錄製 AWS 資源 - AWS Config
考量事項區域和全球資源AWS Config 規則和全域資源類型非記錄資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

錄製 AWS 資源

AWS Config 會持續偵測支援的資源類型何時建立、變更或刪除。 會將這些事件 AWS Config 記錄為組態項目 (CIs)。您可以自訂 AWS Config 來記錄所有支援資源類型的組態變更,或記錄僅與您相關之資源類型的組態變更。如需 AWS Config 可記錄的支援資源類型清單,請參閱 支援的資源類型

主題

考量事項

大量 AWS Config 評估

與後續月份相比,您可能會在 AWS Config 的初始月份記錄期間注意到帳戶中的活動增加。在初始引導程序期間, 會針對您選取要 AWS Config 記錄的帳戶中所有資源 AWS Config 執行評估。

如果您正在執行暫時性工作負載,您可能會看到 的活動增加, AWS Config 因為它會記錄與建立和刪除這些臨時資源相關的組態變更。暫時性工作負載是暫時使用因需要而載入和執行的運算資源。範例包括 Amazon Elastic Compute Cloud (Amazon EC2) Spot 執行個體、Amazon EMR任務和 AWS Auto Scaling。如果您想要避免增加執行暫時性工作負載的活動,您可以設定組態記錄器來排除這些資源類型遭到記錄,或在 AWS Config 關閉的個別帳戶中執行這些類型的工作負載,以避免增加組態記錄和規則評估。

區域可用性

在指定 AWS Config 要追蹤的資源類型之前,請檢查依區域可用性列出的資源涵蓋範圍,以查看您設定 的 AWS 區域中是否支援該資源類型 AWS Config。如果 AWS Config 至少在一個區域中支援某個資源類型,您可以在 支援的所有區域中啟用該資源類型的記錄 AWS Config,即使您設定 的 AWS 區域中不支援指定的資源類型 AWS Config。

區域資源和全球資源有何不同?

區域資源

區域資源與區域繫結,且僅能在該區域中使用。您可以在指定的 中建立它們 AWS 區域,然後它們存在於該區域中。若要查看這些資源或與其互動,您必須將操作導向至該區域。例如,若要使用 建立 Amazon EC2執行個體 AWS Management Console,您可以選擇 AWS 區域要在其中建立執行個體的 。如果您使用 AWS Command Line Interface (AWS CLI) 來建立執行個體,則會包含 --region 參數。每個 AWS SDKs都有自己的等效機制來指定操作使用的 區域。

使用區域資源的原因有幾個。其中一個原因是要確保資源及您用來存取這些資源的服務端點盡可能靠近客戶。這可將延遲降至最低來提高效能。另一個原因是要提供隔離界限。這可讓您在多個區域中建立獨立的資源副本,以分發負載並改善可擴展性。同時,其可將資源彼此隔離以提高可用性。

如果您在 AWS 區域 主控台或 命令中 AWS CLI 指定不同的 ,則您無法再看到或在前一個區域中看到的資源互動。

當您查看區域資源的 Amazon Resource Name (ARN) 時,包含資源的區域會指定為 中的第四個欄位ARN。例如,Amazon EC2執行個體是區域資源。以下是 us-east-1 區域中存在之 ARN Amazon EC2執行個體的範例。

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
全域資源

某些 AWS 服務資源是全域資源 ,這表示您可以從任何地方使用該資源。您不會在全域服務的主控台中指定 AWS 區域 。若要存取全域資源,當您使用 服務和 AWS CLI AWS SDK操作時,不會指定 --region 參數。

全域資源支援一次只能存在一個特定資源執行個體此一關鍵情況。在這些情境下,在不同區域副本之間進行複寫或同步處理並不足夠。必須存取單一全域端點 (但可能會增加延遲) 是可接受的考量,以確保資源的消費者可立即看到任何變更。

例如,Amazon Aurora 全域叢集 (AWS::RDS::GlobalCluster) 是全域資源,因此不會與區域繫結。這表示您可以建立全域叢集,而不需仰賴區域端點。優點是,雖然 Amazon Relational Database Service (Amazon RDS) 本身是由區域組織,但全域叢集產生的特定區域不會影響全域叢集。其會顯示為跨所有區域的單一連續全域叢集。

全域資源的 Amazon Resource Name (ARN) 不包含區域。第四個欄位為空白,例如下列ARN全域叢集的 範例。

arn:aws:rds::123456789012:global-cluster:test-global-cluster
重要

2022 年 2 月 AWS Config 之後加入 的全域資源類型,只會記錄在服務主區域中的商業分割區和 AWS GovCloud (美國西部) GovCloud 分割區。您只能在其主要區域和 (美國西部CIs) 中檢視這些新的全域資源類型的組態項目 AWS GovCloud ()。

在 2022 年 2 月之前上線的全域資源類型 (AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::RoleAWS::IAM::User) 保持不變。您可以在 2022 年 2 月之前 AWS Config 支援的所有區域中啟用這些全域IAM資源的記錄。2022 年 2 月 AWS Config 之後,無法在 支援的區域中記錄這些全域IAM資源。

全域資源類型 | IAM 資源

下列IAM資源類型是全域資源:IAM使用者、群組、角色和客戶受管政策。這些資源類型可由 記錄在 AWS Config AWS Config 2022 年 2 月之前可用的 區域中。您無法記錄全域IAM資源類型的清單包括下列區域:亞太區域 (海德拉巴)、亞太區域 (馬來西亞)、亞太區域 (墨爾本)、加拿大西部 (卡加利)、歐洲 (西班牙)、歐洲 (蘇黎世)、以色列 (特拉維夫) 和中東 ()UAE。

