本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用录制 AWS 资源 AWS Config
AWS Config 持续检测何时创建、更改或删除支持的资源类型。 AWS Config 将这些事件记录为配置项目 (CIs)。
您可以自定义 AWS Config 以记录所有支持的资源类型的配置更改,或者仅记录与您相关的受支持资源类型的配置更改。有关 AWS Config 可以记录的支持资源类型的列表,请参阅[支持的资源类型 AWS Config](resource-config-reference.md)。
**Topics**
+ [注意事项](#select-resources-considerations)
+ [区域性资源和全局资源](#select-resources-all)
+ [AWS Config 规则和全局资源类型](#select-resources-rules-and-global)
+ [记录频率](#select-resources-recording-frequency)
+ [未记录的资源](#select-resources-non-recorded)
+ [记录资源(控制台)](select-resources-console.md)
+ [录制资源 (AWS CLI)](select-resources-cli.md)
+ [排除资源](select-resources-excluding.md)
+ [停止记录](select-resources-stopping-recording.md)
## 注意事项
** AWS Config 评估次数多**
与随后的几个月相比,您可能会注意到,在使用 AWS Config 记录的第一个月份中,您的账户活动有所增加。在初始引导过程中, AWS Config 会对您账户中您选择 AWS Config 要记录的所有资源进行评估。
如果您运行的是临时工作负载,则可能会看到活动增加, AWS Config 因为它记录了与创建和删除这些临时资源相关的配置更改。*临时工作负载* 是临时使用在需要时加载和运行的计算资源。示例包括 Amazon Elastic Compute Cloud(Amazon EC2)竞价型实例、Amazon EMR 任务和 AWS Auto Scaling。
如果您想避免因运行临时工作负载而增加活动,则可以设置客户托管的配置记录器,将这些资源类型排除在记录之外,或者在 AWS Config 关闭的情况下在单独的账户中运行这些类型的工作负载,以避免增加配置记录和规则评估。
**区域可用性**
在指定 AWS Config 要跟踪的资源类型之前,请检查[按区域划分的资源覆盖率](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html),以查看您设置的 AWS 区域是否支持该资源类型 AWS Config。
如果至少有一个区域支持某种资源类型,则即使您设置的区域不支持指定的资源类型 AWS Config,您也可以在支持的所有 AWS 区域中启用该资源类型的记录 AWS Config。 AWS Config
## 区域性资源和全局资源有什么区别?
**区域性资源**
*区域性资源*与某个区域相关联,且仅可在该区域中使用。你在指定的区域中创建它们 AWS 区域,然后它们就存在于该区域中。要查看这些资源或与之交互,您必须将操作定向到该区域。例如,要使用创建 Amazon EC2 实例 AWS 区域,[请选择](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html)要在中创建实例的。 AWS 管理控制台如果您使用 AWS Command Line Interface (AWS CLI) 创建实例,则需要包含`--region`参数。它们 AWS SDKs 都有自己的等效机制来指定操作使用的区域。
使用区域性资源有几个原因。原因之一是要确保资源以及您用来访问资源的服务终端节点尽可能靠近客户。这通过最大限度减少延迟来提高性能。另一个原因是为了提供隔离边界。这样,您可以在多个区域中创建独立的资源副本,以分配负载并提高可扩展性。同时,它可以将资源相互隔离,以提高可用性。
如果您在控制台或 AWS CLI 命令 AWS 区域 中指定其他内容,则无法再查看在前一个区域中可以看到的资源或与之交互。
当您查看区域资源的 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)时,包含该资源的区域被指定为 ARN 中的第四个字段。例如,Amazon EC2 实例是一种区域性资源。以下是面向 `us-east-1` 区域中 Amazon EC2 实例的 ARN 示例。
```
arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
```
**全局资源**
有些 AWS 服务资源是*全球资源*,这意味着您可以从***任何地方***使用该资源。您无需在全局服务的控制台中指定。 AWS 区域 要访问全局资源,在使用服务 AWS CLI 和 AWS SDK 操作时无需指定`--region`参数。
全局资源支持在关键时刻某一特定资源只能存在一个实例的情况。在这些情况下,在不同区域的副本之间进行复制或同步是不够的。为了确保资源使用者能即时看到任何变化,访问单一全局终端节点被认为是可以接受的,虽然可能会增加延迟。
例如,Amazon Aurora 全局集群(`AWS::RDS::GlobalCluster`)是全局资源,因此与区域无关。这意味着您无需依赖区域终端节点即可创建全局集群。好处是,虽然 Amazon Relational Database Service(Amazon RDS)本身是按区域组织的,但全局集群所源自的特定区域不会影响全局集群。它以单个连续的全局集群形式出现在所有区域。
全局资源的 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)不包括区域。第四个字段为空,例如以下全局集群的 ARN 示例。
```
arn:aws:rds::123456789012:global-cluster:test-global-cluster
```
2022 年 2 月 AWS Config 之后加入的全球资源类型将仅记录在服务主区域(商业分区)和分区 AWS GovCloud (美国西部)中。 GovCloud 您只能在其所在地区和(美国西部CIs)查看这些新的全球资源类型的配置项目 AWS GovCloud ()。
