本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 錄製 AWS 資源 AWS Config
<a name="select-resources"></a>

AWS Config 會持續偵測支援的資源類型何時建立、變更或刪除。 會將這些事件 AWS Config 記錄為組態項目 CIs)。

您可以自訂 AWS Config 來記錄所有支援資源類型的組態變更，或僅記錄與您相關的支援資源類型。如需 AWS Config 可記錄的支援資源類型清單，請參閱 [支援的資源類型 AWS Config](resource-config-reference.md)。

**Topics**
+ [考量事項](#select-resources-considerations)
+ [區域和全球資源](#select-resources-all)
+ [AWS Config 規則和全域資源類型](#select-resources-rules-and-global)
+ [記錄頻率](#select-resources-recording-frequency)
+ [未記錄的資源](#select-resources-non-recorded)
+ [錄製資源 （主控台）](select-resources-console.md)
+ [錄製資源 (AWS CLI)](select-resources-cli.md)
+ [排除資源](select-resources-excluding.md)
+ [停止錄製](select-resources-stopping-recording.md)

## 考量事項
<a name="select-resources-considerations"></a>

** 大量 AWS Config 評估**

與後續月份相比，使用 AWS Config 的初始月份記錄期間，您可能會注意到帳戶中的活動增加。在初始引導程序期間， 會對您帳戶中已選取要 AWS Config 記錄的所有資源 AWS Config 執行評估。

如果您執行暫時性工作負載，您可能會看到 的活動增加， AWS Config 因為它會記錄與建立和刪除這些臨時資源相關的組態變更。*暫時性工作負載*是暫時使用因需要而載入和執行的運算資源。範例包括 Amazon Elastic Compute Cloud (Amazon EC2) Spot 執行個體、Amazon EMR 作業和 AWS Auto Scaling。

如果您想要避免增加執行暫時性工作負載的活動，您可以設定客戶受管組態記錄器來排除這些資源類型，或在 AWS Config 關閉的個別帳戶中執行這些類型的工作負載，以避免增加組態記錄和規則評估。

**區域可用性**

在指定 AWS Config 要追蹤的資源類型之前，請檢查[依區域可用性列出的資源涵蓋](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html)範圍，以查看您設定 AWS 的區域是否支援該資源類型 AWS Config。

如果至少一個 AWS Config 區域中支援 資源類型，您可以在 支援的所有區域中啟用該資源類型的記錄 AWS Config，即使您設定 AWS 的區域不支援指定的資源類型 AWS Config。

## 區域資源和全球資源有何不同？
<a name="select-resources-all"></a>

**區域資源**  
*區域資源*與區域繫結，且僅能在該區域中使用。您可以在指定的 中建立它們 AWS 區域，然後它們存在於該區域中。若要查看這些資源或與其互動，您必須將操作導向至該區域。例如，若要使用 建立 Amazon EC2 執行個體 AWS 管理主控台，[您可以選擇 AWS 區域](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html)要在其中建立執行個體的 。如果您使用 AWS Command Line Interface (AWS CLI) 來建立執行個體，則需包含 `--region` 參數。每個 AWS SDKs 都有自己的同等機制來指定操作使用的 區域。  
使用區域資源的原因有幾個。其中一個原因是要確保資源及您用來存取這些資源的服務端點盡可能靠近客戶。這可將延遲降至最低來提高效能。另一個原因是要提供隔離界限。這可讓您在多個區域中建立獨立的資源副本，以分發負載並改善可擴展性。同時，其可將資源彼此隔離以提高可用性。  
如果您在 AWS 區域 主控台或 AWS CLI 命令中指定不同的 ，則您無法再看到或與您在上一個區域中可以看到的資源互動。  
當您查看區域資源的《[Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)》時，會將包含資源的區域指定為 ARN 中的第四個欄位。例如，Amazon EC2 執行個體是區域資源。以下是 `us-east-1` 區域中存在之 Amazon EC2 執行個體的 ARN 範例。  

```
arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
```

