问题标签 [aws-config]

当我们通过 sourceType 指定时，为什么 AWS config 的 list_discovered_resources 没有提供帐户中的所有资源？..我检查了描述操作。

所以我有一个配置设置来记录我的负载均衡器中的任何配置更改。在我的规则配置中，我启用了 ELB 日志记录，它附加到我的负载均衡器，它在“集成服务”下说“记录已开启”，但它说我在 AWS Config 中它是不合规的？

当我按下修复时，它只是加载和刷新，但没有进行任何更改，使其仍然不合规。

这会影响日志记录如何记录任何配置更改还是可以？

最近我一直在探索部署 AWS Config 规则的不同方法，因为我在该领域还相对较新。我尝试使用 2 种不同的方法部署相同的自定义规则：

1. 使用 CloudFormation
2. 使用 RDK（规则开发工具包）

两者都生成 CloudFormation 堆栈，但是生成了不同的资源。这两种方法之间的主要区别是什么？是否有关于哪种方法更好的消息？

这是我第一次尝试 AWS CONFIG，我使用高级查询编辑器首先生成帐户使用的资源的完整列表，我想按某个字段进行分组

但我得到的错误是

“当存在 GROUP BY 子句时，所选字段（accountId、resouceId、resouceType、arn、awsRegion）必须出现在 GROUP BY 字段列表中”

我读这个的意思是，您需要将所有这些字段放入组中，这对我来说根本没有意义，但我还是尝试了。它说有3组的限制。

我错过了什么吗？他们文档页面上的示例查询除了有条件 where 子句之外似乎没有太大不同。

没有“分组依据”的示例数据输出：

但是，当我尝试按 AWS::KMS::KEY 或其他分组对记录进行分组时，它没有提供任何输出，只是给了我错误。

我正在尝试使用我的代码通过 aws sdk 和 java 服务访问 S3。但我收到以下异常。

我使用的代码如下。

1. 配置生成器。

2. 创建 AwsS3Client

然后在运行时当客户端尝试连接到 s3 时抛出异常。

我已经用其他一些计算机对此进行了测试，以验证这是我的 aws 客户端配置错误。

我的 .aws/config 文件如下所示

我的 .aws/credentials 如下所示。

我的 aws 客户端版本如下。

如果有人能弄清楚我缺少什么让 aws 客户端连接到 s3，我将不胜感激。

我试图在 AWS Config 中模拟一个简单的查询，以查看账户上次修改资源的时间。我正在使用 OU 并将查询传递给根帐户所有者，他们将使用聚合器将查询应用于所有区域和帐户。

我想在查询中添加一些字段，但我不确定要输入什么，因为这是我第一次尝试 Config。

当前简单查询：

我想找到一种方法来查看上次修改 arn 的时间、进行修改的人的用户名、帐户的正式名称，而不仅仅是帐号，然后最后列出的主要人员在帐户/帐户所有者上。

我知道该组织有一个包含所有帐户元数据的 DynamoDB 表，我想知道是否有办法利用它，以防无法直接通过 Config。

就建议而言：该项目的最终目标是减少组织的噪音/未使用的资源，他们希望看到上面列出的领域以开始。我是否应该在查询中包括其他相关字段以对其进行启发？

AWS 默认为其服务调用提供重试支持，通常设置为最多 3 次尝试。

我们可以配置重试对象以将重试次数设置为 5 吗？

我让 root 帐户的管理员运行了一个非常简单的查询，以确保我设置的数据聚合器正常工作：

数据聚合器被设置为从组织中的所有 OU 中提取记录。我让他们选择“AWSConfigRoleForOrganization”作为 IAM 角色，因为它应该被自动指定为受信任的实体。我们只在 3 个地区工作。

我让他们运行查询，它看起来工作正常，所以我让他们导出为 CSV，然后他们按照我的方式发送。当天晚些时候，当我打开 CSV 时，我发现查询只生成了 26 条记录。这可能是什么原因？

当我在具有管理员访问权限的 OU 中运行相同的查询时，我发现了 108 条记录。查询是否需要不断运行才能获取所有数据？我没有让管理员采取的唯一步骤是启用AWS Config 和 AWS Organizations 之间的集成，因为我们认为“对于组织聚合器，组织成员账户区域不需要授权，因为授权与组织服务集成。” 资源

我编写了一个简单的一致性包，以找出我在补救配置资源中引用 ARN 的问题。

一致性包仅检查 SNS 主题以查看哪个已加密，如果未加密，则使用提供的 KMS 密钥对其进行加密。非常基本，不能像 AWS OOBE 一样。

如果我按原样部署以下代码，则一致性包已正确部署：

我的意思是，是的，当然，如果我将 ARN 直接放在代码中，它会起作用。

现在，如果我想将 ARN 作为参数引用，即使我将相同的 ARN 作为默认值，控制台也会向我抛出“为自动修复配置提供的角色 ARN 无效”错误。

我在代码中保留了默认部分，但即使我在尝试部署一致性包之前输入了参数，我还是会得到相同的错误：

为什么字符串不是字符串并且不能被参数部分解释为字符串？我现在感觉很愚蠢，不知道自己做错了什么。任何指针将不胜感激。呃，我真的需要一杯咖啡……

编辑

似乎该问题仅适用于 AutomationAssumeRole。为什么它只在 IAM 角色或特定参数上这样做？

编辑 2

删除了有关 SSM 的部分，因为我注意到 SSM:GetParameter 不是服务角色策略中允许的操作的一部分。

出于合规性原因，我们已开始使用 AWS config，但某些资源是例外，我们希望 AWS config 忽略这些特定资源，因为它们由第三方 CI/CD 管道管理。例如，如果我们有 10 个 EC2 实例，我们可以在 AWS 配置中添加一个例外来跳过检查 10 个 EC2 实例吗？在这一点上我找不到任何方法。有什么解决方法吗？

谢谢你。