本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 在 AWS Control Tower 中管理 AWS Config 成本 本節說明 如何 AWS Config 記錄 AWS Control Tower 帳戶中資源的變更,並向您收費。當您使用 AWS Control Tower 時 AWS Config,此資訊可協助您了解如何管理相關的成本。AWS Control Tower 無需額外費用。 **注意** **如果您的登陸區域版本為 3.0 或更新版本**:AWS Control Tower 只會將 IAM 使用者、群組、角色和客戶受管政策等全球資源 AWS Config 的記錄限制在您所在區域。因此,本節中的部分資訊可能不適用於您的登陸區域。 AWS Config 旨在將帳戶運作的每個區域中每個資源的變更記錄為組態項目 (CI)。 會針對其產生的每個組態項目向您 AWS Config 收費。 **如何 AWS Config 運作** AWS Config 會分別記錄每個區域中的資源。有些全域資源,例如 IAM 角色,每個區域都會記錄一次。例如,如果您在五個區域中運作的註冊帳戶中建立新的 IAM 角色,則 AWS Config 會產生五個 CIs,每個區域一個。其他全域資源,例如 Route 53 託管區域,在所有區域中只會記錄一次。例如,如果您在已註冊帳戶中建立新的 Route 53 託管區域, AWS Config 無論為該帳戶選取多少區域, 都會產生一個 CI。如需可協助您區分這些資源類型的清單,請參閱 [系統會多次記錄相同的資源](monitoring-with-config.md#duplicate-configuration-items)。 **注意** 當 AWS Control Tower 使用 時 AWS Config,區域可能由 AWS Control Tower 管理,或不受管理,如果帳戶在該區域中操作,則 AWS Config 仍會記錄變更。 **AWS Config 偵測資源中的兩種關係** AWS Config 區分資源之間的*直接*和*間接*關係。如果在另一個資源的**描述** API 呼叫中傳回資源,這些資源會記錄為直接關係。當您變更與其他資源直接關係中的資源時, AWS Config 不會為這兩個資源建立 CI。 例如,如果您建立 Amazon EC2 執行個體,且 API 要求您建立網路介面, AWS Config 請考慮讓 Amazon EC2 執行個體與網路介面有直接關係。因此, 只會 AWS Config 產生一個 CI。 AWS Config 會針對屬於*間接*關係的資源關係記錄個別變更。例如,如果您建立安全群組並新增屬於安全群組的相關聯 Amazon EC2 執行個體, AWS Config 會產生兩個 CIs。 如需直接和間接關係的詳細資訊,請參閱[什麼是與資源相關的直接和間接關係?](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-0) 您可以在 AWS Config 文件中找到[資源關係的清單](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html)。