錄製 AWS 資源 - AWS Config
考量事項區域和全球資源記錄資源(主控台)錄製AWS CLI 資源記錄頻率停止記錄非記錄資源AWS Config 規則和全域資源類型

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

錄製 AWS 資源

AWS Config 持續偵測何時建立、變更或刪除支援的資源類型。 AWS Config 將這些事件記錄為組態項目 (CI)。您可以自訂 AWS Config 來記錄所有支援資源類型的組態變更,或記錄僅與您相關之資源類型的組態變更。如需可 AWS Config 以記錄的受支援資源類型清單,請參閱支援的資源類型

考量事項

大量的 AWS Config 評估

與後續月份相比,您可能會注意到在使用 AWS Config 錄製的初始月份期間,帳戶中的活動有所增加。在初始啟動安裝程序期間, AWS Config 會對 AWS Config 您帳戶中選取要記錄的所有資源執行評估。

如果您正在執行暫時工作負載,您可能會看到活動增加, AWS Config 因為它會記錄與建立和刪除這些暫時資源相關聯的組態變更。暫時性工作負載是暫時使用因需要而載入和執行的運算資源。範例包括 Amazon Elastic Compute Cloud (Amazon EC2) Spot 執行個體、Amazon EMR 作業和 AWS Auto Scaling。如果您想要避免因執行臨時工作負載而增加的活動,您可以設定組態錄製程式以將這些資源類型排除在記錄之外,或在關 AWS Config 閉的情況下在單獨的帳戶中執行這些類型的工作負載,以避免增加組態記錄和規則評估。

區域可用性

在指定 AWS Config 要追蹤的資源型態之前,請先勾選「依區域」的可用性「資源涵蓋範圍」,以查看您設定的「 AWS 區域」中是否支援資源型態 AWS Config。如果至少一個「區域」支援某個資源類型,則您可以 AWS Config 在所支援的所有「區域」中啟用該資源類型的記錄 AWS Config,即使您設定的「 AWS 區域」不支援指定的資源類型也一樣 AWS Config。

區域資源和全球資源有何不同?

區域資源

區域資源與區域繫結,且僅能在該區域中使用。您可以在指定的中創建它們 AWS 區域,然後它們存在於該區域中。若要查看這些資源或與其互動,您必須將操作導向至該區域。例如,若要使用建立 Amazon EC2 執行個體 AWS Management Console,您可以選擇要在 AWS 區域其中建立執行個體的執行個體。如果使用 AWS Command Line Interface (AWS CLI) 建立例證,則包括--region參數。每個 AWS SDK 都有自己的等效機制來指定操作使用的區域。

使用區域資源的原因有幾個。其中一個原因是要確保資源及您用來存取這些資源的服務端點盡可能靠近客戶。這可將延遲降至最低來提高效能。另一個原因是要提供隔離界限。這可讓您在多個區域中建立獨立的資源副本,以分發負載並改善可擴展性。同時,其可將資源彼此隔離以提高可用性。

如果您在控制台或 AWS CLI 命令 AWS 區域 中指定了不同的資源,則您將無法再查看或與之前「區域」中可以看到的資源進行交互。

當您查看區域資源的《Amazon Resource Name (ARN)》時,會將包含資源的區域指定為 ARN 中的第四個欄位。例如,Amazon EC2 執行個體是區域資源。以下是 us-east-1 區域中存在之 Amazon EC2 執行個體的 ARN 範例。

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
全域資源

某些 AWS 服務資源是全球資源,這意味著您可以從任何地方使用資源。您不會在全域服務的主控台中指定 AWS 區域 。若要存取全域資源,請勿在使用服務 AWS CLI 和 AWS SDK 作業時指定--region參數。

全域資源支援一次只能存在一個特定資源執行個體此一關鍵情況。在這些情境下,在不同區域副本之間進行複寫或同步處理並不足夠。必須存取單一全域端點 (但可能會增加延遲) 是可接受的考量,以確保資源的消費者可立即看到任何變更。

例如,Amazon Aurora 全域叢集 (AWS::RDS::GlobalCluster) 是全域資源,因此不會與區域繫結。這表示您可以建立全域叢集,而不需仰賴區域端點。好處是,雖然 Amazon Relational Database Service (Amazon RDS) 本身是依區域組織的,但全域叢集來源的特定區域不會影響全域叢集。其會顯示為跨所有區域的單一連續全域叢集。

