查看已注册账户的 AWS Config 记录器数据 AWS Config 在 AWS Control Tower 中进行故障排除

使用监控资源变化 AWS Config

AWS C AWS Config ontrol Tower 启用所有注册账户，因此它可以通过侦探控制来监控合规性、记录资源变化并将资源变更日志传送到日志存档账户。

如果您的 landing zone 版本低于 3.0：对于您注册的账户， AWS Config 记录账户运营所在的所有地区的资源的所有更改。每项更改都建模为配置项目 (CI)，其中包含资源标识符、区域、记录每项更改的日期以及更改是与已知资源还是新发现的资源相关等信息。

如果您的着陆区域版本为 3.0 或更高版本：AWS Control Tower 将全球资源（例如 IAM 用户、群组、角色和客户托管策略）的记录仅限于您的主区域。并非每个区域都存储全球资源变更的副本。资源记录的这种限制符合 AWS Config 最佳实践。全球资源的完整列表可在 AWS Config 文档中找到。

要了解更多信息 AWS Config，请参阅AWS Config 工作原理。
有关 AWS Config 可以支持的资源列表，请参阅支持的资源类型。
要了解如何在 AWS Control Tower 环境中自定义资源跟踪，请参阅标题为 “在 AWS Cont rol Tower 中自定义 AWS Config 资源跟踪” 的博客文章。

AWS Control Tower 在所有注册账户中设置了 AWS Config 配送渠道。通过此传送渠道，它会记录日志存档账户 AWS Config 中记录的所有更改，这些更改存储在亚马逊简单存储服务存储桶中的文件夹中。

查看已注册账户的 AWS Config 记录器数据

AWS Config 已与集成， CloudWatch 因此您可以在控制面板中查看 AWS Config CI。有关更多信息，请参阅标题为 “AWS Config 支持 Amazon CloudWatch 指标” 的博客文章。

通过编程方式，要查看 AWS Config 数据，您可以使用 AWS CLI，也可以使用其他 AWS 工具。

查询特定资源上的 AWS Config 记录器数据

您可以使用 C AWS LI 来检索资源的最新更改列表。

资源历史记录命令：

aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION

要了解更多信息，请参阅的 API 文档get-config-history。

使用 Amazon 实现 AWS Config 数据可视化 QuickSight

您可以对整个组织中记录的资源进行 AWS Config 可视化和查询。有关更多信息，请参阅使用亚马逊 Athen QuickSight a 和亚马逊可视化 AWS Config 数据。

AWS Config 在 AWS Control Tower 中进行故障排除

本节提供有关您在使用 AWS Config AWS Control Tower 时可能遇到的一些问题的信息。

AWS Config 成本高

如果您的工作流包括频繁创建、更新或删除资源的流程，或者如果它处理大量资源，则该工作流可能会生成大量 CI。如果您在非生产账户中运行这些流程，请考虑取消注册该账户。您可能需要手动停用该帐户的 AWS Config 录制器。

注意

取消账户注册后，AWS Control Tower 无法对该账户中的资源实施侦探控制或记录账户事件（例如 AWS Config 活动）。

有关更多信息，请参阅取消管理已注册账户。要了解如何停用 AWS Config 录制器，请参阅管理配置记录器。

同一资源会被记录多次

检查该资源是否为全局资源。对于 3.0 版之前的 AWS Control Tower 着陆区， AWS Config 可以为每个运营区域记录一次某些全球资源。 AWS Config 例如，如果 AWS Config 在八个区域上启用，则每个角色将被记录八次。

对于每个运营区域，以下资源 AWS Config 仅记录一次：

AWS::IAM::Group
AWS::IAM::Policy
AWS::IAM::Role
AWS::IAM::User

其他全球资源仅记录一次。以下是一些仅记录一次的资源示例：

AWS::Route53::HostedZone
AWS::Route53::HealthCheck
AWS::ECR::PublicRepository
AWS::GlobalAccelerator::Listener
AWS::GlobalAccelerator::EndpointGroup
AWS::GlobalAccelerator::Accelerator

AWS Config 没有记录资源

某些资源与其他资源存在依赖关系。这些关系可能是直接的，也可以是间接的。您可以在AWS Config 常见问题解答中找到已弃用的间接关系列表。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

使用记录 AWS Control Tower 操作 AWS CloudTrail

管理 Config 成本