2022 年 2 月之前载入的全局资源类型(`AWS::IAM::Group`、`AWS::IAM::Policy`、`AWS::IAM::Role` 和 `AWS::IAM::User`)保持不变。您可以在 2022 年 2 月之前支持的所有区域启用这些全球 IAM 资源的记录。 AWS Config 2022 年 2 月 AWS Config 之后,这些全球 IAM 资源无法记录在支持的区域中。
**全局资源类型 \$1 IAM 资源**
以下 IAM 资源类型是全局资源:IAM 用户、组、角色和客户管理型策略。这些资源类型可以在 2022 AWS Config 年 2 月之前可用的区域 AWS Config 中进行记录。无法记录全局 IAM 资源类型的区域列表中包含以下区域:亚太地区(海得拉巴)、亚太地区(马来西亚)、亚太地区(墨尔本)、亚太地区(泰国)、加拿大西部(卡尔加里)、欧洲(西班牙)、欧洲(苏黎世)、以色列(特拉维夫)、墨西哥(中部)和中东(阿联酋)。
为防止配置项目重复 (CIs),您应考虑仅在其中一个支持的区域中记录一次全球 IAM 资源类型。这还可以帮助您避免不必要的评估和 API 节流。
**全局资源类型 \$1 仅限主区域**
以下服务的全球资源仅按 AWS Config 全球资源类型的主区域记录:亚马逊弹性容器注册表公共区域、 AWS Global Accelerator Amazon Route 53 CloudFront、Amazon 和 AWS WAF。对于这些全球资源,可以在多个 AWS 区域中使用同一资源类型的实例,但是配置项目 (CIs) 仅记录在商业分区的起始区域,或者分区的 AWS GovCloud (美国西部)。 AWS GovCloud (US)
**全局资源类型的主区域**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/select-resources.html)
**全局资源类型 \$1 Aurora 全局集群**
`AWS::RDS::GlobalCluster`是一种全球资源,记录在启用了客户管理的配置记录器的所有受支持 AWS Config 区域。这种全球资源类型的独特之处在于,如果您在一个区域启用此资源的记录,则 AWS Config 将在所有已启用的区域中记录该资源类型的配置项目 (CIs)。
如果您不想在所有已启用的区域中记录,`AWS::RDS::GlobalCluster`请使用以下适用于 AWS Config 控制台的记录策略之一:
+ **使用可自定义的替代项录制所有资源类型**,选择 GlobalCluster “AWS RDS”,然后选择替代 “从录制中排除”
+ **记录特定的资源类型**()。
如果您不想在所有已启用的区域中记录,`AWS::RDS::GlobalCluster`请使用以下适用于 API/CLI 的记录策略之一:
+ **记录所有当前和未来的资源类型,排除项除外**(`EXCLUSION_BY_RESOURCE_TYPES`)
+ **记录特定的资源类型**(`INCLUSION_BY_RESOURCE_TYPES`)。
## AWS Config 规则和全局资源类型
2022 年 2 月之前加入的全球 IAM 资源类型(`AWS::IAM::Group``AWS::IAM::Policy`、`AWS::IAM::Role`、和`AWS::IAM::User`)只能在 2022 年 2 月之前可用的 AWS Config 区域 AWS Config 中进行记录。2022 年 2 月 AWS Config 之后,这些全球 IAM 资源类型无法记录在支持的区域中。有关这些区域的列表,请参阅[记录 AWS 资源 \$1 全球资源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)。
如果您至少在一个区域记录全局 IAM 资源类型,则报告全局 IAM 资源类型合规性的定期规则将在添加定期规则的所有区域运行评估,即使您尚未在已添加定期规则的区域启用全局 IAM 资源类型的记录,也是如此。
**在 2022 年 2 月之前报告载入的全局资源的最佳实践**
为避免不必要的评估,您只应将包含这些全球资源的 AWS Config 规则和一致性包部署到支持的区域之一。有关哪些区域支持哪些托管规则的列表,请参阅[按区域可用性列出的 AWS Config 托管规则列表](https://docs.aws.amazon.com/config/latest/developerguide/managing-rules-by-region-availability.html)。这适用于 AWS Config 规则、组织 AWS Config 规则以及由其他 AWS 服务(例如 AWS Security Hub CSPM 和)创建的规则 AWS Control Tower。
如果您没有记录 2022 年 2 月之前载入的全局资源类型,建议您不要启用以下定期规则,以避免不必要的评估:
+ [access-keys-rotated](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)
+ [account-part-of-organizations](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)
+ [iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
+ [iam-policy-in-use](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)
+ [iam-root-access-key-检查](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)
+ [iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)
+ [iam-user-unused-credentials-检查](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)
+ [mfa-enabled-for-iam-控制台访问权限](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)
+ [root-account-hardware-mfa-已启用](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)
