AWS Risorse di registrazione con AWS Config - AWS Config
ConsiderazioniRisorse regionali e globaliAWS Config Regole e tipi di risorse globaliFrequenza di registrazionerisorse non registrate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Risorse di registrazione con AWS Config

AWS Config rileva continuamente quando i tipi di risorse supportati vengono creati, modificati o eliminati. AWS Config registra questi eventi come elementi di configurazione (CIs).

È possibile personalizzare per registrare le modifiche AWS Config alla configurazione per tutti i tipi di risorse supportati o solo per i tipi di risorse supportati che sono rilevanti per l'utente. Per un elenco dei tipi di risorse supportati che AWS Config è possibile registrare, vedereTipi di risorse supportati per AWS Config.

Argomenti

Considerazioni

Numero elevato di AWS Config valutazioni

Potresti notare una maggiore attività nel tuo account durante la registrazione del mese iniziale con AWS Config rispetto ai mesi successivi. Durante il processo di avvio iniziale, AWS Config esegue valutazioni su tutte le risorse dell'account che hai selezionato per la AWS Config registrazione.

Se esegui carichi di lavoro temporanei, potresti riscontrare un aumento dell'attività dovuto alla registrazione delle modifiche alla configurazione associate alla creazione e all'eliminazione di queste risorse temporanee. AWS Config Un carico di lavoro temporaneo è un uso temporaneo di risorse di elaborazione che vengono caricate ed eseguite quando necessario. Gli esempi includono istanze Spot di Amazon Elastic Compute Cloud (Amazon EC2), lavori Amazon EMR e. AWS Auto Scaling

Se vuoi evitare l'aumento dell'attività dovuto all'esecuzione di carichi di lavoro temporanei, puoi configurare il registratore di configurazione gestito dal cliente per escludere questi tipi di risorse dalla registrazione o eseguire questi tipi di carichi di lavoro in un account separato con AWS Config disattivato per evitare un aumento della registrazione della configurazione e delle valutazioni delle regole.

Disponibilità nelle Regioni

Prima di specificare un tipo di risorsa da AWS Config monitorare, verifica la disponibilità della copertura delle risorse per regione per verificare se il tipo di risorsa è supportato nella regione in cui è stato configurato. AWS AWS Config

Se un tipo di risorsa è supportato da AWS Config almeno una regione, puoi abilitare la registrazione di quel tipo di risorsa in tutte le regioni supportate da AWS Config, anche se il tipo di risorsa specificato non è supportato nella AWS regione in cui è stato configurato AWS Config.

Quali sono le differenze tra risorse regionali e globali?

Risorse regionali

Le risorse regionali sono legate a una regione e possono essere utilizzate solo in tale regione. Li crei in una regione specificata Regione AWS e quindi esistono in quella regione. Per visualizzare o interagire con tali risorse, occorre indirizzare le tue operazioni verso quella regione. Ad esempio, per creare un' EC2 istanza Amazon con AWS Management Console, scegli l'istanza in Regione AWS cui desideri creare l'istanza. Se usi AWS Command Line Interface (AWS CLI) per creare l'istanza, includi il --region parametro. AWS SDKs Ciascuno di essi ha il proprio meccanismo equivalente per specificare la regione utilizzata dall'operazione.

Esistono diversi motivi per utilizzare le risorse regionali. Uno di questi è garantire che le risorse e gli endpoint di servizio utilizzati per accedervi siano il più vicino possibile al cliente. Ciò migliora le prestazioni riducendo al minimo la latenza. Un altro motivo è quello di fornire un limite di isolamento. Ciò consente di creare copie indipendenti delle risorse in più regioni per distribuire il carico e migliorare la scalabilità. Allo stesso tempo, le risorse sono isolate l'una dall'altra per migliorare la disponibilità.

Se ne specifichi una diversa Regione AWS nella console o in un AWS CLI comando, non potrai più vedere o interagire con le risorse che potevi vedere nella regione precedente.

