本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AWS Config 規則評估資源
<a name="evaluate-config"></a>

使用 AWS Config 評估 AWS 資源的組態設定。您可以透過建立規則來執行此操作，這些 AWS Config 規則代表您的理想組態設定。 AWS Config 提供可自訂的預先定義規則，稱為 受管規則，以協助您開始使用。

**Topics**
+ [考量事項](#evaluate-config-considerations)
+ [區域支援](#region-support-config-rules)
+ [規則的元件](evaluate-config_components.md)
+ [受管規則](evaluate-config_use-managed-rules.md)
+ [自訂規則](evaluate-config_develop-rules.md)
+ [服務連結規則](service-linked-awsconfig-rules.md)
+ [組織規則](config-rule-multi-account-deployment.md)
+ [新增規則](evaluate-config_add-rules.md)
+ [更新規則](evaluate-config_update-rules.md)
+ [刪除規則](evaluate-config_delete-rules.md)
+ [檢視規則](evaluate-config_view-rules.md)
+ [開啟主動評估](evaluate-config_turn-on-proactive-rules.md)
+ [將評估傳送至 Security Hub CSPM](setting-up-aws-config-rules-with-console-integration.md)
+ [使用 規則評估資源](evaluating-your-resources.md)
+ [刪除評估結果](deleting-evaluations-results.md)
+ [疑難排解](troubleshooting-rules.md)

## 考量事項
<a name="evaluate-config-considerations"></a>

------
#### [ Cost Considerations ]

如需資源記錄相關成本的詳細資訊，請參閱 [AWS Config 定價](https://aws.amazon.com/config/pricing/)。

**建議：刪除規則之前，請考慮從記錄中排除`AWS::Config::ResourceCompliance`資源類型**

刪除規則會為 建立可能會影響組態記錄器成本的組態項目 `AWS::Config::ResourceCompliance` (CIs)。如果您要刪除評估大量資源類型的規則，這可能會導致記錄CIs 數量遽增。

若要避免相關費用，您可以選擇在刪除規則之前停用`AWS::Config::ResourceCompliance`資源類型的記錄，並在刪除規則之後重新啟用記錄。

不過，由於刪除規則是非同步程序，因此可能需要一小時或更長時間才能完成。在停用 的記錄期間`AWS::Config::ResourceCompliance`，規則評估不會記錄在相關聯的資源歷史記錄中。

AWS Config 建議您先根據case-by-case權衡這些因素，再決定如何繼續刪除規則。

**建議：新增邏輯來處理自訂 lambda 規則的已刪除資源評估**

建立 AWS Config 自訂 Lambda 規則時，強烈建議您新增邏輯來處理已刪除資源的評估。

當評估結果標記為 `NOT_APPLICABLE` 時，其會被標記以進行刪除和清理。如果未將其標記為 `NOT_APPLICABLE`，則評估結果將保持不變，直到刪除規則為止，這可能會導致在刪除規則`AWS::Config::ResourceCompliance`時建立 CIs 發生意外峰值。

如需如何設定 AWS Config 自訂 Lambda 規則以`NOT_APPLICABLE`針對已刪除的資源傳回的資訊，請參閱[使用 AWS Config 自訂 Lambda 規則管理已刪除的資源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html#evaluate-config_develop-rules-delete)。

**建議：提供自訂 Lambda 規則範圍內的資源**

AWS Config 如果規則的範圍不限於一或多個資源類型，則自訂 Lambda 規則可能會導致大量的 Lambda 函數叫用。為了避免與您的帳戶相關的活動增加，強烈建議為自訂 Lambda 規則提供範圍內的資源。如果未選取任何資源類型，則規則會針對帳戶中的所有資源叫用 Lambda 函數。

------
#### [ Other considerations ]

**受管規則的預設值**

只有在使用 AWS 主控台時，才會預先填入為受管規則指定的預設值。不提供 API、CLI 或 SDK 的預設值。

**組態項目錄製延遲**

AWS Config 通常會在偵測到變更後立即記錄資源的組態變更，或您指定的頻率。不過，這需要盡最大努力，有時可能需要更長的時間。例如，已知延遲的資源類型為 `AWS::SecretsManager::Secret`。此資源類型是範例，而此清單是非詳盡的。

