Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie kann ich einen AWS Config-Bereitstellungskanal neu erstellen?

Lesedauer: 6 Minute
0

Ich habe meinen AWS Config-Bereitstellungskanal gelöscht und möchte den Kanal neu erstellen.

Kurzbeschreibung

Wenn du die AWS Config-Konsole verwendest, um AWS Config einzurichten, führt dich ein Einrichtungsvorgang zur Konfiguration der AWS-Ressourcen. Die Ressourcen sind so konfiguriert, dass sie Benachrichtigungen an den Bereitstellungskanal senden. Die AWS Config-Einrichtung umfasst die Konfiguration der folgenden Ressourcen:

  • Amazon Simple Storage Service (Amazon S3)-Bucket
  • Amazon Simple Notification Service (Amazon SNS)-Thema
  • Rolle für AWS Identity and Access Management (IAM)
  • Die aufzuzeichnenden Ressourcentypen

Wenn du einen AWS Config-Bereitstellungskanal mit dem Befehl delete-delivery-channel der AWS Command Line Interface (AWS CLI) löschst, wird der Konfigurationsrekorder ausgeschaltet. Wenn du versuchst, den Konfigurationsrekorder einzuschalten, wird die folgende Fehlermeldung angezeigt:

„Delivery channel is not available to start configuration recorder.“

Hinweis: Du kannst den Bereitstellungskanal nicht mithilfe der AWS Config-Konsole neu erstellen.

Lösung

**Hinweis:**Wenn du beim Ausführen von Befehlen in AWS CLI Fehlermeldungen erhältst, findest du weitere Informationen unter Beheben von AWS CLI-Fehlern. Stelle außerdem sicher, dass du die neueste Version von AWS CLI verwendest.

Führe die folgenden Schritte aus, um den AWS Config-Bereitstellungskanal manuell neu zu erstellen und den Konfigurationsrekorder einzuschalten.

Hinweis: Wenn du den Amazon S3-Bucket, das S3-Thema und die IAM-Rolle, die dem gelöschten AWS Config-Bereitstellungskanal zugeordnet sind, nicht gelöscht hast, kannst du diese Schritte überspringen.

Erstellen des Amazon S3-Buckets

Führe die folgenden Schritte aus:

  1. Öffne die Amazon S3-Konsole in derselben AWS-Region wie den AWS Config-Service.
  2. Wähle im Navigationsbereich Bucket erstellen aus.
  3. Gib als Bucket-Name einen Namen für den S3-Bucket ein, und wähle dann Bucjet erstellen aus.
  4. Wähle in S3-Buckets den S3-Bucket aus, den du gerade erstellt hast.
  5. Wähle Berechtigungen und dann Bucket-Richtlinie aus.
  6. Kopiere die folgende Bucket-Richtlinie, die als Beispiel dient, und wähle dann Speichern: 
    {
 "Version": "2012-10-17",
 "Statement": [
  {
   "Sid": "AWSConfigBucketPermissionsCheck",
   "Effect": "Allow",
   "Principal": {
    "Service": "config.amazonaws.com"
   },
   "Action": "s3:GetBucketAcl",
   "Resource": "arn:aws:s3:::targetBucketName",
   "Condition": {
    "StringEquals": {
     "AWS:SourceAccount": "sourceAccountID"
    }
   }
  },
  {
   "Sid": "AWSConfigBucketExistenceCheck",
   "Effect": "Allow",
   "Principal": {
    "Service": "config.amazonaws.com"
   },
   "Action": "s3:ListBucket",
   "Resource": "arn:aws:s3:::targetBucketName",
   "Condition": {
    "StringEquals": {
     "AWS:SourceAccount": "sourceAccountID"
    }
   }
  },
  {
   "Sid": "AWSConfigBucketDelivery",
   "Effect": "Allow",
   "Principal": {
    "Service": "config.amazonaws.com"
   },
   "Action": "s3:PutObject",
   "Resource": "arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
   "Condition": {
    "StringEquals": {
     "s3:x-amz-acl": "bucket-owner-full-control",
     "AWS:SourceAccount": "sourceAccountID"
    }
   }
  }
 ]
}

Erstellen des SNS-Themas

Führe die folgenden Schritte aus:

  1. Öffne die Amazon SNS-Konsole in derselben Region wie den AWS Config-Service.
  2. Wähle im Navigationsbereich Themen und wähle dann Thema erstellen aus.
  3. Gib unter Name einen Namen für das SNS-Thema ein. Wähle dann Thema erstellen aus.
  4. Wähle Abonnement erstellen.
  5. Wähle für Protokoll die Option E-Mail.
  6. Gib für Endpunkt die E-Mail-Adresse ein, die du mit diesem SNS-Thema verknüpfen möchtest, und wähle dann Abonnement erstellen aus.
  7. Suche in der E-Mail nach der Abonnementbestätigung, und wähle dann Abonnement erstellen aus.

Nachdem du das Abonnement bestätigt hast, erhältst du die Meldung Abonnement bestätigt!

Hinweis: Um das SNS-Thema verwenden zu können, stelle sicher, dass du über die erforderlichen Berechtigungen verfügst.

Erstellen der IAM-Rolle

Führe die folgenden Schritte aus:

  1. Öffne die IAM-Konsole.

  2. Wähle Rollen und dann Rolle erstellen aus.

  3. Wähle für Typ der vertrauenswürdigen Entität auswählen die Option AWS Service aus.

  4. Wähle unter Anwendungsfälle für andere AWS Services die Option Config aus.

  5. Wähle unter Anwendungsfall auswählen die Option Config – Personalisierbar aus, und klicke dann auf Weiter: Berechtigungen.

  6. Wähle Weiter, gib einen Rollennamen ein, und wähle dann Rolle erstellen aus.

  7. Wähle die von dir erstellte Rolle aus, wähle Inline-Richtlinie erstellen, und wähle dann die Registerkarte JSON.

  8. Gib die folgende Beispielrichtlinie ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": [
        "arn:aws:s3:::arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID-WithoutHyphens/*"
      ],
      "Condition": {
        "StringLike": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl"
      ],
      "Resource": "arn:aws:s3:::targetBucketName"
    },
    {
      "Effect": "Allow",
      "Action": "sns:Publish",
      "Resource": "arn:aws:sns:region:account_number:targetTopicName"
    }
  ]
}

  9. Gib als Richtlinienname einen Namen ein, und wähle dann Richtlinie erstellen aus.

Erstellen des KMS-Schlüssels

Es ist eine bewährte Methode, die auf dem AWS Key Management Service (AWS KMS) basierende Verschlüsselung für Objekte zu verwenden, die von AWS Config an einen Amazon S3-Bucket übermittelt werden. Erstelle einen KMS-Schlüssel in derselben Region wie den AWS Config-Service.

Führe die folgenden Schritte aus:

  1. Öffne AWS-KMS-Konsole.
  2. Wähle im Navigationsbereich Vom Kunden verwaltete Schlüssel aus, und wähle dann Schlüssel erstellen aus.
  3. Wähle als Schlüsseltyp die Option Symmetrisch aus, um einen KMS-Schlüssel mit symmetrischer Verschlüsselung zu erstellen.
  4. Wähle für Schlüsselnutzung die Option Verschlüsseln und Entschlüsseln und dann Weiter.
  5. Gib einen Alias für den KMS-Schlüssel ein. Wähle dann Weiter aus.
    Hinweis: Der Aliasname darf nicht mit aws/ beginnen.
  6. Wähle die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel verwalten können. Wähle dann Weiter aus.
  7. Wähle die IAM-Benutzer und -Rollen aus, die den Schlüssel für kryptografische Vorgänge verwenden können. Wähle dann Weiter.
  8. Wähle Abschließen, um den KMS-Schlüssel zu erstellen.
  9. Wähle im Navigationsbereich Vom Kunden verwaltete Schlüssel. Wähle dann unter Vom Kunden verwaltete Schlüssel den Schlüssel aus, den du erstellt hast.
  10. Wähle auf der Registerkarte Schlüsselrichtlinie die Option Zur Richtlinienansicht aus. Wähle dann Bearbeiten.
  11. Wenn du eine benutzerdefinierte IAM-Rolle für AWS Config verwendest, gib die folgende Richtlinienerklärung als zusätzliche wichtige Schlüsselrichtlinienerklärung ein. Wähle dann Änderungen speichern aus.
{
  "Statement": [
    {
      "Sid": "AWSConfigKMSPolicy",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Effect": "Allow",
      "Resource": "myKMSKeyARN",
      "Principal": {
        "AWS": [
          "arn:aws:iam:account_id:role/my-config-role-name"
        ]
      }
    }
  ]
}

Oder, wenn du Serviceverknüpfte Rollen (SLRs) für AWS Config verwendest, verwende die folgende Richtlinienerklärung, um die KMS-Schlüsselrichtlinie zu aktualisieren:

{
  "Statement": [
    {
      "Sid": "AWSConfigKMSPolicy",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "myKMSKeyARN",
      "Condition": {
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

Erstellen des Bereitstellungkanals

Führe die folgenden Schritte aus:

  1. Gib die folgende Beispielvorlage in einen Texteditor ein, und speichere sie dann als JSON-Datei:

    {
    "name": "default",
    "s3BucketName": "targetBucketName",
    "s3KeyPrefix": "Optionalprefix",
    "snsTopicARN": "arn:aws:sns:region:account_ID:targetTopicName",
    "s3KmsKeyArn": "arn:aws:kms:region:account_ID:KmsKey",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

    Hinweis: Du musst das S3KeyPrefix angeben, wenn die S3-Bucket-Richtlinie PutObject auf ein bestimmtes Präfix statt auf das Standardpräfix beschränkt. Du kannst den Wert deliveryFrequency an den Anwendungsfall anpassen. Wenn du die Verschlüsselung nicht aktivieren möchtest, lasse den Wert s3KmsKeyArn aus der JSON-Datei weg.

  2. Führe den AWS CLI-Befehl put-delivery-channel aus:

    $ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

  3. Führe den AWS CLI-Befehl describe-delivery-channels aus, um zu bestätigen, dass der Bereitstellungskanal erstellt wurde:

    $ aws configservice describe-delivery-channels

Starten des Konfigurationsrekorders

Führe die folgenden Schritte aus:

  1. Öffne die AWS Config-Konsole.
  2. Wähle im Navigationsbereich Einstellungen aus.
  3. Wähle unter Aufnahme ist aus die Option Einschalten und dann Fortfahren aus. Oder führe den AWS CLI-Befehl start-configuration-recorder aus: 
    $ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

Weitere Informationen findest du unter Verwaltung des Konfigurationsrekorders und Evaluieren von Ressourcen mit AWS Config-Regeln.

Ähnliche Informationen

Einrichten von AWS Config mit der Konsole

Wie kann ich Fehlermeldungen der AWS Config-Konsole beheben?

Themen
Management & Governance
Tags
AWS Config
Sprache
Deutsch
AWS OFFICIALAktualisiert vor einem Jahr

Relevanter Inhalt