenti campi per il parametro --recording-group:

      • allSupported=true— AWS Config registra le modifiche alla configurazione per tutti i tipi di risorse supportati, esclusi i tipi di IAM risorse globali. Quando AWS Config aggiunge il supporto per un nuovo tipo di risorsa, AWS Config avvia automaticamente la registrazione delle risorse di quel tipo.

      • includeGlobalResourceTypes=true— Questa opzione è un pacchetto che si applica solo ai tipi di IAM risorse globali: IAM utenti, gruppi, ruoli e politiche gestite dai clienti. Questi tipi di IAM risorse globali possono essere registrati solo nelle regioni AWS Config in cui AWS Config erano disponibili prima di febbraio 2022. Non è possibile registrare i tipi di IAM risorse globali nelle regioni supportate AWS Config dopo febbraio 2022. Per un elenco di tali regioni, consulta AWS Risorse di registrazione | Risorse globali.

        Importante

        I cluster globali Aurora sono registrati in tutte le regioni abilitate

        Il tipo di AWS::RDS::GlobalCluster risorsa verrà registrato in tutte le AWS Config regioni supportate in cui il registratore di configurazione è abilitato, anche se non includeGlobalResourceTypes è impostato true su. L'includeGlobalResourceTypesopzione è un pacchetto che si applica solo a IAM utenti, gruppi, ruoli e politiche gestite dai clienti.

        Se non desideri registrare AWS::RDS::GlobalCluster in tutte le regioni abilitate, utilizza una delle seguenti strategie di registrazione:

        1. Registra tutti i tipi di risorse attuali e futuri esclusi i tipi che specifichi (EXCLUSION_BY_RESOURCE_TYPES) o

        2. Registra tipi di risorsa specifici (INCLUSION_BY_RESOURCE_TYPES).

        Per ulteriori informazioni, consulta Scegli quali risorse devono essere registrate | Risorse regionali e globali.

        Importante

        includeGlobalResourceTipi e strategia di registrazione delle esclusioni

        Il includeGlobalResourceTypes campo non ha alcun impatto sulla strategia EXCLUSION_BY_RESOURCE_TYPES di registrazione. Ciò significa che i tipi di IAM risorse globali (IAMutenti, gruppi, ruoli e politiche gestite dai clienti) non verranno aggiunti automaticamente come esclusioni per exclusionByResourceTypes quando includeGlobalResourceTypes è impostato su. false

        Il includeGlobalResourceTypes campo deve essere utilizzato solo per modificare il AllSupported campo, poiché l'impostazione predefinita per il AllSupported campo consiste nel registrare le modifiche alla configurazione per tutti i tipi di risorse supportati, esclusi i tipi di IAM risorse globali. Per includere i tipi di IAM risorse globali quando AllSupported è impostato sutrue, assicurati di includeGlobalResourceTypes impostarlo sutrue.

        Per escludere i tipi di IAM risorse globali per la strategia di EXCLUSION_BY_RESOURCE_TYPES registrazione, è necessario aggiungerli manualmente al resourceTypes campo diexclusionByResourceTypes.

        Nota

        Campi obbligatori e facoltativi

        Prima di impostare includeGlobalResourceTypes su true, imposta il campo allSupported su true.

        Facoltativamente, puoi anche impostare il campo useOnly di RecordingStrategy su ALL_SUPPORTED_RESOURCE_TYPES.

        Nota

        Sostituzione dei campi

        Se si imposta su includeGlobalResourceTypes false ma si elencano i tipi di IAM risorse globali nel resourceTypes campo di RecordingGroup, AWS Config registrerà comunque le modifiche alla configurazione per quei tipi di risorse specificati indipendentemente dal fatto che il includeGlobalResourceTypes campo sia impostato su false.

        Se non desideri registrare le modifiche alla configurazione dei tipi di IAM risorse globali (IAMutenti, gruppi, ruoli e politiche gestite dai clienti), assicurati di non elencarle nel resourceTypes campo oltre a impostare il includeGlobalResourceTypes campo su false.

