本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 監控資源變更 AWS Config
<a name="monitoring-with-config"></a>

AWS Control Tower 會在所有註冊帳戶 AWS Config 上啟用 ，以便透過偵測控制、記錄資源變更，以及將資源變更日誌交付至日誌封存帳戶，來監控合規性。

**如果您的登陸區域版本早於 3.0**：對於已註冊的帳戶， 會針對帳戶運作的所有區域 AWS Config 記錄資源的所有變更。每個變更都會建模為組態項目 (CI)，其中包含資源識別符、區域、記錄每個變更的日期，以及變更是否與已知資源或新發現的資源相關。

**如果您的登陸區域版本是 3.0 或更新版本**：AWS Control Tower 只會將 IAM 使用者、群組、角色和客戶受管政策等全球資源的記錄限制在您所在區域。全域資源變更的副本不會儲存在每個區域中。此資源記錄限制符合 AWS Config [最佳實務](https://aws.amazon.com//blogs/mt/aws-config-best-practices/)。[全球資源的完整清單](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html)可在 AWS Config 文件中取得。
+ 若要進一步了解 AWS Config，請參閱 [ 如何 AWS Config 運作](https://docs.aws.amazon.com//config/latest/developerguide/how-does-config-work.html)。
+ 如需 AWS Config 可支援的資源清單，請參閱[支援的資源類型](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html)。
+ 若要了解如何在 AWS Control Tower 環境中自訂資源追蹤，請參閱名為在 [AWS Control Tower 中自訂 AWS Config 資源追蹤](https://aws.amazon.com/blogs//mt/customize-aws-config-resource-tracking-in-aws-control-tower-environment)的部落格文章。

AWS Control Tower 會在所有註冊帳戶中設定 AWS Config 交付管道。透過此交付管道，它會記錄 AWS Config 日誌封存帳戶中 記錄的所有變更，這些變更會存放在 Amazon Simple Storage Service 儲存貯體中的資料夾。

# 在 AWS Control Tower 中管理 AWS Config 成本
<a name="config-costs"></a>

本節說明 如何 AWS Config 記錄 AWS Control Tower 帳戶中資源的變更，並向您收費。當您使用 AWS Control Tower 時 AWS Config，此資訊可協助您了解如何管理相關的成本。AWS Control Tower 無需額外費用。

**注意**  
 **如果您的登陸區域版本為 3.0 或更新版本**：AWS Control Tower 只會將 IAM 使用者、群組、角色和客戶受管政策等全球資源 AWS Config 的記錄限制在您所在區域。因此，本節中的部分資訊可能不適用於您的登陸區域。

AWS Config 旨在將帳戶運作的每個區域中每個資源的變更記錄為組態項目 (CI)。 會針對其產生的每個組態項目向您 AWS Config 收費。

**如何 AWS Config 運作**

AWS Config 會分別記錄每個區域中的資源。有些全域資源，例如 IAM 角色，每個區域都會記錄一次。例如，如果您在五個區域中運作的註冊帳戶中建立新的 IAM 角色，則 AWS Config 會產生五個 CIs，每個區域一個。其他全域資源，例如 Route 53 託管區域，在所有區域中只會記錄一次。例如，如果您在已註冊帳戶中建立新的 Route 53 託管區域， AWS Config 無論為該帳戶選取多少區域， 都會產生一個 CI。如需可協助您區分這些資源類型的清單，請參閱 [系統會多次記錄相同的資源](monitoring-with-config.md#duplicate-configuration-items)。

**注意**  
當 AWS Control Tower 使用 時 AWS Config，區域可能由 AWS Control Tower 管理，或不受管理，如果帳戶在該區域中操作，則 AWS Config 仍會記錄變更。

**AWS Config 偵測資源中的兩種關係**

AWS Config 區分資源之間的*直接*和*間接*關係。如果在另一個資源的**描述** API 呼叫中傳回資源，這些資源會記錄為直接關係。當您變更與其他資源直接關係中的資源時， AWS Config 不會為這兩個資源建立 CI。

例如，如果您建立 Amazon EC2 執行個體，且 API 要求您建立網路介面， AWS Config 請考慮讓 Amazon EC2 執行個體與網路介面有直接關係。因此， 只會 AWS Config 產生一個 CI。

