Visualize os dados do AWS Config gravador nas contas inscritas Solução de problemas AWS Config no AWS Control Tower

Monitore as mudanças de recursos com AWS Config

O AWS Control Tower habilita AWS Config todas as contas inscritas, para que possa monitorar a conformidade por meio de controles de detetive, registrar alterações de recursos e entregar registros de alterações de recursos à conta de arquivamento de registros.

Se sua versão do landing zone for anterior à 3.0: para suas contas inscritas, AWS Config registra todas as alterações nos recursos, para todas as regiões nas quais a conta opera. Cada alteração é modelada como um item de configuração (CI), que contém informações como o identificador do recurso, a região, a data em que cada alteração foi registrada e se a alteração está relacionada a um recurso conhecido ou a um recém-descoberto.

Se a versão da sua landing zone for 3.0 ou posterior: o AWS Control Tower limita a gravação de recursos globais, como usuários, grupos, funções e políticas gerenciadas pelo cliente do IAM, somente à sua região de origem. Cópias das alterações globais de recursos não são armazenadas em todas as regiões. Essa limitação do registro de recursos está em conformidade com as AWS Config melhores práticas. Uma lista completa dos recursos globais está disponível na AWS Config documentação.

Para saber mais AWS Config, consulte Como AWS Config funciona.
Para obter uma lista de recursos que AWS Config podem oferecer suporte, consulte Tipos de recursos compatíveis.
Para saber como personalizar o rastreamento de recursos no ambiente da AWS Control Tower, consulte a postagem do blog intitulada Personalizar o rastreamento de AWS Config recursos na AWS Control Tower.

O AWS Control Tower configura um canal AWS Config de entrega em todas as contas inscritas. Por meio desse canal de entrega, ele registra todas as alterações registradas AWS Config na conta de arquivamento de registros, onde elas são armazenadas em uma pasta em um bucket do Amazon Simple Storage Service.

Visualize os dados do AWS Config gravador nas contas inscritas

AWS Config é integrado CloudWatch para que você possa visualizar AWS Config ICs em um painel. Para obter mais informações, consulte a postagem do blog intitulada AWS Config suporta CloudWatch as métricas da Amazon.

Programaticamente, para visualizar AWS Config dados, você pode trabalhar com a AWS CLI ou utilizar outras ferramentas. AWS

Consulte os dados do AWS Config gravador em um recurso específico

Você pode usar a AWS CLI para recuperar uma lista das alterações mais recentes de um recurso.

Comando de histórico de recursos:

aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION

Para saber mais, consulte a documentação da API para get-config-history.

Visualize AWS Config dados com a Amazon QuickSight

Você pode visualizar e consultar recursos registrados por AWS Config toda a organização. Para obter mais informações, consulte Visualização de AWS Config dados usando o Amazon Athena e a Amazon. QuickSight

Solução de problemas AWS Config no AWS Control Tower

Esta seção fornece informações sobre alguns problemas que você pode encontrar ao usar o AWS Config AWS Control Tower.

AWS Config Custos elevados

Se seu fluxo de trabalho incluir processos que criam, atualizam ou excluem recursos com frequência, ou se ele manipula recursos em grande número, esse fluxo de trabalho pode gerar um grande número de ICs. Se você executar esses processos em uma conta que não seja de produção, considere cancelar a inscrição da conta. Talvez seja necessário desativar o AWS Config gravador dessa conta manualmente.

nota

Depois de cancelar a inscrição da conta, o AWS Control Tower não pode aplicar controles de detetive nem registrar eventos da conta, como AWS Config atividades, para obter recursos nessa conta.

Para obter mais informações, consulte Não gerenciar uma conta inscrita. Para saber como desativar o AWS Config gravador, consulte Gerenciando o gravador de configuração.

O mesmo recurso é registrado várias vezes

Verifique se o recurso é global. Para zonas de pouso do AWS Control Tower anteriores à versão 3.0, é AWS Config possível registrar determinados recursos globais uma vez para cada região em que AWS Config está operando. Por exemplo, se AWS Config estiver ativado em oito regiões, cada função será registrada oito vezes.

Os seguintes recursos são registrados uma vez para cada região em que AWS Config está operando:

AWS::IAM::Group
AWS::IAM::Policy
AWS::IAM::Role
AWS::IAM::User

Outros recursos globais são registrados somente uma vez. Aqui estão alguns exemplos de recursos que são registrados uma vez:

AWS::Route53::HostedZone
AWS::Route53::HealthCheck
AWS::ECR::PublicRepository
AWS::GlobalAccelerator::Listener
AWS::GlobalAccelerator::EndpointGroup
AWS::GlobalAccelerator::Accelerator

AWS Config não registrou um recurso

Certos recursos têm relações de dependência com outros recursos. Essas relações podem ser diretas ou indiretas. Você pode encontrar uma lista de relacionamentos indiretos obsoletos nas Perguntas frequentes. AWS Config

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Registrando ações do AWS Control Tower com AWS CloudTrail

Gerencie os custos do Config