本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用組態記錄器
組態記錄器會將範圍內資源類型的組態變更儲存為組態項目 CIs)。
組態記錄器有兩種類型。
| 類型 | Description |
|---|---|
| 客戶受管組態記錄器 | 您管理的組態記錄器。範圍內的資源類型由您設定。根據預設,客戶受管組態記錄器會在 AWS Config 執行 AWS 區域 的 中記錄所有支援的資源。 |
| 服務連結組態記錄器 | 連結至特定 的組態記錄器 AWS 服務。範圍內的資源類型是由連結的服務所設定。 |
主題
客戶受管組態記錄器的考量
每個區域每個帳戶一個客戶受管組態記錄器
每個 只能有一個客戶受管組態記錄器 AWS 帳戶 AWS 區域。
預設為記錄所有支援的資源類型,不包括全域 IAM 資源類型
客戶受管組態記錄器的預設值是記錄所有支援的資源類型,不包括下列全域 IAM 資源類型:AWS::IAM::Group、AWS::IAM::Role、 AWS::IAM::Policy和 AWS::IAM::User 您可以指定要包含或排除在記錄中的資源類型。
如需詳細資訊,請參閱使用 錄製 AWS 資源 AWS Config。
使用客戶受管組態記錄器需支付服務費用
使用客戶受管組態記錄器 AWS Config 開始記錄組態時,需支付使用費。
如需定價資訊,請參閱 AWS Config
定價
AWS Systems Manager 使用 在整個組織中建立客戶受管組態記錄器
您可以使用 AWS Systems Manager 快速設定,跨多個組織單位 (OUs) 建立客戶受管組態記錄器, AWS 區域 並使用 AWS 最佳實務。
如需詳細資訊,請參閱 Systems Manager 使用者指南中的使用快速設定建立 AWS Config 組態記錄器。
重要
政策和合規結果
在 中管理的 IAM 政策和其他政策可能會影響 是否 AWS Config 具有記錄 資源組態變更的許可。 AWS Organizations此外,規則會直接評估資源的組態,而且在執行評估時,規則不會考慮這些政策。確定有效政策符合您打算使用的方式 AWS Config。
如果組態記錄器關閉,已刪除資源的過時評估結果可能會持續存在
如果客戶受管組態記錄器已關閉,則會停用 AWS Config Config 追蹤您指定資源組態變更的功能,包括其刪除。這表示您可能會看到在客戶受管組態記錄器關閉時刪除之資源的過時評估結果,因為如果未開啟記錄, AWS Config 則無法擷取刪除事件。
服務連結組態記錄器的考量事項
必須使用 AWS Config 服務連結角色
AWS Config 服務連結組態記錄器需要 服務連結角色。
如需詳細資訊,請參閱使用 AWS Config的服務連結角色。
服務連結組態記錄器一律記錄
服務連結記錄器已修正。您無法直接變更服務連結記錄器中的設定。若要修改記錄器設定,例如啟動、停止或更新記錄器,請透過使用服務連結記錄器的相關聯 AWS 服務進行這些變更。
如需詳細資訊,請參閱刪除組態記錄器。
記錄範圍會決定您是否收到組態項目
錄製範圍是由連結到組態記錄器的 所設定 AWS 服務 ,並決定您是否在交付管道中接收組態項目 (CIs)。如果記錄範圍是 INTERNAL,您將不會在交付管道中收到 CIs。
記錄範圍會決定是否向您收取服務費用
記錄範圍是由連結到組態記錄器的 所設定 AWS 服務 ,並決定範圍內的組態項目 (CIs) 是免費 (INTERNAL) 記錄還是影響帳單 (PAID) 的成本。
記錄器之間的記錄頻率優先順序
當您同時擁有客戶受管組態記錄器和記錄相同資源類型的記錄範圍為 'PAID' 的服務連結組態記錄器時,具有較高記錄頻率的記錄器優先。例如,如果您的客戶受管記錄器設定為每日記錄,但您啟用 AWS 的服務使用記錄範圍為 'PAID' 且持續記錄的服務連結記錄器,則會持續記錄受影響的資源類型。
這表示即使您的客戶受管記錄器設定仍顯示「每日記錄」,您仍需支付兩個記錄器範圍內資源類型的持續記錄費用。這只會影響兩個記錄器所記錄的資源類型。
注意
無論客戶受管組態記錄器或服務連結組態記錄器所產生的組態項目數量為何,每個組態項目只會向您收取一次費用。
範例:記錄頻率優先順序
您已設定客戶受管記錄器,以每日記錄頻率記錄 Amazon EC2 執行個體。稍後,您啟用 AWS 的服務功能會使用記錄範圍為 'PAID' 的服務連結記錄器,以及記錄 Amazon EC2 執行個體的連續記錄。在此案例中:
您的客戶受管記錄器設定仍會顯示「每日記錄」
Amazon EC2 執行個體會持續記錄,並提供其他 CIs,因為記錄範圍為 'PAID' 的服務連結記錄器具有較高的記錄頻率
您將需要支付持續記錄 Amazon EC2 執行個體的費用
僅由客戶受管記錄器記錄的其他資源類型將繼續以每日記錄頻率記錄
支援的服務
下列服務支援服務連結組態記錄器:
| AWS 服務 | 服務主體 | 搭配 使用 的優點 AWS Config | 進一步了解 |
|---|---|---|---|
| Amazon CloudWatch | observabilityadmin.amazonaws.com,
telemetry-enablement.observabilityadmin.amazonaws.com |
您可以使用 Amazon CloudWatch 可觀測性管理員來探索和了解您 AWS 組織或帳戶的 CloudWatch 中的遙測組態狀態。 | 如需詳細資訊,請參閱《CloudWatch 使用者指南》中的稽核 CloudWatch 遙測組態。 CloudWatch |
| AWS Security Hub | securityhub.amazonaws.com |
您可以使用 AWS Security Hub 集中管理安全調查結果,並跨 AWS 帳戶執行安全評估。服務連結記錄器可啟用事件驅動方法,以取得暴露分析涵蓋範圍所需的資源組態項目。 | 如需詳細資訊,請參閱 Security Hub 使用者指南中的啟用 Security Hub。 |
組態記錄器的偏離偵測
AWS::Config::ConfigurationRecorder 資源類型是組態記錄器的組態項目 (CI),可追蹤組態記錄器狀態的所有變更。您可以使用此 CI 來檢查組態記錄器的狀態是否與先前狀態不同,或已漂移。
例如,此 CI 會追蹤您已啟用 AWS Config 追蹤的資源類型更新、是否已停止或啟動組態記錄器,或者您是否已刪除或解除安裝組態記錄器。已漂移的組態記錄器會指出您未準確偵測預期資源類型的變更。如果您的組態記錄器已經漂移,這可能會導致誤判為非或誤判為真的合規結果。
AWS::Config::ConfigurationRecorder 資源類型是 的系統資源類型, AWS Config 且此資源類型的記錄預設為在所有支援的區域中啟用。AWS::Config::ConfigurationRecorder 資源型態的記錄不會收取額外的費用。