      Il file recordingGroup.json specifica quali tipi di risorse saranno registrati da AWS Config .

      {
    "allSupported": true,
    "recordingStrategy": {
        "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": true
}

    2. put-configuration-recorder usa i seguenti campi per il parametro --configuration-recorder:

      • name— Il nome del registratore di configurazione. AWS Config assegna automaticamente il nome di «default» durante la creazione del registratore di configurazione.

      • roleARN— Amazon Resource Name (ARN) del IAM ruolo assunto AWS Config e utilizzato dal registratore di configurazione.

      • recordingMode— Speciifica la frequenza di registrazione predefinita AWS Config utilizzata per registrare le modifiche alla configurazione. AWS Config supporta la registrazione continua e la registrazione giornaliera. La registrazione continua consente di registrare continuamente le modifiche alla configurazione ogni volta che si verifica una modifica. La registrazione giornaliera consente di ricevere un elemento di configurazione (CI) che rappresenta lo stato più recente delle risorse nelle ultime 24 ore, solo se è diverso dall'elemento della configurazione registrato in precedenza.

        • recordingFrequency— La frequenza di registrazione predefinita AWS Config utilizzata per registrare le modifiche alla configurazione.

          Nota

          AWS Firewall Manager dipende dalla registrazione continua per monitorare le risorse. Se si utilizza Firewall Manager, si consiglia di impostare la frequenza di registrazione su Continuo.

        • recordingModeOverrides: questo campo consente di specificare le sostituzioni per la modalità di registrazione. Si tratta di un array di oggetti recordingModeOverride. Ogni oggetto recordingModeOverride dell’array recordingModeOverrides è composto da tre campi:

          • description— Una descrizione fornita per l'override.

          • recordingFrequency— La frequenza di registrazione che verrà applicata a tutti i tipi di risorse specificati nell'override.

          • resourceTypes— Un elenco separato da virgole che specifica quali tipi di risorse sono AWS Config inclusi nell'override.

      Nota

      Campi obbligatori e facoltativi

      Il campo recordingMode per put-configuration-recorder è facoltativo. Per impostazione predefinita, la frequenza di registrazione per il registratore di configurazione è impostata su Registrazione continua.

      Nota

      Limiti

      La registrazione giornaliera non è supportata per i tipi di risorse seguenti:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      Per la strategia di registrazione Registra tutti i tipi di risorse supportati attuali e futuri (ALL_SUPPORTED_RESOURCE_TYPES), questi tipi di risorse saranno impostati su Registrazione continua.

      Il configurationRecorder.json file specifica name e roleArn la frequenza di registrazione predefinita per il registratore di configurazione (). recordingMode È inoltre possibile utilizzare questo campo per sovrascrivere la frequenza di registrazione per tipi di risorse specifici.

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (Facoltativo) Per verificare se il registratore di configurazione è impostato come desiderato, utilizza il seguente comando describe-configuration-recorders.

    $ aws configservice describe-configuration-recorders

    Di seguito è riportata una risposta di esempio.

    {
    "ConfigurationRecorders": [
        {
            "name": "default"
            "recordingGroup": {
                "allSupported": true,
                "exclusionByResourceTypes": { 
                     "resourceTypes": []
                },
                "includeGlobalResourceTypes": true,
                "recordingStrategy": {
                    "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record all current and future supported resources types excluding the types you specify

Imposta per registrare le modifiche AWS Config alla configurazione per tutti i tipi di risorse supportati attuali e futuri, inclusi i tipi di risorse globali, ad eccezione dei tipi di risorse che hai specificato di escludere dalla registrazione. Se scegli di interrompere la registrazione per un tipo di risorsa, gli elementi della configurazione già registrati rimarranno invariati. Per ulteriori informazioni, consulta Tipi di risorsa supportati.

