本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 管理資源組態 AWS Config
AWS Config 提供與您 AWS 帳戶相關聯資源的詳細檢視,包括它們的設定方式、它們彼此的關係,以及組態及其關係如何隨時間變化。如需詳細資訊,請參閱《*[AWS Config 開發人員指南](https://docs.aws.amazon.com/config/latest/developerguide/)*》。
AWS Config AWS Control Tower 佈建的資源會自動標記 `aws-control-tower`和 值`managed-by-control-tower`。
如需如何在 AWS Control Tower 中 AWS Config 監控和記錄資源及其如何向您收取費用的詳細資訊,請參閱 [使用 監控資源變更 AWS Config](monitoring-with-config.md)。
AWS Control Tower 使用 AWS Config 規則 實作偵測性控制。如需詳細資訊,請參閱[關於 AWS Control Tower 中的控制項](https://docs.aws.amazon.com/controltower/latest/userguide/controls.html)。
## Control Tower 登陸區域 4.0 中的 AWS Config 整合
### 服務連結組態彙總工具 (SLCA)
AWS Control Tower 現在會在登陸區域 4.0\+ 實作服務連結組態彙總工具 (SLCA)。此變更可大幅改善 AWS Config 資料在組織中的彙總和管理方式。
### 重要變更
**新的服務連結組態彙整工具部署**
+ 服務連結組態彙整工具會部署在您指定的 AWS Config 整合帳戶中。
+ 對於現有客戶,這將是您的稽核帳戶
+ 對於新客戶,這將是資訊清單`config.accountId`欄位中指定的帳戶
**委派的管理員**
+ AWS Config 彙總工具帳戶會成為 AWS Config 的委派管理員
+ AWS Control Tower 會自動設定委派的管理員設定
+ 這可讓您在整個組織中集中管理 AWS Config
**從舊版彙總工具遷移**
在升級至登陸區域 4.0 期間:
+ 管理帳戶中的組織彙整工具將被移除。
+ 稽核帳戶中的帳戶彙整工具將被移除。
+ 這些會由 AWS Config 整合彙整工具帳戶中的新服務連結 Config 彙整工具取代。
### 增強型資料彙總
服務連結的 Config 彙總工具可改善 Config 資料彙總的功能:
+ 可以從組織中的任何 AWS Config 記錄器彙總資料
+ 包含來自非 Control Tower 管理之帳戶的資料
+ 提供整個組織的組態項目完整檢視
+ 支援增強型資料周邊控制
### 重要考量
**委派的管理員組態**
+ AWS Control Tower 將使用資訊清單中指定的帳戶進行 AWS Config 整合
+ 此帳戶將自動設定為委派管理員
+ 此組態不需要客戶採取其他動作
+ 對於現有客戶,先前的安全角色整合帳戶 (稽核帳戶) 將在登陸區域 4.0 升級期間設定為 AWS Config 中央彙整工具帳戶
**資料彙總範圍**
+ 服務連結組態彙總工具可以從下列位置彙總組態資料:
+ Control Tower 受管帳戶
+ 非控制塔受管帳戶
+ 組織中具有作用中 Config 記錄器的任何帳戶
**存取控制**
+ 透過 IAM 政策管理對彙總資料的存取
+ AWS Config 中央彙總工具帳戶可集中存取所有彙總資料
+ 成員帳戶維護其個別 AWS Config 記錄器
### 最佳實務
**Config Central 彙整工具帳戶選擇**
+ 選擇專用於安全和合規監控的帳戶
+ 確保有適當的存取控制
+ 考慮使用現有的稽核或安全帳戶
**資料管理**
+ 定期檢閱彙總的組態資料
+ 實作適當的保留政策
+ 跨帳戶監控 AWS Config 記錄器狀態
### 遷移影響
升級到登陸區域 4.0 時:
**遷移之前**
+ 記錄現有的 AWS Config 規則和彙總工具
+ 檢閱目前的 AWS Config 資料存取模式
+ 規劃任何必要的 IAM 政策更新
**在遷移期間**
+ 舊版 AWS Config 彙總工具會自動移除
+ 將部署服務連結組態彙總工具
+ 將設定委派管理員
**遷移後**
+ 驗證服務連結組態彙整工具是否正常運作
+ 從成員帳戶確認資料彙總
+ 視需要更新監控和報告工具