Gravar recursos com a CLI da AWS - AWS Config

Gravar recursos com a CLI da AWS

Você pode usar a CLI da AWS para selecionar os tipos de recursos que deseja que o AWS Config registre. Isso é feito por meio da criação de um gravador de configuração, que registra os tipos de recursos que você especifica em um grupo de registro. No grupo de registro, é necessário especificar se todos os tipos de recursos compatíveis ou somente tipos específicos de recursos são registrados.

Record all current and future supported resource types

Configure o AWS Config para gravar as alterações de configuração de todos os tipos de recursos compatíveis atuais e futuros nessa região. Para obter mais informações, consulte Tipos de Recursos Compatíveis.

  1. Use o seguinte comando put-configuration-recorder:

    $ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

    Esse comando usa os campos --configuration-recorder e ---recording-group.

    nota

    Grupo de gravação e gravador de configuração

    O campo --recording-group especifica quais tipos de recursos são gravados.

    O campo --configuration-recorder especifica name e roleArn, bem como a frequência de gravação padrão para o gravador de configuração (recordingMode). Também é possível usar esse campo para substituir a frequência de gravação de tipos de recursos específicos.

    1. O put-configuration-recorder usa os seguintes campos para o parâmetro --recording-group:

      • allSupported=true: o AWS Config grava as alterações na configuração de todos os tipos de recursos compatíveis, excluindo os tipos globais de recursos do IAM. Quando o AWS Config adiciona suporte para um novo tipo de recurso, o AWS Config inicia automaticamente a gravação dos recursos desse tipo.

      • includeGlobalResourceTypes=true: essa opção é um pacote que se aplica apenas aos tipos globais de recursos do IAM: usuários, grupos, perfis e políticas gerenciadas pelo cliente do IAM. Esses tipos de recursos globais do IAM só podem ser gravados pelo AWS Config em regiões onde o AWS Config estava disponível antes de fevereiro de 2022. Não é possível gravar tipos de recursos globais do IAM nas Regiões com suporte pelo AWS Config após fevereiro de 2022. Para obter uma lista dessas Regiões, consulte Gravação de recursos da AWS | Recursos globais.

        Importante

        Os clusters globais do Aurora são gravados em todas as regiões habilitadas

        O tipo de recurso AWS::RDS::GlobalCluster será gravado em todas as regiões do AWS Config compatíveis onde o gravador de configuração estiver habilitado, mesmo que includeGlobalResourceTypes não esteja definido como true. A opção includeGlobalResourceTypes é um pacote que se aplica apenas a usuários, grupos e perfis do IAM, além de políticas gerenciadas pelo cliente.

        Se você não quiser registrar AWS::RDS::GlobalCluster em todas as regiões habilitadas, use uma das seguintes estratégias de registro:

        1. Gravar todos os tipos de recurso atuais e futuros excluindo os tipos especificados (EXCLUSION_BY_RESOURCE_TYPES) ou

        2. Registrar tipos de recursos específicos (INCLUSION_BY_RESOURCE_TYPES)

        Para obter mais informações, consulte Selecting Which Resources are Recorded | Regional and Global Resources.

        Importante

        includeGlobalResourceTypes e a estratégia de gravação de exclusão

        O campo includeGlobalResourceTypes não tem impacto na estratégia de gravação EXCLUSION_BY_RESOURCE_TYPES. Isso significa que os tipos de recursos globais do IAM (usuários do IAM, grupos, perfis e políticas gerenciadas pelo cliente do IAM) não serão adicionados automaticamente como exclusões para exclusionByResourceTypes quando includeGlobalResourceTypes estiverem definidos como false.

        O campo includeGlobalResourceTypes só deve ser usado para modificar o campo AllSupported, pois o padrão para o campo AllSupported é registrar as alterações de configuração para todos os tipos de recursos com suporte, exceto os tipos de recursos globais do IAM. Para incluir os tipos de recursos globais do IAM quando AllSupported estiver definido como true, certifique-se de que includeGlobalResourceTypes estejam definidos como true.