Questo comando utilizza i ---recording-group campi --configuration-recorder and.

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
Nota

Gruppo di registrazione e registratore di configurazione

Il campo --recording-group specifica quali tipi di risorse vengono registrati.

Il --configuration-recorder campo specifica name e la frequenza roleArn di registrazione predefinita per il registratore di configurazione (). recordingMode È inoltre possibile utilizzare questo campo per sovrascrivere la frequenza di registrazione per tipi di risorse specifici.

  1. Utilizza il comando put-configuration-recorder e trasmetti uno o più tipi di risorse da escludere nel campo resourceTypes di exclusionByResourceTypes, come mostrato nell'esempio seguente.

    1. Il file recordingGroup.json specifica quali tipi di risorse saranno registrati da AWS Config .

      {
    "allSupported": false,
    "exclusionByResourceTypes": { 
        "resourceTypes": [
            "AWS::Redshift::ClusterSnapshot",
            "AWS::RDS::DBClusterSnapshot",
            "AWS::CloudFront::StreamingDistribution"
        ]
    },
   "includeGlobalResourceTypes": false,
   "recordingStrategy": {
       "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
    },
  
}

      Prima di specificare i tipi di risorse da escludere dalla registrazione:

      • È necessario impostare i campi allSupported e includeGlobalResourceTypes del parametro --recording-group su false oppure ometterli.

      • È necessario impostare il campo useOnly di RecordingStrategy su EXCLUSION_BY_RESOURCE_TYPES.

      Nota

      Sostituzione dei campi

      Se scegli EXCLUSION_BY_RESOURCE_TYPES come strategia di registrazione, il campo exclusionByResourceTypes sovrascrive le altre proprietà della richiesta.

      Ad esempio, anche se impostate su includeGlobalResourceTypes false, i tipi di IAM risorse globali verranno comunque registrati automaticamente in questa opzione, a meno che tali tipi di risorse non siano specificamente elencati come esclusioni nel resourceTypes campo di. exclusionByResourceTypes

      Nota

      Tipi di risorse globali e strategia di registrazione di esclusione delle risorse

      Per impostazione predefinita, se si sceglie la strategia di EXCLUSION_BY_RESOURCE_TYPES registrazione, When AWS Config aggiunge il supporto per un nuovo tipo di risorsa nella regione in cui è impostato il registratore di configurazione, inclusi i tipi di risorse globali, AWS Config avvia automaticamente la registrazione di risorse di quel tipo.

      A meno che non siano specificatamente elencate come esclusioni, AWS::RDS::GlobalCluster verranno registrate automaticamente in tutte le AWS Config regioni supportate in cui il registratore di configurazione è abilitato.

      IAMutenti, gruppi, ruoli e politiche gestite dai clienti verranno registrati nella regione in cui è stato configurato il registratore di configurazione, se questa è una regione in cui AWS Config era disponibile prima di febbraio 2022. Non è possibile registrare i tipi di IAM risorse globali nelle regioni supportate AWS Config dopo febbraio 2022. Per un elenco di tali regioni, consulta AWS Risorse di registrazione | Risorse globali.

    2. put-configuration-recorder usa i seguenti campi per il parametro --configuration-recorder:

      • name— Il nome del registratore di configurazione. AWS Config assegna automaticamente il nome di «default» durante la creazione del registratore di configurazione.

      • roleARN— Amazon Resource Name (ARN) del IAM ruolo assunto AWS Config e utilizzato dal registratore di configurazione.

      • recordingMode— Speciifica la frequenza di registrazione predefinita AWS Config utilizzata per registrare le modifiche alla configurazione. AWS Config supporta la registrazione continua e la registrazione giornaliera. La registrazione continua consente di registrare continuamente le modifiche alla configurazione ogni volta che si verifica una modifica. La registrazione giornaliera consente di ricevere un elemento di configurazione (CI) che rappresenta lo stato più recente delle risorse nelle ultime 24 ore, solo se è diverso dall'elemento della configurazione registrato in precedenza.

