本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用监控资源变化 AWS Config
<a name="monitoring-with-config"></a>

AWS C AWS Config ontrol Tower 启用所有注册账户，因此它可以通过侦探控制来监控合规性、记录资源变化并将资源变更日志传送到日志存档账户。

**如果您的 landing zone 版本低于 3.0**：对于您注册的账户， AWS Config 记录账户运营所在的所有地区的资源的所有更改。每项更改都建模为配置项（CI），其中包含资源标识符、区域、记录每项更改的日期以及更改是与已知资源还是新发现的资源相关等信息。

**如果您的登录区版本是 3.0 或更高版本**：AWS Control Tower 将全局资源（例如 IAM 用户、组、角色和客户托管策略）的记录仅限于您的主区域。并非每个区域都存储全球资源变更的副本。资源记录的这种限制符合 AWS Config [最佳实践](https://aws.amazon.com//blogs/mt/aws-config-best-practices/)。[全球资源的完整列表](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html)可在 AWS Config 文档中找到。
+ 要了解更多信息 AWS Config，请参阅[AWS Config 工作原理](https://docs.aws.amazon.com//config/latest/developerguide/how-does-config-work.html)。
+ 有关 AWS Config 可以支持的资源列表，请参阅[支持的资源类型](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html)。
+ 要了解如何在 AWS Control Tower 环境中自定义资源跟踪，请参阅标题为 “在 AWS Cont [rol Tower 中自定义 AWS Config 资源跟踪](https://aws.amazon.com/blogs//mt/customize-aws-config-resource-tracking-in-aws-control-tower-environment)” 的博客文章。

AWS Control Tower 在所有注册账户中设置了 AWS Config 配送渠道。通过此传送渠道，它会记录日志存档账户 AWS Config 中记录的所有更改，这些更改存储在亚马逊简单存储服务存储桶中的文件夹中。

# 在 AWS Control Tower 中管理 AWS Config 成本
<a name="config-costs"></a>

本节介绍如何 AWS Config 记录您的 AWS Control Tower 账户中的资源变更并向您开具账单。这些信息可以帮助您了解在使用 AWS Control Tower 时如何管理与 AWS Config之相关的成本。AWS Control Tower 不会增加任何额外费用。

**注意**  
 **如果您的着陆区域版本为 3.0 或更高版本**：AWS Control Tower 将全球资源（例如 IAM 用户、群组、角色和客户管理的策略）的 AWS Config 记录仅限于您的主区域。因此，这一部分的某些信息可能不适用于您的登录区。

AWS Config 旨在将账户运营所在的每个区域中每项资源的每项更改记录为配置项目 (CI)。 AWS Config 根据它生成的每个配置项目向您开具账单。

**如何 AWS Config 运作**

AWS Config 分别记录每个区域的资源。某些全局资源（如 IAM 角色）在每个区域记录一次。例如，如果您在五个区域运营的注册账户中创建了一个新的 IAM 角色，则 AWS Config 会生成五个 CIs，每个区域一个。其他全局资源（如 Route 53 托管区）在所有区域只记录一次。例如，如果您在已注册的账户中创建一个新的 Route 53 托管区，则无论为该账户选择了多少个区域， AWS Config 都会生成一个 CI。有关可帮助您区分这些类型的资源的列表，请参阅 [同一资源被记录多次](monitoring-with-config.md#duplicate-configuration-items)。

**注意**  
当 AWS Control Tower 与之合作时 AWS Config，一个区域可能受 AWS Control Tower 管辖，也可以不受管辖，如果账户在该区域运营，则 AWS Config 仍会记录更改。

**AWS Config 检测资源中的两种关系**

AWS Config 区分了资源之间的*直接*关系和*间接*关系。如果一项资源在另一项资源的 **Describe** API 调用中被返回，这些资源将被记录为直接关系。当您更改与另一种资源有直接关系的资源时， AWS Config 不会为这两个资源创建 CI。

例如，如果您创建一个 Amazon EC2 实例，而 API 要求您创建一个网络接口，则 AWS Config 就会认为该 Amazon EC2 实例与网络接口有直接关系。因此，仅 AWS Config 生成一个 CI。

