AWS Risorse per la registrazione - AWS Config
ConsiderazioniRisorse regionali e globaliAWS Config Regole e tipi di risorse globaliRisorse non registrate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Risorse per la registrazione

AWS Config rileva continuamente quando i tipi di risorse supportati vengono creati, modificati o eliminati. AWS Config registra questi eventi come elementi di configurazione (CIs). Puoi personalizzare AWS Config affinché registri le modifiche alla configurazione per tutti i tipi di risorse supportati o solo per i tipi di tuo interesse. Per un elenco dei tipi di risorse supportati che AWS Config possono registrare, vedereTipi di risorsa supportati.

Argomenti

Considerazioni

Numero elevato di AWS Config valutazioni

Potresti notare una maggiore attività nel tuo account durante la registrazione del mese iniziale con AWS Config rispetto ai mesi successivi. Durante il processo di avvio iniziale, AWS Config esegue valutazioni su tutte le risorse dell'account che hai selezionato per la AWS Config registrazione.

Se esegui carichi di lavoro temporanei, potresti riscontrare un aumento dell'attività dovuto alla registrazione delle modifiche alla configurazione associate alla creazione e all'eliminazione di queste risorse temporanee. AWS Config Un carico di lavoro temporaneo è un uso temporaneo di risorse di elaborazione che vengono caricate ed eseguite quando necessario. Gli esempi includono Amazon Elastic Compute Cloud (AmazonEC2) Spot Instances, Amazon EMR jobs e. AWS Auto Scaling Se vuoi evitare l'aumento dell'attività dovuto all'esecuzione di carichi di lavoro temporanei, puoi configurare il registratore di configurazione per escludere questi tipi di risorse dalla registrazione o eseguire questi tipi di carichi di lavoro in un account separato con l'opzione AWS Config disattivata per evitare un aumento della registrazione della configurazione e delle valutazioni delle regole.

Disponibilità nelle Regioni

Prima di specificare un tipo di risorsa da AWS Config monitorare, verifica la disponibilità della copertura delle risorse per regione per vedere se il tipo di risorsa è supportato nella regione in cui è stato configurato. AWS AWS Config Se un tipo di risorsa è supportato da AWS Config almeno una regione, puoi abilitare la registrazione di quel tipo di risorsa in tutte le regioni supportate da AWS Config, anche se il tipo di risorsa specificato non è supportato nella AWS regione in cui è stato configurato AWS Config.

Quali sono le differenze tra risorse regionali e globali?

Risorse regionali

Le risorse regionali sono legate a una regione e possono essere utilizzate solo in tale regione. Le crei in una determinata Regione AWS regione e quindi esistono in quella regione. Per visualizzare o interagire con tali risorse, occorre indirizzare le tue operazioni verso quella regione. Ad esempio, per creare un'EC2istanza Amazon con AWS Management Console, scegli l'istanza in Regione AWS cui desideri creare l'istanza. Se usi AWS Command Line Interface (AWS CLI) per creare l'istanza, includi il --region parametro. AWS SDKsCiascuno di essi ha il proprio meccanismo equivalente per specificare la regione utilizzata dall'operazione.

Esistono diversi motivi per utilizzare le risorse regionali. Uno di questi è garantire che le risorse e gli endpoint di servizio utilizzati per accedervi siano il più vicino possibile al cliente. Ciò migliora le prestazioni riducendo al minimo la latenza. Un altro motivo è quello di fornire un limite di isolamento. Ciò consente di creare copie indipendenti delle risorse in più regioni per distribuire il carico e migliorare la scalabilità. Allo stesso tempo, le risorse sono isolate l'una dall'altra per migliorare la disponibilità.

Se ne specifichi una diversa Regione AWS nella console o in un AWS CLI comando, non potrai più vedere o interagire con le risorse che potevi vedere nella regione precedente.

Quando esamini Amazon Resource Name (ARN) per una risorsa regionale, la regione che contiene la risorsa viene specificata come quarto campo diARN. Ad esempio, un'EC2istanza Amazon è una risorsa regionale. Di seguito è riportato un ARN esempio di EC2 istanza per Amazon esistente nella us-east-1 regione.

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
Risorse globali

Alcune risorse di AWS servizi sono risorse globali, il che significa che puoi utilizzare la risorsa da qualsiasi luogo. Nella console di un servizio globale, non occorre specificare una Regione AWS . Per accedere a una risorsa globale, non è necessario specificare un --region parametro quando si utilizzano il servizio AWS CLI e AWS SDK le operazioni.