        • recordingFrequency— La frequenza di registrazione predefinita AWS Config utilizzata per registrare le modifiche alla configurazione.

          Nota

          AWS Firewall Manager dipende dalla registrazione continua per monitorare le risorse. Se si utilizza Firewall Manager, si consiglia di impostare la frequenza di registrazione su Continuo.

        • recordingModeOverrides: questo campo consente di specificare le sostituzioni per la modalità di registrazione. Si tratta di un array di oggetti recordingModeOverride. Ogni oggetto recordingModeOverride dell’array recordingModeOverrides è composto da tre campi:

          • description— Una descrizione fornita per l'override.

          • recordingFrequency— La frequenza di registrazione che verrà applicata a tutti i tipi di risorse specificati nell'override.

          • resourceTypes— Un elenco separato da virgole che specifica quali tipi di risorse sono AWS Config inclusi nell'override.

      Nota

      Campi obbligatori e facoltativi

      Il campo recordingMode per put-configuration-recorder è facoltativo. Per impostazione predefinita, la frequenza di registrazione per il registratore di configurazione è impostata su Registrazione continua.

      Nota

      Limiti

      La registrazione giornaliera non è supportata per i tipi di risorse seguenti:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      Per la strategia di registrazione Registra tutti i tipi di risorse supportati attuali e futuri (ALL_SUPPORTED_RESOURCE_TYPES), questi tipi di risorse saranno impostati su Registrazione continua.

      Il configurationRecorder.json file specifica name e roleArn la frequenza di registrazione predefinita per il registratore di configurazione (). recordingMode È inoltre possibile utilizzare questo campo per sovrascrivere la frequenza di registrazione per tipi di risorse specifici.

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (Facoltativo) Per verificare se il registratore di configurazione è impostato come desiderato, utilizza il seguente comando describe-configuration-recorders.

    $ aws configservice describe-configuration-recorders

    Di seguito è riportata una risposta di esempio.

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": [
                        "AWS::Redshift::ClusterSnapshot",
                        "AWS::RDS::DBClusterSnapshot",
                        "AWS::CloudFront::StreamingDistribution"
                    ]
                },
                "includeGlobalResourceTypes": false,
                "recordingStrategy": {
                    "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record specific resource types

Imposta AWS Config per registrare le modifiche alla configurazione solo per i tipi di risorse specificati. Se scegli di interrompere la registrazione per un tipo di risorsa, gli elementi della configurazione già registrati rimarranno invariati.

Questo comando utilizza i ---recording-group campi --configuration-recorder and.

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
Nota

Gruppo di registrazione e registratore di configurazione

Il campo --recording-group specifica quali tipi di risorse vengono registrati.

Il --configuration-recorder campo specifica name e la frequenza roleArn di registrazione predefinita per il registratore di configurazione (). recordingMode È inoltre possibile utilizzare questo campo per sovrascrivere la frequenza di registrazione per tipi di risorse specifici.

  1. Utilizza il comando put-configuration-recorder e trasmetti uno o più tipi di risorse nel campo resourceTypes di recordingGroup, come mostrato nell'esempio seguente.

    1. Il file recordingGroup.json specifica quali tipi di risorse saranno registrati da AWS Config .

      {
    "allSupported": false,
    "recordingStrategy": {
        "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": false,
    "resourceTypes": [
        "AWS::EC2::EIP",
        "AWS::EC2::Instance",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::SecurityGroup",
        "AWS::CloudTrail::Trail",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC",
        "AWS::IAM::User",
        "AWS::IAM::Policy"
  ]
}
      Nota

      Campi obbligatori e facoltativi

      Prima di specificare i tipi di risorse da includere nella registrazione, è necessario impostare i campi allSupported e includeGlobalResourceTypes su false oppure ometterli.

      Il campo recordingStrategy è facoltativo se elenchi i tipi di risorse nel campo resourceTypes di --recording-group.