全域資源的《Amazon Resource Name (ARN)》不包含區域。第四個欄位為空白,例如以下全域叢集的 ARN 範例中。

arn:aws:rds::123456789012:global-cluster:test-global-cluster
重要

在 2022 年 2 月 AWS Config 之後登入的全域資源類型,只會記錄在服務的商業區域和分割區的 AWS GovCloud (美國西部)。 GovCloud 您只能在其本地區域和 (美國西部) 檢視這些新全域資源類型的組態項目 AWS GovCloud (CI)。

在 2022 年 2 月之前上線的全域資源類型 (AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::RoleAWS::IAM::User) 保持不變。您可以在 2022 年 2 月之前獲 AWS Config 得支援的所有區域啟用這些全球 IAM 資源的記錄功能。這些全球 IAM 資源無法在 2022 年 2 月 AWS Config 之後支援的區域中記錄。

全域資源類型 | IAM 資源

下列 IAM 資源類型為全域記錄:IAM 使用者、群組、角色和客戶管理政策。這些資源類型可以 AWS Config 在 2022 年 2 月之前提供的區域中記錄。 AWS Config 如需這些區域的清單,請參閱錄製 AWS 資源 | 全域資源

若要避免重複的設定項目 (CI),您應該考慮只在其中一個支援的區域中記錄全域 IAM 資源類型一次。這也可協助您避免不必要的評估和 API 限流。

全域資源類型 | 僅限主要區域

以下服務的全球資源僅 AWS Config 在全球資源類型的本地區域中記錄:Amazon 彈性容器註冊表公共 AWS Global Accelerator,Amazon 路線 53 CloudFront,Amazon 和 AWS WAF. 對於這些全域資源,資源類型的相同執行個體可以在多個區 AWS 域中使用,但組態項目 (CI) 只會記錄在商業分割區的本位目錄區域,或記錄在分割區的 AWS GovCloud (美國西部)。 AWS GovCloud (US)

全域資源類型的主要區域
AWS 服務 資源類型值 主要區域
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository 美國東部 (維吉尼亞北部) 區域
AWS Global Accelerator AWS::GlobalAccelerator::Listener 美國西部 (奧勒岡) 區域
AWS::GlobalAccelerator::EndpointGroup 美國西部 (奧勒岡) 區域
AWS::GlobalAccelerator::Accelerator 美國西部 (奧勒岡) 區域
Amazon Route 53 AWS::Route53::HostedZone 美國東部 (維吉尼亞北部) 區域
AWS::Route53::HealthCheck 美國東部 (維吉尼亞北部) 區域
Amazon CloudFront AWS::CloudFront::Distribution 美國東部 (維吉尼亞北部) 區域
AWS WAF AWS::WAFv2::WebACL 美國東部 (維吉尼亞北部) 區域
全域資源類型 | Aurora 全域叢集

AWS::RDS::GlobalCluster是在啟用組態記錄程式的所有受支援 AWS Config 區域中記錄的全域資源。此全域資源類型是唯一的,因為如果您在一個區域中啟用此資源的記錄,則 AWS Config 會在所有已啟用的區域中記錄此資源類型的組態項目 (CI)。

如果您不想AWS::RDS::GlobalCluster在所有已啟用的區域中進行錄製,請針對 AWS Config 主控台使用下列其中一種錄製策略:

  • 使用可自定義的覆蓋記錄所有資源類型,選擇 GlobalCluster「AWS RDS」,然後選擇覆蓋「從錄製中排除」

  • 記錄特定資源類型

如果您不想要在所有已啟用的區域中記錄 AWS::RDS::GlobalCluster,請針對 API/CLI 使用下列一種記錄策略:

  • 記錄所有目前和未來的資源類型 (包括排除項目) (EXCLUSION_BY_RESOURCE_TYPES)

  • 記錄特定資源類型 (INCLUSION_BY_RESOURCE_TYPES)。

在 AWS Config 主控台中錄製資源

您可以使用 AWS Config 主控台來選取 AWS Config 記錄的資源類型。

選取資源

  1. 請登入 AWS Management Console 並開啟 AWS Config 主控台,網址為 https://console.aws.amazon.com/config/

  2. 在左側導覽窗格中,選擇設定,然後選擇編輯。如需支援區域的清單,請參閱《Amazon Web Services 一般參考》中的 AWS Config 端點和配額

