本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 什麼是 AWS Config?
AWS Config 提供帳戶中 AWS AWS 資源組態的詳細檢視。這包含資源彼此之間的關係和之前的組態方式,所以您可以看到一段時間中組態和關係的變化。
An AWS *resource* 是您可以在其中使用的實體 AWS,例如 Amazon Elastic Compute Cloud (EC2) 執行個體、Amazon Elastic Block Store (EBS) 磁碟區、安全群組或 Amazon Virtual Private Cloud (VPC)。如需 支援的完整 AWS 資源清單 AWS Config,請參閱 [支援的資源類型 AWS Config](resource-config-reference.md)。
## 考量事項
+ **AWS 帳戶**:您需要作用中的 AWS 帳戶。如需詳細資訊,請參閱[註冊 AWS](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html#getting-started-signing-up)。
+ **Amazon S3 儲存貯體**:您需要 S3 儲存貯體來接收組態快照和歷史記錄的資料。如需詳細資訊,請參閱《[Amazon S3 儲存貯體許可](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-policy.html)》。
+ **Amazon SNS 主題**:當組態快照和歷史記錄發生變更時,您需要 Amazon SNS 才能接收通知。如需詳細資訊,請參閱 [Amazon SNS 主題的許可](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-policy.html)。
+ **IAM 角色**:您需要具有必要存取許可的 IAM 角色 AWS Config。如需詳細資訊,請參閱 [IAM 角色的許可](https://docs.aws.amazon.com/config/latest/developerguide/iamrole-permissions.html)。
+ **資源類型**:您可以決定 AWS Config 要記錄哪些資源類型。如需詳細資訊,請參閱[錄製 AWS 資源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
## 使用方式 AWS Config
當您在 上執行應用程式時 AWS,通常會使用 資源,您必須共同建立和管理這些 AWS 資源。隨著應用程式的需求不斷增長,您需要追蹤 AWS 資源。 AWS Config 旨在協助您在下列案例中監督應用程式資源:
### 資源管理
若要練習更恰當地管理資源組態,以及偵測不正確的資源組態,您需要微調資源的可見性,以及如何同時設定這些資源。您可以使用 AWS Config 在建立、修改或刪除資源時通知您,而無需透過輪詢對每個資源進行的呼叫來監控這些變更。
您可以使用 AWS Config 規則來評估 資源 AWS 的組態設定。當 AWS Config 偵測到資源違反其中一個規則的條件時, 會將資源 AWS Config 標記為不合規並傳送通知。 AWS Config 會在建立、變更或刪除資源時持續評估您的資源。
### 稽核與合規性
您可能處理需要頻繁稽核的資料,確保符合內部政策和最佳實務。若要示範合規性,您需要存取資源的歷史組態。此資訊由 提供 AWS Config。
### 組態變更的管理和故障診斷
當您使用彼此相依的多個 AWS 資源時,一個資源的組態變更可能會對相關資源造成意外後果。透過 AWS Config,您可以檢視您要修改的資源與其他資源的關係,並評估變更的影響。
您也可以使用 AWS Config 所提供資源的歷史組態對問題進行故障診斷,以及存取問題資源的上次已知正常組態。
### 安全分析
若要分析潛在的安全弱點,您需要有關 AWS 資源組態的詳細歷史資訊,例如授予給您使用者的 AWS Identity and Access Management (IAM) 許可,或控制資源存取的 Amazon EC2 安全群組規則。
您可以使用 AWS Config 隨時檢視指派給使用者、群組或角色的 IAM AWS Config 政策。此資訊可協助您判斷在特定時間屬於使用者的許可:例如,您可以檢視使用者 `John Doe` 是否具有可在 2015 年 1 月 1 日修改 Amazon VPC 設定的許可。
您也可以使用 AWS Config 來檢視 EC2 安全群組的組態,包括在特定時間開啟的連接埠規則。此資訊可協助您判斷安全群組是否封鎖傳入特定連接埠的 TCP 流量。
### 合作夥伴解決方案
AWS 會與第三方記錄和分析專家合作,以提供使用 AWS Config 輸出的解決方案。如需詳細資訊,請造訪 AWS Config 的詳細資訊頁面[AWS Config](https://aws.amazon.com/config)。
## 功能
設定 時 AWS Config,您可以完成下列操作:
**資源管理**
+ 指定 AWS Config 您要記錄的資源類型。
+ 設定 Amazon S3 儲存貯體於請求時接收組態快照及組態歷史記錄。
+ 設定 Amazon SNS 傳送組態串流通知。
+ 授予存取 Amazon S3 儲存貯體和 Amazon SNS 主題所需的 AWS Config 許可。
如需詳細資訊,請參閱[檢視 AWS 資源組態和歷史記錄](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)[和管理 AWS 資源組態和歷史記錄](https://docs.aws.amazon.com/config/latest/developerguide/aws-config-landing-page.html)。
**規則與一致性套件**
+ 指定 AWS Config 您要用來評估所記錄資源類型合規資訊的規則。
+ 使用一致性套件,或可部署和監控為 中單一實體的規則集合 AWS 帳戶。
如需詳細資訊,請參閱[使用 AWS Config 規則和一致性套件評估資源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)。 [https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)
**修復**
+ 修復由 評估的不合規資源 AWS Config 規則。
如需詳細資訊,請參閱[修復](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)。
**彙總工具**
+ 使用彙總工具來集中檢視您的資源庫存和合規性。彙整工具會將多個 AWS 帳戶 和 AWS 區域的 AWS Config 組態和合規資料收集到單一帳戶和區域。
如需詳細資訊,請參閱《[多帳戶多區域資料彙總](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)》。
**進階查詢**
+ 使用其中一個範例查詢,或參考 AWS 資源的組態結構描述來撰寫您自己的查詢。
如需詳細資訊,請參閱[查詢 AWS 資源的目前組態狀態。 ](https://docs.aws.amazon.com/config/latest/developerguide/querying-AWS-resources.html)