配置资源记录器
操作场景
您必须先开启资源记录器,然后才可以配置并使用资源记录器来跟踪云平台上的资源变更情况。
资源记录器配置完毕后,您可以随时修改资源记录器的配置或关闭资源记录器。
当前每天仅支持最多开启和修改资源记录器10次,每天0点将重置此次数。
本章节包含如下内容:
开启并配置资源记录器
开启并配置资源记录器的资源转储和主题功能后,当对接服务上报Config的资源变更(被创建、修改、删除等)、资源关系变更时,您均可收到通知,同时还可对您的资源变更消息和资源快照进行定期存储。
- 登录管理控制台。
- 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。
- 单击左侧导航栏的“资源记录器”,进入“资源记录器”页面。
- 打开资源记录器开关,在弹出的确认框中单击“确定”,资源记录器开启成功。
图1 开启资源记录器
- 选择资源的监控范围。
默认情况下,资源记录器的监控范围会覆盖当前Config支持的全部资源。您可以根据需要修改资源记录器的监控范围,选择指定的资源类型进行监控。
资源记录器默认收集Config服务的所有资源数据,不支持取消勾选的操作。
图2 选择监控范围
- 配置资源转储。
选择OBS桶,用于存储资源变更消息及资源快照。
如果您先配置了SMN主题,则也可以不配置资源转储(OBS桶)。
- 配置当前账号下OBS桶:
选择“您账号的桶”,然后在下拉列表中选择您账号下的OBS桶,用于存储资源变更消息及资源快照。如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下,则在选择OBS桶后,还需输入“桶前缀”,该前缀指OBS桶内某个文件夹的名称。如您的账号下无OBS桶,则需先创建OBS桶,详见创建桶。
- 配置其他账号下OBS桶:
选择“另一账号的桶”,并输入区域ID和桶名称,如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下,则还需输入“桶前缀”,该前缀指OBS桶内某个文件夹的名称。需先使用其他账号对当前账号授予相关OBS桶的权限,具体操作请参见跨账号授权。
开启资源记录器时,如果指定了当前账号或其他账号下的OBS桶,Config会向目标OBS桶中写入一个名为ConfigWritabilityCheckFile的空文件,此文件仅用于验证资源转储是否能够成功写入OBS桶。当界面出现报错信息时,如何处理请参见为什么开启并配置资源记录器后,将数据转储至当前账号或其他账号的OBS桶时报错?。
图3 配置资源转储
- 配置当前账号下OBS桶:
- 配置数据保留周期。
资源记录器收集到的资源配置信息数据默认保留7年(2557天),您可以将配置信息数据设置自定义保留周期,自定义数据保留周期的可设置范围为最短30天,最长7年(2557天)。
虽然Config使用SMN和OBS发送资源变更消息通知和存储资源变更消息及资源快照,但Config自身也会保存资源的历史变更信息。此处配置的数据保留时间仅针对于Config,不会对SMN和OBS存储的数据产生影响。
当您配置数据保留周期后,Config会在指定周期内保留您的资源历史数据,超出指定周期的数据将会被删除。
如果您后续对数据保留周期进行了修改,此时新生成的资源数据将按照您新设置的保留周期进行存储,历史资源数据还将按照之前设置的数据保留周期进行存储。例如您先将数据保留周期设置为100天,此时生成的资源数据将保留100天,后续又将数据保留周期修改为30天,此时新生成的资源数据将保留30天,但修改数据保留周期之前生成的资源数据还是会保留100天。
图4 配置数据保留周期
- (可选)开启并配置消息通知(SMN)主题。
打开主题开关,选择主题所在区域和主题名,用于接收资源变更时产生的消息通知。
- 配置当前账号下消息通知主题:
选择“您自己的主题”,并选择主题所在区域和主题名,用于接收资源变更时产生的消息通知。如无SMN主题,则需先创建SMN主题,详见创建主题。
- 配置其他账号下消息通知主题:
选择“另一账号的主题”,并输入主题URN,关于主题URN的详细信息请参见基本概念。需先使用其他账号对当前账号授予相关SMN主题的权限,具体操作请参见跨账号授权。
图5 配置SMN主题
- 配置当前账号下消息通知主题:
- 进行授权,选择“快速授权”或“自定义授权”。
- 快速授权:将为您快速创建一个名为“rms_tracker_agency”的委托权限,该权限是可以让资源记录器正常工作的权限,包含调用消息通知服务(SMN)发送通知的权限和对象存储服务(OBS)的写入权限(例如SMN Administrator和OBS OperateAccess权限)。由于快速授权的委托中并不包含KMS的相关权限,因此资源记录器无法将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中。如有需要,您可以在委托中添加对应权限(KMS Administrator)或使用自定义授权,具体请参见资源变更消息和资源快照转储至OBS加密桶。
如何为委托添加权限请参见删除或修改委托。