+ [root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)
**在 2022 年 2 月之后报告载入的全局资源的最佳实践**
2022 年 2 月之后加入 AWS Config 录制的全球资源类型将仅记录在服务主区域(商业分区)和分区 AWS GovCloud (美国西部)中。 AWS GovCloud (US) 您应该将这些全球资源范围内的 AWS Config 规则和一致性包部署到资源类型的起始区域。有关更多信息,请参阅[全局资源类型的主区域](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)。
## 的录制频率 AWS Config
AWS Config 支持*连续录制*和*每日录制*。连续记录可让您在每次发生配置更改时连续记录更改。使用每日记录,您将收到代表过去 24 小时内资源的最新状态的配置项(CI),前提是它与之前记录的 CI 不同。有关如何更改录制频率的步骤,请参阅[更改录制频率](https://docs.aws.amazon.com/config/latest/developerguide/managing-recorder_console-change-recording-frequency.html)。
**连续记录**
连续记录的部分优势包括:
+ **实时监控**:连续记录可以立即检测未经授权的更改或意外改动,从而提升您的安全性和合规性。
+ **详细分析**:连续记录可以让您在资源配置更改发生时对其进行深入分析,确定当下的模式和趋势。
**每日记录**
每日记录的部分优势包括:
+ **最大限度减少干扰**:每日记录可以为您提供更易于管理的信息流,从而减少通知频率和警报疲劳。
+ **成本效益**:每日记录可以让您灵活地以较低的频率记录资源更改,从而降低与记录的配置更改数量相关的成本。
**注意**
AWS Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。
## 未记录的资源
如果未记录资源,则仅 AWS Config 捕获该资源的创建和删除情况,不记录其他详细信息,而不会向您收取任何费用。创建或删除未录制的资源时, AWS Config 会发送通知,并在资源详细信息页面上显示该事件。在未记录资源的详细信息页面上,大多数配置详细信息的值为 null,且不会显示关于关系和配置更改的信息。
由于缺少未记录资源的数据, AWS Config 提供已记录资源的关系信息不受限制。如果某个已记录资源与未记录资源相关联,则已记录资源的详细信息页面会提供相应的关系信息。
**IAM 资源类型注意事项**
仅当资源被选为或以前被选为要在客户管理的配置记录器中记录的资源时,`AWS::IAM::User`、`AWS::IAM::Policy`、` AWS::IAM::Group`、`AWS::IAM::Role` 资源类型才会捕获创建(`ResourceNotRecorded`)和删除(`ResourceDeletedNotRecorded`)状态。
**未记录资源的 CI 记录时间表**
`ResourceNotRecorded`和的配置项目 (CIs) `ResourceDeletedNotRecorded` 不遵循资源类型的典型录制时间。这些资源类型仅在客户管理的配置记录器的定期基准化过程中进行记录,与其他资源类型相比,该过程的频率较低。这意味着创建和删除通知不是在创建或删除时发送的,而是在基准化过程中发送的。
**CI 交付和服务相关记录器范围**
对于与服务相关的配置记录器,录制范围决定了您是否在交付渠道中接收配置项目 (CIs)。记录范围由关联到配置记录器的服务设置。如果录制范围是内部的,则您不会在配送渠道 CIs 中接收。
# 在 AWS Config 控制台中录制资源
您可以使用 AWS Config 控制台选择使用客户管理的配置 AWS Config 记录器记录的资源类型。
**选择资源**
1. 登录 AWS 管理控制台 并在家中打开[https://console.aws.amazon.com/config/主 AWS Config](https://console.aws.amazon.com/config/home)机。
1. 在左侧导航窗格中,选择**设置**。
1. 在**客户管理的记录器**选项卡上,选择**编辑**。
1. 在**记录方法**部分,选择记录策略。您可以指定 AWS Config 要记录的 AWS 资源。
------
#### [ All resource types with customizable overrides ]
设置 AWS Config 为记录该区域所有当前和 future 支持的资源类型的配置更改。您可以覆盖特定资源类型的记录频率,也可以从记录中排除特定资源类型。有关更多信息,请参阅[支持的资源类型](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html)。
+ **默认设置**
为所有当前和未来支持的资源类型配置默认记录频率。有关更多信息,请参阅[记录频率](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency)。
+ 连续录制 — AWS Config 每当发生更改时,都会持续记录配置更改。
+ 每日记录 - 您会收到代表过去 24 小时内资源的最新状态的配置项(CI),前提是它与之前记录的 CI 不同。
**注意**
AWS Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。
+ **覆盖设置**
覆盖特定资源类型的记录频率,或从记录中排除特定资源类型。如果您更改某一资源类型的记录频率或停止记录某一资源类型,则已记录的配置项会保持不变。
------
#### [ Specific resource types ]
设置 AWS Config 为仅记录您指定的资源类型的配置更改。
+ **特定的资源类型**
选择要记录的资源类型及其频率。有关更多信息,请参阅[记录频率](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency)。
+ 连续录制 — AWS Config 每当发生更改时,都会持续记录配置更改。
+ 每日记录 - 您会收到代表过去 24 小时内资源的最新状态的配置项(CI),前提是它与之前记录的 CI 不同。