**全域資源**  
有些 AWS 服務資源是*全域資源*，這表示您可以從***任何地方***使用該資源。您不會在全域服務的主控台中指定 AWS 區域 。若要存取全域資源，在使用服務的 AWS CLI 和 AWS SDK 操作時，您不會指定 `--region` 參數。  
全域資源支援一次只能存在一個特定資源執行個體此一關鍵情況。在這些情境下，在不同區域副本之間進行複寫或同步處理並不足夠。必須存取單一全域端點 (但可能會增加延遲) 是可接受的考量，以確保資源的消費者可立即看到任何變更。  
例如，Amazon Aurora 全域叢集 (`AWS::RDS::GlobalCluster`) 是全域資源，因此不會與區域繫結。這表示您可以建立全域叢集，而不需仰賴區域端點。好處是，雖然 Amazon Relational Database Service (Amazon RDS) 本身是依區域組織的，但全域叢集來源的特定區域不會影響全域叢集。其會顯示為跨所有區域的單一連續全域叢集。  
全域資源的《[Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)》不包含區域。第四個欄位為空白，例如以下全域叢集的 ARN 範例中。  

```
arn:aws:rds::123456789012:global-cluster:test-global-cluster
```
2022 年 2 月 AWS Config 之後加入 的全域資源類型，只會記錄在商業分割區的服務主區域中，以及 GovCloud AWS 分割區的 GovCloud （美國西部）。您只能在其主要區域和 AWS GovCloud （美國西部） 中檢視這些新全域資源類型的組態項目 (CIs)。  
在 2022 年 2 月之前上線的全域資源類型 (`AWS::IAM::Group`、`AWS::IAM::Policy`、`AWS::IAM::Role` 和 `AWS::IAM::User`) 保持不變。您可以在 2022 年 2 月之前 AWS Config 支援 的所有區域中啟用這些全域 IAM 資源的記錄。2022 年 2 月 AWS Config 之後，無法在 支援的區域中記錄這些全域 IAM 資源。  
**全域資源類型 \| IAM 資源**  
下列 IAM 資源類型為全域記錄：IAM 使用者、群組、角色和客戶管理政策。這些資源類型可由 AWS Config 記錄在 AWS Config 2022 年 2 月之前可用的 區域中。您無法記錄全球 IAM 資源類型的清單包括下列區域：亞太區域 （海德拉巴）、亞太區域 （馬來西亞）、亞太區域 （墨爾本）、亞太區域 （泰國）、加拿大西部 （卡加利）、歐洲 （西班牙）、歐洲 （蘇黎世）、以色列 （特拉維夫）、墨西哥 （中部） 和中東 （阿拉伯聯合大公國）。  
為了防止重複的組態項目 (CIs)，您應該只考慮在其中一個支援的區域中記錄一次全域 IAM 資源類型。這也可協助您避免不必要的評估和 API 限流。  
**全域資源類型 \| 僅限主要區域**  
下列服務的全域資源僅由 記錄在全域資源類型的 AWS Config 主區域中：Amazon Elastic Container Registry Public AWS Global Accelerator、Amazon Route 53、Amazon CloudFront 和 AWS WAF。對於這些全域資源，可以在多個 AWS 區域中使用相同的資源類型執行個體，但組態項目 (CIs) 只會記錄在商業分割區的主區域中，或是 AWS GovCloud (US) 分割區的 AWS GovCloud （美國西部）。    
**全域資源類型的主要區域**    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/config/latest/developerguide/select-resources.html)  
**全域資源類型 \| Aurora 全域叢集**  
`AWS::RDS::GlobalCluster` 是全域資源，會記錄在已啟用客戶受管組態記錄器的所有支援 AWS Config 區域中。此全域資源類型是唯一的，因為如果您在一個區域中啟用此資源的記錄， AWS Config 會在所有啟用的區域中記錄此資源類型的組態項目 (CIs)。  
如果您不想要在所有已啟用的區域中記錄 `AWS::RDS::GlobalCluster`，請針對 AWS Config 主控台使用下列其中一種記錄策略：  
+ **使用可自訂覆寫記錄所有資源類型**，選擇「AWS RDS GlobalCluster」，然後選擇覆寫「排除錄製」
+ **記錄特定資源類型**。
如果您不想要在所有已啟用的區域中記錄 `AWS::RDS::GlobalCluster`，請針對 API/CLI 使用下列一種記錄策略：  
+ **記錄所有目前和未來的資源類型 (包括排除項目)** (`EXCLUSION_BY_RESOURCE_TYPES`)
+ **記錄特定資源類型** (`INCLUSION_BY_RESOURCE_TYPES`)。

## AWS Config 規則和全域資源類型
<a name="select-resources-rules-and-global"></a>

2022 年 2 月之前加入的全域 IAM 資源類型 (`AWS::IAM::Group`、`AWS::IAM::Role`、 `AWS::IAM::Policy`和 `AWS::IAM::User`) 只能 AWS Config 由 記錄在 AWS Config 2022 年 2 月之前可用的 區域中。2022 年 2 月 AWS Config 之後，無法在 支援的區域中記錄這些全域 IAM 資源類型。如需這些區域的清單，請參閱[錄製 AWS 資源 \| 全域資源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)。

如果您在至少一個區域中記錄全域 IAM 資源類型，報告全域 IAM 資源類型合規的定期規則將在新增定期規則的所有區域中執行評估，即使您尚未在新增定期規則的區域中啟用全域 IAM 資源類型的記錄。

