本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用組態記錄器
組態記錄器會將範圍內資源類型的組態變更儲存為組態項目 CIs)。
組態記錄器有兩種類型。
| 類型 | Description |
|---|---|
| 客戶受管組態記錄器 | 您管理的組態記錄器。範圍內的資源類型由您設定。根據預設,客戶受管組態記錄器會在AWS Config執行AWS 區域的 中記錄所有支援的資源。 |
| 服務連結組態記錄器 | 連結至特定 的組態記錄器AWS 服務。範圍內的資源類型是由連結的服務所設定。 |
主題
客戶受管組態記錄器的考量
每個區域每個帳戶一個客戶受管組態記錄器
每個 只能有一個客戶受管組態記錄器AWS 帳戶AWS 區域。
預設為記錄所有支援的資源類型,不包括全域 IAM 資源類型
客戶受管組態記錄器的預設值是記錄所有支援的資源類型,不包括下列全域 IAM 資源類型:AWS::IAM::Group、AWS::IAM::Role、 AWS::IAM::Policy和 AWS::IAM::User 您可以指定要包含或排除在記錄中的資源類型。
如需詳細資訊,請參閱使用 錄製 AWS 資源 AWS Config。
使用客戶受管組態記錄器需支付服務費用
使用客戶受管組態記錄器AWS Config開始記錄組態時,需支付使用費。
如需定價資訊,請參閱 AWS Config定價
AWS Systems Manager使用 在整個組織中建立客戶受管組態記錄器
您可以使用AWS Systems Manager快速設定,跨多個組織單位 (OUs) 建立客戶受管組態記錄器,AWS 區域並使用AWS最佳實務。
如需詳細資訊,請參閱 Systems Manager 使用者指南中的使用快速設定建立AWS Config組態記錄器。
重要
政策和合規結果
在 中管理的 IAM 政策和其他政策可能會影響 是否AWS Config具有記錄 資源組態變更的許可。 AWS Organizations此外,規則會直接評估資源的組態,而且在執行評估時,規則不會考慮這些政策。確定有效政策符合您打算使用的方式AWS Config。
如果關閉組態記錄器,已刪除資源的過時評估結果可能會持續存在
如果客戶受管組態記錄器已關閉,則會停用AWS Config Config 追蹤您指定資源組態變更的功能,包括其刪除。這表示當客戶受管組態記錄器關閉時,您可能會看到資源的過時評估結果,因為如果未開啟記錄,AWS Config則無法擷取刪除事件。
服務連結組態記錄器的考量事項
必須使用AWS Config服務連結角色
AWS Config服務連結組態記錄器需要 服務連結角色。
如需詳細資訊,請參閱使用AWS Config的服務連結角色。
服務連結組態記錄器一律正在記錄
服務連結記錄器已修正。您無法直接變更服務連結記錄器中的設定。若要修改記錄器設定,例如啟動、停止或更新記錄器,請透過使用服務連結記錄器的相關聯AWS服務進行這些變更。
如需詳細資訊,請參閱刪除組態記錄器。
記錄範圍會決定您是否收到組態項目
錄製範圍是由連結到組態記錄器的 所設定AWS 服務,並決定您是否在交付管道中接收組態項目 (CIs)。如果記錄範圍為 INTERNAL,您將不會在交付管道中收到 CIs。
記錄範圍會決定您是否需支付服務費用
記錄範圍是由連結到組態記錄器的 所設定AWS 服務,並決定範圍內的組態項目 (CIs) 是免費 (INTERNAL) 記錄,還是影響帳單 (PAID) 的成本。
記錄器之間的記錄頻率優先順序
當您同時擁有客戶受管組態記錄器和記錄相同資源類型的記錄範圍為 'PAID' 的服務連結組態記錄器時,具有較高記錄頻率的記錄器優先。例如,如果您的客戶受管記錄器設定為每日記錄,但您啟用AWS的服務使用記錄範圍為 'PAID' 且持續記錄的服務連結記錄器,則會持續記錄受影響的資源類型。
這表示即使您的客戶受管記錄器設定仍顯示「每日記錄」,您將需要為兩個記錄器範圍內的資源類型支付持續記錄的費用。這只會影響兩個記錄器所記錄的資源類型。
注意
無論客戶受管組態記錄器或服務連結組態記錄器所產生的組態項目數量為何,每個組態項目只會向您收取一次費用。
範例範例:記錄頻率優先順序
您已將客戶受管記錄器設定為使用每日記錄頻率記錄 Amazon EC2 執行個體。稍後,您啟用AWS的服務功能會使用記錄範圍為 'PAID' 的服務連結記錄器,以及記錄 Amazon EC2 執行個體的連續記錄。在此案例中:
您的客戶受管記錄器設定仍會顯示「每日記錄」
Amazon EC2 執行個體會持續記錄,並提供其他 CIs,因為記錄範圍為 'PAID' 的服務連結記錄器具有較高的記錄頻率
您需要支付持續記錄 Amazon EC2 執行個體的費用
僅由客戶受管記錄器記錄的其他資源類型將繼續以每日記錄頻率記錄
支援的服務
下列 服務支援服務連結組態記錄器:
| AWS服務 | 服務主體 | 搭配 使用 的優點AWS Config | 進一步了解 |
|---|---|---|---|
| Amazon CloudWatch | observabilityadmin.amazonaws.com,
telemetry-enablement.observabilityadmin.amazonaws.com |
您可以使用 Amazon CloudWatch 可觀測性管理員來探索和了解您AWS組織或帳戶的 CloudWatch 中的遙測組態狀態。 | 如需詳細資訊,請參閱《CloudWatch 使用者指南》中的稽核 CloudWatch 遙測組態。 CloudWatch |
| AWS Security Hub CSPM | securityhub.amazonaws.com |
您可以使用AWS Security Hub CSPM集中管理安全調查結果,並跨AWS帳戶執行安全評估。服務連結記錄器可啟用事件驅動方法,以取得暴露分析涵蓋範圍所需的資源組態項目。 | 如需詳細資訊,請參閱 Security Hub CSPM 使用者指南中的啟用 Security Hub。 |
組態記錄器的偏離偵測
AWS::Config::ConfigurationRecorder 資源類型是組態記錄器的組態項目 (CI),可追蹤組態記錄器狀態的所有變更。您可以使用此 CI 來檢查組態記錄器的狀態是否與先前狀態不同,或已漂移。
例如,此 CI 會追蹤您已啟用AWS Config追蹤的資源類型更新、是否已停止或啟動組態記錄器,或者您是否已刪除或解除安裝組態記錄器。已漂移的組態記錄器會指出您未準確偵測預期資源類型的變更。如果您的組態記錄器已經漂移,這可能會導致誤判為非或誤判為真的合規結果。
AWS::Config::ConfigurationRecorder 資源類型是 的系統資源類型,AWS Config且此資源類型的記錄預設為在所有支援的區域中啟用。AWS::Config::ConfigurationRecorder 資源型態的記錄不會收取額外的費用。
