錄製 AWS 資源

AWS Config 持續偵測何時建立、變更或刪除支援的資源類型。 AWS Config 將這些事件記錄為組態項目 (CI)。您可以自訂 AWS Config 來記錄所有支援資源類型的組態變更，或記錄僅與您相關之資源類型的組態變更。如需 AWS Config 可記錄的受支援資源類型清單，請參閱支援的資源類型。

主題

• 考量事項
• 區域資源和全球資源有何不同？
• AWS Config 規則和全域資源類型
• 非記錄資源
• 在 AWS Config 主控台中錄製資源
• 使用 AWS CLI 記錄資源
• 記錄頻率
• 從記錄中排除資源
• 停止記錄資源

考量事項

大量的 AWS Config 評估

與後續月份相比，您可能會注意到在使用 AWS Config 錄製的初始月份期間，帳戶中的活動有所增加。在初始啟動安裝程序期間， AWS Config 會對 AWS Config 您帳戶中選取要記錄的所有資源執行評估。

如果您正在執行暫時工作負載，您可能會看到活動增加， AWS Config 因為它會記錄與建立和刪除這些暫時資源相關聯的組態變更。暫時性工作負載是暫時使用因需要而載入和執行的運算資源。範例包括 Amazon Elastic Compute Cloud (Amazon EC2) Spot 執行個體、Amazon EMR 作業和 AWS Auto Scaling。如果您想要避免因執行臨時工作負載而增加的活動，您可以設定組態錄製程式以將這些資源類型排除在記錄之外，或在關 AWS Config 閉的情況下在單獨的帳戶中執行這些類型的工作負載，以避免增加組態記錄和規則評估。

區域可用性

在指定 AWS Config 要追蹤的資源型態之前，請先勾選「依區域」的可用性「資源涵蓋範圍」，以查看您設定的「 AWS 區域」中是否支援資源型態 AWS Config。如果至少一個「區域」支援某個資源類型，則您可以 AWS Config 在所支援的所有「區域」中啟用該資源類型的記錄 AWS Config，即使您設定的「 AWS 區域」不支援指定的資源類型也一樣 AWS Config。

區域資源和全球資源有何不同？

區域資源

區域資源與區域繫結，且僅能在該區域中使用。您在指定的中創建它們 AWS 區域，然後它們存在於該區域中。若要查看這些資源或與其互動，您必須將操作導向至該區域。例如，若要使用建立 Amazon EC2 執行個體 AWS Management Console，您可以選擇要在 AWS 區域其中建立執行個體的執行個體。如果使用 AWS Command Line Interface (AWS CLI) 建立例證，則包括--region參數。每個 AWS SDK 都有自己的等效機制來指定操作使用的區域。

使用區域資源的原因有幾個。其中一個原因是要確保資源及您用來存取這些資源的服務端點盡可能靠近客戶。這可將延遲降至最低來提高效能。另一個原因是要提供隔離界限。這可讓您在多個區域中建立獨立的資源副本，以分發負載並改善可擴展性。同時，其可將資源彼此隔離以提高可用性。

如果您在控制台或 AWS CLI 命令 AWS 區域 中指定了不同的資源，則您將無法再查看或與之前「區域」中可以看到的資源進行交互。

當您查看區域資源的《Amazon Resource Name (ARN)》時，會將包含資源的區域指定為 ARN 中的第四個欄位。例如，Amazon EC2 執行個體是區域資源。以下是 us-east-1 區域中存在之 Amazon EC2 執行個體的 ARN 範例。

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee

全域資源

某些 AWS 服務資源是全球資源，這意味著您可以從任何地方使用資源。您不會在全域服務的主控台中指定 AWS 區域 。若要存取全域資源，請勿在使用服務 AWS CLI 和 AWS SDK 作業時指定--region參數。

全域資源支援一次只能存在一個特定資源執行個體此一關鍵情況。在這些情境下，在不同區域副本之間進行複寫或同步處理並不足夠。必須存取單一全域端點 (但可能會增加延遲) 是可接受的考量，以確保資源的消費者可立即看到任何變更。

