配置资源记录器
操作场景
您必须先开启资源记录器,然后才可以配置并使用资源记录器来跟踪云平台上的资源变更情况。
资源记录器配置完毕后,您可以随时修改资源记录器的配置或关闭资源记录器。
本章节包含如下内容:
开启并配置资源记录器
开启并配置资源记录器后,当您的资源变更(被创建、修改、删除)、资源关系变更时,您均可收到通知,同时还可对您的资源变更消息和资源快照进行定期存储。
- 登录管理控制台。
- 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。
- 单击左侧的“资源记录器”,进入“资源记录器”页面。
- 打开资源记录器开关,在弹出的确认框中单击“是”,资源记录器开启成功。
图1 开启资源记录器
- 选择资源的监控范围。
默认情况下,资源记录器的监控范围会覆盖当前Config支持的全部资源。您可以修改资源记录器的监控范围,选择指定的资源类型进行监控。
资源记录器默认收集Config服务的所有资源数据。
图2 选择监控范围
- 配置资源转储。
选择OBS桶,用于存储资源变更消息及资源快照。
- 配置当前账号下OBS桶:
选择您账号下的OBS桶,用于存储资源变更消息及资源快照,如果用于转储的OBS桶指定了前缀,则还需添加桶前缀。如您的账号下无OBS桶,则需先创建OBS桶,详见《对象存储服务用户指南》。
- 配置其他账号下OBS桶:
选择“另一账号的桶”,并输入区域ID和桶名称,如果用于转储的OBS桶指定了前缀,则还需添加桶前缀。需先使用其他账号对当前账号授予相关OBS桶的权限,具体操作请参见跨账号授权。
开启资源记录器时,如果指定了当前账号或其他账号下的OBS桶,Config会向目标OBS桶中写入一个名为ConfigWritabilityCheckFile的空文件,此文件仅用于验证资源转储是否能够成功写入OBS桶。
图3 配置资源转储
- 配置当前账号下OBS桶:
- 配置数据保留周期。
资源记录器收集到的资源配置信息数据默认保留7年(2557天),您可以将配置信息数据设置自定义保留周期,自定义数据保留周期的可设置范围为最短30天,最长7年(2557天)。
虽然Config使用SMN和OBS发送资源变更消息通知和存储资源变更消息及资源快照,但Config自身也会保存资源的历史变更信息。此处配置的数据保留时间仅针对于Config,不会对SMN和OBS存储的数据产生影响。
当您配置数据保留周期后,Config会在指定周期内保留您的资源历史数据,超出指定周期的数据将会被删除。
图4 配置数据保留周期
- 开启并配置消息通知(SMN)主题。
打开主题开关,选择主题所在区域和主题名,用于接收资源变更时产生的消息通知。
- 配置当前账号下消息通知主题:
选择“您自己的主题”,并选择主题所在区域和主题名,用于接收资源变更时产生的消息通知。如无SMN主题,则需先创建SMN主题,详见《消息通知服务用户指南》。
- 配置其他账号下消息通知主题:
选择“另一账号的主题”,并输入主题URN。需先使用其他账号对当前账号授予相关SMN主题的权限,具体操作请参见跨账号授权。
创建SMN主题后,还需执行“添加订阅”和“请求订阅”操作,消息通知才会生效。详见《消息通知服务用户指南》。
图5 配置SMN主题
- 配置当前账号下消息通知主题:
- 进行授权,选择“快速授权”或“自定义授权”。
- 快速授权:将为您快速创建一个名为“rms_tracker_agency”的委托权限,该权限是可以让资源记录器正常工作的权限,包含调用消息通知服务(SMN)发送通知的权限和对象存储服务(OBS)的写入权限(例如SMN Administrator和OBS OperateAccess权限)。由于快速授权的委托中并不包含KMS的相关权限,因此资源记录器无法将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中。如有需要,您可以在委托中添加对应权限(KMS Administrator)或使用自定义授权,具体请参见资源变更消息和资源快照转储至OBS加密桶。
