一键设置 AWS Config - AWS Config
步骤 1:设置第 2 步:规则第 3 步:审核

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

一键设置 AWS Config

AWS Config 通过减少手动选择的数量,一键设置有助于简化 AWS Config 主机客户的入门流程。要查看设置过程的所有手动选择,请参阅手动设置

使用 “ AWS Config 一设置” 在主机上进行设置

  1. 登录 AWS Management Console 并打开 AWS Config 控制台,网址为https://console.aws.amazon.com/config/

  2. 选择一键设置

设置页面包括三个步骤,但是通过一键设置工作流,您将被自动定向到步骤 3(查看)。下面详细列出了这些步骤。

  • 设置:选择 AWS Config 控制台记录资源和角色的方式,并选择配置历史记录和配置快照文件的发送位置。

  • 规则:对于 AWS 区域 该支持 AWS Config 规则,您可以通过此步骤配置可以添加到您的账户的初始托管规则。设置完成后, AWS Config 将根据您选择的规则评估您的 AWS 资源。设置完成后,可以创建其他规则,您账户中的现有规则也会更新。

  • 查看:验证您的设置细节。

步骤 1:设置

记录策略

为您选择了使用可自定义覆盖项记录所有资源类型的选项。 AWS Config 将记录该区域所有当前和 future 支持的资源类型。有关更多信息,请参阅支持的资源类型

  • 默认设置

    默认记录频率已设置为持续。这意味着每当发生更改时,都会持续 AWS Config 记录配置更改。

    AWS Config 还支持将录制频率设置为 “每日” 的选项。如果您在设置之后选择该选项,将会收到代表过去 24 小时内资源最新状态的配置项 (CI),前提是它与之前记录的 CI 不同。有关更多信息,请参阅记录频率

    注意

    AWS Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。

  • 覆盖设置 – 可选

    您可以选择在设置完成后覆盖特定资源类型的记录频率,或从记录中排除特定资源类型。要覆盖默认设置,请在 AWS Config 控制台左侧导航栏中选择 “设置”,然后选择 “编辑”

记录资源时的注意事项

AWS Config 评估次数多

与随后的几个月相比,您可能会注意到,在使用 AWS Config 记录的最初一个月中,您的账户活动有所增加。在初始引导过程中, AWS Config 会对您账户中您选择 AWS Config 要记录的所有资源进行评估。

如果您运行的是临时工作负载,则可能会看到 AWS Config 中的活动增加,因为它会记录与创建和删除这些临时资源相关的配置更改。临时工作负载 是临时使用在需要时加载和运行的计算资源。示例包括亚马逊弹性计算云 (AmazonEC2) 竞价型实例、亚马逊EMR任务和 AWS Auto Scaling。如果要避免因运行临时工作负载而增加的活动,则可以设置配置记录器以将这些资源类型排除在记录之外,或者在 AWS Config 关闭的情况下在单独的帐户中运行这些类型的工作负载,以避免增加配置记录和规则评估。

全局资源类型 | Aurora 全局集群最初包含在记录范围内

AWS::RDS::GlobalCluster资源类型将在启用配置记录器的所有支持 AWS Config 区域中进行记录。

如果您不想在所有已启用的区域中记录 AWS::RDS::GlobalCluster,可以在设置完成后将此资源类型排除在记录范围之外。在左侧导航栏中选择设置,然后选择编辑。从编辑菜单转到记录方法部分中的覆盖设置,选择 AWS::RDS::GlobalCluster,然后选择“从记录中排除”覆盖方法。

全局资源类型 | IAM 资源类型最初不在记录范围内

“所有全球录制的IAM资源类型” 最初不包括在录制范围内,以帮助您降低成本。此捆绑包包括IAM用户、群组、角色和客户托管策略。选择移除以删除覆盖,并将这些资源包含在您的记录范围内。

此外,2022 年 2 月 AWS Config 之后将无法在支持的区域中记录全球IAM资源类型(AWS::IAM::UserAWS::IAM::Role、、和AWS::IAM::Policy)。AWS::IAM::Group有关这些区域的列表,请参阅录制 AWS 资源 | 全球资源

数据治理

本节为您选择了将 AWS Config 数据保留7年(2557天)的默认数据保留期。

已为您选择 “使用现有 AWS Config 服务相关角色” 选项并将其设置为该AWS Config 角色。服务相关角色由服务预定义 AWS Config ,包括该服务调用其他 AWS 服务所需的所有权限。

传送方式

在本部分中为您选择了从您的账户中选择一个存储桶选项。此选项将默认为您账户中以格式命名的存储桶config-bucket-accountid。例如,config-bucket-012345678901。如果您没有以这种格式创建存储桶,则会为您创建一个这种格式的存储桶。如果希望创建自己的存储桶,请参阅《Amazon Simple Storage Service 用户指南》中的创建存储桶

有关 S3 存储桶的更多信息,请参阅《Amazon Simple Storage Service (Amazon S3) 用户指南》中的存储桶概述

第 2 步:规则

根据 AWS 托管规则,此步骤未为您选择任何规则。但我们鼓励您在完成账户设置后创建和更新规则。

第 3 步:审核

查看您的 AWS Config 设置详细信息。您可以返回编辑每个部分中所做的更改。选择 “确认” 以完成设置 AWS Config。