什麼是 AWS Config？

AWS Config 提供您 AWS 帳戶中 AWS 資源組態的詳細檢視。這包含資源彼此之間的關係和之前的組態方式，所以您可以看到一段時間中組態和關係的變化。

AWS 資源是您可以在其中使用的實體 AWS，例如 Amazon Elastic Compute Cloud (EC2) 執行個體、Amazon Elastic Block Store (EBS) 磁碟區、安全群組或 Amazon Virtual Private Cloud (VPC)。如需支援的完整 AWS 資源清單 AWS Config，請參閱支援的資源類型。

考量事項

AWS 帳戶：你需要一個積極的 AWS 帳戶。如需詳細資訊，請參閱註冊 AWS.
Amazon S3 儲存貯體：您需要 S3 儲存貯體才能接收組態快照和歷史記錄的資料。如需詳細資訊，請參閱《Amazon S3 儲存貯體許可》。
Amazon SNS 主題：當組態快照和歷程記錄發生變更時，您需要 Amazon SNS 才能接收通知。如需詳細資訊，請參閱 Amazon SNS 主題的許可。
IAM 角色：您需要具有存取必要許可的 IAM 角色 AWS Config。如需詳細資訊，請參閱 IAM 角色的許可。
資源類型：您可以決定要 AWS Config 記錄的資源類型。如需詳細資訊，請參閱錄製 AWS 資源。

使用方式 AWS Config

在上執行應用程式時 AWS，通常會使用 AWS 資源，您必須共同建立和管理這些資源。隨著應用程式的需求不斷增加，您需要追蹤資 AWS 源也是如此。 AWS Config 旨在協助您在下列情況下監督應用程式資源：

資源管理

若要練習更恰當地管理資源組態，以及偵測不正確的資源組態，您需要微調資源的可見性，以及如何同時設定這些資源。您可 AWS Config 以使用在建立、修改或刪除資源時通知您，而不必透過輪詢對每個資源進行的呼叫來監視這些變更。

您可以使用 AWS Config 規則來評估 AWS 資源的組態設定。當 AWS Config 偵測到資源違反其中一個規則中的條件時，會將資源 AWS Config 標記為不相容並傳送通知。 AWS Config 在建立、變更或刪除資源時持續評估資源。

稽核與合規性

您可能處理需要頻繁稽核的資料，確保符合內部政策和最佳實務。若要示範合規性，您需要存取資源的歷史組態。此資訊由提供 AWS Config。

組態變更的管理和故障診斷

當您使用多個彼此相依的 AWS 資源時，變更一個資源的組態可能會對相關資源產生意外後果。使用 AWS Config，您可以檢視要修改的資源與其他資源的關係，並評估變更的影響。

您也可以使用 AWS Config 所提供資源的歷史組態對問題進行故障診斷，以及存取問題資源的上次已知正常組態。

安全分析

若要分析潛在的安全弱點，您需要有關資 AWS 源組態的詳細歷史資訊，例如授予使用者的 AWS Identity and Access Management (IAM) 許可，或控制資源存取權的 Amazon EC2 安全群組規則。

您可以隨時使用 AWS Config 檢視在其中記錄的使用者、群組或角色指派 AWS Config 的 IAM 政策。此資訊可協助您判斷在特定時間屬於使用者的許可：例如，您可以檢視使用者 John Doe 是否具有可在 2015 年 1 月 1 日修改 Amazon VPC 設定的許可。

您也可以使 AWS Config 用檢視 EC2 安全群組的組態，包括在特定時間開啟的連接埠規則。此資訊可協助您判斷安全群組是否封鎖傳入特定連接埠的 TCP 流量。

合作夥伴解決方案

AWS 與第三方專家合作進行記錄和分析，以提供使用 AWS Config 輸出的解決方案。如需詳細資訊，請造訪 AWS Config 詳細資訊頁面，網址為AWS Config。

功能

設定時 AWS Config，您可以完成以下操作：

資源管理

指定您要 AWS Config 記錄的資源類型。

設定 Amazon S3 儲存貯體於請求時接收組態快照及組態歷史記錄。
設定 Amazon SNS 傳送組態串流通知。
授予存 AWS Config 取 Amazon S3 儲存貯體和 Amazon SNS 主題所需的許可。

如需詳細資訊，請參閱檢視 AWS 資源組態和歷程記錄和管理 AWS 資源組態與歷程記錄。

規則與一致性套件

指定您要用 AWS Config 來評估已記錄資源類型之符合性資訊的規則。
使用一致性套件或 AWS Config 規則和修正動作集合，這些動作可以在您的單一實體中部署和監視。 AWS 帳戶

如需詳細資訊，請參閱使用 AWS Config 規則與一致性套件評估資源。

彙總工具

使用彙總工具來集中檢視您的資源庫存和合規性。彙總器會將多個區 AWS 域和區域的 AWS Config 組態 AWS 帳戶和合規性資料收集到單一帳戶和區域中。

如需詳細資訊，請參閱《多帳戶多區域資料彙總》。

進階查詢

使用其中一個範例查詢，或參考 AWS 資源的組態結構描述來撰寫您自己的查詢。

如需詳細資訊，請參閱查詢 AWS 資源的目前組態狀態。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

如何 AWS Config 工作