Esaminando il nome della risorsa Amazon (ARN) di una risorsa regionale, la regione in cui si trova la risorsa è specificata nel quarto campo dell'ARN. Ad esempio, un' EC2 istanza Amazon è una risorsa regionale. Di seguito è riportato un esempio di ARN per un' EC2 istanza Amazon esistente nella us-east-1 regione.

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
Risorse globali

Alcune risorse di AWS servizi sono risorse globali, il che significa che puoi utilizzare la risorsa da qualsiasi luogo. Nella console di un servizio globale, non occorre specificare una Regione AWS . Per accedere a una risorsa globale, non è necessario specificare un --region parametro quando si utilizzano le operazioni del servizio AWS CLI e dell' AWS SDK.

Le risorse globali supportano i casi in cui è fondamentale che possa esistere solo un'istanza di una particolare risorsa alla volta. In questi scenari, la replica o la sincronizzazione tra copie in regioni diverse non è adeguata. La necessità di accedere a un unico endpoint globale, con il possibile aumento della latenza, è considerata accettabile per garantire che eventuali modifiche siano immediatamente visibili ai consumatori della risorsa.

Ad esempio, i cluster globali di Amazon Aurora (AWS::RDS::GlobalCluster) sono risorse globali e quindi non sono legati a una regione. Ciò significa che puoi creare un cluster globale senza fare affidamento su un endpoint regionale. Il vantaggio è che, mentre lo stesso Amazon Relational Database Service (Amazon RDS) è organizzato per regioni, la regione specifica in cui ha origine un cluster globale non influisce su quest'ultimo, che si presenta come un unico cluster globale continuo in tutte le regioni.

Il nome della risorsa Amazon (ARN) di una risorsa globale non include la regione. Il quarto campo è vuoto, come nell'esempio seguente di ARN di un cluster globale.

arn:aws:rds::123456789012:global-cluster:test-global-cluster
Importante

I tipi di risorse globali registrati AWS Config dopo febbraio 2022 verranno registrati solo nella regione di origine del servizio per la partizione commerciale e AWS GovCloud (Stati Uniti occidentali) per la partizione. GovCloud È possibile visualizzare gli elementi di configurazione (CIs) per questi nuovi tipi di risorse globali solo nella regione di origine e (Stati Uniti occidentali). AWS GovCloud

I tipi di risorse globali introdotti prima di febbraio 2022 (AWS::IAM::Group, AWS::IAM::Policy AWS::IAM::Role e AWS::IAM::User) rimangono invariati. Puoi abilitare la registrazione di queste risorse IAM globali in tutte le regioni in cui AWS Config era supportata prima di febbraio 2022. Queste risorse IAM globali non possono essere registrate nelle regioni supportate AWS Config dopo febbraio 2022.

Tipi di risorse globali | Risorse IAM

Anche i seguenti tipi di risorse IAM sono risorse a livello globale: utenti IAM, gruppi, ruoli e policy gestite dal cliente. Questi tipi di risorse possono essere registrati AWS Config nelle regioni in cui AWS Config erano disponibili prima di febbraio 2022. Questo elenco in cui non è possibile registrare i tipi di risorse IAM globali include le seguenti regioni: Asia Pacifico (Hyderabad), Asia Pacifico (Malesia), Asia Pacifico (Melbourne), Asia Pacifico (Tailandia), Canada occidentale (Calgary), Europa (Spagna), Europa (Zurigo), Israele (Tel Aviv), Messico (Centrale) e Medio Oriente (Emirati Arabi Uniti).

Per evitare elementi di configurazione duplicati (CIs), dovresti prendere in considerazione la registrazione dei tipi di risorse IAM globali una sola volta in una delle regioni supportate. Questo può anche aiutarti a evitare valutazioni non necessarie e limitazioni delle API.

Tipi di risorse globali | Solo area geografica

Le risorse globali per i seguenti servizi vengono registrate solo AWS Config nella regione di origine del tipo di risorsa globale: Amazon Elastic Container Registry Public AWS Global Accelerator, Amazon Route 53 CloudFront, Amazon e AWS WAF. Per queste risorse globali, la stessa istanza del tipo di risorsa può essere utilizzata in più AWS regioni, ma gli elementi di configurazione (CIs) vengono registrati solo nella regione di origine per la partizione commerciale o AWS GovCloud (Stati Uniti occidentali) per la AWS GovCloud (US) partizione.