Le risorse globali supportano i casi in cui è fondamentale che possa esistere solo un'istanza di una particolare risorsa alla volta. In questi scenari, la replica o la sincronizzazione tra copie in regioni diverse non è adeguata. La necessità di accedere a un unico endpoint globale, con il possibile aumento della latenza, è considerata accettabile per garantire che eventuali modifiche siano immediatamente visibili ai consumatori della risorsa.

Ad esempio, i cluster globali di Amazon Aurora (AWS::RDS::GlobalCluster) sono risorse globali e quindi non sono legati a una regione. Ciò significa che puoi creare un cluster globale senza fare affidamento su un endpoint regionale. Il vantaggio è che, mentre lo stesso Amazon Relational Database Service (RDSAmazon) è organizzato per regioni, la regione specifica in cui ha origine un cluster globale non ha alcun impatto sul cluster globale. che si presenta come un unico cluster globale continuo in tutte le regioni.

L'Amazon Resource Name (ARN) per una risorsa globale non include una regione. Il quarto campo è vuoto, come nell'esempio seguente di un ARN per un cluster globale.

arn:aws:rds::123456789012:global-cluster:test-global-cluster
Importante

I tipi di risorse globali registrati AWS Config dopo febbraio 2022 verranno registrati solo nella regione di origine del servizio per la partizione commerciale e AWS GovCloud (Stati Uniti occidentali) per la partizione. GovCloud È possibile visualizzare gli elementi di configurazione (CIs) per questi nuovi tipi di risorse globali solo nella regione di origine e (Stati Uniti occidentali). AWS GovCloud

I tipi di risorse globali introdotti prima di febbraio 2022 (AWS::IAM::Group, AWS::IAM::Policy AWS::IAM::Role e AWS::IAM::User) rimangono invariati. Puoi abilitare la registrazione di queste IAM risorse globali in tutte le regioni in cui AWS Config era supportata prima di febbraio 2022. Queste IAM risorse globali non possono essere registrate nelle regioni supportate AWS Config dopo febbraio 2022.

Tipi di risorse globali | IAM risorse

I seguenti tipi di IAM risorse sono risorse globali: IAM utenti, gruppi, ruoli e politiche gestite dai clienti. Questi tipi di risorse possono essere registrati AWS Config nelle regioni in cui AWS Config erano disponibili prima di febbraio 2022. Questo elenco in cui non è possibile registrare i tipi di IAM risorse globali include le seguenti regioni: Asia Pacifico (Hyderabad), Asia Pacifico (Malesia), Asia Pacifico (Melbourne), Canada occidentale (Calgary), Europa (Spagna), Europa (Zurigo), Israele (Tel Aviv) e Medio Oriente (). UAE

Per evitare elementi di configurazione duplicati (CIs), è consigliabile prendere in considerazione la registrazione dei tipi di IAM risorse globali una sola volta in una delle regioni supportate. Questo può anche aiutarvi a evitare valutazioni e limitazioni non necessarie. API

Tipi di risorse globali | Solo area geografica

Le risorse globali per i seguenti servizi vengono registrate solo AWS Config nella regione di origine del tipo di risorsa globale: Amazon Elastic Container Registry Public AWS Global Accelerator, Amazon Route 53 CloudFront, Amazon e AWS WAF. Per queste risorse globali, la stessa istanza del tipo di risorsa può essere utilizzata in più AWS regioni, ma gli elementi di configurazione (CIs) vengono registrati solo nella regione di origine per la partizione commerciale o AWS GovCloud (Stati Uniti occidentali) per la AWS GovCloud (US) partizione.

Regioni di origine dei tipi di risorse globali
AWS Servizio Valore tipo di risorsa Regione di origine
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository Stati Uniti orientali (Virginia settentrionale)
AWS Global Accelerator AWS::GlobalAccelerator::Listener Stati Uniti occidentali (Oregon)
AWS::GlobalAccelerator::EndpointGroup Stati Uniti occidentali (Oregon)
AWS::GlobalAccelerator::Accelerator Stati Uniti occidentali (Oregon)
Amazon Route 53 AWS::Route53::HostedZone Stati Uniti orientali (Virginia settentrionale)
AWS::Route53::HealthCheck Stati Uniti orientali (Virginia settentrionale)
Amazon CloudFront AWS::CloudFront::Distribution Stati Uniti orientali (Virginia settentrionale)
AWS WAF AWS::WAFv2::WebACL Stati Uniti orientali (Virginia settentrionale)
Tipi di risorse globali | Cluster globali Aurora

AWS::RDS::GlobalClusterè una risorsa globale registrata in tutte le AWS Config regioni supportate in cui è abilitato il registratore di configurazione. Questo tipo di risorsa globale è unico in quanto, se abiliti la registrazione di questa risorsa in una regione, AWS Config registrerà gli elementi di configurazione (CIs) per questo tipo di risorsa in tutte le regioni abilitate.

