配置资源记录器

操作场景

您必须先开启资源记录器，然后才可以配置并使用资源记录器来跟踪云平台上的资源变更情况。

资源记录器配置完毕后，您可以随时修改资源记录器的配置或关闭资源记录器。

当前每天仅支持最多开启和修改资源记录器10次，每天0点将重置此次数。

本章节包含如下内容：

• 开启并配置资源记录器
• 修改资源记录器
• 关闭资源记录器
• 跨账号授权
• 资源变更消息和资源快照转储至OBS加密桶

开启并配置资源记录器

开启并配置资源记录器的资源转储和主题功能后，当对接服务上报Config的资源变更（被创建、修改、删除等）、资源关系变更时，您均可收到通知，同时还可对您的资源变更消息和资源快照进行定期存储。

1. 登录管理控制台。
2. 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。
3. 单击左侧导航栏的“资源记录器”，进入“资源记录器”页面。
4. 打开资源记录器开关，在弹出的确认框中单击“确定”，资源记录器开启成功。
   图1 开启资源记录器
   

5. 选择资源的监控范围。

   默认情况下，资源记录器的监控范围会覆盖当前Config支持的全部资源。您可以根据需要修改资源记录器的监控范围，选择指定的资源类型进行监控。

   说明：

   资源记录器默认收集Config服务的所有资源数据，不支持取消勾选的操作。

   图2 选择监控范围
   

6. 配置资源转储。

   选择OBS桶，用于存储资源变更消息及资源快照。

   如果您先配置了SMN主题，则也可以不配置资源转储（OBS桶）。

   • 配置当前账号下OBS桶：

     选择“您账号的桶”，然后在下拉列表中选择您账号下的OBS桶，用于存储资源变更消息及资源快照。如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下，则在选择OBS桶后，还需输入“桶前缀”，该前缀指OBS桶内某个文件夹的名称。如您的账号下无OBS桶，则需先创建OBS桶，详见创建桶。

   • 配置其他账号下OBS桶：

     选择“另一账号的桶”，并输入区域ID和桶名称，如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下，则还需输入“桶前缀”，该前缀指OBS桶内某个文件夹的名称。需先使用其他账号对当前账号授予相关OBS桶的权限，具体操作请参见跨账号授权。

   说明：

   开启资源记录器时，如果指定了当前账号或其他账号下的OBS桶，Config会向目标OBS桶中写入一个名为ConfigWritabilityCheckFile的空文件，此文件仅用于验证资源转储是否能够成功写入OBS桶。当界面出现报错信息时，如何处理请参见为什么开启并配置资源记录器后，将数据转储至当前账号或其他账号的OBS桶时报错？。

   图3 配置资源转储
   

7. 配置数据保留周期。

   资源记录器收集到的资源配置信息数据默认保留7年（2557天），您可以将配置信息数据设置自定义保留周期，自定义数据保留周期的可设置范围为最短30天，最长7年（2557天）。

   说明：

   虽然Config使用SMN和OBS发送资源变更消息通知和存储资源变更消息及资源快照，但Config自身也会保存资源的历史变更信息。此处配置的数据保留时间仅针对于Config，不会对SMN和OBS存储的数据产生影响。

   当您配置数据保留周期后，Config会在指定周期内保留您的资源历史数据，超出指定周期的数据将会被删除。

   如果您后续对数据保留周期进行了修改，此时新生成的资源数据将按照您新设置的保留周期进行存储，历史资源数据还将按照之前设置的数据保留周期进行存储。例如您先将数据保留周期设置为100天，此时生成的资源数据将保留100天，后续又将数据保留周期修改为30天，此时新生成的资源数据将保留30天，但修改数据保留周期之前生成的资源数据还是会保留100天。

   图4 配置数据保留周期
   

8. （可选）开启并配置消息通知（SMN）主题。

   打开主题开关，选择主题所在区域和主题名，用于接收资源变更时产生的消息通知。

   • 配置当前账号下消息通知主题：

     选择“您自己的主题”，并选择主题所在区域和主题名，用于接收资源变更时产生的消息通知。如无SMN主题，则需先创建SMN主题，详见创建主题。

   • 配置其他账号下消息通知主题：

     选择“另一账号的主题”，并输入主题URN，关于主题URN的详细信息请参见基本概念。需先使用其他账号对当前账号授予相关SMN主题的权限，具体操作请参见跨账号授权。

   说明：

   创建SMN主题后，还需执行“添加订阅”和“请求订阅”操作，消息通知才会生效。

   图5 配置SMN主题
   

9. 进行授权，选择“快速授权”或“自定义授权”。
   • 快速授权：将为您快速创建一个名为“rms_tracker_agency”的委托权限，该权限是可以让资源记录器正常工作的权限，包含调用消息通知服务（SMN）发送通知的权限和对象存储服务（OBS）的写入权限（例如SMN Administrator和OBS OperateAccess权限）。由于快速授权的委托中并不包含KMS的相关权限，因此资源记录器无法将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中。如有需要，您可以在委托中添加对应权限（KMS Administrator）或使用自定义授权，具体请参见资源变更消息和资源快照转储至OBS加密桶。