        Para excluir os tipos de recursos globais do IAM para a estratégia de gravação EXCLUSION_BY_RESOURCE_TYPES, você precisará adicioná-los manualmente ao campo resourceTypes de exclusionByResourceTypes.

        nota

        Campos obrigatórios e opcionais

        Para definir includeGlobalResourceTypes como true, defina o campo allSupported como true.

        Também há a opção de definir o campo useOnly de RecordingStrategy como ALL_SUPPORTED_RESOURCE_TYPES.

        nota

        Campos de substituição

        Se você definir includeGlobalResourceTypes como false, mas listar os tipos globais de recursos do IAM no campo resourceTypes do RecordingGroup, o AWS Config ainda gravará as alterações na configuração desses tipos de recursos especificados independentemente de você definir o campo includeGlobalResourceTypes como falso.

        Se você não quiser gravar as alterações na configuração dos tipos globais de recursos do IAM (usuários, grupos e perfis do IAM e políticas gerenciadas pelo cliente), não as liste no campo resourceTypes, além de definir o campo includeGlobalResourceTypes como falso.

      O arquivo recordingGroup.json especifica que tipos de recursos o AWS Config registrará.

      {
    "allSupported": true,
    "recordingStrategy": {
        "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": true
}

    2. O put-configuration-recorder usa os seguintes campos para o parâmetro --configuration-recorder:

      • name – o nome do gravador de configuração. O AWS Config atribui automaticamente o nome de “padrão” ao criar o gravador de configuração.

      • roleARN – o nome do recurso da Amazon (ARN) do perfil do IAM assumido pelo AWS Config e usado pelo gravador de configuração.

      • recordingMode – especifica a frequência de gravação padrão que o AWS Config usa para gravar alterações na configuração. O AWS Config é compatível com a Gravação contínua e a Gravação diária. A gravação contínua possibilita gravar as alterações na configuração de modo contínuo sempre que ocorre uma alteração. Gravação contínua: você vai receber um item de configuração (CI) que representa o estado mais recente dos recursos no último período de 24 horas, somente se for diferente do CI anterior gravado.

        • recordingFrequency – a frequência de gravação padrão que o AWS Config usa para gravar alterações na configuração.

          nota

          O AWS Firewall Manager depende da gravação contínua para monitorar os recursos. Se você estiver usando o Firewall Manager, é recomendável definir a frequência de gravação como Contínua.

        • recordingModeOverrides: esse campo permite especificar as substituições para o modo de gravação. É uma matriz de objetos recordingModeOverride. Cada objeto recordingModeOverride na matriz recordingModeOverrides consiste em três campos:

          • description: uma descrição fornecida para a substituição.

          • recordingFrequency: a frequência de gravação que será aplicada a todos os tipos de recursos especificados na substituição.

          • resourceTypes: uma lista separada por vírgulas que especifica quais tipos de recursos o AWS Config inclui na substituição.

      nota

      Campos obrigatórios e opcionais

      O campo recordingMode para put-configuration-recorder é opcional. Por padrão, a frequência de gravação do gravador de configuração é definida como gravação contínua.

      nota

      Limites

      A gravação diária não é compatível com os seguintes tipos de recursos:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      Para a estratégia de gravação Registrar todos os tipos de recursos compatíveis atuais e futuros (ALL_SUPPORTED_RESOURCE_TYPES), esses tipos de recursos serão definidos como Gravação contínua.

      O arquivo configurationRecorder.json especifica name e roleArn, bem como a frequência de gravação padrão para o gravador de configuração (recordingMode). Também é possível usar esse campo para substituir a frequência de gravação de tipos de recursos específicos.

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (Opcional) Para verificar se o seu gravador de configuração tem as configurações que você quer, use o comando a seguir describe-configuration-recorders.

    $ aws configservice describe-configuration-recorders

    O seguinte é um exemplo de resposta.