      Nota

      Disponibilità nelle Regioni

      Prima di specificare un tipo di risorsa da AWS Config tracciare, controllate la disponibilità della copertura delle risorse per regione per vedere se il tipo di risorsa è supportato nella AWS regione in cui è stato configurato. AWS Config Se un tipo di risorsa è supportato da AWS Config almeno una regione, puoi abilitare la registrazione di quel tipo di risorsa in tutte le regioni supportate da AWS Config, anche se il tipo di risorsa specificato non è supportato nella AWS regione in cui è stato configurato AWS Config.

    2. put-configuration-recorder usa i seguenti campi per il parametro --configuration-recorder:

      • name— Il nome del registratore di configurazione. AWS Config assegna automaticamente il nome di «default» durante la creazione del registratore di configurazione.

      • roleARN— Amazon Resource Name (ARN) del IAM ruolo assunto AWS Config e utilizzato dal registratore di configurazione.

      • recordingMode— Speciifica la frequenza di registrazione predefinita AWS Config utilizzata per registrare le modifiche alla configurazione. AWS Config supporta la registrazione continua e la registrazione giornaliera. La registrazione continua consente di registrare continuamente le modifiche alla configurazione ogni volta che si verifica una modifica. La registrazione giornaliera consente di ricevere un elemento di configurazione (CI) che rappresenta lo stato più recente delle risorse nelle ultime 24 ore, solo se è diverso dall'elemento della configurazione registrato in precedenza.

        • recordingFrequency— La frequenza di registrazione predefinita AWS Config utilizzata per registrare le modifiche alla configurazione.

          Nota

          AWS Firewall Manager dipende dalla registrazione continua per monitorare le risorse. Se si utilizza Firewall Manager, si consiglia di impostare la frequenza di registrazione su Continuo.

        • recordingModeOverrides: questo campo consente di specificare le sostituzioni per la modalità di registrazione. Si tratta di un array di oggetti recordingModeOverride. Ogni oggetto recordingModeOverride dell’array recordingModeOverrides è composto da tre campi:

          • description— Una descrizione fornita per l'override.

          • recordingFrequency— La frequenza di registrazione che verrà applicata a tutti i tipi di risorse specificati nell'override.

          • resourceTypes— Un elenco separato da virgole che specifica quali tipi di risorse sono AWS Config inclusi nell'override.

      Nota

      Campi obbligatori e facoltativi

      Il campo recordingMode per put-configuration-recorder è facoltativo. Per impostazione predefinita, la frequenza di registrazione per il registratore di configurazione è impostata su Registrazione continua.

      Nota

      Limiti

      La registrazione giornaliera non è supportata per i tipi di risorse seguenti:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      Per la strategia di registrazione Registra tutti i tipi di risorse supportati attuali e futuri (ALL_SUPPORTED_RESOURCE_TYPES), questi tipi di risorse saranno impostati su Registrazione continua.

      Il configurationRecorder.json file specifica name e roleArn la frequenza di registrazione predefinita per il registratore di configurazione (). recordingMode È inoltre possibile utilizzare questo campo per sovrascrivere la frequenza di registrazione per tipi di risorse specifici.

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (Facoltativo) Per verificare se il registratore di configurazione è impostato come desiderato, utilizza il seguente comando describe-configuration-recorders.

    $ aws configservice describe-configuration-recorders

    Di seguito è riportata una risposta di esempio.

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": []
                },
                "includeGlobalResourceTypes": false
                "recordingStrategy": {
                    "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [
                    "AWS::EC2::EIP",
                    "AWS::EC2::Instance",
                    "AWS::EC2::NetworkAcl",
                    "AWS::EC2::SecurityGroup",
                    "AWS::CloudTrail::Trail",
                    "AWS::EC2::Volume",
                    "AWS::EC2::VPC",
                    "AWS::IAM::User",
                    "AWS::IAM::Policy"
                ]
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}