文档首页/ 配置审计 Config/ 用户指南/ 资源记录器/ 配置资源记录器
更新时间:2026-04-03 GMT+08:00
查看PDF
分享

配置资源记录器

操作场景

您必须先开启资源记录器,然后才可以配置并使用资源记录器来跟踪云平台上的资源变更情况。

资源记录器配置完毕后,您可以随时修改资源记录器的配置或关闭资源记录器。

当前每天仅支持最多开启和修改资源记录器10次,每天0点将重置此次数。

本章节包含如下内容:

一键开启资源记录器(推荐)

Config提供了一键开启资源记录器的功能,通过默认配置的方式,降低用户自定义配置的难度。如需自定义配置资源记录器,具体操作请参见自定义开启并配置资源记录器

  1. 登录配置审计控制台
  2. 单击左侧导航栏的“总览”,进入“总览”页面,单击“一键开启资源记录器”。

    如果需要使用一键开启资源记录器,请确保已关闭资源记录器开关,具体操作请参见关闭资源记录器

  3. 在弹出的“一键开启资源记录器”页面,单击“确定”,资源记录器开启成功。

    • 资源监控范围:默认会监控Config当前支持的全部服务和资源类型。
    • 资源转储:默认使用名称为config-bucket-domainId的OBS存储桶,例如config-bucket-123456789,如果您没有该存储桶,将会为您自动创建。
    • 数据保留周期:默认将收集到的资源配置信息数据保留7年(2557天)。
      图1 一键开启资源记录器

自定义开启并配置资源记录器

开启并配置资源记录器的资源转储和主题功能后,当对接服务上报Config的资源变更(被创建、修改、删除等)、资源关系变更时,您均可收到通知,同时还可对您的资源变更消息和资源快照进行定期存储。

  1. 登录配置审计控制台
  2. 单击左侧导航栏的“资源记录器”,进入“资源记录器”页面。
  3. 打开资源记录器开关,在弹出的确认框中单击“确定”,资源记录器开启成功。

    图2 开启资源记录器

  4. 选择资源的监控范围。

    默认情况下,资源记录器的监控范围会覆盖当前Config支持的全部资源。您可以根据需要修改资源记录器的监控范围,选择指定的资源类型进行监控。

    资源记录器默认收集Config服务的所有资源数据,不支持取消勾选的操作。

    图3 选择监控范围

  5. 配置资源转储。

    选择OBS桶,用于存储资源变更消息及资源快照。

    如果您先配置了SMN主题,则也可以不配置资源转储(OBS桶)。

    • 配置当前账号下OBS桶:

      选择“您账号的桶”,然后在下拉列表中选择您账号下的OBS桶,用于存储资源变更消息及资源快照。如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下,则在选择OBS桶后,还需输入“桶前缀”,该前缀指OBS桶内某个文件夹的名称。如您的账号下无OBS桶,则需先创建OBS桶,详见创建桶

    • 配置其他账号下OBS桶:

      选择“另一账号的桶”,并输入区域ID和桶名称,如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下,则还需输入“桶前缀”,该前缀指OBS桶内某个文件夹的名称。需先使用其他账号对当前账号授予相关OBS桶的权限,具体操作请参见跨账号授权

    开启资源记录器时,如果指定了当前账号或其他账号下的OBS桶,Config会向目标OBS桶中写入一个名为ConfigWritabilityCheckFile的空文件,此文件仅用于验证资源转储是否能够成功写入OBS桶。当界面出现报错信息时,如何处理请参见为什么开启并配置资源记录器后,将数据转储至当前账号或其他账号的OBS桶时报错?

    图4 配置资源转储

  6. 配置数据保留周期。

    资源记录器收集到的资源配置信息数据默认保留7年(2557天),您可以将配置信息数据设置自定义保留周期,自定义数据保留周期的可设置范围为最短30天,最长7年(2557天)。

    • 虽然Config使用SMN和OBS发送资源变更消息通知和存储资源变更消息及资源快照,但Config自身也会保存资源的历史变更信息。此处配置的数据保留时间仅针对于Config,不会对SMN和OBS存储的数据产生影响。
    • 当您配置数据保留周期后,Config会在指定周期内保留您的资源历史数据,超出指定周期的数据将会被删除。
    • 如果您后续对数据保留周期进行了修改,此时新生成的资源数据将按照您新设置的保留周期进行存储,历史资源数据还将按照之前设置的数据保留周期进行存储。例如您先将数据保留周期设置为100天,此时生成的资源数据将保留100天,后续又将数据保留周期修改为30天,此时新生成的资源数据将保留30天,但修改数据保留周期之前生成的资源数据还是会保留100天。
    图5 配置数据保留周期

  7. (可选)开启并配置消息通知(SMN)主题。

    打开主题开关,选择主题所在区域和主题名,用于接收资源变更时产生的消息通知。

    • 配置当前账号下消息通知主题:

      选择“您自己的主题”,并选择主题所在区域和主题名,用于接收资源变更时产生的消息通知。如无SMN主题,则需先创建SMN主题,详见创建主题

    • 配置其他账号下消息通知主题:

