启用 Amazon Config - Amazon Config
put-configuration-recorderput-delivery-channelstart-configuration-recorder
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用 Amazon Config

注意

在设置之前Amazon Config用Amazon CLI,您需要创建一个 Amazon S3 存储桶、一个 Amazon SNS 主题和一个 IAM 角色,并将附加的策略作为先决条件。然后,您可以使用 Amazon CLI 为 Amazon Config 指定存储桶、主题和角色。设置您的先决条件Amazon Config, 请参阅put-configuration-recorder.

启用Amazon Config用Amazon CLI,请使用put-configuration-recorderput-delivery-channel, 和start-configuration-recorder命令。

这些区域有:put-configuration-recorder命令会新建配置记录器,记录您选择的资源配置。这些区域有:put-delivery-channel命令会创建一个传输通道对象,将配置信息传输到 Amazon S3 存储桶和 Amazon SNS 主题。您账户中的每个区域都可以有一个配置记录器和一个传递通道。创建传送渠道后,start-configuration-recorder开始记录您选择的资源配置,您可以在Amazonaccount.

您可以指定记录器的名称和 IAM 角色的 Amazon 资源名称 (ARN)Amazon与账户关联的资源。默认情况下,Amazon Config在创建配置记录器时会自动分配名称 “default”。您不能更改分配的名称。

设置Amazon Config对于多账户多区域数据聚合Amazon CLI, 请参阅使用 设置聚合器AmazonCommand Line Interface. 需要为每个区域中的每个区域创建单独的配置记录器Amazon您想要记录配置项目的账户。

put-configuration-recorder

您的put-configuration-recorder命令应类似于以下示例:

$ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role --recording-group allSupported=true,includeGlobalResourceTypes=true

此命令使用 --recording-group 参数的以下选项:

  • allSupported=true–Amazon Config将记录每种受支持类型的配置更改区域资源. Amazon Config 添加对新区域资源类型的支持后,它将自动开始记录该类型的资源。

  • includeGlobalResourceTypes=true–Amazon Config将受支持类型的全局性资源包含在它所记录的资源中。Amazon Config 添加对新全球性资源类型的支持后,它将自动开始记录该类型的资源。

    在将此选项设置为 true 之前,您必须将 allSupported 选项设置为 true

    如果您不希望包括全局性资源,请将此选项设置为 false,或者忽略此选项。

put-delivery-channel

要设置传送渠道,请使用put-delivery-channel命令:

$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

deliveryChannel.json 文件指定了传递通道的属性:

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

此示例设置了以下属性:

  • name— 传递通道的名称。默认情况下,Amazon Config 会向新的传递通道分配名称 default

    您无法使用 put-delivery-channel 命令更新传递通道的名称。有关更改名称的步骤,请参阅 重命名传递通道

  • s3BucketName— 存放的 Amazon S3 存储桶的名称Amazon Config可以提供配置快照和配置历史记录文件。

    如果您指定的存储桶属于其他 Amazon 账户,则该存储桶必须拥有向 Amazon Config 授予访问权限的策略。有关更多信息,请参阅 Amazon S3 存储桶的权限

  • snsTopicARN— Amazon SNS 主题的 Amazon 资源名称 (ARN)Amazon Config发送有关配置更改的通知。

    如果您从其他账户选择主题,则该主题必须拥有授予 Amazon Config 访问权限的策略。有关更多信息,请参阅 Amazon SNS 主题的权限

  • configSnapshotDeliveryProperties— ContainsdeliveryFrequency属性,此权限以设置频率Amazon Config提供配置快照。

start-configuration-recorder

要完成开启Amazon Config,请使用start-configuration-recorder命令:

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName