Share Your AWS re:Post Experience - Quick 3 Question Survey
Help us improve AWS re:Post! We're interested in understanding how you use re:Post and its impact on your AWS journey. Please take a moment to complete our brief 3-question survey.
Como posso recriar um canal de entrega do AWS Config?
Excluí meu canal de entrega do AWS Config e quero recriar o canal.
Breve descrição
Quando você usa o console do AWS Config para configurar o AWS Config, um processo de configuração orienta a configurar os recursos da AWS. Os recursos são configurados para enviar notificações ao canal de entrega. A configuração do AWS Config inclui a configuração dos seguintes recursos:
- Bucket do Amazon Simple Storage Service (Amazon S3)
- Tópico do Amazon Simple Notification Service (Amazon SNS)
- Perfil do AWS Identity and Access Management (AWS IAM)
- Os tipos de recursos para registro
Se você usar o comando delete-delivery-channel da AWS Command Line Interface (AWS CLI) para excluir um canal de entrega do AWS Config, o gravador de configuração será desligado. Se você tentar ativar o gravador de configuração, receberá o seguinte erro:
“O canal de entrega não está disponível para iniciar o gravador de configuração.”
Observação: não é possível usar o console do AWS Config para recriar o canal de entrega.
Resolução
Observação: se você receber erros ao executar comandos da AWS CLI, consulte Solucionar erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.
Realize as etapas a seguir para recriar manualmente o canal de entrega do AWS Config e ativar o gravador de configuração.
Observação: se você não excluiu o bucket do Amazon S3, o tópico do S3 e o perfil do IAM associados ao canal de entrega excluído do AWS Config, pode pular essas etapas.
Criar o bucket do Amazon S3
Realize as etapas a seguir:
- Abra o console do Amazon S3 na mesma região da AWS do seu serviço AWS Config.
- No painel de navegação, selecione Criar bucket.
- Em Nome do bucket, insira um nome para o bucket do S3 e selecione Criar bucket.
- Em Buckets do S3, escolha o bucket do S3 que você acabou de criar.
- Escolha Permissões e depois Política de bucket.
- Insira o exemplo de política de bucket a seguir e selecione Salvar.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSConfigBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::targetBucketName", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } }, { "Sid": "AWSConfigBucketExistenceCheck", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::targetBucketName", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } }, { "Sid": "AWSConfigBucketDelivery", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID/Config/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "AWS:SourceAccount": "sourceAccountID" } } } ] }
Criar o tópico do SNS
Realize as etapas a seguir:
- Abra o console do Amazon SNS na mesma região do seu serviço AWS Config.
- No painel de navegação, escolha Tópicos e, em seguida, Criar tópico.
- Em Nome, insira um nome para o tópico do SNS. Em seguida, selecione Criar tópico.
- Escolha Criar assinatura.
- Em Protocolo, selecione E-mail.
- Em Endpoint, insira o endereço de e-mail que você deseja associar a esse tópico do SNS e escolha Criar assinatura.
- Verifique seu e-mail para ver a confirmação da assinatura e escolha Confirmar assinatura.
Depois de confirmar a assinatura, você receberá a mensagem Assinatura confirmada!
Observação: para usar seu tópico do SNS, verifique se você tem as permissões necessárias.
Criar o perfil do IAM
Realize as etapas a seguir:
-
Abra o console do IAM.
-
Escolha Perfis e depois Criar perfil.
-
Em Selecionar tipo de entidade confiável, selecione Serviço da AWS.
-
Em Casos de uso para outros serviços da AWS, escolha Config.
-
Em Selecione seu caso de uso, escolha Configurar - Personalizável e depois Avançar: permissões.
-
Selecione Avançar, insira um Nome do perfil e escolha Criar perfil.
-
Selecione o perfil que você criou, escolha Criar política em linha e escolha a guia JSON.