**政策和合規結果**

在 中管理的 [IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)和其他政策可能會影響 是否 AWS Config 具有記錄 資源組態變更的許可。 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html)此外，規則會直接評估資源的組態，而且在執行評估時，規則不會考慮這些政策。確定有效政策符合您打算使用的方式 AWS Config。

**資源類型的標記支援**

如果資源類型不支援標記，或在其描述 API 回應中不包含標籤資訊， AWS Config 則 不會在該資源類型的組態項目 (CIs) 中擷取標籤資料。 AWS Config 仍會記錄這些資源。不過，依賴標籤資料的任何功能都無法運作。這會影響依賴標籤資料的標籤型篩選、分組或合規評估。

**不支援目錄儲存貯體**

受管規則僅在評估 Amazon Simple Storage Service (Amazon S3) 資源時支援一般用途儲存貯體。如需一般用途儲存貯體和目錄儲存貯體的詳細資訊，請參閱 Amazon S3 使用者指南中的[儲存貯體概觀](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingBucket.html)和[目錄儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-buckets-overview.html)。

**受管規則和全域 IAM 資源類型**

2022 年 2 月之前加入的全域 IAM 資源類型 (`AWS::IAM::Group`、`AWS::IAM::Role`、 `AWS::IAM::Policy`和 `AWS::IAM::User`) 只能 AWS Config 由 記錄在 AWS Config 2022 年 2 月之前可用的 AWS 區域中。這些資源類型無法在 2022 年 2 月 AWS Config 之後 支援的區域中記錄。如需這些區域的清單，請參閱[錄製 AWS 資源 \| 全域資源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)。

如果您在至少一個區域中記錄全域 IAM 資源類型，報告全域 IAM 資源類型合規性的定期規則將在新增定期規則的所有區域中執行評估，即使您尚未在新增定期規則的區域中啟用全域 IAM 資源類型的記錄。

為了避免不必要的評估，您應該只將報告全域 IAM 資源類型合規性的定期規則部署到其中一個支援的 區域。如需哪些區域支援哪些受管規則的清單，請參閱[依區域可用性列出的 AWS Config 受管規則清單](https://docs.aws.amazon.com/config/latest/developerguide/managing-rules-by-region-availability.html)。

------

## 區域支援
<a name="region-support-config-rules"></a>

目前，下列 AWS 區域支援 AWS Config 規則功能。如需哪些區域支援哪些個別 AWS Config 規則的清單，請參閱[依區域可用性列出的 AWS Config 受管規則清單](https://docs.aws.amazon.com/config/latest/developerguide/managing-rules-by-region-availability.html)。