- 自定义授权:您可自行在统一身份认证服务(IAM)中创建委托,并进行自定义授权,授权对象为云服务Config,但必须包含可以让资源记录器正常工作的权限(调用消息通知服务(SMN)发送通知的权限和对象存储服务(OBS)的写入权限至少包含一个)。如果需要将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中,还需要添加KMS的密钥管理员权限(KMS Administrator),具体请参见资源变更消息和资源快照转储至OBS加密桶。创建委托详见委托其他云服务管理资源。
图6 授权
- 快速授权:将为您快速创建一个名为“rms_tracker_agency”的委托权限,该权限是可以让资源记录器正常工作的权限,包含调用消息通知服务(SMN)发送通知的权限和对象存储服务(OBS)的写入权限(例如SMN Administrator和OBS OperateAccess权限)。由于快速授权的委托中并不包含KMS的相关权限,因此资源记录器无法将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中。如有需要,您可以在委托中添加对应权限(KMS Administrator)或使用自定义授权,具体请参见资源变更消息和资源快照转储至OBS加密桶。
- 配置完成后,单击“保存”。
- 在弹出的确认框中单击“确定”,资源记录器配置成功。
修改资源记录器
资源记录器开启并配置完成后,您可以随时修改资源记录器的配置。
- 进入“资源记录器”页面。
- 单击页面上方的“修改资源记录器”。
图7 修改资源记录器
- 修改资源记录器的相关配置。
- 修改完成后,单击页面下方的“保存”。
- 在弹出的确认框中单击“确定”,资源记录器的配置修改成功。
关闭资源记录器
如您不再需要使用资源记录器记录资源变更情况,您可以随时关闭它。
- 进入“资源记录器”页面。
- 关闭资源记录器开关。
- 在弹出的确认框中单击“确定”,资源记录器的关闭成功。
图8 关闭资源记录器
跨账号授权
- 跨账号授予SMN主题发送通知的权限
- 用授权账号登录管理控制台,进入对应区域的SMN服务控制台。
- 参考设置主题策略对待授权账号授予相关SMN主题的权限。
如未对待授权账号进行授权,则该账号将无法通过此SMN主题接收资源变更消息通知。
- 跨账号授予OBS桶存储文件的权限
- 用授权账号登录管理控制台,进入OBS管理控制台。
- 参考自定义创建桶策略(JSON视图)对待授权账号授予相关OBS桶的权限。
桶策略的示例如下,配置该桶策略,将允许被授权账号的资源记录器将转储文件存放至本OBS桶的指定路径内,以下参数需要您根据实际使用场景手动替换:
- ${account_id}:需要被授权的账号的账号ID(domain_id);
- ${agency_name}:被授权的委托名称,如果您使用快速授权方式,则该值为“rms_tracker_agency”;
- ${bucket_name}:用于存储文件的OBS桶的桶名;
- ${folder_name}:用于存储文件的OBS桶内文件夹的名称。如果您未设置OBS桶内文件夹,则需删除“/${folder_name}”。
{ "Statement": [ { "Sid": "org-bucket-policy", "Effect": "Allow", "Principal": { "ID": [ "domain/${account_id}:agency/${agency_name}" ] }, "Action": [ "PutObject" ], "Resource": [ "${bucket_name}/${folder_name}/RMSLogs/*/Snapshot/*", "${bucket_name}/${folder_name}/RMSLogs/*/Notification/*" ] } ] }
资源变更消息和资源快照转储至OBS加密桶
- 使用SSE-OBS方式加密的OBS桶
如果您需要将资源变更消息和资源快照存储至使用SSE-OBS方式加密的OBS桶,无需其他操作,只需选择对应OBS桶进行存储即可。
- 使用SSE-KMS默认密钥方式加密的OBS桶
如果您需要将资源变更消息和资源快照存储至使用SSE-KMS默认密钥方式加密的OBS桶,则需要在对资源记录器的委托中新增KMS的管理员权限(KMS Administrator)。
- 使用SSE-KMS自定义密钥方式加密的OBS桶
如果您需要将资源变更消息和资源快照存储使用SSE-KMS自定义密钥方式加密的OBS桶,则需要在对资源记录器的委托中新增KMS的管理员权限(KMS Administrator)。
另外,如果您选择将资源变更消息和资源快照存储至其他账号的使用SSE-KMS自定义密钥方式加密的OBS桶,则除了需要在对资源记录器的委托中新增KMS的管理员权限(KMS Administrator),还需要在被存储的OBS桶的密钥中设置密钥的跨账号权限。具体可参考以下步骤:
- 用授权账号登录管理控制台,进入数据加密服务的“密钥管理”界面。
- 单击目标自定义密钥的别名,进入密钥详细信息的授权页面。
- 参考创建授权对待授权账号授予其使用相关自定义密钥的权限。
- “被授权对象”选择“账号”,并输入待授权账号的账号ID。
- “授权操作”勾选“创建数据密钥”、“查询密钥信息”和“解密数据密钥”。