為了防止重複的組態項目 (CIs),您應該考慮只在其中一個支援的區域中記錄一次全域IAM資源類型。這也可以協助您避免不必要的評估和API限流。

全域資源類型 | 僅限主要區域

下列服務的全域資源僅由 記錄在全域資源類型的 AWS Config 主區域中:Amazon Elastic Container Registry Public AWS Global Accelerator、Amazon Route 53、Amazon CloudFront和 AWS WAF。對於這些全域資源,可以在多個 AWS 區域中使用相同的資源類型執行個體,但組態項目 (CIs) 只會記錄在主區域中的商業分割區或 AWS GovCloud (US) AWS GovCloud (美國西部) 分割區。

全域資源類型的主要區域
AWS 服務 資源類型值 主要區域
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository 美國東部 (維吉尼亞北部) 區域
AWS Global Accelerator AWS::GlobalAccelerator::Listener 美國西部 (奧勒岡) 區域
AWS::GlobalAccelerator::EndpointGroup 美國西部 (奧勒岡) 區域
AWS::GlobalAccelerator::Accelerator 美國西部 (奧勒岡) 區域
Amazon Route 53 AWS::Route53::HostedZone 美國東部 (維吉尼亞北部) 區域
AWS::Route53::HealthCheck 美國東部 (維吉尼亞北部) 區域
Amazon CloudFront AWS::CloudFront::Distribution 美國東部 (維吉尼亞北部) 區域
AWS WAF AWS::WAFv2::WebACL 美國東部 (維吉尼亞北部) 區域
全域資源類型 | Aurora 全域叢集

AWS::RDS::GlobalCluster 是全域資源,會記錄在已啟用組態記錄器的所有支援 AWS Config 區域中。此全域資源類型是唯一的,如果您在一個區域中啟用此資源的錄製, AWS Config 會在您啟用的所有區域中記錄此資源類型的組態項目 (CIs)。

如果您不想AWS::RDS::GlobalCluster在所有啟用的區域中記錄,請使用下列其中一個錄製策略來記錄 AWS Config 主控台:

  • 使用可自訂覆寫記錄所有資源類型,選擇「AWS RDS GlobalCluster」,然後選擇覆寫「從記錄排除」

  • 記錄特定資源類型

如果您不想AWS::RDS::GlobalCluster在所有啟用的區域中記錄,請針對 API/ 使用下列其中一種記錄策略CLI:

  • 記錄所有目前和未來的資源類型 (包括排除項目) (EXCLUSION_BY_RESOURCE_TYPES)

  • 記錄特定資源類型 (INCLUSION_BY_RESOURCE_TYPES)。

AWS Config 規則和全域資源類型

2022 年 2 月之前加入的全域IAM資源類型 (AWS::IAM::GroupAWS::IAM::RoleAWS::IAM::PolicyAWS::IAM::User) 只能 AWS Config 由 在 2022 年 2 月之前 AWS Config 可用的 區域中記錄。這些全域IAM資源類型無法在 2022 年 2 月 AWS Config 之後支援的區域中記錄。如需這些區域的清單,請參閱錄製 AWS 資源 | 全域資源

如果您在至少一個區域中記錄全域IAM資源類型,報告全域IAM資源類型合規性的定期規則將在新增定期規則的所有區域中執行評估,即使您尚未在新增定期規則的區域中啟用全域IAM資源類型的記錄。

報告 2022 年 2 月之前加入之全球資源合規性的最佳實務

為了避免不必要的評估,您只應該將這些全域資源範圍中的 AWS Config 規則和一致性套件部署到其中一個支援的 區域。如需哪些區域支援哪些受管規則的清單,請參閱依區域可用性列出的 AWS Config 受管規則清單。這適用於 AWS Config 規則、組織 AWS Config 規則,以及由其他服務建立的規則 AWS ,例如 AWS Security Hub 和 AWS Control Tower。

如果未記錄在 2022 年 2 月之前上線的全域資源類型,建議您不要啟用下列定期規則,以避免不必要的評估:

報告 2022 年 2 月之後加入之全球資源合規的最佳實務

在 2022 年 2 月之後加入 AWS Config 錄製的全域資源類型只會記錄到服務主區域中的商業分割區和 AWS GovCloud (美國西部) AWS GovCloud (US) 分割區。您應該將這些全域資源範圍中的 AWS Config 規則和一致性套件部署到資源類型的主區域。如需詳細資訊,請參閱 全域資源類型的主區域

非記錄資源

如果未記錄資源,則 只會免費 AWS Config 擷取該資源的建立和刪除,而不會擷取其他詳細資訊。建立或刪除未錄製的資源時, AWS Config 會傳送通知,並在資源詳細資訊頁面上顯示事件。未記錄資源的詳細資訊頁面針對大多數的組態詳細資訊都僅會有 null 值,並且不會提供關係和組態變更的相關資訊。

注意

如果資源已選取或先前已選取為要在組態記錄器中記錄的資源,則 AWS::IAM::UserAWS::IAM::Policy AWS::IAM::GroupAWS::IAM::Role 資源類型只會擷取建立 (ResourceNotRecorded) 和刪除 (ResourceDeletedNotRecorded) 狀態。

注意

ResourceNotRecorded 和 的組態項目 (CIs) ResourceDeletedNotRecorded 未遵循資源類型的一般錄製時間。這些資源類型只會在組態記錄器的定期基準程序期間記錄,其頻率低於其他資源類型。

AWS Config 提供記錄資源的關係資訊不受限制,因為缺少未記錄資源的資料。若記錄資源與未記錄資源有關,則該關係會在記錄資源的詳細資訊頁面上提供。