View a markdown version of this page

Bekerja dengan perekam konfigurasi - AWS Config

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan perekam konfigurasi

Perekam konfigurasi menyimpan perubahan konfigurasi ke jenis sumber daya dalam lingkup sebagai item konfigurasi (CI).

Ada dua jenis perekam konfigurasi.

Jenis Deskripsi
Perekam konfigurasi terkelola pelanggan Perekam konfigurasi yang Anda kelola. Jenis sumber daya dalam lingkup ditetapkan oleh Anda. Secara default, perekam konfigurasi terkelola pelanggan merekam semua sumber daya yang AWS Config didukung Wilayah AWS di tempat berjalan.
Service-linked perekam konfigurasi Perekam konfigurasi yang ditautkan ke yang spesifik Layanan AWS. Jenis sumber daya dalam lingkup ditetapkan oleh layanan tertaut.

Pertimbangan untuk perekam konfigurasi terkelola pelanggan

Satu perekam konfigurasi terkelola pelanggan per akun per Wilayah

Anda hanya dapat memiliki satu perekam konfigurasi yang dikelola pelanggan Akun AWS untuk masing-masing perekam konfigurasi Wilayah AWS.

Defaultnya adalah merekam semua jenis sumber daya yang didukung, tidak termasuk tipe sumber daya IAM global

Default untuk perekam konfigurasi terkelola pelanggan adalah merekam semua jenis sumber daya yang didukung, tidak termasuk jenis sumber daya IAM global berikut:AWS::IAM::Group,, AWS::IAM::PolicyAWS::IAM::Role, dan AWS::IAM::User Anda dapat menentukan jenis sumber daya yang ingin Anda sertakan atau kecualikan dari rekaman.

Untuk informasi selengkapnya, lihat Merekam AWS Sumber Daya dengan AWS Config.

Anda dikenakan biaya penggunaan layanan untuk menggunakan perekam konfigurasi terkelola pelanggan

Anda dikenakan biaya penggunaan layanan saat AWS Config mulai merekam konfigurasi dengan perekam konfigurasi terkelola pelanggan.

Untuk informasi harga, lihat Harga AWS Config.

Gunakan AWS Systems Manager untuk membuat perekam konfigurasi terkelola pelanggan di seluruh organisasi

Anda dapat menggunakan Pengaturan AWS Systems Manager Cepat untuk membuat perekam konfigurasi terkelola pelanggan di beberapa unit organisasi (OU) dan Wilayah AWS menggunakan praktik AWS terbaik.

Untuk informasi selengkapnya, lihat Membuat perekam AWS Config konfigurasi menggunakan Pengaturan Cepat di Panduan Pengguna Systems Manager.

penting

Kebijakan dan hasil kepatuhan

Kebijakan IAM dan kebijakan lain yang dikelola AWS Organizations dapat memengaruhi apakah AWS Config memiliki izin untuk merekam perubahan konfigurasi untuk sumber daya Anda. Selain itu, aturan secara langsung mengevaluasi konfigurasi sumber daya dan aturan tidak memperhitungkan kebijakan ini saat menjalankan evaluasi. Pastikan bahwa kebijakan yang berlaku selaras dengan cara Anda berniat untuk menggunakan AWS Config.

Hasil evaluasi basi untuk sumber daya yang dihapus dapat bertahan jika perekam konfigurasi dimatikan

Jika perekam konfigurasi terkelola pelanggan dimatikan, itu menonaktifkan kemampuan AWS Config Config untuk melacak perubahan pada konfigurasi sumber daya yang Anda tentukan, termasuk penghapusannya. Ini berarti Anda mungkin melihat hasil evaluasi basi untuk sumber daya yang dihapus saat perekam konfigurasi terkelola pelanggan dimatikan karena AWS Config tidak dapat menangkap peristiwa penghapusan jika perekaman tidak aktif.

Pertimbangan untuk perekam konfigurasi terkait layanan

AWS Config Peran terkait layanan harus digunakan

Peran AWS Config terkait layanan diperlukan untuk perekam konfigurasi terkait layanan.

Untuk informasi selengkapnya, lihat Menggunakan Service-Linked Peran untuk AWS Config.

Service-linked perekam konfigurasi selalu merekam

Service-linked perekam diperbaiki. Anda tidak dapat langsung mengubah pengaturan dalam perekam terkait layanan. Untuk mengubah pengaturan perekam seperti memulai, menghentikan, atau memperbarui perekam, lakukan perubahan ini melalui AWS layanan terkait yang menggunakan perekam terkait layanan.

Untuk informasi selengkapnya, lihat Menghapus Perekam Konfigurasi.

Lingkup perekaman menentukan apakah Anda menerima item konfigurasi

Lingkup perekaman diatur oleh Layanan AWS yang ditautkan ke perekam konfigurasi dan menentukan apakah Anda menerima item konfigurasi (CI) di saluran pengiriman. Jika ruang lingkup perekaman INTERNAL, Anda tidak akan menerima CI di saluran pengiriman.

Ruang lingkup perekaman menentukan apakah Anda dikenakan biaya layanan

Lingkup perekaman diatur oleh Layanan AWS yang ditautkan ke perekam konfigurasi dan menentukan apakah item konfigurasi (CI) dalam ruang lingkup dicatat secara gratis (INTERNAL) atau jika berdampak pada biaya tagihan Anda (DIBAYAR).