    {
    "ConfigurationRecorders": [
        {
            "name": "default"
            "recordingGroup": {
                "allSupported": true,
                "exclusionByResourceTypes": { 
                     "resourceTypes": []
                },
                "includeGlobalResourceTypes": true,
                "recordingStrategy": {
                    "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record all current and future supported resources types excluding the types you specify

Configure o AWS Config para gravar alterações na configuração de todos os tipos de recursos compatíveis atuais e futuros, incluindo tipos globais de recursos, exceto os tipos de recursos especificados para serem excluídos da gravação. Se você optar por interromper a gravação de um tipo de recurso, os itens de configuração que já foram gravados permanecerão inalterados. Para obter mais informações, consulte Tipos de Recursos Compatíveis.

Esse comando usa os campos --configuration-recorder e ---recording-group.

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
nota

Grupo de gravação e gravador de configuração

O campo --recording-group especifica quais tipos de recursos são gravados.

O campo --configuration-recorder especifica name e roleArn, bem como a frequência de gravação padrão para o gravador de configuração (recordingMode). Também é possível usar esse campo para substituir a frequência de gravação de tipos de recursos específicos.

  1. Use o comando put-configuration-recorder e transfira um ou mais tipos de recursos a serem excluídos no campo resourceTypes de exclusionByResourceTypes, conforme mostrado no exemplo a seguir.

    1. O arquivo recordingGroup.json especifica que tipos de recursos o AWS Config registrará.

      {
    "allSupported": false,
    "exclusionByResourceTypes": { 
        "resourceTypes": [
            "AWS::Redshift::ClusterSnapshot",
            "AWS::RDS::DBClusterSnapshot",
            "AWS::CloudFront::StreamingDistribution"
        ]
    },
   "includeGlobalResourceTypes": false,
   "recordingStrategy": {
       "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
    },
  
}

      Antes de especificar os tipos de recursos a serem excluídos na gravação:

      • Você deve definir os campos allSupported e includeGlobalResourceTypes do parâmetro --recording-group como false, ou omiti-los.

      • Você deve definir o campo useOnly de RecordingStrategy para EXCLUSION_BY_RESOURCE_TYPES.

      nota

      Campos de substituição

      Se você escolher EXCLUSION_BY_RESOURCE_TYPES para a estratégia de gravação, o campo exclusionByResourceTypes substituirá outras propriedades na solicitação.

      Por exemplo, mesmo que você defina includeGlobalResourceTypes como falso, os tipos de recursos globais do IAM ainda serão gravados automaticamente nessa opção, a menos que esses tipos de recursos estejam especificamente listados como exclusões no campo resourceTypes de exclusionByResourceTypes.

      nota

      Tipos de recursos globais e a estratégia de gravação de exclusão de recursos

      Por padrão, se você escolher a estratégia de registro EXCLUSION_BY_RESOURCE_TYPES, quando o AWS Config adiciona suporte para um novo tipo de recurso na região em que você configurou o gravador de configuração, incluindo tipos de recursos globais, o AWS Config começa a registrar recursos desse tipo automaticamente.

      A menos que seja especificamente listado como exclusões, o AWS::RDS::GlobalCluster será gravado automaticamente em todas as regiões do AWS Config compatíveis onde o gravador de configuração estiver habilitado.

      Usuários, grupos e perfis do IAM, além de políticas gerenciadas pelo cliente serão gravados na região onde você configurou o gravador de configuração, se essa for uma região onde o AWS Config estava disponível antes de fevereiro de 2022. Não é possível gravar tipos de recursos globais do IAM nas Regiões com suporte pelo AWS Config após fevereiro de 2022. Para obter uma lista dessas Regiões, consulte Gravação de recursos da AWS | Recursos globais.

    2. O put-configuration-recorder usa os seguintes campos para o parâmetro --configuration-recorder:

      • name – o nome do gravador de configuração. O AWS Config atribui automaticamente o nome de “padrão” ao criar o gravador de configuração.