| 區域名稱 | 區域 | 端點 | 通訊協定 | 
| --- | --- | --- | --- | 
| 美國東部 (俄亥俄) | us-east-2 |  config.us-east-2.amazonaws.com <br /> config-fips.us-east-2.amazonaws.com  | HTTPS<br />HTTPS | 
| 美國東部 (維吉尼亞北部) | us-east-1 |  config.us-east-1.amazonaws.com <br /> config-fips.us-east-1.amazonaws.com  | HTTPS<br />HTTPS | 
| 美國西部 (加利佛尼亞北部) | us-west-1 |  config.us-west-1.amazonaws.com <br /> config-fips.us-west-1.amazonaws.com  | HTTPS<br />HTTPS | 
| 美國西部 (奧勒岡) | us-west-2 |  config.us-west-2.amazonaws.com <br /> config-fips.us-west-2.amazonaws.com  | HTTPS<br />HTTPS | 
| Africa (Cape Town) | af-south-1 |  config.af-south-1.amazonaws.com  | HTTPS | 
| 亞太區域 (香港) | ap-east-1 |  config.ap-east-1.amazonaws.com  | HTTPS | 
| 亞太區域 (海德拉巴) | ap-south-2 |  config.ap-south-2.amazonaws.com  | HTTPS | 
| 亞太區域 (雅加達) | ap-southeast-3 |  config.ap-southeast-3.amazonaws.com  | HTTPS | 
| 亞太地區 (馬來西亞) | ap-southeast-5 |  config.ap-southeast-5.amazonaws.com  | HTTPS | 
| 亞太區域 (墨爾本) | ap-southeast-4 |  config.ap-southeast-4.amazonaws.com  | HTTPS | 
| 亞太區域 (孟買) | ap-south-1 |  config.ap-south-1.amazonaws.com  | HTTPS | 
| 亞太區域 (紐西蘭) | ap-southeast-6 |  config.ap-southeast-6.amazonaws.com  | HTTPS | 
| 亞太區域 (大阪) | ap-northeast-3 |  config.ap-northeast-3.amazonaws.com  | HTTPS | 
| 亞太區域 (首爾) | ap-northeast-2 |  config.ap-northeast-2.amazonaws.com  | HTTPS | 
| 亞太區域 (新加坡) | ap-southeast-1 |  config.ap-southeast-1.amazonaws.com  | HTTPS | 
| 亞太區域 (雪梨) | ap-southeast-2 |  config.ap-southeast-2.amazonaws.com  | HTTPS | 
| 亞太區域 (台北) | ap-east-2 |  config.ap-east-2.amazonaws.com  | HTTPS | 
| 亞太區域 (泰國) | ap-southeast-7 |  config.ap-southeast-7.amazonaws.com  | HTTPS | 
| 亞太區域 (東京) | ap-northeast-1 |  config.ap-northeast-1.amazonaws.com  | HTTPS | 
| 加拿大 (中部) | ca-central-1 |  config.ca-central-1.amazonaws.com  | HTTPS | 
| 加拿大西部 (卡加利) | ca-west-1 |  config.ca-west-1.amazonaws.com  | HTTPS | 
| 歐洲 (法蘭克福) | eu-central-1 |  config.eu-central-1.amazonaws.com  | HTTPS | 
| 歐洲 (愛爾蘭) | eu-west-1 |  config.eu-west-1.amazonaws.com  | HTTPS | 
| 歐洲 (倫敦) | eu-west-2 |  config.eu-west-2.amazonaws.com  | HTTPS | 
| 歐洲 (米蘭) | eu-south-1 |  config.eu-south-1.amazonaws.com  | HTTPS | 
| 歐洲 (巴黎) | eu-west-3 |  config.eu-west-3.amazonaws.com  | HTTPS | 
| 歐洲 (西班牙) | eu-south-2 |  config.eu-south-2.amazonaws.com  | HTTPS | 
| 歐洲 (斯德哥爾摩) | eu-north-1 |  config.eu-north-1.amazonaws.com  | HTTPS | 
| 歐洲 (蘇黎世) | eu-central-2 |  config.eu-central-2.amazonaws.com  | HTTPS | 
| 以色列 (特拉維夫) | il-central-1 |  config.il-central-1.amazonaws.com  | HTTPS | 
| 墨西哥 (中部) | mx-central-1 |  config.mx-central-1.amazonaws.com  | HTTPS | 
| 中東 (巴林) | me-south-1 |  config.me-south-1.amazonaws.com  | HTTPS | 
| 中東 (阿拉伯聯合大公國) | me-central-1 |  config.me-central-1.amazonaws.com  | HTTPS | 
| 南美洲 (聖保羅) | sa-east-1 |  config.sa-east-1.amazonaws.com  | HTTPS | 
|  AWS GovCloud （美國東部） | us-gov-east-1 |  config.us-gov-east-1.amazonaws.com  | HTTPS | 
|  AWS GovCloud （美國西部） | us-gov-west-1 |  config.us-gov-west-1.amazonaws.com  | HTTPS | 

