本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 錄製 AWS 資源 AWS Config
AWS Config 會持續偵測支援的資源類型何時建立、變更或刪除。 會將這些事件 AWS Config 記錄為組態項目 CIs)。
您可以自訂 AWS Config 來記錄所有支援資源類型的組態變更,或僅記錄與您相關的支援資源類型。如需 AWS Config 可記錄的支援資源類型清單,請參閱 支援的 的資源類型 AWS Config。
考量事項
大量 AWS Config 評估
與後續月份相比,您可能會在 Config AWS 的初始月份記錄期間注意到帳戶中的活動增加。在初始引導程序期間, 會對您帳戶中已選擇要 AWS Config 記錄的所有資源 AWS Config 執行評估。
如果您正在執行暫時性工作負載,您可能會看到 的活動增加, AWS Config 因為它會記錄與建立和刪除這些臨時資源相關的組態變更。暫時性工作負載是暫時使用因需要而載入和執行的運算資源。範例包括 Amazon Elastic Compute Cloud (Amazon EC2) Spot 執行個體、Amazon EMR 作業和 AWS Auto Scaling。
如果您想要避免執行暫時性工作負載增加的活動,您可以設定客戶受管組態記錄器,以排除這些資源類型遭到記錄,或在 AWS Config 關閉的個別帳戶中執行這些類型的工作負載,以避免增加組態記錄和規則評估。
區域可用性
在指定 AWS Config 要追蹤的資源類型之前,請檢查依區域可用性列出的資源涵蓋範圍,以查看您設定 AWS 的區域是否支援該資源類型 AWS Config。
如果 AWS Config 至少一個區域中支援 的資源類型,您可以在 支援的所有區域中啟用該資源類型的記錄 AWS Config,即使您設定 AWS 的區域不支援指定的資源類型 AWS Config。
區域資源和全球資源有何不同?
- 區域資源
-
區域資源與區域繫結,且僅能在該區域中使用。您可以在指定的 中建立它們 AWS 區域,然後它們存在於該區域中。若要查看這些資源或與其互動,您必須將操作導向至該區域。例如,若要使用 建立 Amazon EC2 執行個體 AWS Management Console,您可以選擇要在 AWS 區域其中建立執行個體的 。如果您使用 AWS Command Line Interface (AWS CLI) 來建立執行個體,則會包含
--region參數。每個 AWS SDKs 都有自己的同等機制,以指定操作使用的 區域。使用區域資源的原因有幾個。其中一個原因是要確保資源及您用來存取這些資源的服務端點盡可能靠近客戶。這可將延遲降至最低來提高效能。另一個原因是要提供隔離界限。這可讓您在多個區域中建立獨立的資源副本,以分發負載並改善可擴展性。同時,其可將資源彼此隔離以提高可用性。
如果您在 AWS 區域 主控台或 AWS CLI 命令中指定不同的 ,則您無法再看到或與上一個區域中可以看到的資源互動。
當您查看區域資源的《Amazon Resource Name (ARN)》時,會將包含資源的區域指定為 ARN 中的第四個欄位。例如,Amazon EC2 執行個體是區域資源。以下是
us-east-1區域中存在之 Amazon EC2 執行個體的 ARN 範例。arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee - 全域資源
-
有些 AWS 服務資源是全域資源,這表示您可以從任何地方使用該資源。您不會在全域服務的主控台中指定 AWS 區域 。若要存取全域資源,使用 服務和 AWS CLI AWS SDK 操作時,您不會指定
--region參數。全域資源支援一次只能存在一個特定資源執行個體此一關鍵情況。在這些情境下,在不同區域副本之間進行複寫或同步處理並不足夠。必須存取單一全域端點 (但可能會增加延遲) 是可接受的考量,以確保資源的消費者可立即看到任何變更。
例如,Amazon Aurora 全域叢集 (
AWS::RDS::GlobalCluster) 是全域資源,因此不會與區域繫結。這表示您可以建立全域叢集,而不需仰賴區域端點。好處是,雖然 Amazon Relational Database Service (Amazon RDS) 本身是依區域組織的,但全域叢集來源的特定區域不會影響全域叢集。其會顯示為跨所有區域的單一連續全域叢集。全域資源的《Amazon Resource Name (ARN)》不包含區域。第四個欄位為空白,例如以下全域叢集的 ARN 範例中。