  3. 記錄方法區段中,選擇記錄策略。您可以指定要 AWS Config 記錄的 AWS 資源。

    All resource types with customizable overrides

    設定 AWS Config 以記錄此區域中所有目前與 future 支援之資源型態的組態變更。您可以覆寫特定資源類型的記錄頻率,或從記錄中排除特定資源類型。如需詳細資訊,請參閱《支援的資源類型》。

    • 預設設定

      為所有目前和未來支援的資源類型設定預設記錄頻率。如需詳細資訊,請參閱記錄頻率

      • 連續錄製 — 每當發生變更時,都 AWS Config 會持續記錄組態變更。

      • 每日記錄 – 您可接收代表過去 24 小時期間內資源最新狀態的組態項目 (CI),前提是該項目必須與先前的 CI 記錄不同。

      注意

      AWS Firewall Manager 取決於連續記錄來監視您的資源。如果您使用的是 Firewall Manager,建議您將記錄頻率設定為「持續」。

    • 覆寫設定

      覆寫特定資源類型的記錄頻率,或從記錄中排除特定資源類型。如果您變更某資源類型的記錄頻率,則已記錄的組態項目會保持不變。

      注意

      全域資源類型 | Aurora 全域叢集最初包含在記錄中

      AWS::RDS::GlobalCluster源類型將記錄在啟用配置記錄器的所有支援 AWS Config 區域中。

      如果您不想在所有已啟用的區域中記錄 AWS::RDS::GlobalCluster,請選擇「AWS RDS GlobalCluster」,然後選擇覆寫「從記錄中排除」。

      注意

      全域資源類型 | IAM 資源類型最初會從記錄中排除

      「所有全域記錄的 IAM 資源類型」最初會從記錄中排除,以協助您降低成本。此配套包含 IAM 使用者、群組、角色和客戶管理政策。選擇移除以移除覆寫,並將這些資源包含在您的記錄中。

      此附註不涵蓋美國東部 (維吉尼亞北部)。全域 IAM 資源類型最初包含在美國東部 (維吉尼亞北部) 區域,因為該區域充當全球 IAM 資源類型的主區域。

      此外,在 2022 年 2 月 AWS Config 之後支援的區域中 AWS::IAM::User AWS::IAM::GroupAWS::IAM::Role,無法記錄全域 IAM 資源類型 (、、和AWS::IAM::Policy)。如需這些區域的清單,請參閱錄製 AWS 資源 | 全域資源

      注意

      限制

      您最多可以增加到 100 個頻率覆寫及 600 個排除覆寫。

      下列資源類型不支援每日記錄:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

    Specific resource types

    設 AWS Config 定為僅記錄您指定之資源類型的組態變更。

    • 特定資源類型

      選擇要記錄的資源類型及其頻率。如需詳細資訊,請參閱記錄頻率

      • 連續錄製 — 每當發生變更時,都 AWS Config 會持續記錄組態變更。

      • 每日記錄 – 您可接收代表過去 24 小時期間內資源最新狀態的組態項目 (CI),前提是該項目必須與先前的 CI 記錄不同。

      注意

      AWS Firewall Manager 取決於連續記錄來監視您的資源。如果您使用的是 Firewall Manager,建議您將記錄頻率設定為「持續」。

      如果您變更某資源類型的記錄頻率,則已記錄的組態項目會保持不變。

    注意

    區域可用性

    在指定 AWS Config 要追蹤的資源型態之前,請先勾選「依區域」的可用性「資源涵蓋範圍」,以查看您設定的「 AWS 區域」中是否支援資源型態 AWS Config。如果至少一個「區域」支援某個資源類型,則您可以 AWS Config 在所支援的所有「區域」中啟用該資源類型的記錄 AWS Config,即使您設定的「 AWS 區域」不支援指定的資源類型也一樣 AWS Config。

    注意

    限制

    如果所有資源類型具有相同頻率,則無限制。如果至少有一種資源類型設定為「持續」,您最多可以使用「每日」頻率增加 100 個資源類型。

    以下資源類型不支援每日頻率:

