本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS Config 使用主控台設定 設定 (主控台) AWS 管理主控台 提供快速且簡化的設定程序 AWS Config。 ## 設定 **AWS Config 使用主控台設定** 1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) 開啟 AWS Config 主控台。 1. 如果這是您第一次開啟 AWS Config 主控台,或是您在 AWS Config 新區域中設定 ,則 AWS Config 主控台頁面如下所示: ![\[AWS Config 主控台頁面上的映像提供 AWS Config 服務的概觀,強調其在記錄和評估 AWS 資源組態歷程中的角色。\]](http://docs.aws.amazon.com/zh_tw/config/latest/developerguide/images/welcome.png) 1. 選擇**一鍵式設定**, AWS Config 根據 AWS 最佳實務啟動。您也可以選擇 **開始** 執行更詳細的設定流程。 **Topics** + [ ## 設定 ](#gs-console-setting-up.title) + [一鍵式設定](1-click-setup.md) + [手動設定](manual-setup.title.md) # 的一鍵式設定 AWS Config 一鍵式設定 AWS Config **一鍵式設定**可減少手動選擇的數量,有助於簡化 AWS Config 主控台客戶的入門程序。若要完成設定程序的所有手動選擇,請參閱[手動設定](https://docs.aws.amazon.com/config/latest/developerguide/detailed-setup.html)。 **使用一鍵式設定 AWS Config 透過主控台進行設定 ****** 1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) 開啟 AWS Config 主控台。 1. 選擇 **一鍵式設定**。 設定 頁面包含三個步驟,但透過 **一鍵式設定** 工作流程會自動導向到步驟 3 (檢閱)。以下提供該程序的細節。 + **設定**:選取 AWS Config 主控台記錄資源和角色的方式,然後選擇組態歷史記錄和組態快照檔案的傳送位置。 + **規則**:對於 AWS 區域 該支援 AWS Config 規則,此步驟可供您設定可新增至帳戶的初始受管規則。設定後, AWS Config 會根據您選擇的規則評估您的 AWS 資源。您可以建立其他規則,以及在設定後更新帳戶中的現有規則。 + **檢閱**:驗證您的設定詳細資訊。 ## 步驟 1:設定 ### 記錄策略 已為您選取記錄**具有可自訂覆寫的所有資源類型**的選項。 AWS Config 將記錄此區域中所有目前和未來支援的資源類型。如需詳細資訊,請參閱《[支援的資源類型](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html)》。 + **預設設定** 默認記錄頻率為您設置為**連續**。這表示每當發生變更時, 都會持續 AWS Config 記錄組態變更。 AWS Config 也支援將錄製頻率設定為**每日**的選項。如果您在安裝後選取此選項,您將會收到一個組態項目 (CI),代表過去 24 小時期間內資源的最新狀態,前提是它與先前的 CI 記錄不同時。如需詳細資訊,請參閱[記錄頻率](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency)。 **注意** AWS Firewall Manager 依賴持續記錄來監控您的 資源。如果您使用的是 Firewall Manager,建議您將記錄頻率設定為「持續」。 + **覆寫設定 — *選擇性*** 選擇性地在設定之後,您可以覆寫特定資源型態的記錄頻率,或從記錄中排除特定資源型態。若要覆寫預設設定,請選擇 AWS Config 主控台左側導覽中的**設定**,然後選擇**編輯**。 #### 記錄資源時的考量事項 ** 大量 AWS Config 評估** 與後續月份相比,使用 AWS Config 的初始月份記錄期間,您可能會注意到帳戶中的活動增加。在初始引導程序期間, 會對您帳戶中已選取要 AWS Config 記錄的所有資源 AWS Config 執行評估。 如果您正在執行暫時工作負載,可能會看到來自 AWS Config 的活動增加,因其會記錄與建立和刪除這些暫時資源相關聯的組態變更。*暫時性工作負載*是暫時使用因需要而載入和執行的運算資源。範例包括 Amazon Elastic Compute Cloud (Amazon EC2) Spot 執行個體、Amazon EMR 作業和 AWS Auto Scaling。如果您想要避免增加執行暫時性工作負載的活動,您可以設定組態記錄器來排除這些資源類型,或在關閉的個別帳戶中 AWS Config 執行這些類型的工作負載,以避免增加組態記錄和規則評估。 **全域資源類型 \$1 Aurora 全域叢集最初包含在記錄中** `AWS::RDS::GlobalCluster` 資源類型將記錄在啟用組態記錄器的所有支援 AWS Config 區域中。 