本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 开启资源跟踪
在创建第一个与合规性相关的框架之前,必须开启资源跟踪功能。这样 AWS Config 做可以跟踪您的 AWS Backup 资源。有关如何管理资源跟踪的技术文档,请参阅*AWS Config 开发人员指南*[中的 AWS Config 使用控制台进行设置](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)。
当您开启资源跟踪功能时,将收取费用。有关 Audit Manager 的 AWS Backup 资源跟踪定价和账单的信息,请参阅[计量、成本和账单](https://docs.aws.amazon.com/aws-backup/latest/devguide/metering-and-billing.html)。
**Topics**
+ [使用控制台开启资源跟踪](#turning-on-resource-tracking-console)
+ [使用 AWS Command Line Interface (AWS CLI) 开启资源跟踪](#turning-on-resource-tracking-cli)
+ [使用 CloudFormation 模板开启资源跟踪](#turning-on-resource-tracking-cfn)
## 使用控制台开启资源跟踪
**使用控制台开启资源跟踪:**
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在左侧导航窗格的 **Audit Manager** 下,选择**框架**。
1. 选择**管理资源跟踪**,以开启资源跟踪。
1. 选择 “**前往 AWS Config 设置”**。
1. 选择**启用或禁用记录**。
1. 为以下所有资源类型选择**启用**记录,或者选择为某些资源类型启用记录。请参阅 [AWS Backup Audit Manager 控件和补救措施](https://docs.aws.amazon.com/aws-backup/latest/devguide/controls-and-remediation.html),了解您的控件需要哪些资源类型。
+ `AWS Backup: backup plans`
+ `AWS Backup: backup vaults`
+ `AWS Backup: recovery points`
+ `AWS Backup: backup selection`
1. 选择**关闭**。
1. 等待带有文本**打开资源跟踪**的蓝色横幅变为带有文本**资源跟踪已开启**的绿色横幅。
您可以在 AWS Backup 控制台的两个位置查看是否已开启资源跟踪,如果是,则可以查看正在记录哪些资源类型。在左侧导航窗格中,执行以下一项操作:
+ 选择**框架**,然后选择 **AWS Config 记录器状态**下的文本。
+ 选择**设置**,然后选择 **AWS Config 记录器状态**下的文本。
## 使用 AWS Command Line Interface (AWS CLI) 开启资源跟踪
如果您尚未登录 AWS Config,则使用上手可能会更快地上手。 AWS CLI
**使用 AWS CLI开启资源跟踪:**
1. 键入以下命令以确定是否已启用 AWS Config 记录器。
```
$ aws configservice describe-configuration-recorders
```
1. 如果 `ConfigurationRecorders` 列表为空,如下所示:
```
{
"ConfigurationRecorders": []
}
```
则表明您的记录器未启用。请继续执行步骤 2 以创建记录器。
1. 如果您已经为所有资源启用了记录功能,则 `ConfigurationRecorders` 输出将如下所示:
```
{
"ConfigurationRecorders":[
{
"recordingGroup":{
"allSupported":true,
"resourceTypes":[
],
"includeGlobalResourceTypes":true
},
"roleARN":"arn:aws:iam::[account]:role/[roleName]",
"name":"default"
}
]
}
```
由于您启用了所有资源,因此您已开启资源跟踪功能。您无需完成本过程的其余部分即可使用 Audit M AWS Backup anager。
1. 使用 Au AWS Config dit Manag AWS Backup er 资源类型创建记录器
```
$ aws configservice put-configuration-recorder --configuration-recorder name={{default}}, \
roleARN=arn:aws:iam::{{accountId}}:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \
--recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \
'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint']"
```
1. 描述一下你的 AWS Config 录音机。
```
$ aws configservice describe-configuration-recorders
```
通过将您的输出与以下预期输出进行比较,验证其是否具有 Audit Manager 资源类型。 AWS Backup
```
{
"ConfigurationRecorders":[
{
"name":"{{default}}",
"roleARN":"arn:aws:iam::{{accountId}}:role/AWSServiceRoleForConfig",
"recordingGroup":{
"allSupported":false,
"includeGlobalResourceTypes":false,
"resourceTypes":[
"AWS::Backup::BackupPlan",
"AWS::Backup::BackupSelection",
"AWS::Backup::BackupVault",
"AWS::Backup::RecoveryPoint"
]
}
}
]
}
```
1. 创建一个 Amazon S3 存储桶作为存储 AWS Config 配置文件的目标。
```
$ aws s3api create-bucket --bucket {{amzn-s3-demo-bucket}} —region {{us-east-1}}
```
1. 用于授{{policy.json}}予访问您的存储桶的 AWS Config 权限。参见以下示例{{policy.json}}。
```
$ aws s3api put-bucket-policy --bucket {{amzn-s3-demo-bucket}} --policy {{file://policy.json}}
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AWSConfigBucketPermissionsCheck",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:GetBucketAcl",
"Resource":"arn:aws:s3:::{{amzn-s3-demo-bucket}}"
},
{
"Sid":"AWSConfigBucketExistenceCheck",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:ListBucket",
"Resource":"arn:aws:s3:::{{amzn-s3-demo-bucket}}"
},
{
"Sid":"AWSConfigBucketDelivery",
"Effect":"Allow",
"Principal":{
"Service":"config.amazonaws.com"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::{{amzn-s3-demo-bucket}}/*"
}
]
}
```
------
1. 将您的存储桶配置为 AWS Config 配送渠道
```
$ aws configservice put-delivery-channel --delivery-channel name={{default}},s3BucketName={{amzn-s3-demo-bucket}}
```
1. 启用 AWS Config 录制
```
$ aws configservice start-configuration-recorder --configuration-recorder-name {{default}}
```
1. 验证 `DescribeFramework` 输出最后一行中的 `"FrameworkStatus":"ACTIVE"`,如下所示。
```
$ aws backup describe-framework --framework-name {{test}} --region {{us-east-1}}
```
```
{
"FrameworkName":"test",
"FrameworkArn":"arn:aws:backup:us-east-1:{{accountId}}:framework:{{test-f0001b0a-0000-1111-ad3d-4444f5cc6666}}",
"FrameworkDescription":"",
"FrameworkControls":[
{
"ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
"ControlInputParameters":[
{
"ParameterName":"requiredRetentionDays",
"ParameterValue":"1"
}
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
"ControlInputParameters":[
{
"ParameterName":"requiredFrequencyUnit",
"ParameterValue":"hours"
},
{
"ParameterName":"requiredRetentionDays",
"ParameterValue":"35"
},
{
"ParameterName":"requiredFrequencyValue",
"ParameterValue":"1"
}
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
"ControlInputParameters":[
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED",
"ControlInputParameters":[
],
"ControlScope":{
}
},
{
"ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
"ControlInputParameters":[
],
"ControlScope":{
}
}
],
"CreationTime":1633463605.233,
"DeploymentStatus":"COMPLETED",
"FrameworkStatus":"ACTIVE"
}
```
## 使用 CloudFormation 模板开启资源跟踪
有关启用资源跟踪的 CloudFormation 模板,请参阅将 Audit [Manager 与一起使用 AWS BackupCloudFormation](https://docs.aws.amazon.com/aws-backup/latest/devguide/bam-cfn-integration.html)。