    • AWS::Config::ResourceCompliance

    • AWS::Config::ConformancePackCompliance

    • AWS::Config::ConfigurationRecorder

  4. 選擇儲存,以儲存變更。

使用 AWS CLI 記錄資源

您可以使用 AWS CLI 選取要 AWS Config 記錄的資源類型。您可以透過建立組態記錄器來執行此作業,記錄您在記錄群組中指定的資源類型。在記錄群組中,您需要指定是要記錄所有支援的資源類型,還是包含或排除特定的資源類型。

Record all current and future supported resource types

設定 AWS Config 以記錄此區域中所有目前與 future 支援之資源型態的組態變更。如需詳細資訊,請參閱《支援的資源類型》。

  1. 使用下列 put-configuration-recorder 命令:

    $ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

    此指令會使用--configuration-recorder---recording-group欄位。

    注意

    錄音組和配置記錄器

    --recording-group 欄位指定記錄的資源類型。

    --configuration-recorder欄位會指定name組態錄製程式的預設錄製頻率,以及 (recordingMode)。roleArn您也可以使用此欄位覆寫特定資源類型的記錄頻率。

    1. put-configuration-recorder 會使用下列用於 --recording-group 參數的欄位:

      • allSupported=true— AWS Config 記錄所有支援資源類型的組態變更,不包括全域 IAM 資源類型。新 AWS Config 增對新資源類型的支援時,會自動 AWS Config 開始記錄該類型的資源。

      • includeGlobalResourceTypes=true – 此選項為搭售方案,僅適用於全域的 IAM 資源類型:IAM 使用者、群組、角色和客戶管理政策。這些全球 IAM 資源類型只能在 2022 年 2 月之前提供的 AWS Config 區域 AWS Config 中進行記錄。您無法在 2022 年 2 月 AWS Config 之後支援的區域中記錄全球 IAM 資源類型。如需這些區域的清單,請參閱錄製 AWS 資源 | 全域資源

        重要

        Aurora 全域叢集會記錄在所有啟用的區域中

        AWS::RDS::GlobalCluster源類型將記錄在啟用組態記錄程式的所有支援 AWS Config 區域中,即使未設定為也includeGlobalResourceTypes是如此true。此 includeGlobalResourceTypes 選項是僅適用於 IAM 使用者、群組、角色和客戶管理政策的配套。

        如果不希望在所有已啟用的區域中記錄 AWS::RDS::GlobalCluster,請使用下列一種記錄策略:

        1. 記錄所有目前和未來的資源類型,您指定的類型除外 (EXCLUSION_BY_RESOURCE_TYPES),或

        2. 記錄特定資源類型 (INCLUSION_BY_RESOURCE_TYPES)。

        如需詳細資訊,請參閱選取要記錄的資源 | 區域和全域資源

        重要

        包括GlobalResourceTypes 和排除記錄策略

        includeGlobalResourceTypes字段對EXCLUSION_BY_RESOURCE_TYPES記錄策略沒有影響。這表示exclusionByResourceTypesincludeGlobalResourceTypes設為時,將不會自動新增全域 IAM 資源類型 (IAM 使用者、群組、角色和客戶受管政策) 做為排除項目false

        includeGlobalResourceTypes欄位只應用於修改AllSupported欄位,因為欄位的預設值是記錄所有受支援資源類型 (不包括全AllSupported域 IAM 資源類型) 的組態變更。若要在設定為時AllSupported包含全域 IAM 資源類型true,請務必將設定includeGlobalResourceTypestrue

        若要排除EXCLUSION_BY_RESOURCE_TYPES記錄策略的全域 IAM 資源類型,您需要手動將它們新增到的resourceTypes欄位exclusionByResourceTypes

        注意

        必要欄位和選用欄位

        在將 includeGlobalResourceTypes 設定為 true 之前,請先將 allSupported 欄位設定為 true

        或者,也可以將 RecordingStrategyuseOnly 欄位設定為 ALL_SUPPORTED_RESOURCE_TYPES

        注意

        覆寫欄位

        如果在的欄位中設定includeGlobalResourceTypesfalse但列出全域 IAM 資源類型 RecordingGroup,則無論您是否 AWS Config 將resourceTypes欄位設定為 false,仍會記錄這些指定資源類型的includeGlobalResourceTypes組態變更。

        如果您不想記錄全域 IAM 資源類型 (IAM 使用者、群組、角色和客戶管理政策) 的組態變更,除了將 includeGlobalResourceTypes 欄位設定為 false 之外,請切勿在 resourceTypes 欄位中列出這些類型。

      recordingGroup.json 檔案可指定 AWS Config 記錄的資源類型。

      {
    "allSupported": true,
    "recordingStrategy": {
        "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": true
}