arn:aws:rds::123456789012:global-cluster:test-global-cluster重要
2022 年 2 月 AWS Config 之後加入 的全域資源類型,只會記錄於商業分割區的服務主區域中,以及 GovCloud 分割區的 AWS GovCloud (美國西部)。您只能在其主要區域和 AWS GovCloud (美國西部) 中檢視這些新全域資源類型的組態項目 (CIs)。
在 2022 年 2 月之前上線的全域資源類型 (
AWS::IAM::Group、AWS::IAM::Policy、AWS::IAM::Role和AWS::IAM::User) 保持不變。您可以在 2022 年 2 月之前 AWS Config 支援的所有區域中啟用這些全域 IAM 資源的記錄。這些全域 IAM 資源無法在 2022 年 2 月 AWS Config 之後支援的區域中記錄。- 全域資源類型 | IAM 資源
-
下列 IAM 資源類型為全域記錄:IAM 使用者、群組、角色和客戶管理政策。這些資源類型可由 記錄在 AWS Config AWS Config 2022 年 2 月之前可用的 區域中。您無法記錄全球 IAM 資源類型的清單包括下列區域:亞太區域 (海德拉巴)、亞太區域 (馬來西亞)、亞太區域 (墨爾本)、亞太區域 (泰國)、加拿大西部 (卡加利)、歐洲 (西班牙)、歐洲 (蘇黎世)、以色列 (特拉維夫)、墨西哥 (中部) 和中東 (阿拉伯聯合大公國)。
為了防止重複的組態項目 CIs),您應該考慮只在其中一個支援的區域中記錄一次全域 IAM 資源類型。這也可協助您避免不必要的評估和 API 限流。
- 全域資源類型 | 僅限主要區域
-
下列服務的全域資源僅由 記錄在全域資源類型的 AWS Config 主區域中:Amazon Elastic Container Registry Public AWS Global Accelerator、Amazon Route 53、Amazon CloudFront 和 AWS WAF。對於這些全域資源,可以在多個 AWS 區域中使用相同的資源類型執行個體,但組態項目 (CIs) 只會記錄在主區域中的商業分割區或 AWS GovCloud (US) 分割區的 AWS GovCloud (US-West)。
全域資源類型的主要區域 AWS 服務 資源類型值 主要區域 Amazon Elastic Container Registry Public AWS::ECR::PublicRepository美國東部 (維吉尼亞北部) 區域 AWS Global Accelerator AWS::GlobalAccelerator::Listener美國西部 (奧勒岡) 區域 AWS::GlobalAccelerator::EndpointGroup美國西部 (奧勒岡) 區域 AWS::GlobalAccelerator::Accelerator美國西部 (奧勒岡) 區域 Amazon Route 53 AWS::Route53::HostedZone美國東部 (維吉尼亞北部) 區域 AWS::Route53::HealthCheck美國東部 (維吉尼亞北部) 區域 Amazon CloudFront AWS::CloudFront::Distribution美國東部 (維吉尼亞北部) 區域 AWS WAF AWS::WAFv2::WebACL美國東部 (維吉尼亞北部) 區域 - 全域資源類型 | Aurora 全域叢集
-
AWS::RDS::GlobalCluster是全域資源,會記錄在已啟用客戶受管組態記錄器的所有支援 AWS Config 區域中。此全域資源類型在 中是唯一的,如果您在一個區域中啟用此資源的錄製, AWS Config 會在所有啟用的區域中記錄此資源類型的組態項目 (CIs)。如果您不想要在所有已啟用的區域中記錄
AWS::RDS::GlobalCluster,請針對 AWS Config 主控台使用下列其中一種記錄策略:-
使用可自訂覆寫記錄所有資源類型,選擇「AWS RDS GlobalCluster」,然後選擇覆寫「從記錄排除」
-
記錄特定資源類型。
如果您不想要在所有已啟用的區域中記錄
AWS::RDS::GlobalCluster,請針對 API/CLI 使用下列一種記錄策略:-
記錄所有目前和未來的資源類型 (包括排除項目) (
EXCLUSION_BY_RESOURCE_TYPES) -