**注意**
AWS Firewall Manager 依赖于持续录制来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。
如果您更改某一资源类型的记录频率或停止记录某一资源类型,则已记录的配置项会保持不变。
------
1. 选择 **保存** 以保存您的更改。
## 记录资源时的注意事项
** AWS Config 评估次数多**
与随后的几个月相比,您可能会注意到,在使用 AWS Config 记录的第一个月份中,您的账户活动有所增加。在初始引导过程中, AWS Config 会对您账户中您选择 AWS Config 要记录的所有资源进行评估。
如果您运行的是临时工作负载,则可能会看到活动增加, AWS Config 因为它记录了与创建和删除这些临时资源相关的配置更改。*临时工作负载* 是临时使用在需要时加载和运行的计算资源。示例包括亚马逊弹性计算云 (Amazon EC2) 竞价型实例、亚马逊 EMR 任务和。 AWS Auto Scaling如果您想避免因运行临时工作负载而增加活动,则可以设置客户托管的配置记录器,将这些资源类型排除在记录之外,或者在 AWS Config 关闭的情况下在单独的账户中运行这些类型的工作负载,以避免增加配置记录和规则评估。
------
#### [ Considerations: All resource types with customizable overrides ]
**全局记录的资源类型 \$1 Aurora 全局集群最初包含在记录范围内**
`AWS::RDS::GlobalCluster`资源类型将在启用客户管理的配置记录器的所有支持 AWS Config 区域中进行记录。
如果您不想在所有已启用的区域中记录,`AWS::RDS::GlobalCluster`请选择“AWS RDS GlobalCluster”,然后选择“从记录中排除”覆盖方法。
**全局资源类型 \$1 IAM 资源类型最初不包含在记录范围内**
为了帮您降低成本,全局 IAM 资源类型最初将不包含在记录范围内。此捆绑包包括 IAM 用户、组、角色和客户管理型策略。选择**移除**以删除覆盖,并将这些资源包含在您的记录范围内。
此外,全球 IAM 资源类型(`AWS::IAM::User``AWS::IAM::Group`、`AWS::IAM::Role`、和`AWS::IAM::Policy`)不能记录在 2022 年 2 月 AWS Config 之后支持的区域中。有关这些区域的列表,请参阅[录制 AWS 资源 \$1 全球资源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)。
**限制**
您可以添加最多 100 项频率覆盖和 600 项排除覆盖。
以下资源类型不支持每日记录:
+ `AWS::Config::ResourceCompliance`
+ `AWS::Config::ConformancePackCompliance`
+ `AWS::Config::ConfigurationRecorder`
------
#### [ Considerations: Specific resource types ]
**区域可用性**
在指定 AWS Config 要跟踪的资源类型之前,请检查[按区域可用性划分的资源覆盖率](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html),以查看您设置的 AWS 区域是否支持该资源类型 AWS Config。如果至少有一个区域支持某种资源类型,则即使您设置的区域不支持指定的资源类型 AWS Config,您也可以在支持的所有 AWS 区域中启用该资源类型的记录 AWS Config。 AWS Config
**限制**
如果所有资源类型的频率都相同,则没有限制。如果至少将一种资源类型设置为“持续”,则最多可以添加 100 种频率为“每日”的资源类型。
以下资源类型不支持“每日”频率:
+ `AWS::Config::ResourceCompliance`
+ `AWS::Config::ConformancePackCompliance`
+ `AWS::Config::ConfigurationRecorder`
------
# 使用 AWS CLI 记录资源
您可以使用 C AWS LI 来选择 AWS Config 要记录的资源类型。为此,您可以创建一个客户管理的配置记录器,以记录您在记录组中指定的资源类型。在记录组中,您可以指定是要记录所有受支持的资源类型,还是包括或排除特定类型的资源。
------
#### [ Record all current and future supported resource types ]
设置 AWS Config 为记录该区域所有当前和 future 支持的资源类型的配置更改。有关支持的资源类型列表,请参阅[支持的资源类型](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html)。
1. 使用 [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html) 命令:
此命令使用 `--configuration-recorder` 和 `---recording-group` 字段。
```
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
```
**`configuration-recorder` 字段**
`configurationRecorder.json` 文件指定配置记录器的 `name` 和 `roleArn` 以及默认记录频率(`recordingMode`)。
```
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role",
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override",
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override ]
}
]
}
}
```
**`recording-group` 字段**
`recordingGroup.json` 文件指定要记录哪些资源类型。
```
{
"allSupported": true,
"recordingStrategy": {
"useOnly": "ALL_SUPPORTED_RESOURCE_TYPES"
},