    2. put-configuration-recorder 會使用下列用於 --configuration-recorder 參數的欄位:

      • name— 組態記錄程式的名稱。 AWS Config 建立組態記錄器時,會自動指定「default」的名稱。

      • roleARN— 由組態記錄器承擔 AWS Config 並使用之 IAM 角色的 Amazon 資源名稱 (ARN)。

      • recordingMode— 指定用來記錄組態變更的預設錄製頻率。 AWS Config AWS Config 支持連續錄製每日錄製。連續記錄可讓您在發生變更時持續記錄組態變更。每日記錄可讓您接收代表過去 24 小時期間內資源最新狀態的組態項目 (CI),前提是該項目必須與先前的 CI 記錄不同。

        • recordingFrequency— AWS Config 用來記錄組態變更的預設錄製頻率。

          注意

          AWS Firewall Manager 取決於連續記錄來監視您的資源。如果您使用的是 Firewall Manager,建議您將記錄頻率設定為「持續」。

        • recordingModeOverrides — 此欄位可讓您指定記錄模式的覆寫。其為 recordingModeOverride 物件的陣列。recordingModeOverrides 陣列中的每個 recordingModeOverride 物件都包含三個欄位:

          • description — 您為覆寫提供的描述。

          • recordingFrequency — 會套用至覆寫中指定的所有資源類型的記錄頻率。

          • resourceTypes— 逗號分隔清單,指定覆寫中 AWS Config 包含哪些資源類型。

      注意

      必要欄位和選用欄位

      put-configuration-recorderrecordingMode 欄位為選用。依預設,組態記錄器的記錄頻率設定為連續記錄。

      注意

      限制

      下列資源類型不支援每日記錄:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      對於記錄所有目前和未來支援的資源類型 (ALL_SUPPORTED_RESOURCE_TYPES) 記錄策略,這些資源類型會設定為「連續記錄」。

      configurationRecorder.json檔案會指定name組態錄製程式的預設錄製頻率,以及 (recordingMode)。roleArn您也可以使用此欄位覆寫特定資源類型的記錄頻率。

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (選擇性) 若要確認您的組態記錄器已具備所需設定,請使用下列《describe-configuration-recorders》命令。

    $ aws configservice describe-configuration-recorders

    以下是回應範例。

    {
    "ConfigurationRecorders": [
        {
            "name": "default"
            "recordingGroup": {
                "allSupported": true,
                "exclusionByResourceTypes": { 
                     "resourceTypes": []
                },
                "includeGlobalResourceTypes": true,
                "recordingStrategy": {
                    "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record all current and future supported resources types excluding the types you specify

設定 AWS Config 為記錄所有目前和 future 支援的資源類型 (包括全域資源類型) 的組態變更,但您指定要從記錄中排除的資源類型除外。如果您選擇停止記錄某個資源類型,則已記錄的組態項目會保持不變。如需詳細資訊,請參閱《支援的資源類型》。

此指令會使用--configuration-recorder---recording-group欄位。

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
注意

錄音組和配置記錄器

--recording-group 欄位指定記錄的資源類型。

--configuration-recorder欄位會指定name組態錄製程式的預設錄製頻率,以及 (recordingMode)。roleArn您也可以使用此欄位覆寫特定資源類型的記錄頻率。

  1. 使用 put-configuration-recorder 命令,並在 exclusionByResourceTypesresourceTypes 欄位中傳遞一或多個要排除的資源類型,如下列範例所示。

    1. recordingGroup.json 檔案可指定 AWS Config 記錄的資源類型。

      {
    "allSupported": false,
    "exclusionByResourceTypes": { 
        "resourceTypes": [
            "AWS::Redshift::ClusterSnapshot",
            "AWS::RDS::DBClusterSnapshot",
            "AWS::CloudFront::StreamingDistribution"
        ]
    },
   "includeGlobalResourceTypes": false,
   "recordingStrategy": {
       "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
    },
  
}

      指定要在記錄中排除的資源類型之前:

      • 您必須將 --recording-group 參數的 allSupportedincludeGlobalResourceTypes 欄位設定為 false,或予以省略。

