更新时间:2024-10-28 GMT+08:00

配置资源记录器

操作场景

您必须先开启资源记录器,然后才可以配置并使用资源记录器来跟踪云平台上的资源变更情况。

资源记录器配置完毕后,您可以随时修改资源记录器的配置或关闭资源记录器。

当前每天仅支持最多开启和修改资源记录器10次,每天0点将重置此次数。

本章节包含如下内容:

开启并配置资源记录器

开启并配置资源记录器的资源转储和主题功能后,当对接服务上报Config的资源变更(被创建、修改、删除等)、资源关系变更时,您均可收到通知,同时还可对您的资源变更消息和资源快照进行定期存储。

  1. 登录管理控制台。
  2. 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。
  3. 单击左侧导航栏的“资源记录器”,进入“资源记录器”页面。
  4. 打开资源记录器开关,在弹出的确认框中单击“确定”,资源记录器开启成功。

    图1 开启资源记录器

  5. 选择资源的监控范围。

    默认情况下,资源记录器的监控范围会覆盖当前Config支持的全部资源。您可以根据需要修改资源记录器的监控范围,选择指定的资源类型进行监控。

    资源记录器默认收集Config服务的所有资源数据,不支持取消勾选的操作。

    图2 选择监控范围

  6. 配置资源转储。

    选择OBS桶,用于存储资源变更消息及资源快照。

    如果您先配置了SMN主题,则也可以不配置资源转储(OBS桶)。

    • 配置当前账号下OBS桶:

      选择“您账号的桶”,然后在下拉列表中选择您账号下的OBS桶,用于存储资源变更消息及资源快照。如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下,则在选择OBS桶后,还需输入“桶前缀”,该前缀指OBS桶内某个文件夹的名称。如您的账号下无OBS桶,则需先创建OBS桶,详见创建桶

    • 配置其他账号下OBS桶:

      选择“另一账号的桶”,并输入区域ID和桶名称,如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下,则还需输入“桶前缀”,该前缀指OBS桶内某个文件夹的名称。需先使用其他账号对当前账号授予相关OBS桶的权限,具体操作请参见跨账号授权

    开启资源记录器时,如果指定了当前账号或其他账号下的OBS桶,Config会向目标OBS桶中写入一个名为ConfigWritabilityCheckFile的空文件,此文件仅用于验证资源转储是否能够成功写入OBS桶。当界面出现报错信息时,如何处理请参见为什么开启并配置资源记录器后,将数据转储至当前账号或其他账号的OBS桶时报错?

    图3 配置资源转储

  7. 配置数据保留周期。

    资源记录器收集到的资源配置信息数据默认保留7年(2557天),您可以将配置信息数据设置自定义保留周期,自定义数据保留周期的可设置范围为最短30天,最长7年(2557天)。

    虽然Config使用SMN和OBS发送资源变更消息通知和存储资源变更消息及资源快照,但Config自身也会保存资源的历史变更信息。此处配置的数据保留时间仅针对于Config,不会对SMN和OBS存储的数据产生影响。

    当您配置数据保留周期后,Config会在指定周期内保留您的资源历史数据,超出指定周期的数据将会被删除。

    如果您后续对数据保留周期进行了修改,此时新生成的资源数据将按照您新设置的保留周期进行存储,历史资源数据还将按照之前设置的数据保留周期进行存储。例如您先将数据保留周期设置为100天,此时生成的资源数据将保留100天,后续又将数据保留周期修改为30天,此时新生成的资源数据将保留30天,但修改数据保留周期之前生成的资源数据还是会保留100天。

    图4 配置数据保留周期

  8. (可选)开启并配置消息通知(SMN)主题。

    打开主题开关,选择主题所在区域和主题名,用于接收资源变更时产生的消息通知。

    • 配置当前账号下消息通知主题:

      选择“您自己的主题”,并选择主题所在区域和主题名,用于接收资源变更时产生的消息通知。如无SMN主题,则需先创建SMN主题,详见创建主题

    • 配置其他账号下消息通知主题:

      选择“另一账号的主题”,并输入主题URN,关于主题URN的详细信息请参见基本概念。需先使用其他账号对当前账号授予相关SMN主题的权限,具体操作请参见跨账号授权

    创建SMN主题后,还需执行“添加订阅”和“请求订阅”操作,消息通知才会生效。

    图5 配置SMN主题

  9. 进行授权,选择“快速授权”或“自定义授权”。

    • 快速授权:将为您快速创建一个名为“rms_tracker_agency”的委托权限,该权限是可以让资源记录器正常工作的权限,包含调用消息通知服务(SMN)发送通知的权限和对象存储服务(OBS)的写入权限(例如SMN Administrator和OBS OperateAccess权限)。由于快速授权的委托中并不包含KMS的相关权限,因此资源记录器无法将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中。如有需要,您可以在委托中添加对应权限(KMS Administrator)或使用自定义授权,具体请参见资源变更消息和资源快照转储至OBS加密桶