- 自定义授权:您可自行在统一身份认证服务(IAM)中创建委托权限,并进行自定义授权,授权对象为云服务RMS,但必须包含可以让资源记录器正常工作的权限(调用消息通知服务(SMN)发送通知的权限和对象存储服务(OBS)的写入权限)。如果需要将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中,还需要添加KMS的密钥管理员权限(KMS Administrator),具体请参见资源变更消息和资源快照转储至OBS加密桶。创建委托详见《统一身份认证服务用户指南》。
此处的授权为委托授权,授权消息通知服务(SMN)的发送通知权限和对象存储服务(OBS)的写入权限给Config服务,允许资源记录器将消息通知发送到您的SMN主题和将资源变更消息以及资源快照存储到您的OBS桶。
图6 授权
- 配置完成后,单击“保存”。
- 在弹出的确认框中单击“是”,资源记录器配置成功。
修改资源记录器
资源记录器开启并配置完成后,您可以随时修改资源记录器的配置。
- 进入“资源记录器”页面。
- 单击页面上方的“修改资源记录器”。
图7 修改资源记录器
- 修改资源记录器的相关配置。
- 修改完成后,单击页面下方的“保存”。
- 在弹出的确认框中单击“是”,资源记录器的配置修改成功。
关闭资源记录器
如您不再需要使用资源记录器记录资源变更情况,您可以随时关闭它。
- 进入“资源记录器”页面。
- 关闭资源记录器开关。
- 在弹出的确认框中单击“确定”,资源记录器的关闭成功。
图8 关闭资源记录器
跨账号授权
- 跨账号授予SMN主题发送通知的权限
- 用授权账号登录管理控制台,进入对应区域的SMN服务控制台。
- 参考设置主题策略对待授权账号授予相关SMN主题的权限。
- 跨账号授予OBS桶存储文件的权限
- 用授权账号登录管理控制台,进入OBS管理控制台。
- 参考自定义创建桶策略(JSON视图)对待授权账号授予相关OBS桶的权限。
将如下策略添加到桶策略中:
{ "Statement": [ { "Sid": "org-bucket-policy", "Effect": "Allow", "Principal": { "ID": [ "domain/account ID:agency/rms_tracker_agency" //account ID为需要被授权账号的domain_id;rms_tracker_agency为被授权的委托名称 ] }, "Action": [ "PutObject" ], "Resource": [ "targetBucketName/RMSLogs/*/Snapshot/*", "targetBucketName/RMSLogs/*/Notification/*" ] } ] }
桶策略的授权对象是创建资源记录器时使用的委托,授权资源为资源记录器转储的文件路径(如果在配置资源记录器时为转储的OBS桶指定了前缀,则资源记录器转储的文件路径也需添加相应前缀),授权操作为写入文件到OBS桶所需的PutObject操作。
资源变更消息和资源快照转储至OBS加密桶
- 使用SSE-OBS方式加密的OBS桶
如果您需要将资源变更消息和资源快照存储至使用SSE-OBS方式加密的OBS桶,无需其他操作,只需选择对应OBS桶进行存储即可。
- 使用SSE-KMS默认密钥方式加密的OBS桶
如果您需要将资源变更消息和资源快照存储至使用SSE-KMS默认密钥方式加密的OBS桶,则需要在对资源记录器的委托中新增KMS的管理员权限(KMS Administrator)。
- 使用SSE-KMS自定义密钥方式加密的OBS桶
如果您需要将资源变更消息和资源快照存储使用SSE-KMS自定义密钥方式加密的OBS桶,则需要在对资源记录器的委托中新增KMS的管理员权限(KMS Administrator)。
另外,如果您选择将资源变更消息和资源快照存储至其他账号的使用SSE-KMS自定义密钥方式加密的OBS桶,则除了需要在对资源记录器的委托中新增KMS的管理员权限(KMS Administrator),还需要在被存储的OBS桶的密钥中设置密钥的跨账号权限。具体可参考以下步骤:
- 用授权账号登录管理控制台,进入数据加密服务的“密钥管理”界面。
- 单击目标自定义密钥的别名,进入密钥详细信息的授权页面。
- 参考创建授权对待授权账号授予其使用相关自定义密钥的权限。
- “被授权对象”选择“账号”,并输入待授权账号的账号ID。
- “授权操作”勾选“创建数据密钥”、“查询密钥信息”和“解密数据密钥”。