Se non desiderate registrare AWS::RDS::GlobalCluster in tutte le regioni abilitate, utilizzate una delle seguenti strategie di registrazione per la AWS Config console:

  • Registra tutti i tipi di risorse con sostituzioni personalizzabili, scegli "AWS RDS GlobalCluster«e scegli l'opzione «Escludi dalla registrazione»

  • Registra tipi di risorsa specifici.

Se non desiderate registrare AWS::RDS::GlobalCluster in tutte le regioni abilitate, utilizzate una delle seguenti strategie di registrazione per/: API CLI

  • Registra tutti i tipi di risorse attuali e futuri con esclusioni (EXCLUSION_BY_RESOURCE_TYPES)

  • Registra tipi di risorsa specifici (INCLUSION_BY_RESOURCE_TYPES).

AWS Config Regole e tipi di risorse globali

I tipi di IAM risorse globali inseriti prima di febbraio 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role, eAWS::IAM::User) possono essere registrati solo nelle regioni AWS Config in cui AWS Config erano disponibili prima di febbraio 2022. Questi tipi di IAM risorse globali non possono essere registrati nelle regioni supportate AWS Config dopo febbraio 2022. Per un elenco di tali regioni, consulta AWS Risorse di registrazione | Risorse globali.

Se si registra un tipo di IAM risorsa globale in almeno una regione, le regole periodiche che segnalano la conformità per il tipo di IAM risorsa globale eseguiranno valutazioni in tutte le regioni in cui viene aggiunta la regola periodica, anche se non è stata abilitata la registrazione del tipo di IAM risorsa globale nella regione in cui è stata aggiunta la regola periodica.

Le migliori pratiche per la segnalazione della conformità sulle risorse globali integrate prima di febbraio 2022

Per evitare valutazioni non necessarie, dovresti distribuire AWS Config regole e pacchetti di conformità che includano queste risorse globali solo in una delle regioni supportate. Per un elenco delle regole gestite supportate in quali regioni, consulta Elenco delle regole AWS Config gestite per disponibilità regionale. Ciò vale per AWS Config le regole, AWS Config le regole organizzative e anche le regole create da altri AWS servizi, come AWS Security Hub e AWS Control Tower.

Se non hai abilitato la registrazione dei tipi di risorse globali integrati prima di febbraio 2022, consigliamo di non abilitare le seguenti regole periodiche per evitare valutazioni inutili:

Migliori pratiche per la segnalazione della conformità sulle risorse globali integrate dopo febbraio 2022

I tipi di risorse globali inseriti in fase di AWS Config registrazione dopo febbraio 2022 verranno registrati solo nella regione di origine del servizio per la partizione commerciale e AWS GovCloud (Stati Uniti occidentali) per la partizione. AWS GovCloud (US) È necessario distribuire AWS Config regole e pacchetti di conformità che includano queste risorse globali solo nella regione di origine del tipo di risorsa. Per ulteriori informazioni, consulta Home Regions for Global Resource Types.

Risorse non registrate

Se una risorsa non viene registrata, AWS Config acquisisce solo la creazione e l'eliminazione di quella risorsa e nessun altro dettaglio, senza alcun costo per l'utente. Quando una risorsa non registrata viene creata o eliminata, AWS Config invia una notifica e visualizza l'evento nella pagina dei dettagli della risorsa. La pagina dei dettagli di una risorsa non registrata contiene valori nulli per la maggior parte dei dettagli di configurazione e non fornisce informazioni sulle relazioni e sulle modifiche alla configurazione.

Nota

I tipi di risorse AWS::IAM::User, AWS::IAM::Policy, AWS::IAM::Group, AWS::IAM::Role acquisiscono gli stati di creazione (ResourceNotRecorded) ed eliminazione (ResourceDeletedNotRecorded) solo se la risorsa è, o è stata in precedenza, selezionata come risorsa da registrare nel registratore di configurazione.

Nota

Gli elementi di configurazione (CIs) per ResourceNotRecorded e ResourceDeletedNotRecorded non seguono il tempo di registrazione tipico per i tipi di risorse. Questi tipi di risorse vengono registrati solo durante il processo di baseline periodico per il registratore di configurazione, che ha una cadenza meno frequente rispetto agli altri tipi di risorse.

Le informazioni sulle relazioni che AWS Config forniscono le risorse registrate non sono limitate a causa della mancanza di dati per le risorse non registrate. Se una risorsa registrata è in relazione con una risorsa non registrata, tale relazione è indicata nella pagina dei dettagli della risorsa registrata.