Regioni di origine dei tipi di risorse globali
AWS Servizio Valore tipo di risorsa Regione di origine
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository Stati Uniti orientali (Virginia settentrionale)
AWS Global Accelerator AWS::GlobalAccelerator::Listener Stati Uniti occidentali (Oregon)
AWS::GlobalAccelerator::EndpointGroup Stati Uniti occidentali (Oregon)
AWS::GlobalAccelerator::Accelerator Stati Uniti occidentali (Oregon)
Amazon Route 53 AWS::Route53::HostedZone Stati Uniti orientali (Virginia settentrionale)
AWS::Route53::HealthCheck Stati Uniti orientali (Virginia settentrionale)
Amazon CloudFront AWS::CloudFront::Distribution Stati Uniti orientali (Virginia settentrionale)
AWS WAF AWS::WAFv2::WebACL Stati Uniti orientali (Virginia settentrionale)
Tipi di risorse globali | Cluster globali Aurora

AWS::RDS::GlobalClusterè una risorsa globale registrata in tutte le AWS Config regioni supportate in cui è abilitato il registratore di configurazione gestito dal cliente. Questo tipo di risorsa globale è unico in quanto, se abiliti la registrazione di questa risorsa in una regione, AWS Config registrerà gli elementi di configurazione (CIs) per questo tipo di risorsa in tutte le regioni abilitate.

Se non desideri registrare AWS::RDS::GlobalCluster in tutte le regioni abilitate, utilizza una delle seguenti strategie di registrazione per la console AWS Config :

  • Registra tutti i tipi di risorse con sostituzioni personalizzabili, scegli "AWS RDS GlobalCluster «e scegli l'opzione alternativa «Escludi dalla registrazione»

  • Registra tipi di risorsa specifici.

Se non desideri registrare AWS::RDS::GlobalCluster in tutte le regioni abilitate, utilizza una delle seguenti strategie di registrazione per API/CLI:

  • Registra tutti i tipi di risorse attuali e futuri con esclusioni (EXCLUSION_BY_RESOURCE_TYPES)

  • Registra tipi di risorsa specifici (INCLUSION_BY_RESOURCE_TYPES).

AWS Config Regole e tipi di risorse globali

I tipi di risorse IAM globali inseriti prima di febbraio 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role, eAWS::IAM::User) possono essere registrati solo nelle regioni AWS Config in cui AWS Config erano disponibili prima di febbraio 2022. Questi tipi di risorse IAM globali non possono essere registrati nelle regioni supportate AWS Config dopo febbraio 2022. Per un elenco di tali regioni, consulta Recording AWS Resources | Global Resources.

Se registri un tipo di risorsa IAM globale in almeno una regione, le regole periodiche che segnalano la conformità sul tipo di risorsa IAM globale eseguiranno valutazioni in tutte le regioni in cui viene aggiunta la regola periodica, anche se non hai abilitato la registrazione del tipo di risorsa IAM globale nella regione in cui è stata aggiunta la regola periodica.

Le migliori pratiche per la segnalazione della conformità sulle risorse globali integrate prima di febbraio 2022

Per evitare valutazioni non necessarie, dovresti distribuire AWS Config regole e pacchetti di conformità che includano queste risorse globali solo in una delle regioni supportate. Per un elenco delle regole gestite supportate in quali regioni, consulta Elenco delle regole AWS Config gestite per disponibilità regionale. Ciò vale per AWS Config le regole, AWS Config le regole organizzative e anche le regole create da altri AWS servizi, come AWS Security Hub e AWS Control Tower.

Se non hai abilitato la registrazione dei tipi di risorse globali integrati prima di febbraio 2022, consigliamo di non abilitare le seguenti regole periodiche per evitare valutazioni inutili:

Migliori pratiche per la segnalazione della conformità sulle risorse globali integrate dopo febbraio 2022

I tipi di risorse globali inseriti in fase di AWS Config registrazione dopo febbraio 2022 verranno registrati solo nella regione di origine del servizio per la partizione commerciale e AWS GovCloud (Stati Uniti occidentali) per la partizione. AWS GovCloud (US) È necessario distribuire AWS Config regole e pacchetti di conformità che includano queste risorse globali solo nella regione di origine del tipo di risorsa. Per ulteriori informazioni, consulta Home Regions for Global Resource Types.