下列 區域支援在 AWS 組織的成員帳戶之間部署 AWS Config 規則。


| 區域名稱 | 區域 | 端點 | 通訊協定 | 
| --- | --- | --- | --- | 
| 美國東部 (俄亥俄) | us-east-2 |  config.us-east-2.amazonaws.com  | HTTPS | 
| 美國東部 (維吉尼亞北部) | us-east-1 |  config.us-east-1.amazonaws.com  | HTTPS | 
| 美國西部 (加利佛尼亞北部) | us-west-1 |  config.us-west-1.amazonaws.com  | HTTPS | 
| 美國西部 (奧勒岡) | us-west-2 |  config.us-west-2.amazonaws.com  | HTTPS | 
| Africa (Cape Town) | af-south-1 |  config.af-south-1.amazonaws.com  | HTTPS | 
| 亞太區域 (香港) | ap-east-1 |  config.ap-east-1.amazonaws.com  | HTTPS | 
| 亞太區域 (海德拉巴) | ap-south-2 |  config.ap-south-2.amazonaws.com  | HTTPS | 
| 亞太區域 (雅加達) | ap-southeast-3 |  config.ap-southeast-3.amazonaws.com  | HTTPS | 
| 亞太地區 (馬來西亞) | ap-southeast-5 |  config.ap-southeast-5.amazonaws.com  | HTTPS | 
| 亞太區域 (墨爾本) | ap-southeast-4 |  config.ap-southeast-4.amazonaws.com  | HTTPS | 
| 亞太區域 (孟買) | ap-south-1 |  config.ap-south-1.amazonaws.com  | HTTPS | 
| 亞太區域 (紐西蘭) | ap-southeast-6 |  config.ap-southeast-6.amazonaws.com  | HTTPS | 
| 亞太區域 (大阪) | ap-northeast-3 |  config.ap-northeast-3.amazonaws.com  | HTTPS | 
| 亞太區域 (首爾) | ap-northeast-2 |  config.ap-northeast-2.amazonaws.com  | HTTPS | 
| 亞太區域 (新加坡) | ap-southeast-1 |  config.ap-southeast-1.amazonaws.com  | HTTPS | 
| 亞太區域 (雪梨) | ap-southeast-2 |  config.ap-southeast-2.amazonaws.com  | HTTPS | 
| 亞太區域 (台北) | ap-east-2 |  config.ap-east-2.amazonaws.com  | HTTPS | 
| 亞太區域 (泰國) | ap-southeast-7 |  config.ap-southeast-7.amazonaws.com  | HTTPS | 
| 亞太區域 (東京) | ap-northeast-1 |  config.ap-northeast-1.amazonaws.com  | HTTPS | 
| 加拿大 (中部) | ca-central-1 |  config.ca-central-1.amazonaws.com  | HTTPS | 
| 加拿大西部 (卡加利) | ca-west-1 |  config.ca-west-1.amazonaws.com  | HTTPS | 
| 歐洲 (法蘭克福) | eu-central-1 |  config.eu-central-1.amazonaws.com  | HTTPS | 
| 歐洲 (愛爾蘭) | eu-west-1 |  config.eu-west-1.amazonaws.com  | HTTPS | 
| 歐洲 (倫敦) | eu-west-2 |  config.eu-west-2.amazonaws.com  | HTTPS | 
| 歐洲 (米蘭) | eu-south-1 |  config.eu-south-1.amazonaws.com  | HTTPS | 
| 歐洲 (巴黎) | eu-west-3 |  config.eu-west-3.amazonaws.com  | HTTPS | 
| 歐洲 (西班牙) | eu-south-2 |  config.eu-south-2.amazonaws.com  | HTTPS | 
| 歐洲 (斯德哥爾摩) | eu-north-1 |  config.eu-north-1.amazonaws.com  | HTTPS | 
| 歐洲 (蘇黎世) | eu-central-2 |  config.eu-central-2.amazonaws.com  | HTTPS | 
| 以色列 (特拉維夫) | il-central-1 |  config.il-central-1.amazonaws.com  | HTTPS | 
| 墨西哥 (中部) | mx-central-1 |  config.mx-central-1.amazonaws.com  | HTTPS | 
| 中東 (巴林) | me-south-1 |  config.me-south-1.amazonaws.com  | HTTPS | 
| 中東 (阿拉伯聯合大公國) | me-central-1 |  config.me-central-1.amazonaws.com  | HTTPS | 
| 南美洲 (聖保羅) | sa-east-1 |  config.sa-east-1.amazonaws.com  | HTTPS | 
|  AWS GovCloud （美國東部） | us-gov-east-1 |  config.us-gov-east-1.amazonaws.com  | HTTPS | 
|  AWS GovCloud （美國西部） | us-gov-west-1 |  config.us-gov-west-1.amazonaws.com  | HTTPS |