**在 2022 年 2 月之前加入的全球資源上報告合規性的最佳實務**

為了避免不必要的評估，您應該只將這些全域資源範圍內的 AWS Config 規則和一致性套件部署到其中一個支援的 區域。如需哪些區域支援哪些受管規則的清單，請參閱[依區域可用性列出的 AWS Config 受管規則清單](https://docs.aws.amazon.com/config/latest/developerguide/managing-rules-by-region-availability.html)。這適用於 AWS Config 規則、組織 AWS Config 規則，以及由其他服務建立的規則 AWS ，例如 AWS Security Hub CSPM 和 AWS Control Tower。

如果未記錄在 2022 年 2 月之前上線的全域資源類型，建議您不要啟用下列定期規則，以避免不必要的評估：
+ [access-keys-rotated](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)
+ [account-part-of-organizations](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)
+ [iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
+ [iam-policy-in-use](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)
+ [iam-root-access-key-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)
+ [iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)
+ [iam-user-unused-credentials-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)
+ [mfa-enabled-for-iam-console-access](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)
+ [root-account-hardware-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)
+ [root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)

**在 2022 年 2 月之後加入的全球資源上報告合規性的最佳實務**

2022 年 2 月之後加入 AWS Config 錄製的全域資源類型，只會記錄在商業分割區的服務主區域中，以及 AWS GovCloud (US) 分割區的 AWS GovCloud （美國西部）。您應該僅將這些全域資源範圍內的 AWS Config 規則和一致性套件部署到資源類型的主區域。如需詳細資訊，請參閱[全域資源類型的主區域](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)。

## 的錄製頻率 AWS Config
<a name="select-resources-recording-frequency"></a>

AWS Config 支援*持續記錄*和*每日記錄*。連續記錄可讓您在發生變更時持續記錄組態變更。每日記錄可讓您接收代表過去 24 小時期間內資源最新狀態的組態項目 (CI)，前提是該項目必須與先前的 CI 記錄不同。如需如何變更錄製頻率的步驟，請參閱[變更錄製頻率](https://docs.aws.amazon.com/config/latest/developerguide/managing-recorder_console-change-recording-frequency.html)。

**連續記錄**

連續記錄的一些優點包括：
+ **即時監控**：連續記錄可立即偵測未經授權的變更或非預期的更改，進而增強您的安全性與合規性措施。
+ **詳細分析**：連續記錄可讓您對資源發生組態變更時進行深入分析，讓您能夠識別當下的模式和趨勢。

**每日記錄**

每日記錄的一些優點包括：
+ **最小干擾**：每日記錄可以為您提供更易於管理的資訊流，進而減少通知的頻率和警示疲勞。
+ **成本效益**：每日記錄可提供以較低頻率記錄資源變更的靈活性，進而降低與記錄的組態變更次數相關的成本。

**注意**  
AWS Firewall Manager 依賴持續記錄來監控您的 資源。如果您使用的是 Firewall Manager，建議您將記錄頻率設定為「持續」。

## 未記錄的資源
<a name="select-resources-non-recorded"></a>

如果未記錄資源， 只會免費 AWS Config 擷取該資源的建立和刪除，而不會擷取其他詳細資訊。建立或刪除未錄製的資源時， 會 AWS Config 傳送通知，並在資源詳細資訊頁面上顯示事件。未記錄資源的詳細資訊頁面針對大多數的組態詳細資訊都僅會有 null 值，並且不會提供關係和組態變更的相關資訊。

為已記錄資源 AWS Config 提供的關係資訊不受限制，因為未記錄資源的資料遺失。若記錄資源與未記錄資源有關，則該關係會在記錄資源的詳細資訊頁面上提供。

**IAM 資源類型考量事項**

`AWS::IAM::User`、`AWS::IAM::Policy`` AWS::IAM::Group`、 `AWS::IAM::Role` 資源類型只會擷取建立 (`ResourceNotRecorded`) 和刪除 (`ResourceDeletedNotRecorded`) 狀態，如果資源已選取或先前已選取為資源，以在客戶受管組態記錄器 中記錄。

**未記錄資源的 CI 記錄排程**

`ResourceNotRecorded` 和 的組態項目 CIs) `ResourceDeletedNotRecorded` 未遵循資源類型的一般記錄時間。這些資源類型只會在客戶受管組態記錄器的定期基準程序期間記錄，其頻率低於其他資源類型。這表示建立和刪除通知不會在建立或刪除時傳送，而是在基準程序期間傳送。

**CI 交付和服務連結記錄器範圍**

對於服務連結組態記錄器，記錄範圍會決定您是否在交付管道中接收組態項目 (CIs)。錄製範圍是由連結至組態記錄器的服務所設定。如果記錄範圍為內部，您將不會在交付管道中收到 CIs。