"includeGlobalResourceTypes": true
}
```
有关这些字段的更多信息,请参阅《AWS CLI 命令参考》**中的 [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)
1. (可选)要验证您的客户管理的配置记录器是否拥有您所需的设置,请使用以下 [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html) 命令。
```
$ aws configservice describe-configuration-recorders
```
以下为响应示例。
```
{
"ConfigurationRecorders": [
{
"name": "default"
"recordingGroup": {
"allSupported": true,
"exclusionByResourceTypes": {
"resourceTypes": []
},
"includeGlobalResourceTypes": true,
"recordingStrategy": {
"useOnly": "ALL_SUPPORTED_RESOURCE_TYPES"
},
"resourceTypes": [],
},
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override,
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
```
------
#### [ Record all current and future supported resources types excluding the types you specify ]
设置 AWS Config 为记录所有当前和 future 支持的资源类型的配置更改,包括全局资源类型,但您指定要从记录中排除的资源类型除外。
如果您选择停止记录某一资源类型,则已记录的配置项将保持不变。有关支持的资源类型列表,请参阅[支持的资源类型](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html)。
1. 使用 [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html) 命令:
此命令使用 `--configuration-recorder` 和 `---recording-group` 字段。
```
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
```
**`configuration-recorder` 字段**
`configurationRecorder.json` 文件指定配置记录器的 `name` 和 `roleArn` 以及默认记录频率(`recordingMode`)。
```
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role",
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override",
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override ]
}
]
}
}
```
**`recording-group` 字段**
该`recordingGroup.json`文件指定 AWS Config 将记录哪些类型的资源。在 `exclusionByResourceTypes` 的 `resourceTypes` 字段中传递一个或多个要排除的资源类型,如以下示例所示。
```
{
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": [
"AWS::Redshift::ClusterSnapshot",
"AWS::RDS::DBClusterSnapshot",
"AWS::CloudFront::StreamingDistribution"
]
},
"includeGlobalResourceTypes": false,
"recordingStrategy": {
"useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
},
}
```
有关这些字段的更多信息,请参阅《AWS CLI 命令参考》**中的 [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)
1. (可选)要验证您的客户管理的配置记录器是否拥有您所需的设置,请使用以下 [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html) 命令。
```
$ aws configservice describe-configuration-recorders
```
以下为响应示例。
```
{
"ConfigurationRecorders": [
{
"name": "default",
"recordingGroup": {
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": [
"AWS::Redshift::ClusterSnapshot",
"AWS::RDS::DBClusterSnapshot",
"AWS::CloudFront::StreamingDistribution"
]
},
"includeGlobalResourceTypes": false,
"recordingStrategy": {
"useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
},
"resourceTypes": [],
},
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override,
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
```
------
#### [ Record specific resource types ]
设置 AWS Config 为仅记录您指定的资源类型的配置更改。
如果您选择停止记录某一资源类型,则已记录的配置项将保持不变。有关支持的资源类型列表,请参阅[支持的资源类型](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html)。
