本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 AWS Control Tower 中管理AWS Config成本
本节介绍如何AWS Config记录您的 AWS Control Tower 账户中的资源变更并向您开具账单。这些信息可以帮助您了解在使用 AWS Control Tower 时如何管理与AWS Config之相关的成本。AWS Control Tower 不会增加任何额外费用。
注意
如果您的着陆区域版本为 3.0 或更高版本:AWS Control Tower 将全球资源(例如 IAM 用户、群组、角色和客户管理的策略)的AWS Config记录仅限于您的主区域。因此,这一部分的某些信息可能不适用于您的登录区。
AWS Config旨在将账户运营所在的每个区域中每项资源的每项更改记录为配置项目 (CI)。AWS Config根据它生成的每个配置项目向您开具账单。
如何AWS Config运作
AWS Config分别记录每个区域的资源。某些全局资源(如 IAM 角色)在每个区域记录一次。例如,如果您在五个区域运营的注册账户中创建了一个新的 IAM 角色,则AWS Config会生成五个 CIs,每个区域一个。其他全局资源(如 Route 53 托管区)在所有区域只记录一次。例如,如果您在已注册的账户中创建一个新的 Route 53 托管区,则无论为该账户选择了多少个区域,AWS Config都会生成一个 CI。有关可帮助您区分这些类型的资源的列表,请参阅 同一资源被记录多次。
注意
当 AWS Control Tower 与之合作时AWS Config,一个区域可能受 AWS Control Tower 管辖,也可能不受管辖,如果账户在该区域运营,则AWS Config仍会记录更改。
AWS Config检测资源中的两种关系
AWS Config区分了资源之间的直接关系和间接关系。如果一项资源在另一项资源的 Describe API 调用中被返回,这些资源将被记录为直接关系。当您更改与另一种资源有直接关系的资源时,AWS Config不会为这两个资源创建 CI。
例如,如果您创建了一个 Amazon EC2 实例,而 API 要求您创建网络接口,则AWS Config认为该亚马逊 EC2 实例与该网络接口有直接关系。因此,仅AWS Config生成一个 CI。
AWS Config记录属于间接关系的资源关系的单独更改。例如, CIs 如果您创建安全组并添加属于安全组的关联 Amazon EC2 实例,则AWS Config会生成两个。
有关直接关系和间接关系的更多信息,请参阅什么是与资源的直接关系和间接关系?
您可以在AWS Config文档中找到资源关系列表。
