本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 監控資源變更 AWS Config
AWS Control Tower 會在所有註冊帳戶 AWS Config 上啟用 ,以便透過偵測控制、記錄資源變更,以及將資源變更日誌交付至日誌封存帳戶,來監控合規性。
如果您的登陸區域版本早於 3.0:對於已註冊的帳戶, 會 AWS Config 記錄帳戶運作的所有區域的所有資源變更。每個變更都會以組態項目 (CI) 建模,其中包含資源識別符、區域、記錄每個變更的日期,以及變更是否與已知資源或新發現的資源相關。
如果您的登陸區域版本是 3.0 或更新版本:AWS Control Tower 只會將 IAM 使用者、群組、角色和客戶受管政策等全球資源的記錄限制在您所在區域。全域資源變更的副本不會存放在每個區域中。此資源記錄限制符合 AWS Config 最佳實務
-
若要進一步了解 AWS Config,請參閱 AWS Config 運作方式。
-
如需 AWS Config 可支援的資源清單,請參閱支援的資源類型。
-
若要了解如何在 AWS Control Tower 環境中自訂資源追蹤,請參閱 AWS Control Tower 中名為自訂 AWS Config 資源追蹤
的部落格文章。
AWS Control Tower 會在所有註冊帳戶中設定 AWS Config 交付管道。透過此交付管道,它會記錄 AWS Config 日誌封存帳戶中記錄的所有變更,這些變更會存放在 Amazon Simple Storage Service 儲存貯體中的資料夾。
檢視已註冊帳戶的 AWS Config 記錄器資料
AWS Config 已與 CloudWatch 整合,因此您可以在儀表板中檢視 AWS Config CIs。如需詳細資訊,請參閱名為 的部落格文章AWS Config 支援 Amazon CloudWatch 指標
若要以程式設計方式檢視 AWS Config 資料,您可以使用 AWS CLI,或利用其他 AWS 工具。
查詢特定資源上的 AWS Config 記錄器資料
您可以使用 AWS CLI 來擷取資源的最新變更清單。
資源歷史記錄命令:
-
aws configservice get-resource-config-history --resource-typeRESOURCE-TYPE--resource-idRESOURCE-ID--regionREGION
若要進一步了解,請參閱 的 API 文件get-config-history。
使用 Amazon QuickSight 視覺化 AWS Config 資料
您可以視覺化和查詢 AWS Config 整個組織中由 記錄的資源。如需詳細資訊,請參閱使用 Amazon Athena 和 Amazon QuickSight 視覺化 AWS Config 資料
在 AWS Control Tower AWS Config 中進行故障診斷
本節提供使用 AWS Config 搭配 AWS Control Tower 時可能遇到的一些問題的相關資訊。
高 AWS Config 成本
如果您的工作流程包含經常建立、更新或刪除資源的程序,或者處理大量資源,該工作流程可能會產生大量的 CIs。如果您在非生產帳戶中執行這些程序,請考慮取消註冊帳戶。您可能需要手動停用該帳戶的 AWS Config 記錄器。
注意
取消註冊帳戶後,AWS Control Tower 就無法針對該帳戶中的資源強制執行偵測性控制或日誌帳戶事件,例如 AWS Config 活動。
如需詳細資訊,請參閱取消管理已註冊的帳戶。若要了解如何停用 AWS Config 記錄器,請參閱管理組態記錄器。
相同的資源會多次記錄
檢查資源是否為全域資源。對於 3.0 版之前的 AWS Control Tower 登陸區域, AWS Config 可以記錄每個 AWS Config 營運區域的特定全域資源一次。例如,如果 AWS Config 在八個區域上啟用 ,則每個角色都會記錄八次。
下列資源會針對 AWS Config 運作中的每個區域記錄一次:
-
AWS::IAM::Group -
AWS::IAM::Policy -
AWS::IAM::Role -
AWS::IAM::User
其他全域資源只會記錄一次。以下是記錄一次的資源範例:
-
AWS::Route53::HostedZone -
AWS::Route53::HealthCheck -
AWS::ECR::PublicRepository -
AWS::GlobalAccelerator::Listener -
AWS::GlobalAccelerator::EndpointGroup -
AWS::GlobalAccelerator::Accelerator
AWS Config 未記錄資源
某些資源與其他資源有相依關係。這些關係可能是直接或間接的。您可以在AWS Config 常見問答集中找到已棄用間接關係的清單。