      • roleARN – o nome do recurso da Amazon (ARN) do perfil do IAM assumido pelo AWS Config e usado pelo gravador de configuração.

      • recordingMode – especifica a frequência de gravação padrão que o AWS Config usa para gravar alterações na configuração. O AWS Config é compatível com a Gravação contínua e a Gravação diária. A gravação contínua possibilita gravar as alterações na configuração de modo contínuo sempre que ocorre uma alteração. Gravação contínua: você vai receber um item de configuração (CI) que representa o estado mais recente dos recursos no último período de 24 horas, somente se for diferente do CI anterior gravado.

        • recordingFrequency – a frequência de gravação padrão que o AWS Config usa para gravar alterações na configuração.

          nota

          O AWS Firewall Manager depende da gravação contínua para monitorar os recursos. Se você estiver usando o Firewall Manager, é recomendável definir a frequência de gravação como Contínua.

        • recordingModeOverrides: esse campo permite especificar as substituições para o modo de gravação. É uma matriz de objetos recordingModeOverride. Cada objeto recordingModeOverride na matriz recordingModeOverrides consiste em três campos:

          • description: uma descrição fornecida para a substituição.

          • recordingFrequency: a frequência de gravação que será aplicada a todos os tipos de recursos especificados na substituição.

          • resourceTypes: uma lista separada por vírgulas que especifica quais tipos de recursos o AWS Config inclui na substituição.

      nota

      Campos obrigatórios e opcionais

      O campo recordingMode para put-configuration-recorder é opcional. Por padrão, a frequência de gravação do gravador de configuração é definida como gravação contínua.

      nota

      Limites

      A gravação diária não é compatível com os seguintes tipos de recursos:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      Para a estratégia de gravação Registrar todos os tipos de recursos compatíveis atuais e futuros (ALL_SUPPORTED_RESOURCE_TYPES), esses tipos de recursos serão definidos como Gravação contínua.

      O arquivo configurationRecorder.json especifica name e roleArn, bem como a frequência de gravação padrão para o gravador de configuração (recordingMode). Também é possível usar esse campo para substituir a frequência de gravação de tipos de recursos específicos.

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (Opcional) Para verificar se o seu gravador de configuração tem as configurações que você quer, use o comando a seguir describe-configuration-recorders.

    $ aws configservice describe-configuration-recorders

    O seguinte é um exemplo de resposta.

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": [
                        "AWS::Redshift::ClusterSnapshot",
                        "AWS::RDS::DBClusterSnapshot",
                        "AWS::CloudFront::StreamingDistribution"
                    ]
                },
                "includeGlobalResourceTypes": false,
                "recordingStrategy": {
                    "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record specific resource types

Configure o AWS Config para gravar alterações na configuração somente para os tipos de recursos especificados. Se você optar por interromper a gravação de um tipo de recurso, os itens de configuração que já foram gravados permanecerão inalterados.

Esse comando usa os campos --configuration-recorder e ---recording-group.

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
nota

Grupo de gravação e gravador de configuração

O campo --recording-group especifica quais tipos de recursos são gravados.

O campo --configuration-recorder especifica name e roleArn, bem como a frequência de gravação padrão para o gravador de configuração (recordingMode). Também é possível usar esse campo para substituir a frequência de gravação de tipos de recursos específicos.

  1. Use o comando put-configuration-recorder e transfira um ou mais tipos de recursos no campo resourceTypes do recordingGroup, conforme mostrado no seguinte exemplo.

    1. O arquivo recordingGroup.json especifica que tipos de recursos o AWS Config registrará.

      {
    "allSupported": false,
    "recordingStrategy": {
        "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": false,
    "resourceTypes": [
        "AWS::EC2::EIP",
        "AWS::EC2::Instance",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::SecurityGroup",
        "AWS::CloudTrail::Trail",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC",
        "AWS::IAM::User",
        "AWS::IAM::Policy"
  ]
}
      nota

      Campos obrigatórios e opcionais

      Antes de especificar os tipos de recursos a serem incluídos na gravação, você deve definir os campos allSupported e includeGlobalResourceTypes como false, ou omiti-los.