      • 您必須將 RecordingStrategyuseOnly 欄位設定為 EXCLUSION_BY_RESOURCE_TYPES

      注意

      覆寫欄位

      如果記錄策略選擇 EXCLUSION_BY_RESOURCE_TYPES,則 exclusionByResourceTypes 欄位會覆寫請求中的其他屬性。

      例如,除非您在 exclusionByResourceTypesresourceTypes 欄位中特別將全域 IAM 資源類型列為排除項目,否則即使將 includeGlobalResourceTypes 設為 false,此選項仍會自動記錄這些資源類型。

      注意

      全域資源類型和資源排除記錄策略

      依預設,如果您選擇EXCLUSION_BY_RESOURCE_TYPES記錄策略,則當您在設定組態記錄程式的區域 (包括全域資源類型) 中新 AWS Config 增對新資源類型的支援時,會自動 AWS Config 開始記錄該類型的資源。

      除非特別列為排除項目,否則在啟用組態記錄程式後,所有支援的 AWS Config 區域都AWS::RDS::GlobalCluster會自動記錄。

      IAM 使用者、群組、角色和客戶受管政策會記錄在您設定組態記錄器的區域 (如果該區域是 2022 年 2 月之前提供服務的區域)。 AWS Config 您無法在 2022 年 2 月 AWS Config 之後支援的區域中記錄全球 IAM 資源類型。如需這些區域的清單,請參閱錄製 AWS 資源 | 全域資源

    2. put-configuration-recorder 會使用下列用於 --configuration-recorder 參數的欄位:

      • name— 組態記錄程式的名稱。 AWS Config 建立組態記錄器時,會自動指定「default」的名稱。

      • roleARN— 由組態記錄器承擔 AWS Config 並使用之 IAM 角色的 Amazon 資源名稱 (ARN)。

      • recordingMode— 指定用來記錄組態變更的預設錄製頻率。 AWS Config AWS Config 支持連續錄製每日錄製。連續記錄可讓您在發生變更時持續記錄組態變更。每日記錄可讓您接收代表過去 24 小時期間內資源最新狀態的組態項目 (CI),前提是該項目必須與先前的 CI 記錄不同。

        • recordingFrequency— AWS Config 用來記錄組態變更的預設錄製頻率。

          注意

          AWS Firewall Manager 取決於連續記錄來監視您的資源。如果您使用的是 Firewall Manager,建議您將記錄頻率設定為「持續」。

        • recordingModeOverrides — 此欄位可讓您指定記錄模式的覆寫。其為 recordingModeOverride 物件的陣列。recordingModeOverrides 陣列中的每個 recordingModeOverride 物件都包含三個欄位:

          • description — 您為覆寫提供的描述。

          • recordingFrequency — 會套用至覆寫中指定的所有資源類型的記錄頻率。

          • resourceTypes— 逗號分隔清單,指定覆寫中 AWS Config 包含哪些資源類型。

      注意

      必要欄位和選用欄位

      put-configuration-recorderrecordingMode 欄位為選用。依預設,組態記錄器的記錄頻率設定為連續記錄。

      注意

      限制

      下列資源類型不支援每日記錄:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      對於記錄所有目前和未來支援的資源類型 (ALL_SUPPORTED_RESOURCE_TYPES) 記錄策略,這些資源類型會設定為「連續記錄」。

      configurationRecorder.json檔案會指定name組態錄製程式的預設錄製頻率,以及 (recordingMode)。roleArn您也可以使用此欄位覆寫特定資源類型的記錄頻率。

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (選擇性) 若要確認您的組態記錄器已具備所需設定,請使用下列《describe-configuration-recorders》命令。

    $ aws configservice describe-configuration-recorders

    以下是回應範例。

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": [
                        "AWS::Redshift::ClusterSnapshot",
                        "AWS::RDS::DBClusterSnapshot",
                        "AWS::CloudFront::StreamingDistribution"
                    ]
                },
                "includeGlobalResourceTypes": false,
                "recordingStrategy": {
                    "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record specific resource types

設 AWS Config 定為僅記錄您指定之資源類型的組態變更。如果您選擇停止記錄某個資源類型,則已記錄的組態項目會保持不變。

此指令會使用--configuration-recorder---recording-group欄位。

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
注意

錄音組和配置記錄器

--recording-group 欄位指定記錄的資源類型。

--configuration-recorder欄位會指定name組態錄製程式的預設錄製頻率,以及 (recordingMode)。roleArn您也可以使用此欄位覆寫特定資源類型的記錄頻率。