例如，Amazon Aurora 全域叢集 (AWS::RDS::GlobalCluster) 是全域資源，因此不會與區域繫結。這表示您可以建立全域叢集，而不需仰賴區域端點。好處是，雖然 Amazon Relational Database Service (Amazon RDS) 本身是依區域組織的，但全域叢集來源的特定區域不會影響全域叢集。其會顯示為跨所有區域的單一連續全域叢集。

全域資源的《Amazon Resource Name (ARN)》不包含區域。第四個欄位為空白，例如以下全域叢集的 ARN 範例中。

arn:aws:rds::123456789012:global-cluster:test-global-cluster

重要

在 2022 年 2 月 AWS Config 之後登入的全域資源類型，只會記錄在服務的商業區域和分割區的 AWS GovCloud (美國西部)。 GovCloud 您只能在其本地區域和 (美國西部) 檢視這些新全域資源類型的組態項目 AWS GovCloud (CI)。

在 2022 年 2 月之前上線的全域資源類型 (AWS::IAM::Group、AWS::IAM::Policy、AWS::IAM::Role 和 AWS::IAM::User) 保持不變。您可以在 2022 年 2 月之前獲 AWS Config 得支援的所有區域啟用這些全球 IAM 資源的記錄功能。這些全球 IAM 資源無法在 2022 年 2 月 AWS Config 之後支援的區域中記錄。

全域資源類型 | IAM 資源

下列 IAM 資源類型為全域記錄：IAM 使用者、群組、角色和客戶管理政策。這些資源類型可以 AWS Config 在 2022 年 2 月之前提供的區域中記錄。 AWS Config 如需這些區域的清單，請參閱錄製 AWS 資源 | 全域資源。

若要避免重複的設定項目 (CI)，您應該考慮只在其中一個支援的區域中記錄全域 IAM 資源類型一次。這也可協助您避免不必要的評估和 API 限流。

全域資源類型 | 僅限主要區域

以下服務的全球資源僅 AWS Config 在全球資源類型的本地區域中記錄：Amazon 彈性容器註冊表公共 AWS Global Accelerator，Amazon 路線 53 CloudFront，Amazon 和 AWS WAF. 對於這些全域資源，資源類型的相同執行個體可以在多個區 AWS 域中使用，但組態項目 (CI) 只會記錄在商業分割區的本位目錄區域，或記錄在分割區的 AWS GovCloud (美國西部)。 AWS GovCloud (US)

全域資源類型的主要區域
AWS 服務	資源類型值	主要區域
Amazon Elastic Container Registry Public	AWS::ECR::PublicRepository	美國東部 (維吉尼亞北部) 區域
AWS Global Accelerator	AWS::GlobalAccelerator::Listener	美國西部 (奧勒岡) 區域
	AWS::GlobalAccelerator::EndpointGroup	美國西部 (奧勒岡) 區域
	AWS::GlobalAccelerator::Accelerator	美國西部 (奧勒岡) 區域
Amazon Route 53	AWS::Route53::HostedZone	美國東部 (維吉尼亞北部) 區域
	AWS::Route53::HealthCheck	美國東部 (維吉尼亞北部) 區域
Amazon CloudFront	AWS::CloudFront::Distribution	美國東部 (維吉尼亞北部) 區域
AWS WAF	AWS::WAFv2::WebACL	美國東部 (維吉尼亞北部) 區域

全域資源類型 | Aurora 全域叢集

AWS::RDS::GlobalCluster是在啟用組態記錄程式的所有受支援 AWS Config 區域中記錄的全域資源。此全域資源類型是唯一的，因為如果您在一個區域中啟用此資源的記錄，則 AWS Config 會在所有已啟用的區域中記錄此資源類型的組態項目 (CI)。