     如何为委托添加权限请参见删除或修改委托。

   • 自定义授权：您可自行在统一身份认证服务（IAM）中创建委托，并进行自定义授权，授权对象为云服务Config，但必须包含可以让资源记录器正常工作的权限（调用消息通知服务（SMN）发送通知的权限和对象存储服务（OBS）的写入权限至少包含一个）。如果需要将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中，还需要添加KMS的密钥管理员权限（KMS Administrator），具体请参见资源变更消息和资源快照转储至OBS加密桶。创建委托详见委托其他云服务管理资源。
     图6 授权
     

10. 配置完成后，单击“保存”。
11. 在弹出的确认框中单击“确定”，资源记录器配置成功。

修改资源记录器

资源记录器开启并配置完成后，您可以随时修改资源记录器的配置。

1. 进入“资源记录器”页面。
2. 单击页面上方的“修改资源记录器”。
   图7 修改资源记录器
   

3. 修改资源记录器的相关配置。
4. 修改完成后，单击页面下方的“保存”。
5. 在弹出的确认框中单击“确定”，资源记录器的配置修改成功。

关闭资源记录器

如您不再需要使用资源记录器记录资源变更情况，您可以随时关闭它。

1. 进入“资源记录器”页面。
2. 关闭资源记录器开关。
3. 在弹出的确认框中单击“确定”，资源记录器的关闭成功。
   图8 关闭资源记录器
   

跨账号授权

• 跨账号授予SMN主题发送通知的权限
  1. 用授权账号登录管理控制台，进入对应区域的SMN服务控制台。
  2. 参考设置主题策略对待授权账号授予相关SMN主题的权限。

     如未对待授权账号进行授权，则该账号将无法通过此SMN主题接收资源变更消息通知。

• 跨账号授予OBS桶存储文件的权限
  1. 用授权账号登录管理控制台，进入OBS管理控制台。
  2. 参考自定义创建桶策略（JSON视图）对待授权账号授予相关OBS桶的权限。

     桶策略的示例如下，配置该桶策略，将允许被授权账号的资源记录器将转储文件存放至本OBS桶的指定路径内，以下参数需要您根据实际使用场景手动替换：

     • ${account_id}：需要被授权的账号的账号ID（domain_id）；
     • ${agency_name}：被授权的委托名称，如果您使用快速授权方式，则该值为“rms_tracker_agency”；
     • ${bucket_name}：用于存储文件的OBS桶的桶名；
     • ${folder_name}：用于存储文件的OBS桶内文件夹的名称。如果您未设置OBS桶内文件夹，则需删除“/${folder_name}”。

     {
       "Statement": [
         {
           "Sid": "org-bucket-policy",
           "Effect": "Allow",
           "Principal": {
             "ID": [
               "domain/${account_id}:agency/${agency_name}"
             ]
           },
           "Action": [
             "PutObject"
           ],
           "Resource": [
             "${bucket_name}/${folder_name}/RMSLogs/*/Snapshot/*",
             "${bucket_name}/${folder_name}/RMSLogs/*/Notification/*"
           ]
         }
       ]
     }

资源变更消息和资源快照转储至OBS加密桶

• 使用SSE-OBS方式加密的OBS桶

  如果您需要将资源变更消息和资源快照存储至使用SSE-OBS方式加密的OBS桶，无需其他操作，只需选择对应OBS桶进行存储即可。

• 使用SSE-KMS默认密钥方式加密的OBS桶

  如果您需要将资源变更消息和资源快照存储至使用SSE-KMS默认密钥方式加密的OBS桶，则需要在对资源记录器的委托中新增KMS的管理员权限（KMS Administrator）。

• 使用SSE-KMS自定义密钥方式加密的OBS桶

  如果您需要将资源变更消息和资源快照存储使用SSE-KMS自定义密钥方式加密的OBS桶，则需要在对资源记录器的委托中新增KMS的管理员权限（KMS Administrator）。

  另外，如果您选择将资源变更消息和资源快照存储至其他账号的使用SSE-KMS自定义密钥方式加密的OBS桶，则除了需要在对资源记录器的委托中新增KMS的管理员权限（KMS Administrator），还需要在被存储的OBS桶的密钥中设置密钥的跨账号权限。具体可参考以下步骤：

  1. 用授权账号登录管理控制台，进入数据加密服务的“密钥管理”界面。
  2. 单击目标自定义密钥的别名，进入密钥详细信息的授权页面。
  3. 参考创建授权对待授权账号授予其使用相关自定义密钥的权限。
     • “被授权对象”选择“账号”，并输入待授权账号的账号ID。
     • “授权操作”勾选“创建数据密钥”、“查询密钥信息”和“解密数据密钥”。