AWS Config 记录属于*间接*关系的资源关系的单独更改。例如，如果您创建一个安全组并添加属于安全组的关联 Amazon EC2 实例，则 AWS Config 会生成两个 CI。

有关直接关系和间接关系的更多信息，请参阅[什么是与资源的直接关系和间接关系？](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-0)

你可以在 AWS Config 文档[中找到资源关系列表](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html)。

## 查看已注册账户的 AWS Config 记录器数据
<a name="querying-config"></a>

AWS Config 已与集成， CloudWatch 因此您可以在仪表板 AWS Config CIs 中查看。有关更多信息，请参阅标题为 “[AWS Config 支持 Amazon CloudWatch 指标](https://aws.amazon.com/about-aws/whats-new/2022/05/aws-config-supports-amazon-cloudwatch-metrics)” 的博客文章。

通过编程方式，要查看 AWS Config 数据，您可以使用 AWS CLI，也可以使用其他 AWS 工具。

### 查询特定资源上的 AWS Config 记录器数据
<a name="querying-resources-using-the-cli"></a>

您可以使用 C AWS LI 来检索资源的最新更改列表。

**资源历史记录命令：**
+ `aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION`

要了解更多信息，请参阅 [`get-config-history` 的 API 文档](https://docs.aws.amazon.com//cli/latest/reference/configservice/get-resource-config-history.html)。

### 使用 Quick 可视化 AWS Config 数据
<a name="visualize-config-data-with-quicksight"></a>

您可以对整个组织中记录的资源进行 AWS Config 可视化和查询。有关更多信息，请参阅 [Config 资源合规控制面板](https://catalog.workshops.aws/awscid/en-US/dashboards/additional/config-resource-compliance-dashboard)和[使用 Amazon Athena 和 Quick 可视化 AWS Config 数据](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/)。

## AWS Config 在 AWS Control Tower 中进行故障排除
<a name="troubleshooting-config"></a>

本节提供有关您在使用 AWS Config AWS Control Tower 时可能遇到的一些问题的信息。

### AWS Config 成本高
<a name="high-config-costs"></a>

如果您的工作流程包括频繁创建、更新或删除资源的流程，或者如果它处理大量资源，则该工作流可能会生成大量资源 CIs。如果您在非生产账户中运行这些流程，请考虑取消注册账户。您可能需要手动停用该帐户的 AWS Config 录制器。

**注意**  
取消账户注册后，AWS Control Tower 无法对该账户中的资源实施侦探控制或记录账户事件（例如 AWS Config 活动）。

有关更多信息，请参阅[取消管理已注册的账户](https://docs.aws.amazon.com//controltower/latest/userguide/unmanage-account.html)。要了解如何停用 AWS Config 录制器，请参阅[管理配置记录器](https://docs.aws.amazon.com//config/latest/developerguide/stop-start-recorder.html)。

### 同一资源被记录多次
<a name="duplicate-configuration-items"></a>

检查资源是否为[全局资源](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html)。对于 3.0 版之前的 AWS Control Tower 着陆区， AWS Config 可以为每个运营区域记录一次某些全球资源。 AWS Config 例如，如果 AWS Config 在八个区域上启用，则每个角色将被记录八次。

**对于每个运营区域，以下资源 AWS Config 仅记录一次：**
+ `AWS::IAM::Group` 
+ `AWS::IAM::Policy` 
+ `AWS::IAM::Role` 
+  `AWS::IAM::User`

**其他全局资源仅被记录一次。以下是一些被记录一次的资源示例：**
+ `AWS::Route53::HostedZone`
+ `AWS::Route53::HealthCheck`
+ `AWS::ECR::PublicRepository`
+ `AWS::GlobalAccelerator::Listener`
+ `AWS::GlobalAccelerator::EndpointGroup`
+ `AWS::GlobalAccelerator::Accelerator`

### AWS Config 没有记录资源
<a name="resource-not-recorded"></a>

某些资源与其他资源存在依赖关系。这些关系可以是*直接*的，也可以是*间接*的。您可以在[AWS Config 常见问题解答](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-2)中找到已弃用的间接关系列表。