  1. 使用 put-configuration-recorder 命令,並在 recordingGroupresourceTypes 欄位中傳遞一或多個資源類型,如下列範例所示。

    1. recordingGroup.json 檔案可指定 AWS Config 記錄的資源類型。

      {
    "allSupported": false,
    "recordingStrategy": {
        "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": false,
    "resourceTypes": [
        "AWS::EC2::EIP",
        "AWS::EC2::Instance",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::SecurityGroup",
        "AWS::CloudTrail::Trail",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC",
        "AWS::IAM::User",
        "AWS::IAM::Policy"
  ]
}
      注意

      必要欄位和選用欄位

      您必須先將 allSupportedincludeGlobalResourceTypes 欄位設定為 false 或省略這些欄位,才能指定要包含在記錄中的資源類型。

      當您在 --recording-groupresourceTypes 欄位中列出資源類型時,recordingStrategy 欄位為選用。

      注意

      區域可用性

      在指定 AWS Config 要追蹤的資源型態之前,請先勾選「依區域」的可用性「資源涵蓋範圍」,以查看您設定的「 AWS 區域」中是否支援資源型態 AWS Config。如果至少一個「區域」支援某個資源類型,則您可以 AWS Config 在所支援的所有「區域」中啟用該資源類型的記錄 AWS Config,即使您設定的「 AWS 區域」不支援指定的資源類型也一樣 AWS Config。

    2. put-configuration-recorder 會使用下列用於 --configuration-recorder 參數的欄位:

      • name— 組態記錄程式的名稱。 AWS Config 建立組態記錄器時,會自動指定「default」的名稱。

      • roleARN— 由組態記錄器承擔 AWS Config 並使用之 IAM 角色的 Amazon 資源名稱 (ARN)。

      • recordingMode— 指定用來記錄組態變更的預設錄製頻率。 AWS Config AWS Config 支持連續錄製每日錄製。連續記錄可讓您在發生變更時持續記錄組態變更。每日記錄可讓您接收代表過去 24 小時期間內資源最新狀態的組態項目 (CI),前提是該項目必須與先前的 CI 記錄不同。

        • recordingFrequency— AWS Config 用來記錄組態變更的預設錄製頻率。

          注意

          AWS Firewall Manager 取決於連續記錄來監視您的資源。如果您使用的是 Firewall Manager,建議您將記錄頻率設定為「持續」。

        • recordingModeOverrides — 此欄位可讓您指定記錄模式的覆寫。其為 recordingModeOverride 物件的陣列。recordingModeOverrides 陣列中的每個 recordingModeOverride 物件都包含三個欄位:

          • description — 您為覆寫提供的描述。

          • recordingFrequency — 會套用至覆寫中指定的所有資源類型的記錄頻率。

          • resourceTypes— 逗號分隔清單,指定覆寫中 AWS Config 包含哪些資源類型。

      注意

      必要欄位和選用欄位

      put-configuration-recorderrecordingMode 欄位為選用。依預設,組態記錄器的記錄頻率設定為連續記錄。

      注意

      限制

      下列資源類型不支援每日記錄:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      對於記錄所有目前和未來支援的資源類型 (ALL_SUPPORTED_RESOURCE_TYPES) 記錄策略,這些資源類型會設定為「連續記錄」。

      configurationRecorder.json檔案會指定name組態錄製程式的預設錄製頻率,以及 (recordingMode)。roleArn您也可以使用此欄位覆寫特定資源類型的記錄頻率。

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (選擇性) 若要確認您的組態記錄器已具備所需設定,請使用下列《describe-configuration-recorders》命令。

    $ aws configservice describe-configuration-recorders

    以下是回應範例。

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": []
                },
                "includeGlobalResourceTypes": false
                "recordingStrategy": {
                    "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [
                    "AWS::EC2::EIP",
                    "AWS::EC2::Instance",
                    "AWS::EC2::NetworkAcl",
                    "AWS::EC2::SecurityGroup",
                    "AWS::CloudTrail::Trail",
                    "AWS::EC2::Volume",
                    "AWS::EC2::VPC",
                    "AWS::IAM::User",
                    "AWS::IAM::Policy"
                ]
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}