      O campo recordingStrategy é opcional quando você lista os tipos de recursos no campo resourceTypes de --recording-group.

      nota

      Disponibilidade de regiões

      Antes de especificar um tipo de recurso para o AWS Config rastrear, confira a Cobertura de recursos por região e disponibilidade para ver se o tipo de recurso é compatível na região da AWS em que você configurou o AWS Config. Se um tipo de recurso for compatível com AWS Config em pelo menos uma região, você poderá habilitar o registro desse tipo de recurso em todas as regiões compatíveis com o AWS Config, mesmo que o tipo de recurso especificado não seja suportado na região da AWS em que você configurou o AWS Config.

    2. O put-configuration-recorder usa os seguintes campos para o parâmetro --configuration-recorder:

      • name – o nome do gravador de configuração. O AWS Config atribui automaticamente o nome de “padrão” ao criar o gravador de configuração.

      • roleARN – o nome do recurso da Amazon (ARN) do perfil do IAM assumido pelo AWS Config e usado pelo gravador de configuração.

      • recordingMode – especifica a frequência de gravação padrão que o AWS Config usa para gravar alterações na configuração. O AWS Config é compatível com a Gravação contínua e a Gravação diária. A gravação contínua possibilita gravar as alterações na configuração de modo contínuo sempre que ocorre uma alteração. Gravação contínua: você vai receber um item de configuração (CI) que representa o estado mais recente dos recursos no último período de 24 horas, somente se for diferente do CI anterior gravado.

        • recordingFrequency – a frequência de gravação padrão que o AWS Config usa para gravar alterações na configuração.

          nota

          O AWS Firewall Manager depende da gravação contínua para monitorar os recursos. Se você estiver usando o Firewall Manager, é recomendável definir a frequência de gravação como Contínua.

        • recordingModeOverrides: esse campo permite especificar as substituições para o modo de gravação. É uma matriz de objetos recordingModeOverride. Cada objeto recordingModeOverride na matriz recordingModeOverrides consiste em três campos:

          • description: uma descrição fornecida para a substituição.

          • recordingFrequency: a frequência de gravação que será aplicada a todos os tipos de recursos especificados na substituição.

          • resourceTypes: uma lista separada por vírgulas que especifica quais tipos de recursos o AWS Config inclui na substituição.

      nota

      Campos obrigatórios e opcionais

      O campo recordingMode para put-configuration-recorder é opcional. Por padrão, a frequência de gravação do gravador de configuração é definida como gravação contínua.

      nota

      Limites

      A gravação diária não é compatível com os seguintes tipos de recursos:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      Para a estratégia de gravação Registrar todos os tipos de recursos compatíveis atuais e futuros (ALL_SUPPORTED_RESOURCE_TYPES), esses tipos de recursos serão definidos como Gravação contínua.

      O arquivo configurationRecorder.json especifica name e roleArn, bem como a frequência de gravação padrão para o gravador de configuração (recordingMode). Também é possível usar esse campo para substituir a frequência de gravação de tipos de recursos específicos.

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (Opcional) Para verificar se o seu gravador de configuração tem as configurações que você quer, use o comando a seguir describe-configuration-recorders.

    $ aws configservice describe-configuration-recorders

    O seguinte é um exemplo de resposta.

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": []
                },
                "includeGlobalResourceTypes": false
                "recordingStrategy": {
                    "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [
                    "AWS::EC2::EIP",
                    "AWS::EC2::Instance",
                    "AWS::EC2::NetworkAcl",
                    "AWS::EC2::SecurityGroup",
                    "AWS::CloudTrail::Trail",
                    "AWS::EC2::Volume",
                    "AWS::EC2::VPC",
                    "AWS::IAM::User",
                    "AWS::IAM::Policy"
                ]
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}