記錄特定資源類型 (
INCLUSION_BY_RESOURCE_TYPES)。
-
AWS Config 規則和全域資源類型
2022 年 2 月之前加入的全域 IAM 資源類型 (AWS::IAM::Group、AWS::IAM::Role、 AWS::IAM::Policy和 AWS::IAM::User) 只能 AWS Config 由 記錄在 AWS Config 2022 年 2 月之前可用的 區域中。這些全域 IAM 資源類型無法在 2022 年 2 月 AWS Config 之後支援的區域中記錄。如需這些區域的清單,請參閱錄製 AWS 資源 | 全域資源。
如果您在至少一個區域中記錄全域 IAM 資源類型,報告全域 IAM 資源類型合規的定期規則將在新增定期規則的所有區域中執行評估,即使您尚未在新增定期規則的區域中啟用全域 IAM 資源類型的記錄。
在 2022 年 2 月之前加入的全球資源上報告合規性的最佳實務
為了避免不必要的評估,您應該只將這些全域資源範圍中的 AWS Config 規則和一致性套件部署到其中一個支援的 區域。如需哪些區域支援哪些受管規則的清單,請參閱依區域可用性列出的 AWS Config 受管規則清單。這適用於 AWS Config 規則、組織 AWS Config 規則,以及由其他服務建立的規則 AWS ,例如 AWS Security Hub 和 AWS Control Tower。
如果未記錄在 2022 年 2 月之前上線的全域資源類型,建議您不要啟用下列定期規則,以避免不必要的評估:
在 2022 年 2 月之後加入的全球資源上報告合規性的最佳實務
在 2022 年 2 月之後加入 AWS Config 錄製的全域資源類型,只會記錄於商業分割區的服務主區域中,以及 AWS GovCloud (US) 分割區的 AWS GovCloud (美國西部)。您應該將這些全域資源範圍中的 AWS Config 規則和一致性套件部署到資源類型的主區域。如需詳細資訊,請參閱 全域資源類型的主區域。
的錄製頻率 AWS Config
AWS Config 支援持續記錄和每日記錄。連續記錄可讓您在發生變更時持續記錄組態變更。每日記錄可讓您接收代表過去 24 小時期間內資源最新狀態的組態項目 (CI),前提是該項目必須與先前的 CI 記錄不同。如需如何變更錄製頻率的步驟,請參閱變更錄製頻率。
連續記錄
連續記錄的一些優點包括:
-
即時監控:連續記錄可立即偵測未經授權的變更或非預期的更改,進而增強您的安全性與合規性措施。
-
詳細分析:連續記錄可讓您對資源發生組態變更時進行深入分析,讓您能夠識別當下的模式和趨勢。
每日記錄
每日記錄的一些優點包括:
-
最小干擾:每日記錄可以為您提供更易於管理的資訊流,進而減少通知的頻率和警示疲勞。
-
成本效益:每日記錄可提供以較低頻率記錄資源變更的靈活性,進而降低與記錄的組態變更次數相關的成本。
注意
AWS Firewall Manager 取決於持續錄製來監控您的資源。如果您使用的是 Firewall Manager,建議您將記錄頻率設定為「持續」。
未記錄的資源
如果未記錄資源,則 只會 AWS Config 擷取該資源的建立和刪除,而不會免費擷取其他詳細資訊。建立或刪除未記錄的資源時, 會 AWS Config 傳送通知,並在資源詳細資訊頁面上顯示事件。未記錄資源的詳細資訊頁面針對大多數的組態詳細資訊都僅會有 null 值,並且不會提供關係和組態變更的相關資訊。
注意
AWS::IAM::User、AWS::IAM::Policy AWS::IAM::Group、 AWS::IAM::Role 資源類型只會擷取建立 (ResourceNotRecorded) 和刪除 (ResourceDeletedNotRecorded) 狀態,如果資源是或先前已選取為資源,以記錄於客戶受管組態記錄器 。
注意
ResourceNotRecorded 和 的組態項目 CIs) ResourceDeletedNotRecorded 未遵循資源類型的一般錄製時間。這些資源類型只會在客戶受管組態記錄器 的定期基準程序期間記錄,其頻率低於其他資源類型。
注意
對於服務連結組態記錄器,記錄範圍會判斷您是否在交付管道中收到組態項目 (CIs)。錄製範圍是由連結至組態記錄器的服務所設定。如果錄製範圍是內部,則不會在交付管道中收到 CIs。
由於未記錄資源的資料遺失, AWS Config 因此提供記錄資源的關係資訊不受限制。若記錄資源與未記錄資源有關,則該關係會在記錄資源的詳細資訊頁面上提供。