1. 使用 [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html) 命令:
此命令使用 `--configuration-recorder` 和 `---recording-group` 字段。
```
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
```
**`configuration-recorder` 字段**
`configurationRecorder.json` 文件指定配置记录器的 `name` 和 `roleArn` 以及默认记录频率(`recordingMode`)。
```
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role",
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override",
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override ]
}
]
}
}
```
**`recording-group` 字段**
该`recordingGroup.json`文件指定 AWS Config 将记录哪些类型的资源。在 `resourceTypes` 字段中传递一个或多个要排除的资源类型,如以下示例所示。
```
{
"allSupported": false,
"recordingStrategy": {
"useOnly": "INCLUSION_BY_RESOURCE_TYPES"
},
"includeGlobalResourceTypes": false,
"resourceTypes": [
"AWS::EC2::EIP",
"AWS::EC2::Instance",
"AWS::EC2::NetworkAcl",
"AWS::EC2::SecurityGroup",
"AWS::CloudTrail::Trail",
"AWS::EC2::Volume",
"AWS::EC2::VPC",
"AWS::IAM::User",
"AWS::IAM::Policy"
]
}
```
有关这些字段的更多信息,请参阅《AWS CLI 命令参考》**中的 [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)
1. (可选)要验证您的客户管理的配置记录器是否拥有您所需的设置,请使用以下 [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html) 命令。
```
$ aws configservice describe-configuration-recorders
```
以下为响应示例。
```
{
"ConfigurationRecorders": [
{
"name": "default",
"recordingGroup": {
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": []
},
"includeGlobalResourceTypes": false
"recordingStrategy": {
"useOnly": "INCLUSION_BY_RESOURCE_TYPES"
},
"resourceTypes": [
"AWS::EC2::EIP",
"AWS::EC2::Instance",
"AWS::EC2::NetworkAcl",
"AWS::EC2::SecurityGroup",
"AWS::CloudTrail::Trail",
"AWS::EC2::Volume",
"AWS::EC2::VPC",
"AWS::IAM::User",
"AWS::IAM::Policy"
]
},
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override,
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
```
------
# 将资源排除在录制范围之外 AWS Config
AWS Config 允许您将特定类型的 AWS 资源排除在库存跟踪和合规性监控之外,同时仍可以跟踪中当前可用的所有其他支持的资源类型 AWS Config,包括将来将要添加的资源类型。您可以使用此功能将注意力集中在受合规性和监管标准约束的关键资源上。
------
#### [ Excluding resources (Console) ]
如果您不想录制 AWS 资源类型,请在 AWS Config 控制台使用以下录制策略之一:
+ **记录所有资源类型,并使用可自定义的覆盖**,选择要排除的资源类型,然后选择“从记录中排除”覆盖方法
+ **记录特定的资源类型**()。
有关更多详细步骤,请参阅[记录资源(控制台)](https://docs.aws.amazon.com/config/latest/developerguide/select-resources-console.html)。
------
#### [ Excluding resources (AWS CLI) ]
如果您不想记录 AWS 资源类型,请对 API/CLI 使用以下记录策略之一:
+ **记录所有当前和未来的资源类型,排除项除外**(`EXCLUSION_BY_RESOURCE_TYPES`)
+ **记录特定的资源类型**(`INCLUSION_BY_RESOURCE_TYPES`)。
有关更多详细步骤,请参阅[录制资源(AWS CLI)](https://docs.aws.amazon.com/config/latest/developerguide/select-resources-cli.html)。
------
# 停止 AWS Config 使用客户管理的配置记录器进行录制
您可以随时停止 AWS Config 使用客户管理的配置记录器进行录制。 AWS Config 停止记录资源后,它会保留先前捕获的配置信息,您可以继续访问这些信息。
有关如何停止记录的步骤,请参阅[停止客户管理的配置记录器](https://docs.aws.amazon.com/config/latest/developerguide/managing-recorder_console-stop.html)。