问题标签 [aws-config]

我在我的应用程序中实现了AWS Lex Bot，所需的文件（如amplifyconfiguration.json 和 awsconfiguration.json）放在res- >raw 目录中。我的应用程序在使用调试模式或使用 shrinkresource=false时运行良好。但是当我通过在gradle中添加shrinkResources = true来使用代码混淆时

我的awsconfiguration如下所示：

我目前没有在 proguard 中添加任何规则，因为我不知道有关AWS的任何规则，因为我是新手。请提出一些解决方案。

谢谢

AWS 在 Security Hub 中有新资源和账户的自动加入/自动启用记录，我很乐意使用。我想为 AWS Config 启用相同类型的设置，目前需要对我组织的所有新账户进行手动设置。但是，我未能在 Config 中找到与上述 Security Hub 功能类似的任何内容。

我错过了它还是它目前无法开箱即用？

在通过 Cloudformation 在新创建的账户中部署资源时，我需要选择 AWS Config 中的所有规则。但我不知道如何通过 Cloudformation 在控制台中选择所有 AWS 托管规则。任何帮助都会非常有帮助。

AWSTemplateFormatVersion：2010-09-09 描述：启用 AWS Config

我想为没有此警报的 ec2 实例在 CPU 上创建 Cloudwatch 警报。

AWS Config 中有一个名为cloudwatch-alarm-resource-check.

描述：Checks whether the specified resource type has a CloudWatch alarm for the specified metric. For resource type, you can specify EBS volumes, EC2 instances, RDS clusters, or S3 buckets.

所以我创建了一个带有参数的规则：

resourceType: AWS::EC2::Instance

metricName: EC2/CPUUtilization

在Remediation action: AWS-EnableCWAlarm

AWS-EnableCWAlarm 具有参数，其中一个参数是ResourceARNs. 如果我输入 ec2 的ResourceARNs完整 ARN，它会为此 ec2 创建 Cloudwatch 警报。

是否有机会动态放置之前在评估 Rule 时计算的 ec2 arn？如果 ARN 应该被硬编码，我不明白这一点，因为我在执行之前不知道 ARN。

当我在配置后上传我的配置规则时，出现以下Error parsing parameter '--config-rule': Invalid JSON: Invalid control character at: line 3 column 87 (char 132) JSON received: 错误机器。

错误 ：

我正在尝试通过以下方式在我的项目中使用 AWS SSM：

在我的 ~/.aws/credentials 中，我添加了以下内容：

并且可以使用 AWS CLI 查询参数。但是，当我在我的 Reach APP 中运行它时，我收到以下错误：

“配置中缺少凭据，如果使用 AWS_CONFIG_FILE，请设置 AWS_SDK_LOAD_CONFIG=1”

我尝试过的事情：

1. 我在我的终端中导出了访问密钥 ID 和秘密访问密钥以及 WS_SDK_LOAD_CONFIG=1 并且没有获得任何差异。
2. 我通过以下方式对代码中的值进行了硬编码：

const SESConfig = { apiVersion: "VERSION", accessKeyId: process.env.AWS_ACCESS_KEY, accessSecretKey: process.env.AWS_SECRET_KEY, region: "REGION" } AWS.config.update(SESConfig);

以上工作按预期工作，我能够检索参数。但是，我想通过 AWS 凭证保留它，我不确定我可以做些什么来让它工作。此外，使用本地环境变量文件存储这些凭据是最佳做法吗？

每天我都会看到一些未经授权的 KMS 解密操作的 CloudTrail 日志，但我无法弄清楚是什么原因造成的。以下是日志示例：

我尝试使用以下内容更新 KMS 政策，但这似乎没有帮助：

我检查了 IAM 角色arn:aws:iam::************:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig，我可以看到这不允许该kms:Decrypt操作。但是，这是 AWS 的托管角色，我无法更新该策略。

这是 AWS 需要解决的问题吗？是否可以将 Config 切换为使用kms:Decrypt允许操作的自定义角色？当 AWS 更新托管角色并且我没有向自定义角色添加任何内容时，这是否值得，或者它只会在未来引起更多问题？

我有一个基于打字稿/节点的应用程序，其中以下代码行引发错误：

const res = await s3.getObject(obj).promise();

我在终端输出中遇到的错误是：

但是，我的 .aws 目录中确实有一个凭证文件，其中包含 和 的aws_access_key_id值aws_secret_access_key。我还使用变量AWS_ACCESS_KEY_ID和导出了这些值AWS_SECRET_ACCESS_KEY。我也尝试过运行和不运行export AWS_SDK_LOAD_CONFIG=1但无济于事（相同的错误消息）。任何人都可以提供任何可能的原因/建议以进行进一步的故障排除吗？

我有一个基于打字稿/节点的应用程序，我使用yarn. 在我的应用程序中，我使用的是 AWS 开发工具包，在许多代码示例中，总有一行看起来像：

AWS.config.update({accessKeyId: 'mykey', secretAccessKey: 'mysecret', region: 'myregion'});

但是，我想使用我在终端中设置的AWS_ACCESS_KEY_ID和AWS_SECRET_ACCESS_KEY 环境变量，export而不是使用上面的行 - 有什么方法可以配置一些东西，以便当我从终端运行应用程序时，使用yarn的凭据是环境默认情况下的变量（而不是在 .aws/config 中找到的凭据）？

我已设置 AWS Config 来记录对我的安全组的更改。在设置中，我只选择了“EC2 SecurityGroup”作为资源类型，我已经配置了 S3 存储桶，并且我已经配置了我想要发送通知的 SNS 主题，所以当我的安全组发生任何更改时我可以收到一封电子邮件.

在我以这种方式设置后，这工作正常。我收到一封电子邮件，其中包含对安全组所做的任何更改的延迟 2 分钟。这正是我需要的。

但是一天结束时，AWS Config 向我发送了一封电子邮件，标题为“账户 XXXXXXXX 的配置历史交付已完成”，我想这意味着它已将日志写入 S3。收到这封电子邮件后，我可以确认日志文件在那里。

在此之后，我对安全组所做的任何更改都不会得到通知。这是真正奇怪的部分。我注意到在一天结束之前（在我收到“交付完成”电子邮件之前），对安全组的任何更改都会显示在资源时间线中，如下面的屏幕截图：

收到“交付完成”电子邮件后，时间线显示安全组更改（并且未发送通知电子邮件）：

谁能帮我弄清楚为什么我不再看到“配置更改”事件和“CloudTrail 事件”？