本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用管理资源配置AWS Config
<a name="config"></a>

AWS Config提供了与您的AWS账户关联的资源的详细视图，包括它们的配置方式、它们之间的关系以及配置及其关系如何随着时间的推移而发生变化。有关更多信息，请参阅《*[AWS Config开发人员指南》](https://docs.aws.amazon.com/config/latest/developerguide/)*。

AWS Config由 AWS Control Tower 配置的资源会自动标记为`aws-control-tower`且值为。`managed-by-control-tower`

有关如何在 AWS Control Tower 中AWS Config监控和记录资源以及如何向您收取费用的更多信息，请参阅[使用监控资源变化 AWS Config](monitoring-with-config.md)。

AWS Control Tower 用于AWS Config 规则实施侦探控制。有关更多信息，请参阅 [About controls in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/controls.html)。

## Control Tower 着陆区 4.0 中的 AWS Config 集成
<a name="w2aac50c17c11"></a>

### 服务关联的 Config 聚合器 (SLCA)
<a name="w2aac50c17c11b3"></a>

 AWS Control Tower 现在实现了服务相关配置聚合器 (SLCA)，作为着陆区 4.0\+ 的一部分。这一变化代表着整个组织中 AWS Config 数据的汇总和管理方式有了显著改进。

### 主要变更
<a name="w2aac50c17c11b5"></a>

**新的服务相关的 Config 聚合器部署**
+ 服务相关配置聚合器已部署在您指定的 AWS Config 集成账户中。
+ 对于现有客户，这将是您的审计账户
+ 对于新客户，这将是清单`config.accountId`字段中指定的账户

**委托管理员**
+ AWS Config 聚合器账户成为 AWS Config 的委托管理员
+ AWS Control Tower 会自动配置委派的管理员设置
+ 这使您能够在整个组织中集中管理 AWS Config

**从旧版聚合器迁移**

在升级到着陆区 4.0 期间：
+ 管理账户中的组织聚合器将被删除。
+ 审计账户中的账户聚合器将被删除。
+ 它们被 AWS Config 集成聚合器账户中新的服务关联的 Config Aggregator 所取代。

### 增强的数据聚合
<a name="w2aac50c17c11b7"></a>

与服务关联的 Config Aggregator 为配置数据聚合提供了改进的功能：
+ 可以聚合组织中任何 AWS Config 记录器的数据
+ 包括来自非 Control Tower 管理的账户的数据
+ 提供整个组织中配置项目的全面视图
+ 支持增强的数据边界控制

### 重要注意事项
<a name="w2aac50c17c11b9"></a>

**委派管理员配置**
+ AWS Control Tower 将使用您在清单中指定的账户进行 AWS Config 集成
+ 此账户将自动配置为委派管理员
+ 对于此配置，客户无需采取任何其他措施
+ 对于现有客户，在 Landing Zone 4.0 升级期间，您之前的安全角色集成账户（审计账户）将被配置为 AWS Config 中央聚合器账户

**数据聚合范围**
+ 服务关联的 Config Aggregator 可以聚合以下来源的配置数据：
  + Control Tower 托管账户
  + 非控制塔管理账户
  + 组织中任何具有活动的 Config 记录器的帐户

**访问控制**
+ 对聚合数据的访问通过 IAM 策略进行管理
+ AWS Config 中央聚合器账户可以集中访问所有聚合数据
+ 成员账户保留各自的 AWS Config 录像机

### 最佳实践
<a name="w2aac50c17c11c11"></a>

**Config Central 聚合器账户选择**
+ 选择一个专门用于安全与合规监控的账户
+ 确保适当的访问控制到位
+ 考虑使用现有的审计账户或安全账户

**数据管理**
+ 定期查看汇总的配置数据
+ 实施适当的保留政策
+ 监控各个账户的 AWS Config 记录器状态

### 迁移影响
<a name="w2aac50c17c11c13"></a>

升级到着陆区 4.0 时：

**迁移之前**
+ 记录现有 AWS Config 规则和聚合器
+ 查看当前的 AWS Config 数据访问模式
+ 为所有必要的 IAM 政策更新做好计划

**迁移期间**
+ 传统的 AWS Config 聚合器将被自动移除
+ 将部署服务关联的 Config 聚合器
+ 将配置委派的管理员

**迁移后**
+ 验证服务相关的 Config Aggregator 是否正常运行
+ 确认来自成员账户的数据聚合
+ 根据需要更新监控和报告工具