記錄頻率

AWS Config 支持連續錄製每日錄製。連續記錄可讓您在發生變更時持續記錄組態變更。每日記錄可讓您接收代表過去 24 小時期間內資源最新狀態的組態項目 (CI),前提是該項目必須與先前的 CI 記錄不同。

連續記錄

連續記錄的一些優點包括:

  • 即時監控:連續記錄可立即偵測未經授權的變更或非預期的更改,進而增強您的安全性與合規性措施。

  • 詳細分析:連續記錄可讓您對資源發生組態變更時進行深入分析,讓您能夠識別當下的模式和趨勢。

每日記錄

每日記錄的一些優點包括:

  • 最小干擾:每日記錄可以為您提供更易於管理的資訊流,進而減少通知的頻率和警示疲勞。

  • 成本效益:每日記錄可提供以較低頻率記錄資源變更的靈活性,進而降低與記錄的組態變更次數相關的成本。

注意

AWS Firewall Manager 取決於連續記錄來監視您的資源。如果您使用的是 Firewall Manager,建議您將記錄頻率設定為「持續」。

停止記錄資源

您可以隨時停 AWS Config 止記錄某種類型的資源。 AWS Config 停止記錄資源後,它會保留先前擷取的組態資訊,並且您可以繼續存取此資訊。

非記錄資源

如果未記錄資源,則只會 AWS Config 擷取該資源的建立和刪除,而不會擷取其他詳細資訊,而不會對您付出任何費用。建立或刪除未記錄的資源時,會 AWS Config 傳送通知,並在資源詳細資訊頁面上顯示事件。未記錄資源的詳細資訊頁面針對大多數的組態詳細資訊都僅會有 null 值,並且不會提供關係和組態變更的相關資訊。

注意

如果資源已選取或先前已選取為要在組態記錄器中記錄的資源,則 AWS::IAM::UserAWS::IAM::Policy AWS::IAM::GroupAWS::IAM::Role 資源類型只會擷取建立 (ResourceNotRecorded) 和刪除 (ResourceDeletedNotRecorded) 狀態。

注意

ResourceNotRecordedResourceDeletedNotRecorded不遵循資源類型的典型記錄時間的組態項目 (CI)。這些資源類型只會在組態記錄程式的週期性審核處理期間進行記錄,其頻率低於其他資源類型的頻率。

為已記錄資源 AWS Config 提供的關係資訊不受限制,因為缺少未記錄資源的資料。若記錄資源與未記錄資源有關,則該關係會在記錄資源的詳細資訊頁面上提供。

AWS Config 規則和全域資源類型

2022 年 2 月之前登入的全球 IAM 資源類型 (AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::Role、和AWS::IAM::User) 只能在 2022 年 2 月之前提供的區域 AWS Config 中 AWS Config 記錄。這些全球 IAM 資源類型無法在 2022 年 2 月 AWS Config 之後支援的區域中記錄。如需這些區域的清單,請參閱錄製 AWS 資源 | 全域資源

如果您至少在一個區域中記錄全域 IAM 資源類型,則針對全域 IAM 資源類型報告合規的週期性規則將會在新增週期性規則的所有區域執行評估,即使您尚未在新增週期性規則的區域中啟用全域 IAM 資源類型的記錄也是如此。

報告 2022 年 2 月前登錄的全球資源合規性的最佳做法

為避免不必要的評估,您應該只將具有這些全域資源範圍的 AWS Config 規則和一致性套件部署到其中一個支援的區域。如需哪些區域支援受管理規則的清單,請參閱依區域可用性區域排列的 AWS Config 受管規則清單。這適用於 AWS Config 規則、組織 AWS Config 規則,以及由其他 AWS 服務建立的規則,例如 AWS Security Hub 和 AWS Control Tower。

如果未記錄在 2022 年 2 月之前上線的全域資源類型,建議您不要啟用下列定期規則,以避免不必要的評估:

在 2022 年 2 月之後上線的全球資源報告合規性的最佳做法

在 2022 年 2 月之後登入 AWS Config 錄製的全球資源類型,只會記錄在服務的主要區域中,以及分割區的 AWS GovCloud (美國西部)。 AWS GovCloud (US) 您應該將具有這些全域資源範圍的 AWS Config 規則和一致性套件部署到資源類型的本位目錄「地區」。如需詳細資訊,請參閱全域資源類型的本地區域。