      选择“另一账号的主题”,并输入主题URN,关于主题URN的详细信息请参见基本概念。需先使用其他账号对当前账号授予相关SMN主题的权限,具体操作请参见跨账号授权

    创建SMN主题后,还需执行“添加订阅”和“请求订阅”操作,消息通知才会生效。

    图6 配置SMN主题

  8. 进行授权,选择“一键委托”或“已有委托”。

    • 一键委托:将为您快速创建一个名为“rms_tracker_agency”的委托权限,该权限是可以让资源记录器正常工作的权限,包含调用消息通知服务(SMN)发送通知的权限和对象存储服务(OBS)的写入权限(例如SMN Administrator和OBS OperateAccess权限)。由于一键委托的委托中并不包含KMS的相关权限,因此资源记录器无法将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中。如有需要,您可以在委托中添加对应权限(KMS Administrator)或使用自定义授权,具体请参见资源变更消息和资源快照转储至OBS加密桶

      如何为委托添加权限请参见删除或修改委托

    • 已有委托:您可自行在统一身份认证服务(IAM)中创建委托,并进行自定义授权,授权对象为云服务Config,但必须包含可以让资源记录器正常工作的权限(调用消息通知服务(SMN)发送通知的权限和对象存储服务(OBS)的写入权限至少包含一个)。如果需要将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中,还需要添加KMS的密钥管理员权限(KMS Administrator),具体请参见资源变更消息和资源快照转储至OBS加密桶。创建委托详见委托其他云服务管理资源
    • 图7 授权

  9. 配置完成后,单击“保存”。
  10. 在弹出的确认框中单击“确定”,资源记录器配置成功。

修改资源记录器

资源记录器开启并配置完成后,您可以随时修改资源记录器的配置。

  1. 进入“资源记录器”页面。
  2. 单击页面上方的“修改资源记录器”。

    图8 修改资源记录器

  3. 修改资源记录器的相关配置。
  4. 修改完成后,单击页面下方的“保存”。
  5. 在弹出的确认框中单击“确定”,资源记录器的配置修改成功。

关闭资源记录器

如您不再需要使用资源记录器记录资源变更情况,您可以随时关闭它。

  1. 进入“资源记录器”页面。
  2. 关闭资源记录器开关。
  3. 在弹出的确认框中单击“确定”,资源记录器的关闭成功。

    图9 关闭资源记录器

跨账号授权

  • 跨账号授予SMN主题发送通知的权限
    1. 用授权账号登录SMN服务控制台
    2. 参考设置主题策略对待授权账号授予相关SMN主题的权限。

      如未对待授权账号进行授权,则该账号将无法通过此SMN主题接收资源变更消息通知。

  • 跨账号授予OBS桶存储文件的权限
    1. 用授权账号登录OBS管理控制台
    2. 参考自定义创建桶策略(JSON视图)对待授权账号授予相关OBS桶的权限。

      桶策略的示例如下,配置该桶策略,将允许被授权账号的资源记录器将转储文件存放至本OBS桶的指定路径内,以下参数需要您根据实际使用场景手动替换:

      • ${account_id}:需要被授权的账号的账号ID(domain_id);
      • ${agency_name}:被授权的委托名称,如果您使用“一键委托”方式,则该值为“rms_tracker_agency”;
      • ${bucket_name}:用于存储文件的OBS桶的桶名;
      • ${folder_name}:用于存储文件的OBS桶内文件夹的名称。如果您未设置OBS桶内文件夹,则需删除“/${folder_name}”。
      {
  "Statement": [
    {
      "Sid": "org-bucket-policy",
      "Effect": "Allow",
      "Principal": {
        "ID": [
          "domain/${account_id}:agency/${agency_name}"
        ]
      },
      "Action": [
        "PutObject"
      ],
      "Resource": [
        "${bucket_name}/${folder_name}/RMSLogs/*/Snapshot/*",
        "${bucket_name}/${folder_name}/RMSLogs/*/Notification/*"
      ]
    }
  ]
}

资源变更消息和资源快照转储至OBS加密桶

  • 使用SSE-OBS方式加密的OBS桶

    如果您需要将资源变更消息和资源快照存储至使用SSE-OBS方式加密的OBS桶,无需其他操作,只需选择对应OBS桶进行存储即可。

  • 使用SSE-KMS默认密钥方式加密的OBS桶

    如果您需要将资源变更消息和资源快照存储至使用SSE-KMS默认密钥方式加密的OBS桶,则需要在对资源记录器的委托中新增KMS的管理员权限(KMS Administrator)。

  • 使用SSE-KMS自定义密钥方式加密的OBS桶

    如果您需要将资源变更消息和资源快照存储使用SSE-KMS自定义密钥方式加密的OBS桶,则需要在对资源记录器的委托中新增KMS的管理员权限(KMS Administrator)。

    另外,如果您选择将资源变更消息和资源快照存储至其他账号的使用SSE-KMS自定义密钥方式加密的OBS桶,则除了需要在对资源记录器的委托中新增KMS的管理员权限(KMS Administrator),还需要在被存储的OBS桶的密钥中设置密钥的跨账号权限。具体可参考以下步骤:

    1. 用授权账号登录密钥管理控制台管理控制台,进入密码安全中心的“密钥管理”界面。
    2. 单击目标自定义密钥的别名,进入密钥详细信息的授权页面。
    3. 参考创建授权对待授权账号授予其使用相关自定义密钥的权限。
      • “被授权对象”选择“账号”,并输入待授权账号的账号ID。
      • “授权操作”勾选“创建数据密钥”、“查询密钥信息”和“解密数据密钥”。
父主题: 资源记录器

相关文档