檢視已註冊帳戶上的記 AWS Config 錄器資料 AWS Control Tower AWS Config 中的疑難排解

監視資源變更 AWS Config

AWS Control Tower 可 AWS Config 在所有註冊帳戶上啟用，以便透過偵探控制監控合規、記錄資源變更，以及將資源變更日誌傳遞到日誌存檔帳戶。

如果您的 landing zone 域版本早於 3.0：對於您註冊的帳號，會 AWS Config 記錄帳戶運作所有區域的資源變更。每項變更都會建模為組態項目 (CI)，其中包含資源識別元、區域、記錄每個變更的日期，以及變更是否與已知資源或新發現的資源有關。

如果您的 landing zone 域版本為 3.0 或更新版本：AWS Control Tower 會將全球資源 (例如 IAM 使用者、群組、角色和客戶受管政策) 的記錄限制在您的本地區域。全域資源變更的副本不會儲存在每個區域中。資源記錄的這種限制符合 AWS Config 最佳做法。 AWS Config 文件中提供全域資源的完整清單。

若要深入瞭解 AWS Config，請參閱AWS Config 運作方式。
如需 AWS Config 可支援的資源清單，請參閱支援的資源類型。
要了解如何在 AWS Control Tall 環境中自訂資源追蹤，請參閱標題為 AWS Control Tower 中的自訂 AWS Config 資源追蹤的部落格文章。

AWS Control Tower 會在所有註冊帳戶中設定 AWS Config 交付管道。透過此交付管道，它會將記錄在日誌存檔帳戶 AWS Config 中記錄的所有變更，並將其存放到 Amazon Simple Simple Storage Service 儲存貯體中的資料夾中。

檢視已註冊帳戶上的記 AWS Config 錄器資料

AWS Config 與整合，以 CloudWatch 便您可以在儀表板中檢視 AWS Config CI。如需詳細資訊，請參閱標題為AWS Config 支援 Amazon CloudWatch 指標的部落格文章。

以程式設計方式，若要檢視 AWS Config 資料，您可以使用 AWS CLI，或者您可以利用其他 AWS 工具。

查詢特定資源上的 AWS Config 記錄器資料

您可以使用 AWS CLI 擷取資源最近變更的清單。

資源歷程記錄命令：

aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION

若要進一步了解，請參閱的 API 文件get-config-history。

使用 AWS Config Amazon 視覺化資 QuickSight

您可以視覺化並查詢整個組織 AWS Config 中記錄的資源。如需詳細資訊，請參閱使用 Amazon 雅典娜和亞馬遜將資 AWS Config 料視覺化。 QuickSight

AWS Control Tower AWS Config 中的疑難排解

本節提供 AWS Config 與 AWS Control Tower 搭配使用時可能遇到的一些問題的相關資訊。

AWS Config 成本高

如果您的工作流程包含經常建立、更新或刪除資源的程序，或處理大量資源，則該工作流程可能會產生大量 CI。如果您在非生產科目中執行這些處理，請考慮取消註冊該科目。您可能需要手動停用該帳戶的 AWS Config 記錄器。

注意

取消註冊帳戶後，AWS Control Tower 無法針對該帳戶中的資源強制執行偵探控制或記錄帳戶事件 (例如 AWS Config 活動)。

如需詳細資訊，請參閱取消管理已註冊帳戶。若要瞭解如何停用 AWS Config 記錄器，請參閱管理組態錄製程式。

多次記錄相同的資源

檢查資源是否為全域資源。對於 3.0 版之前的 AWS Control Tower 登陸區域，每個操作區域 AWS Config 可能會記錄某些全球資源一次。 AWS Config 例如，如果在八 AWS Config 個區域上啟用，則每個角色都會記錄八次。

下列資源會針對每個作業中的「區域」記錄一次： AWS Config

AWS::IAM::Group
AWS::IAM::Policy
AWS::IAM::Role
AWS::IAM::User

其他全球資源只會記錄一次。以下是記錄一次資源的一些示例：

AWS::Route53::HostedZone
AWS::Route53::HealthCheck
AWS::ECR::PublicRepository
AWS::GlobalAccelerator::Listener
AWS::GlobalAccelerator::EndpointGroup
AWS::GlobalAccelerator::Accelerator

AWS Config 沒有記錄資源

某些資源與其他資源具有相依性關係。這些關係可能是直接或間接的。您可以在AWS Config 常見問題集中找到已取代間接關係的清單。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

使用記錄 AWS Control Tower 動作 AWS CloudTrail

管理 Config 成本