如果您不希望在所有已啟用的區域中記錄 `AWS::RDS::GlobalCluster`,您可以在設定後從記錄中排除此資源類型。在左側導覽列中,選擇**設定**,然後選擇**基本**。從**編輯**移至**記錄方法**區段的**覆蓋設定**,選擇 `AWS::RDS::GlobalCluster`,並選擇覆寫「從記錄中排除」。 **全域資源類型 \$1 IAM 資源類型最初會從記錄中排除** 「所有全域記錄的 IAM 資源類型」最初會從記錄中排除,以協助您降低成本。此配套包含 IAM 使用者、群組、角色和客戶管理政策。選擇**移除**以移除覆寫,並將這些資源包含在您的記錄中。 此外, AWS Config 在 2022 年 2 月之後支援的區域中,無法記錄全域 IAM 資源類型 (`AWS::IAM::User`、`AWS::IAM::Group`、`AWS::IAM::Role` 和 `AWS::IAM::Policy`)。如需這些區域的清單,請參閱[錄製 AWS 資源 \$1 全域資源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)。 ### 資料控管 本節會為您選取保留資料 7 年 (2557 天) 的預設 AWS Config 資料保留期。 系統會為您選取**使用現有 AWS Config 服務連結角色的選項,**並將 設定為該**AWS Config 角色**。服務連結角色由 預先定義, AWS Config 並包含服務呼叫其他 AWS 服務所需的所有許可。 ### 交付方法 在這個區段為您選取**從您的帳戶選擇儲存貯體**選項。此選擇預設為您帳戶中以 格式命名的 儲存貯體`config-bucket-accountid`。例如 `config-bucket-012345678901`。如果沒有以此格式建立的儲存貯體,系統會為您建立一個。若要建立儲存貯體,請參閱 *Amazon Simple Storage Service 使用者指南*中的[建立儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。 如需有關 S3 儲存貯體的詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》的《[儲存貯體概觀](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingBucket.html)》。 ## 步驟 2:規則 這個步驟不會為您選取 **AWS 受管規則** 下的任何規則。反之,我們建議您在設定完帳戶後建立與更新規則。 ## 步驟 3:檢閱 檢閱您的 AWS Config 設定詳細資訊。您可以返回編輯每個區段的變更。選擇**確認**以完成設定 AWS Config。 # 的手動設定 AWS Config 手動設定 使用**入門**工作流程,您可以完成設定程序的所有手動選擇,以開始使用 AWS Config 主控台。如需簡化的入門程序,請參閱[一鍵式設定](https://docs.aws.amazon.com/config/latest/developerguide/1-click-setup.html)。 **使用**入門** AWS Config 設定 主控台** 1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) 開啟 AWS Config 主控台。 1. 選擇**開始使用**。 設定頁面包含三個步驟。以下提供在您選擇 **開始** 之後,該程序的細節。 + **設定**:選取 AWS Config 主控台記錄資源和角色的方式,然後選擇組態歷史記錄和組態快照檔案的傳送位置。 + **規則**:對於 AWS 區域 該支援 AWS Config 規則,此步驟可供您設定可新增至帳戶的初始受管規則。設定後, AWS Config 會根據您選擇的規則評估您的 AWS 資源。您可以建立其他規則,以及在設定後更新帳戶中的現有規則。 + **檢閱**:驗證您的設定詳細資訊。 ## 步驟 1:設定 ### 記錄策略 在**記錄方法**區段中,選擇記錄策略。您可以指定 AWS Config 要記錄 AWS 的資源。 ------ #### [ All resource types with customizable overrides ] 設定 AWS Config 以記錄此區域中所有目前和未來支援的資源類型的組態變更。您可以覆寫特定資源類型的記錄頻率,或從記錄中排除特定資源類型。如需詳細資訊,請參閱《[支援的資源類型](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html)》。 + **預設設定** 為所有目前和未來支援的資源類型設定預設記錄頻率。如需詳細資訊,請參閱[記錄頻率](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency)。 + 持續記錄 – 每當發生變更時, AWS Config 都會持續記錄組態變更。 + 每日記錄 – 您可接收代表過去 24 小時期間內資源最新狀態的組態項目 (CI),前提是該項目必須與先前的 CI 記錄不同。 **注意** AWS Firewall Manager 依賴持續記錄來監控您的 資源。如果您使用的是 Firewall Manager,建議您將記錄頻率設定為「持續」。 + **覆寫設定** 覆寫特定資源類型的記錄頻率,或從記錄中排除特定資源類型。