-
Insira a política de exemplo a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID-WithoutHyphens/*" ], "Condition": { "StringLike": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Effect": "Allow", "Action": [ "s3:GetBucketAcl" ], "Resource": "arn:aws:s3:::targetBucketName" }, { "Effect": "Allow", "Action": "sns:Publish", "Resource": "arn:aws:sns:region:account_number:targetTopicName" } ] }
-
Em Nome da política, insira um nome e selecione Criar política.
Criar a chave do KMS
A prática recomendada é usar a criptografia baseada no AWS Key Management Service (AWS KMS) em objetos entregues pelo AWS Config para um bucket do Amazon S3. Crie uma chave do KMS na mesma região do seu serviço AWS Config.
Realize as etapas a seguir:
- Abra o Console do AWS KMS.
- No painel de navegação, selecione Chaves gerenciadas pelo cliente e, em seguida, Criar chave.
- Em Tipo de chave, escolha Simétrica para criar uma chave do KMS de criptografia simétrica.
- Em Uso da chave, escolha a opção Criptografar e descriptografar e, em seguida, Avançar.
- Insira um alias para sua chave do KMS. Em seguida, escolha Avançar.
Observação: o nome do alias não pode começar com aws/. - Selecione os usuários e perfis do IAM que podem administrar a chave do KMS. Em seguida, escolha Avançar.
- Selecione os usuários e perfis do IAM que podem usar a chave em operações criptográficas. Em seguida, escolha Avançar.
- Escolha Concluir para criar a chave do KMS.
- No painel de navegação, selecione Chaves gerenciadas pelo cliente. Em seguida, em Chaves gerenciadas pelo cliente, selecione a chave que você criou.
- Na guia Política de chaves, escolha Alternar para exibição de política. Em seguida, selecione Editar.
- Se você usar um perfil do IAM personalizado para o AWS Config, insira a declaração de política a seguir como declaração de política de chave adicional. Em seguida, escolha Salvar alterações.
{ "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "myKMSKeyARN", "Principal": { "AWS": [ "arn:aws:iam:account_id:role/my-config-role-name" ] } } ] }
Ou, se você usar Perfis vinculados a serviços (SLR) para o AWS Config, use a seguinte declaração de política para atualizar a política de chaves do KMS:
{ "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
Criar o canal de entrega
Realize as etapas a seguir:
-
Insira o modelo de exemplo a seguir em um editor de texto e salve-o como um arquivo JSON:
{ "name": "default", "s3BucketName": "targetBucketName", "s3KeyPrefix": "Optionalprefix", "snsTopicARN": "arn:aws:sns:region:account_ID:targetTopicName", "s3KmsKeyArn": "arn:aws:kms:region:account_ID:KmsKey", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }
Observação: você deve fornecer o s3KeyPrefix se a política de bucket do S3 restringir o PutObject a determinado prefixo em vez do prefixo padrão. Altere o valor de deliveryFrequency para corresponder ao seu caso de uso. Se você optar por não ativar a criptografia, omita o valor s3KmsKeyArn do arquivo JSON.
-
Execute o comando put-delivery-channel da AWS CLI:
$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json
-
Para confirmar que o Canal de entrega foi criado, execute o comando describe-delivery-channels da AWS CLI:
$ aws configservice describe-delivery-channels
Iniciar o gravador de configuração
Realize as etapas a seguir:
- Abra o console do AWS Config.
- No painel de navegação, selecione Configurações.
- Em A gravação está desativada, escolha Ativar e depois escolha Continuar. Ou execute o comando start-configuration-recorder da AWS CLI:
$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName
Para mais informações, consulte Gerenciamento do gravador de configuração e Avaliação de recursos com as regras do AWS Config.
Informações relacionadas
Configurar o AWS Config com o console
Como posso solucionar problemas de mensagens de erro no console do AWS Config?
Vídeos relacionados


Conteúdo relevante
- feita há um mêslg...
- Resposta aceitafeita há um mêslg...
- feita há um mêslg...
- feita há 2 meseslg...
- AWS OFICIALAtualizada há 4 meses
- AWS OFICIALAtualizada há 4 anos
- AWS OFICIALAtualizada há 4 meses
- AWS OFICIALAtualizada há 2 anos