如果您不想AWS::RDS::GlobalCluster在所有已啟用的區域中進行錄製，請針對 AWS Config 主控台使用下列其中一種錄製策略：

• 使用可自定義的覆蓋記錄所有資源類型，選擇 GlobalCluster「AWS RDS」，然後選擇覆蓋「從錄製中排除」

• 記錄特定資源類型。

如果您不想要在所有已啟用的區域中記錄 AWS::RDS::GlobalCluster，請針對 API/CLI 使用下列一種記錄策略：

• 記錄所有目前和未來的資源類型 (包括排除項目) (EXCLUSION_BY_RESOURCE_TYPES)

• 記錄特定資源類型 (INCLUSION_BY_RESOURCE_TYPES)。

AWS Config 規則和全域資源類型

2022 年 2 月之前登入的全球 IAM 資源類型 (AWS::IAM::Group、AWS::IAM::PolicyAWS::IAM::Role、和AWS::IAM::User) 只能在 2022 年 2 月之前提供的區域 AWS Config 中 AWS Config 記錄。這些全球 IAM 資源類型無法在 2022 年 2 月 AWS Config 之後支援的區域中記錄。如需這些區域的清單，請參閱錄製 AWS 資源 | 全域資源。

如果您至少在一個區域中記錄全域 IAM 資源類型，則針對全域 IAM 資源類型報告合規的週期性規則將會在新增週期性規則的所有區域執行評估，即使您尚未在新增週期性規則的區域中啟用全域 IAM 資源類型的記錄也是如此。

報告 2022 年 2 月前登錄的全球資源合規性的最佳做法

為避免不必要的評估，您應該只將具有這些全域資源範圍的 AWS Config 規則和一致性套件部署到其中一個支援的區域。如需哪些區域支援受管理規則的清單，請參閱依區域可用性區域排列的 AWS Config 受管規則清單。這適用於 AWS Config 規則、組織 AWS Config 規則，以及由其他 AWS 服務建立的規則，例如 AWS Security Hub 和 AWS Control Tower。

如果未記錄在 2022 年 2 月之前上線的全域資源類型，建議您不要啟用下列定期規則，以避免不必要的評估：

• access-keys-rotated

• account-part-of-organizations

• iam-password-policy

• iam-policy-in-use

• iam-root-access-key-檢查

• iam-user-mfa-enabled

• iam-user-unused-credentials-檢查

• mfa-enabled-for-iam-控制台訪問

• root-account-hardware-mfa啟用

• root-account-mfa-enabled

在 2022 年 2 月之後上線的全球資源報告合規性的最佳做法

在 2022 年 2 月之後登入 AWS Config 錄製的全域資源類型，只會記錄在服務的主要區域中，以及分割區的 AWS GovCloud (美國西部)。 AWS GovCloud (US) 您應該將具有這些全域資源範圍的 AWS Config 規則和一致性套件部署到資源類型的本位目錄「地區」。如需詳細資訊，請參閱全域資源類型的本地區域。

非記錄資源

如果未記錄資源，則只會 AWS Config 擷取該資源的建立和刪除，而不會擷取其他詳細資訊，而不會對您付出任何費用。建立或刪除未記錄的資源時，會 AWS Config 傳送通知，並在資源詳細資訊頁面上顯示事件。未記錄資源的詳細資訊頁面針對大多數的組態詳細資訊都僅會有 null 值，並且不會提供關係和組態變更的相關資訊。

注意

如果資源已選取或先前已選取為要在組態記錄器中記錄的資源，則 AWS::IAM::User、AWS::IAM::Policy、 AWS::IAM::Group、AWS::IAM::Role 資源類型只會擷取建立 (ResourceNotRecorded) 和刪除 (ResourceDeletedNotRecorded) 狀態。

注意

ResourceNotRecorded和ResourceDeletedNotRecorded不遵循資源類型的典型記錄時間的組態項目 (CI)。這些資源類型只會在組態記錄程式的週期性審核處理期間進行記錄，其頻率低於其他資源類型的頻率。

為已記錄資源 AWS Config 提供的關係資訊不受限制，因為缺少未記錄資源的資料。若記錄資源與未記錄資源有關，則該關係會在記錄資源的詳細資訊頁面上提供。