Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Pantau perubahan sumber daya dengan AWS Config
<a name="monitoring-with-config"></a>

AWS Control Tower memungkinkan AWS Config pada semua akun yang terdaftar, sehingga dapat memantau kepatuhan melalui kontrol detektif, merekam perubahan sumber daya, dan mengirimkan log perubahan sumber daya ke akun arsip log.

**Jika versi landing zone Anda lebih awal dari 3.0**: Untuk akun terdaftar Anda, AWS Config catat semua perubahan pada sumber daya, untuk semua Wilayah tempat akun beroperasi. Setiap perubahan dimodelkan sebagai item konfigurasi (CI), yang berisi informasi seperti pengidentifikasi sumber daya, Wilayah, tanggal setiap perubahan dicatat, dan apakah perubahan tersebut terkait dengan sumber daya yang diketahui atau yang baru ditemukan.

**Jika versi landing zone Anda 3.0 atau yang lebih baru**: AWS Control Tower membatasi perekaman untuk sumber daya global, seperti pengguna IAM, grup, peran, dan kebijakan yang dikelola pelanggan, hanya untuk Wilayah asal Anda. Salinan perubahan sumber daya global tidak disimpan di setiap Wilayah. Keterbatasan perekaman sumber daya ini sesuai dengan [praktik AWS Config terbaik](https://aws.amazon.com//blogs/mt/aws-config-best-practices/). [Daftar lengkap sumber daya global](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html) tersedia dalam AWS Config dokumentasi.
+ Untuk mempelajari selengkapnya AWS Config, lihat [Cara AWS Config kerjanya](https://docs.aws.amazon.com//config/latest/developerguide/how-does-config-work.html). 
+ Untuk daftar sumber daya yang AWS Config dapat mendukung, lihat [Jenis sumber daya yang didukung](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html).
+ Untuk mempelajari cara menyesuaikan pelacakan sumber daya di lingkungan AWS Control Tower, lihat posting blog berjudul [Kustomisasi pelacakan AWS Config sumber daya di AWS Control Tower](https://aws.amazon.com/blogs//mt/customize-aws-config-resource-tracking-in-aws-control-tower-environment).

AWS Control Tower menyiapkan saluran AWS Config pengiriman di semua akun yang terdaftar. Melalui saluran pengiriman ini, ia mencatat semua perubahan yang direkam oleh AWS Config di akun arsip log, di mana mereka disimpan ke folder di bucket Amazon Simple Storage Service.

## Melihat data AWS Config perekam pada akun terdaftar
<a name="querying-config"></a>

AWS Config terintegrasi dengan CloudWatch sehingga Anda dapat melihat AWS Config CIs di dasbor. Untuk informasi selengkapnya, lihat posting blog berjudul [AWS Config mendukung CloudWatch metrik Amazon](https://aws.amazon.com/about-aws/whats-new/2022/05/aws-config-supports-amazon-cloudwatch-metrics).

Secara terprogram, untuk melihat AWS Config data, Anda dapat bekerja dengan AWS CLI, atau Anda dapat menggunakan alat lain. AWS 

### Kueri data AWS Config perekam pada sumber daya tertentu
<a name="querying-resources-using-the-cli"></a>

Anda dapat menggunakan AWS CLI untuk mengambil daftar perubahan terbaru untuk sumber daya.

**Perintah riwayat sumber daya:**
+ `aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION`

Untuk mempelajari lebih lanjut, lihat [dokumentasi API untuk `get-config-history`](https://docs.aws.amazon.com//cli/latest/reference/configservice/get-resource-config-history.html).

### Visualisasikan AWS Config data dengan Quick
<a name="visualize-config-data-with-quicksight"></a>

Anda dapat memvisualisasikan dan meminta sumber daya yang direkam oleh AWS Config seluruh organisasi Anda. Untuk informasi selengkapnya, lihat [Dasbor Kepatuhan Sumber Daya Konfigurasi](https://catalog.workshops.aws/awscid/en-US/dashboards/additional/config-resource-compliance-dashboard) dan [Memvisualisasikan AWS Config data menggunakan Amazon Athena](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/) dan Quick.

## Pemecahan Masalah AWS Config di AWS Control Tower
<a name="troubleshooting-config"></a>

Bagian ini memberikan informasi tentang beberapa masalah yang mungkin Anda temui saat menggunakan AWS Config AWS Control Tower. 

### AWS Config Biaya tinggi
<a name="high-config-costs"></a>

Jika alur kerja Anda menyertakan proses yang sering membuat, memperbarui, atau menghapus sumber daya, atau jika menangani sumber daya dalam jumlah besar, alur kerja tersebut dapat menghasilkan sejumlah besar sumber daya. CIs Jika Anda menjalankan proses ini di akun non-produksi, pertimbangkan untuk membuka pendaftaran akun. Anda mungkin perlu menonaktifkan AWS Config perekam untuk akun itu secara manual.

**catatan**  
Setelah Anda membatalkan pendaftaran akun, AWS Control Tower tidak dapat menerapkan kontrol detektif atau peristiwa akun log, seperti AWS Config aktivitas, untuk sumber daya di akun tersebut.

Untuk informasi selengkapnya, lihat [Membatalkan kelola akun yang terdaftar](https://docs.aws.amazon.com//controltower/latest/userguide/unmanage-account.html). Untuk mempelajari cara menonaktifkan AWS Config perekam, lihat [Mengelola perekam konfigurasi](https://docs.aws.amazon.com//config/latest/developerguide/stop-start-recorder.html).

### Sumber daya yang sama dicatat beberapa kali
<a name="duplicate-configuration-items"></a>

Periksa apakah sumber daya adalah sumber [daya global](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html). Untuk zona pendaratan AWS Control Tower sebelum versi 3.0, AWS Config dapat merekam sumber daya global tertentu satu kali untuk setiap Wilayah AWS Config yang beroperasi. Misalnya, jika AWS Config diaktifkan pada delapan Wilayah, setiap peran dicatat delapan kali.

**Sumber daya berikut dicatat satu kali untuk setiap Wilayah AWS Config yang beroperasi:**
+ `AWS::IAM::Group` 
+ `AWS::IAM::Policy` 
+ `AWS::IAM::Role` 
+  `AWS::IAM::User`

**Sumber daya global lainnya dicatat hanya sekali. Berikut adalah beberapa contoh sumber daya yang dicatat satu kali:**
+ `AWS::Route53::HostedZone`
+ `AWS::Route53::HealthCheck`
+ `AWS::ECR::PublicRepository`
+ `AWS::GlobalAccelerator::Listener`
+ `AWS::GlobalAccelerator::EndpointGroup`
+ `AWS::GlobalAccelerator::Accelerator`

### AWS Config tidak merekam sumber daya
<a name="resource-not-recorded"></a>

Sumber daya tertentu memiliki hubungan ketergantungan dengan sumber daya lain. Hubungan ini mungkin *langsung* atau *tidak langsung*. [Anda dapat menemukan daftar hubungan tidak langsung yang tidak digunakan lagi di FAQ. AWS Config](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-2)