Merekam prioritas frekuensi antara perekam

Ketika Anda memiliki perekam konfigurasi terkelola pelanggan dan perekam konfigurasi terkait layanan dengan cakupan perekaman 'PAID' yang merekam jenis sumber daya yang sama, perekam dengan frekuensi perekaman yang lebih tinggi akan diutamakan. Misalnya, jika perekam terkelola pelanggan Anda disetel ke perekaman harian, tetapi Anda mengaktifkan AWS layanan yang menggunakan perekam terkait layanan dengan cakupan perekaman 'DIBAYAR' dan perekaman berkelanjutan, jenis sumber daya yang terpengaruh akan direkam terus menerus.

Ini berarti bahwa meskipun pengaturan perekam terkelola pelanggan Anda masih menunjukkan “Perekaman harian,” Anda akan dikenakan biaya untuk perekaman berkelanjutan untuk jenis sumber daya yang ada dalam cakupan kedua perekam. Ini hanya memengaruhi jenis sumber daya yang direkam oleh kedua perekam.

catatan

Anda hanya dikenakan biaya sekali per item konfigurasi, terlepas dari jumlah item konfigurasi yang dihasilkan oleh perekam konfigurasi yang dikelola pelanggan atau perekam konfigurasi terkait layanan yang Anda bayar.

contoh Contoh: Perekaman frekuensi prioritas

Anda telah mengonfigurasi perekam terkelola pelanggan Anda untuk merekam instans Amazon EC2 dengan frekuensi perekaman harian. Kemudian, Anda mengaktifkan fitur AWS layanan yang menggunakan perekam terkait layanan dengan cakupan perekaman 'DIBAYAR' dan perekaman berkelanjutan yang juga merekam instans Amazon EC2. Dalam skenario ini:

  • Pengaturan perekam terkelola pelanggan Anda akan tetap menampilkan “Rekaman harian”

  • Instans Amazon EC2 akan direkam terus menerus dan menyediakan CI tambahan karena perekam terkait layanan dengan cakupan perekaman 'PAID' memiliki frekuensi perekaman yang lebih tinggi

  • Anda akan dikenakan biaya untuk perekaman instans Amazon EC2 secara terus menerus

  • Jenis sumber daya lain yang hanya direkam oleh perekam terkelola pelanggan Anda akan terus direkam dalam frekuensi perekaman harian

Layanan yang didukung

Service-linked perekam konfigurasi didukung untuk layanan berikut:

AWS layanan Prinsipal layanan Nama perekam Manfaat menggunakan dengan AWS Config Pelajari selengkapnya
Amazon CloudWatch observabilityadmin.amazonaws.com, telemetry-enablement.observabilityadmin.amazonaws.com AWSConfigurationRecorderForObservabilityAdmin, AWSConfigurationRecorderForObservabilityAdmin_TelemetryEnablement Anda dapat menggunakan Amazon CloudWatch Observability Admin untuk menemukan dan memahami status konfigurasi telemetri CloudWatch untuk AWS Organisasi atau akun Anda. Untuk informasi selengkapnya, lihat Mengaudit konfigurasi CloudWatch telemetri di Panduan Pengguna. CloudWatch
AWS Security Hub securityhubv2.amazonaws.com AWSConfigurationRecorderForSecurityHubAssets, AWSConfigurationRecorderForSecurityHubAssetsGlobal Anda dapat menggunakan AWS Security Hub untuk menghasilkan temuan keamanan dan melakukan penilaian keamanan di seluruh AWS akun Anda. Perekam terkait layanan memungkinkan pengumpulan item konfigurasi sumber daya yang diperlukan untuk visibilitas dan analisis aset di seluruh jenis sumber daya regional dan global. Untuk informasi selengkapnya, lihat Mengaktifkan Security Hub di Security Hub dan Panduan Pengguna CSPM Security Hub.
AWS Security Hub CSPM securityhub.amazonaws.com AWSConfigurationRecorderForSecurityHubCSPM Anda dapat menggunakan AWS Security Hub CSPM untuk menghasilkan temuan keamanan dan melakukan penilaian di seluruh AWS akun Anda. Perekam terkait layanan memungkinkan pengumpulan item konfigurasi sumber daya yang diperlukan untuk mendukung evaluasi ini. Untuk informasi selengkapnya, lihat Mengaktifkan CSPM Security Hub di Security Hub dan Panduan Pengguna CSPM Security Hub.

Deteksi drift untuk perekam konfigurasi

Jenis AWS::Config::ConfigurationRecorder sumber daya adalah item konfigurasi (CI) untuk perekam konfigurasi yang melacak semua perubahan pada status perekam konfigurasi. Anda dapat menggunakan CI ini untuk memeriksa apakah status perekam konfigurasi berbeda, atau telah melayang, dari keadaan sebelumnya.

Misalnya, CI ini melacak jika ada pembaruan untuk jenis sumber daya yang telah Anda aktifkan AWS Config untuk dilacak, jika Anda telah menghentikan atau memulai perekam konfigurasi, atau jika Anda telah menghapus atau menghapus pemasangan perekam konfigurasi. Perekam konfigurasi hanyut menunjukkan bahwa Anda tidak secara akurat mendeteksi perubahan pada jenis sumber daya yang Anda inginkan. Jika perekam konfigurasi Anda telah hanyut, ini dapat menghasilkan hasil kepatuhan negatif palsu atau positif palsu.

Jenis AWS::Config::ConfigurationRecorder sumber daya adalah jenis sumber daya sistem AWS Config dan perekaman jenis sumber daya ini diaktifkan secara default di semua Wilayah yang didukung. Perekaman untuk jenis AWS::Config::ConfigurationRecorder sumber daya dilengkapi tanpa biaya tambahan.