如果您變更某資源類型的記錄頻率,則已記錄的組態項目會保持不變。 ------ #### [ Specific resource types ] AWS Config 設定為僅記錄您指定的資源類型的組態變更。 + **特定資源類型** 選擇要記錄的資源類型及其頻率。如需詳細資訊,請參閱[記錄頻率](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency)。 + 持續記錄 – 每當發生變更時, AWS Config 都會持續記錄組態變更。 + 每日記錄 – 您可接收代表過去 24 小時期間內資源最新狀態的組態項目 (CI),前提是該項目必須與先前的 CI 記錄不同。 **注意** AWS Firewall Manager 依賴持續記錄來監控您的 資源。如果您使用的是 Firewall Manager,建議您將記錄頻率設定為「持續」。 如果您變更某資源類型的記錄頻率,則已記錄的組態項目會保持不變。 ------ #### 記錄 資源時的考量事項 ** 大量 AWS Config 評估** 與後續月份相比,使用 AWS Config 的初始月份記錄期間,您可能會注意到帳戶中的活動增加。在初始引導程序期間, 會對您帳戶中已選取要 AWS Config 記錄的所有資源 AWS Config 執行評估。 如果您正在執行暫時工作負載,可能會看到來自 AWS Config 的活動增加,因其會記錄與建立和刪除這些暫時資源相關聯的組態變更。*暫時性工作負載*是暫時使用因需要而載入和執行的運算資源。範例包括 Amazon Elastic Compute Cloud (Amazon EC2) Spot 執行個體、Amazon EMR 任務和 AWS Auto Scaling。如果您想要避免增加執行暫時性工作負載的活動,您可以設定組態記錄器來排除這些資源類型,或在關閉的個別帳戶中 AWS Config 執行這些類型的工作負載,以避免增加組態記錄和規則評估。 ------ #### [ Considerations: All resource types with customizable overrides ] **全域記錄的資源類型 \$1 Aurora 全域叢集最初包含在記錄中** `AWS::RDS::GlobalCluster` 資源類型將記錄在已啟用組態記錄器的所有支援 AWS Config 區域中。 如果您不想在所有已啟用的區域中記錄 `AWS::RDS::GlobalCluster`,請選擇「AWS RDS GlobalCluster」,然後選擇覆寫「從記錄中排除」。 **全域資源類型 \$1 IAM 資源類型最初會從記錄中排除** 全域 IAM 資源類型一開始會從記錄中排除,以協助您降低成本。此配套包含 IAM 使用者、群組、角色和客戶管理政策。選擇**移除**以移除覆寫,並將這些資源包含在您的記錄中。 此外,2022 年 2 月 AWS Config 之後,無法在 支援的區域中記錄全域 IAM 資源類型 (`AWS::IAM::User``AWS::IAM::Group`、`AWS::IAM::Role`、 和 `AWS::IAM::Policy`)。如需這些區域的清單,請參閱[錄製 AWS 資源 \$1 全域資源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)。 **限制** 您最多可以增加到 100 個頻率覆寫及 600 個排除覆寫。 下列資源類型無法指定每日記錄: + `AWS::Config::ResourceCompliance` + `AWS::Config::ConformancePackCompliance` + `AWS::Config::ConfigurationRecorder` ------ #### [ Considerations: Specific resource types ] **區域可用性** 在指定 AWS Config 要追蹤的資源類型之前,請檢查[依區域可用性列出的資源涵蓋](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html)範圍,以查看您設定 AWS 的區域是否支援該資源類型 AWS Config。如果至少一個 AWS Config 區域中支援 資源類型,您可以在 支援的所有區域中啟用該資源類型的記錄 AWS Config,即使您設定 AWS 的區域不支援指定的資源類型 AWS Config。 **限制** 如果所有資源類型具有相同頻率,則無限制。如果至少有一種資源類型設定為「持續」,您最多可以使用「每日」頻率增加 100 個資源類型。 以下資源類型不支援每日頻率: + `AWS::Config::ResourceCompliance` + `AWS::Config::ConformancePackCompliance` + `AWS::Config::ConfigurationRecorder` ------ ### 資料控管 + 對於**資料保留期**,請選擇預設保留期以保留 AWS Config 資料 7 年 (2557),或為 記錄的項目設定自訂租用期 AWS Config。 AWS Config 可讓您透過指定 的保留期間來刪除資料`ConfigurationItems`。指定保留期後, AWS Config 就會在該段時間內保留您的 `ConfigurationItems`。您可以選擇介於最短 30 天到最長 7 年 (2557 天) 之間的期間。 