Frequenza di registrazione per AWS Config

AWS Config supporta la registrazione continua e la registrazione giornaliera. La registrazione continua consente di registrare continuamente le modifiche alla configurazione ogni volta che si verifica una modifica. La registrazione giornaliera consente di ricevere un elemento di configurazione (CI) che rappresenta lo stato più recente delle risorse nelle ultime 24 ore, solo se è diverso dall'elemento della configurazione registrato in precedenza. Per istruzioni su come modificare la frequenza di registrazione, vedere Modifica della frequenza di registrazione.

Registrazione continua

Alcuni dei vantaggi derivanti dalla registrazione continua sono:

  • Monitoraggio in tempo reale: la registrazione continua può fornire il rilevamento immediato di modifiche non autorizzate o alterazioni impreviste, il che può migliorare gli sforzi in materia di sicurezza e conformità.

  • Analisi dettagliata: la registrazione continua consente di eseguire un'analisi approfondita delle modifiche alla configurazione delle risorse man mano che si verificano, il che può consentire di identificare modelli e tendenze del momento.

Registrazione giornaliera

Alcuni dei vantaggi derivanti dalla registrazione giornaliera sono:

  • Interruzioni minime: la registrazione giornaliera può fornire un flusso di informazioni più gestibile, che può ridurre la frequenza delle notifiche e avvisare l'affaticamento.

  • Efficienza in termini di costi: la registrazione giornaliera offre la flessibilità necessaria per registrare le modifiche alle risorse con una frequenza inferiore, il che può ridurre i costi legati al numero di modifiche alla configurazione registrate.

Nota

AWS Firewall Manager dipende dalla registrazione continua per monitorare le risorse. Se si utilizza Firewall Manager, si consiglia di impostare la frequenza di registrazione su Continuo.

risorse non registrate

Se una risorsa non viene registrata, AWS Config registra solo la creazione e l'eliminazione di quella risorsa e nessun altro dettaglio, senza alcun costo per l'utente. Quando una risorsa non registrata viene creata o eliminata, AWS Config invia una notifica e visualizza l'evento nella pagina dei dettagli della risorsa. La pagina dei dettagli di una risorsa non registrata contiene valori nulli per la maggior parte dei dettagli di configurazione e non fornisce informazioni sulle relazioni e sulle modifiche alla configurazione.

Nota

I tipi di AWS::IAM::Role risorsa AWS::IAM::User AWS::IAM::Policy AWS::IAM::Group,, acquisiranno gli stati di creazione (ResourceNotRecorded) ed eliminazione (ResourceDeletedNotRecorded) solo se la risorsa è stata selezionata, o lo era in precedenza, come risorsa da registrare nel registratore di configurazione gestito dal cliente.

Nota

Gli elementi di configurazione (CIs) per ResourceNotRecorded e ResourceDeletedNotRecorded non seguono il tempo di registrazione tipico per i tipi di risorse. Questi tipi di risorse vengono registrati solo durante il processo di baseline periodico per il registratore di configurazione gestito dal cliente, che avviene a una cadenza meno frequente rispetto agli altri tipi di risorse.

Nota

Per i registratori di configurazione collegati al servizio, l'ambito di registrazione determina se si ricevono gli elementi di configurazione () nel canale di distribuzione. CIs L'ambito di registrazione è impostato dal servizio collegato al registratore di configurazione. Se l'ambito di registrazione è interno, non riceverai CIs nel canale di consegna.

Le informazioni sulla relazione che AWS Config forniscono le risorse registrate non sono limitate a causa della mancanza di dati per le risorse non registrate. Se una risorsa registrata è in relazione con una risorsa non registrata, tale relazione è indicata nella pagina dei dettagli della risorsa registrata.