      如何为委托添加权限请参见删除或修改委托

    • 自定义授权:您可自行在统一身份认证服务(IAM)中创建委托,并进行自定义授权,授权对象为云服务Config,但必须包含可以让资源记录器正常工作的权限(调用消息通知服务(SMN)发送通知的权限和对象存储服务(OBS)的写入权限至少包含一个)。如果需要将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中,还需要添加KMS的密钥管理员权限(KMS Administrator),具体请参见资源变更消息和资源快照转储至OBS加密桶。创建委托详见委托其他云服务管理资源
      图6 授权

  10. 配置完成后,单击“保存”。
  11. 在弹出的确认框中单击“确定”,资源记录器配置成功。

修改资源记录器

资源记录器开启并配置完成后,您可以随时修改资源记录器的配置。

  1. 进入“资源记录器”页面。
  2. 单击页面上方的“修改资源记录器”。

    图7 修改资源记录器

  3. 修改资源记录器的相关配置。
  4. 修改完成后,单击页面下方的“保存”。
  5. 在弹出的确认框中单击“确定”,资源记录器的配置修改成功。

关闭资源记录器

如您不再需要使用资源记录器记录资源变更情况,您可以随时关闭它。

  1. 进入“资源记录器”页面。
  2. 关闭资源记录器开关。
  3. 在弹出的确认框中单击“确定”,资源记录器的关闭成功。

    图8 关闭资源记录器

跨账号授权

  • 跨账号授予SMN主题发送通知的权限
    1. 用授权账号登录管理控制台,进入对应区域的SMN服务控制台。
    2. 参考设置主题策略对待授权账号授予相关SMN主题的权限。

      如未对待授权账号进行授权,则该账号将无法通过此SMN主题接收资源变更消息通知。

  • 跨账号授予OBS桶存储文件的权限
    1. 用授权账号登录管理控制台,进入OBS管理控制台。
    2. 参考自定义创建桶策略(JSON视图)对待授权账号授予相关OBS桶的权限。

      桶策略的示例如下,配置该桶策略,将允许被授权账号的资源记录器将转储文件存放至本OBS桶的指定路径内,以下参数需要您根据实际使用场景手动替换:

      • ${account_id}:需要被授权的账号的账号ID(domain_id);
      • ${agency_name}:被授权的委托名称,如果您使用快速授权方式,则该值为“rms_tracker_agency”;
      • ${bucket_name}:用于存储文件的OBS桶的桶名;
      • ${folder_name}:用于存储文件的OBS桶内文件夹的名称。如果您未设置OBS桶内文件夹,则需删除“/${folder_name}”。
      {
        "Statement": [
          {
            "Sid": "org-bucket-policy",
            "Effect": "Allow",
            "Principal": {
              "ID": [
                "domain/${account_id}:agency/${agency_name}"
              ]
            },
            "Action": [
              "PutObject"
            ],
            "Resource": [
              "${bucket_name}/${folder_name}/RMSLogs/*/Snapshot/*",
              "${bucket_name}/${folder_name}/RMSLogs/*/Notification/*"
            ]
          }
        ]
      }

资源变更消息和资源快照转储至OBS加密桶

  • 使用SSE-OBS方式加密的OBS桶

    如果您需要将资源变更消息和资源快照存储至使用SSE-OBS方式加密的OBS桶,无需其他操作,只需选择对应OBS桶进行存储即可。

  • 使用SSE-KMS默认密钥方式加密的OBS桶

    如果您需要将资源变更消息和资源快照存储至使用SSE-KMS默认密钥方式加密的OBS桶,则需要在对资源记录器的委托中新增KMS的管理员权限(KMS Administrator)。

  • 使用SSE-KMS自定义密钥方式加密的OBS桶

    如果您需要将资源变更消息和资源快照存储使用SSE-KMS自定义密钥方式加密的OBS桶,则需要在对资源记录器的委托中新增KMS的管理员权限(KMS Administrator)。

    另外,如果您选择将资源变更消息和资源快照存储至其他账号的使用SSE-KMS自定义密钥方式加密的OBS桶,则除了需要在对资源记录器的委托中新增KMS的管理员权限(KMS Administrator),还需要在被存储的OBS桶的密钥中设置密钥的跨账号权限。具体可参考以下步骤:

    1. 用授权账号登录管理控制台,进入数据加密服务的“密钥管理”界面。
    2. 单击目标自定义密钥的别名,进入密钥详细信息的授权页面。
    3. 参考创建授权对待授权账号授予其使用相关自定义密钥的权限。
      • “被授权对象”选择“账号”,并输入待授权账号的账号ID。
      • “授权操作”勾选“创建数据密钥”、“查询密钥信息”和“解密数据密钥”。