本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 監控資源變更 AWS Config
AWS Control Tower 會在所有註冊帳戶 AWS Config 上啟用 ,以便透過偵測控制、記錄資源變更,以及將資源變更日誌交付至日誌封存帳戶,來監控合規性。
**如果您的登陸區域版本早於 3.0**:對於已註冊的帳戶, 會針對帳戶運作的所有區域 AWS Config 記錄資源的所有變更。每個變更都會建模為組態項目 (CI),其中包含資源識別符、區域、記錄每個變更的日期,以及變更是否與已知資源或新發現的資源相關。
**如果您的登陸區域版本是 3.0 或更新版本**:AWS Control Tower 只會將 IAM 使用者、群組、角色和客戶受管政策等全球資源的記錄限制在您所在區域。全域資源變更的副本不會儲存在每個區域中。此資源記錄限制符合 AWS Config [最佳實務](https://aws.amazon.com//blogs/mt/aws-config-best-practices/)。[全球資源的完整清單](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html)可在 AWS Config 文件中取得。
+ 若要進一步了解 AWS Config,請參閱 [ 如何 AWS Config 運作](https://docs.aws.amazon.com//config/latest/developerguide/how-does-config-work.html)。
+ 如需 AWS Config 可支援的資源清單,請參閱[支援的資源類型](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html)。
+ 若要了解如何在 AWS Control Tower 環境中自訂資源追蹤,請參閱名為在 [AWS Control Tower 中自訂 AWS Config 資源追蹤](https://aws.amazon.com/blogs//mt/customize-aws-config-resource-tracking-in-aws-control-tower-environment)的部落格文章。
AWS Control Tower 會在所有註冊帳戶中設定 AWS Config 交付管道。透過此交付管道,它會記錄 AWS Config 日誌封存帳戶中 記錄的所有變更,這些變更會存放在 Amazon Simple Storage Service 儲存貯體中的資料夾。
## 檢視已註冊帳戶的 AWS Config 記錄器資料
AWS Config 已與 CloudWatch 整合,因此您可以在儀表板中檢視 AWS Config CIs。如需詳細資訊,請參閱名為 的部落格文章[AWS Config 支援 Amazon CloudWatch 指標](https://aws.amazon.com/about-aws/whats-new/2022/05/aws-config-supports-amazon-cloudwatch-metrics)。
若要以程式設計方式檢視 AWS Config 資料,您可以使用 AWS CLI,也可以使用其他 AWS 工具。
### 查詢特定資源上的 AWS Config 記錄器資料
您可以使用 AWS CLI 來擷取資源的最新變更清單。
**資源歷史記錄命令:**
+ `aws configservice get-resource-config-history --resource-type {{RESOURCE-TYPE}} --resource-id {{RESOURCE-ID}} --region {{REGION}}`
若要進一步了解,請參閱 [的 API 文件`get-config-history`](https://docs.aws.amazon.com//cli/latest/reference/configservice/get-resource-config-history.html)。
### 使用 Quick 視覺化 AWS Config 資料
您可以視覺化和查詢 AWS Config 整個組織中由 記錄的資源。如需詳細資訊,請參閱 [Config Resource Compliance Dashboard](https://catalog.workshops.aws/awscid/en-US/dashboards/additional/config-resource-compliance-dashboard) 和[使用 Amazon Athena 和 Quick 視覺化 AWS Config 資料](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/)。
## 在 AWS Control Tower AWS Config 中進行故障診斷
本節提供使用 AWS Config 搭配 AWS Control Tower 時可能遇到的一些問題的相關資訊。
### 高 AWS Config 成本
如果您的工作流程包含經常建立、更新或刪除資源的程序,或是處理大量資源,該工作流程可能會產生大量 CIs。如果您在非生產帳戶中執行這些程序,請考慮取消註冊帳戶。您可能需要手動停用該帳戶的 AWS Config 記錄器。
**注意**
取消註冊帳戶後,AWS Control Tower 就無法針對該帳戶中的資源強制執行偵測性控制或日誌帳戶事件,例如 AWS Config 活動。
如需詳細資訊,請參閱[取消管理已註冊的帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/unmanage-account.html)。若要了解如何停用 AWS Config 記錄器,請參閱[管理組態記錄器](https://docs.aws.amazon.com//config/latest/developerguide/stop-start-recorder.html)。
### 系統會多次記錄相同的資源
檢查資源是否為[全域資源](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html)。對於 3.0 版之前的 AWS Control Tower 登陸區域, AWS Config 可以記錄操作中每個區域的特定全域資源一次。 AWS Config 例如,如果 AWS Config 在八個區域啟用 ,則會記錄每個角色八次。
**下列資源會針對 AWS Config 運作中的每個區域記錄一次:**
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
**其他全域資源只會記錄一次。以下是記錄一次的資源範例:**
+ `AWS::Route53::HostedZone`
+ `AWS::Route53::HealthCheck`
+ `AWS::ECR::PublicRepository`
+ `AWS::GlobalAccelerator::Listener`
+ `AWS::GlobalAccelerator::EndpointGroup`
+ `AWS::GlobalAccelerator::Accelerator`
### AWS Config 未記錄資源
某些資源與其他資源具有相依性關係。這些關係可能是*直接或間接*的**。您可以在[AWS Config 常見問答集中找到](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-2)已棄用間接關係的清單。