會 AWS Config 刪除早於您指定保留期間的資料。 + 針對 **的 IAM 角色 AWS Config**,從您的帳戶選擇現有的 AWS Config 服務連結角色或 IAM 角色。 + 服務連結角色由 預先定義, AWS Config 並包含服務呼叫其他 AWS 服務所需的所有許可。 **注意** **建議:使用服務連結角色** 建議您使用 服務連結角色。服務連結角色會新增所有必要的許可,讓 AWS Config 如預期般執行。 + 否則,請從其中一個預先存在的角色和許可政策中選擇 IAM 角色。 **注意** **政策和合規結果** 在 中管理的 [IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)和其他政策可能會影響 是否 AWS Config 具有記錄 資源組態變更的許可。 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html)此外,規則會直接評估資源的組態,而且在執行評估時,規則不會考慮這些政策。確定有效政策符合您打算使用的方式 AWS Config。 **重複使用 IAM 角色時保持最低權限** 如果您使用 AWS 的服務 AWS Config,例如 AWS Security Hub CSPM 或 AWS Control Tower,且已建立 IAM 角色,請確定您在設定 AWS Config 時所使用的 IAM 角色與預先存在的 IAM 角色保持相同的最低許可。您必須執行此操作,以確保其他服務 AWS 繼續如預期般執行。 例如,如果 AWS Control Tower 的 IAM 角色允許 AWS Config 讀取 S3 物件,請確保將相同的許可授予您在設定時使用的 IAM 角色 AWS Config。否則可能會干擾 AWS Control Tower 的操作。 ### 交付方法 + 請為 **交付方法** 選擇 AWS Config 傳送組態歷史記錄和組態快照檔案的目標 S3 儲存貯體: + **建立儲存貯體**:在 **S3 儲存貯體名稱** 中輸入您的 S3 儲存貯體名稱。 您輸入的名稱在 Amazon S3 所有的現有儲存貯體名稱中必須是唯一的。其中一種協助確保唯一性的方法是在儲存貯體名稱的前面加上前綴。例如:您組織的名稱。您無法在建立之後變更儲存貯體的名稱。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》**中的[儲存貯體限制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/BucketRestrictions.html)。 + **選擇您帳戶的儲存貯體**:在 **S3 儲存貯體名稱** 中選擇您慣用的儲存貯體。 + **從其他帳戶選擇儲存貯體**:在 **S3 儲存貯體名稱** 中輸入儲存貯體名稱。 **注意** **儲存貯體許可** 如果您從另一個帳戶選擇儲存貯體,則該儲存貯體必須具有授予存取許可的政策 AWS Config。如需詳細資訊,請參閱[AWS Config 交付管道的 Amazon S3 儲存貯體許可](s3-bucket-policy.md)。 + 針對 **Amazon SNS 主題**,選擇將**組態變更和通知串流至 Amazon SNS 主題**,讓 AWS Config 傳送通知,例如組態歷史記錄交付、組態快照交付和合規。 + 如果您選擇讓 AWS Config 串流到 Amazon SNS 主題,請選擇目標主題: + **建立主題**:在 **主題名稱** 中輸入 SNS 主題的名稱。 + **選擇您帳戶中的主題**:為 **主題名稱** 選取您偏好的主題。 + **從其他帳戶選擇主題**:在 **主題 ARN** 中輸入主題的 Amazon Resource Name (ARN)。如果您從另一個帳戶選擇主題,該主題必須具有授予存取許可的政策 AWS Config。如需詳細資訊,請參閱[Amazon SNS 主題的許可](sns-topic-policy.md)。 **注意** **Amazon SNS 主題的區域** Amazon SNS 主題必須與您設定的 區域位於相同的 區域中 AWS Config。 ## 步驟 2:規則 如果您要 AWS Config 在支援規則的區域中設定 ,請選擇**下一步**。 ## 步驟 3:檢閱 檢閱您的 AWS Config 設定詳細資訊。您可以返回編輯每個區段的變更。選擇**確認**以完成設定 AWS Config。 ## 如需詳細資訊 如需查詢帳戶中現有資源並了解資源組態的相關資訊,請參閱[查詢資源](https://docs.aws.amazon.com/config/latest/developerguide/looking-up-discovered-resources.html)、[檢視合規資訊](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html)以及[檢視合規歷史記錄](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)。 您也可以使用 Amazon Simple Queue Service 以程式設計方式監控 AWS 資源。如需詳細資訊,請參閱[使用 Amazon SQS 監控 AWS 資源變更](monitor-resource-changes.md)。