Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pantau perubahan sumber daya dengan AWS Config
AWS Control Tower memungkinkan AWS Config pada semua akun yang terdaftar, sehingga dapat memantau kepatuhan melalui kontrol detektif, merekam perubahan sumber daya, dan mengirimkan log perubahan sumber daya ke akun terpusat.
Jika versi landing zone Anda lebih awal dari 3.0: Untuk akun terdaftar Anda, AWS Config catat semua perubahan pada sumber daya, untuk semua Wilayah tempat akun beroperasi. Setiap perubahan dimodelkan sebagai item konfigurasi (CI), yang berisi informasi seperti pengidentifikasi sumber daya, Wilayah, tanggal setiap perubahan dicatat, dan apakah perubahan tersebut terkait dengan sumber daya yang diketahui atau yang baru ditemukan.
Jika versi landing zone Anda 3.0 atau yang lebih baru: AWS Control Tower membatasi perekaman untuk sumber daya global, seperti pengguna IAM, grup, peran, dan kebijakan yang dikelola pelanggan, hanya untuk Wilayah asal Anda. Salinan perubahan sumber daya global tidak disimpan di setiap Wilayah. Keterbatasan perekaman sumber daya ini sesuai dengan praktik AWS Config terbaik
-
Untuk mempelajari selengkapnya AWS Config, lihat Cara AWS Config kerjanya.
-
Untuk daftar sumber daya yang AWS Config dapat mendukung, lihat Jenis sumber daya yang didukung.
-
Untuk mempelajari cara menyesuaikan pelacakan sumber daya di lingkungan AWS Control Tower, lihat posting blog berjudul Kustomisasi pelacakan AWS Config sumber daya di AWS Control Tower
.
AWS Control Tower menyiapkan saluran AWS Config pengiriman di semua akun yang terdaftar. Melalui saluran pengiriman ini, ia mencatat semua perubahan yang direkam dalam akun terpusat, di mana mereka disimpan dalam bucket Amazon Simple Storage Service. Nama dan lokasi bucket Amazon S3 bergantung pada versi landing zone Anda:
-
Untuk landing zone versi 3.3 atau yang lebih lama, log disimpan di bucket
aws-controltower-logs-*Amazon S3 di akun arsip log. -
Untuk landing zone versi 4.0 atau yang lebih baru, log disimpan di bucket
aws-controltower-config-logs-*Amazon S3 di akun AWS Config integrasi (sebelumnya dikenal sebagai akun Audit). Untuk informasi selengkapnya, lihat Pembaruan AWS Config.
Lihat AWS Config data perekam pada akun terdaftar
AWS Config terintegrasi dengan CloudWatch sehingga Anda dapat melihat AWS Config CI di dasbor. Untuk informasi selengkapnya, lihat posting blog berjudul AWS Config
mendukung CloudWatch metrik Amazon
Secara terprogram, untuk melihat AWS Config data, Anda dapat bekerja dengan AWS CLI, atau Anda dapat menggunakan alat lain. AWS
Permintaan AWS Config data perekam pada sumber daya tertentu
Anda dapat menggunakan AWS CLI untuk mengambil daftar perubahan terbaru untuk sumber daya.
Perintah riwayat sumber daya:
-
aws configservice get-resource-config-history --resource-typeRESOURCE-TYPE--resource-idRESOURCE-ID--regionREGION
Untuk mempelajari selengkapnya, lihat dokumentasi API untuk get-config-history.
Visualisasikan AWS Config Data dengan Quick
Anda dapat memvisualisasikan dan meminta sumber daya yang direkam oleh AWS Config seluruh organisasi Anda. Untuk informasi selengkapnya, lihat Dasbor Kepatuhan Sumber Daya Konfigurasi
Pemecahan masalah AWS Config di AWS Control Tower
Bagian ini memberikan informasi tentang beberapa masalah yang mungkin Anda temui saat menggunakan AWS Config AWS Control Tower.
Tinggi AWS Config ongkos
Jika alur kerja Anda menyertakan proses yang sering membuat, memperbarui, atau menghapus sumber daya, atau menangani sumber daya dalam jumlah besar, alur kerja tersebut dapat menghasilkan sejumlah besar CI. Jika Anda menjalankan proses ini di akun non-produksi, pertimbangkan untuk membuka pendaftaran akun. Anda mungkin perlu menonaktifkan AWS Config perekam untuk akun itu secara manual.
catatan
Setelah Anda membatalkan pendaftaran akun, AWS Control Tower tidak dapat menerapkan kontrol detektif atau peristiwa akun log, seperti AWS Config aktivitas, untuk sumber daya di akun tersebut.
Untuk informasi selengkapnya, lihat Membatalkan kelola akun yang terdaftar. Untuk mempelajari cara menonaktifkan AWS Config perekam, lihat Mengelola perekam konfigurasi.
Sumber daya yang sama dicatat beberapa kali
Periksa apakah sumber daya adalah sumber daya global. Untuk zona pendaratan AWS Control Tower sebelum versi 3.0, AWS Config dapat merekam sumber daya global tertentu satu kali untuk setiap Wilayah AWS Config yang beroperasi. Misalnya, jika AWS Config diaktifkan pada delapan Wilayah, setiap peran direkam delapan kali.
Sumber daya berikut dicatat satu kali untuk setiap Wilayah di mana AWS Config beroperasi:
-
AWS::IAM::Group -
AWS::IAM::Policy -
AWS::IAM::Role -
AWS::IAM::User
Sumber daya global lainnya dicatat hanya sekali. Berikut adalah beberapa contoh sumber daya yang direkam satu kali:
-
AWS::Route53::HostedZone -
AWS::Route53::HealthCheck -
AWS::ECR::PublicRepository -
AWS::GlobalAccelerator::Listener -
AWS::GlobalAccelerator::EndpointGroup -
AWS::GlobalAccelerator::Accelerator
AWS Config tidak merekam sumber daya
Sumber daya tertentu memiliki hubungan ketergantungan dengan sumber daya lain. Hubungan ini mungkin langsung atau tidak langsung. Anda dapat menemukan daftar hubungan tidak langsung yang tidak digunakan lagi di FAQ. AWS Config