AWS Config 會針對屬於*間接*關係的資源關係記錄個別變更。例如，如果您建立安全群組並新增屬於安全群組的相關聯 Amazon EC2 執行個體， AWS Config 會產生兩個 CIs。

如需直接和間接關係的詳細資訊，請參閱[什麼是與資源相關的直接和間接關係？](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-0)

您可以在 AWS Config 文件中找到[資源關係的清單](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html)。

## 檢視已註冊帳戶的 AWS Config 記錄器資料
<a name="querying-config"></a>

AWS Config 已與 CloudWatch 整合，因此您可以在儀表板中檢視 AWS Config CIs。如需詳細資訊，請參閱名為 的部落格文章[AWS Config 支援 Amazon CloudWatch 指標](https://aws.amazon.com/about-aws/whats-new/2022/05/aws-config-supports-amazon-cloudwatch-metrics)。

若要以程式設計方式檢視 AWS Config 資料，您可以使用 AWS CLI，也可以使用其他 AWS 工具。

### 查詢特定資源上的 AWS Config 記錄器資料
<a name="querying-resources-using-the-cli"></a>

您可以使用 AWS CLI 來擷取資源的最新變更清單。

**資源歷史記錄命令：**
+ `aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION`

若要進一步了解，請參閱 [的 API 文件`get-config-history`](https://docs.aws.amazon.com//cli/latest/reference/configservice/get-resource-config-history.html)。

### 使用 Quick 視覺化 AWS Config 資料
<a name="visualize-config-data-with-quicksight"></a>

您可以視覺化和查詢 AWS Config 整個組織中由 記錄的資源。如需詳細資訊，請參閱 [Config Resource Compliance Dashboard](https://catalog.workshops.aws/awscid/en-US/dashboards/additional/config-resource-compliance-dashboard) 和[使用 Amazon Athena 和 Quick 視覺化 AWS Config 資料](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/)。

## 在 AWS Control Tower AWS Config 中進行故障診斷
<a name="troubleshooting-config"></a>

本節提供使用 AWS Config 搭配 AWS Control Tower 時可能遇到的一些問題的相關資訊。

### 高 AWS Config 成本
<a name="high-config-costs"></a>

如果您的工作流程包含經常建立、更新或刪除資源的程序，或是處理大量資源，該工作流程可能會產生大量 CIs。如果您在非生產帳戶中執行這些程序，請考慮取消註冊帳戶。您可能需要手動停用該帳戶的 AWS Config 記錄器。

**注意**  
取消註冊帳戶後，AWS Control Tower 就無法針對該帳戶中的資源強制執行偵測性控制或日誌帳戶事件，例如 AWS Config 活動。

如需詳細資訊，請參閱[取消管理已註冊的帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/unmanage-account.html)。若要了解如何停用 AWS Config 記錄器，請參閱[管理組態記錄器](https://docs.aws.amazon.com//config/latest/developerguide/stop-start-recorder.html)。

### 系統會多次記錄相同的資源
<a name="duplicate-configuration-items"></a>

檢查資源是否為[全域資源](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html)。對於 3.0 版之前的 AWS Control Tower 登陸區域， AWS Config 可以記錄操作中每個區域的特定全域資源一次。 AWS Config 例如，如果 AWS Config 在八個區域啟用 ，則會記錄每個角色八次。

**下列資源會針對 AWS Config 運作中的每個區域記錄一次：**
+ `AWS::IAM::Group` 
+ `AWS::IAM::Policy` 
+ `AWS::IAM::Role` 
+  `AWS::IAM::User`

**其他全域資源只會記錄一次。以下是記錄一次的資源範例：**
+ `AWS::Route53::HostedZone`
+ `AWS::Route53::HealthCheck`
+ `AWS::ECR::PublicRepository`
+ `AWS::GlobalAccelerator::Listener`
+ `AWS::GlobalAccelerator::EndpointGroup`
+ `AWS::GlobalAccelerator::Accelerator`

### AWS Config 未記錄資源
<a name="resource-not-recorded"></a>

某些資源與其他資源具有相依性關係。這些關係可能是*直接或間接*的**。您可以在[AWS Config 常見問答集中找到](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-2)已棄用間接關係的清單。