Gérez AWS Config les coûts dans AWS Control Tower

Cette section décrit comment AWS Config enregistrer et facturer les modifications apportées aux ressources de vos comptes AWS Control Tower. Ces informations peuvent vous aider à comprendre comment gérer les coûts associés AWS Configà l'utilisation d'AWS Control Tower lorsque vous utilisez AWS Control Tower. AWS Control Tower n'entraîne aucun coût supplémentaire.

Note

Si la version de votre zone de landing zone est 3.0 ou ultérieure : AWS Control Tower limite AWS Config l'enregistrement des ressources globales, telles que les utilisateurs, les groupes, les rôles et les politiques gérées par le client IAM, à votre région d'origine uniquement. Par conséquent, certaines informations de cette section peuvent ne pas s'appliquer à votre zone d'atterrissage.

AWS Config est conçu pour enregistrer chaque modification apportée à chaque ressource, dans chaque région où un compte fonctionne, en tant qu'élément de configuration (CI). AWS Config vous facture chaque élément de configuration généré.

Comment AWS Config fonctionne

AWS Config enregistre les ressources dans chaque région, séparément. Certaines ressources mondiales, telles que les rôles IAM, sont enregistrées une fois par région. Par exemple, si vous créez un nouveau rôle IAM dans un compte inscrit qui fonctionne dans cinq régions, cela AWS Config génère cinq CI, un pour chaque région. Les autres ressources mondiales, telles que les zones hébergées par Route 53, ne sont enregistrées qu'une seule fois dans toutes les régions. Par exemple, si vous créez une nouvelle zone hébergée Route 53 dans un compte inscrit, cela AWS Config génère un CI, quel que soit le nombre de régions sélectionnées pour ce compte. Pour obtenir une liste qui vous aide à distinguer ces types de ressources, consultezLa même ressource est enregistrée plusieurs fois.

Note

Lorsqu'AWS Control Tower fonctionne avec AWS Config, une région peut être gouvernée par AWS Control Tower, ou non gouvernée, et enregistre AWS Config toujours les modifications si le compte fonctionne dans cette région.

AWS Config détecte deux types de relations dans les ressources

AWS Config fait une distinction entre les relations directes et indirectes entre les ressources. Si une ressource est renvoyée lors de l'appel d'API Describe d'une autre ressource, ces ressources sont enregistrées en tant que relation directe. Lorsque vous modifiez une ressource dans une relation directe avec une autre ressource, AWS Config cela ne crée pas de CI pour les deux ressources.

Par exemple, si vous créez une instance Amazon EC2 et que l'API vous oblige à créer une interface réseau, AWS Config considérez que l'instance Amazon EC2 a une relation directe avec l'interface réseau. Par conséquent, ne AWS Config génère qu'un seul CI.

AWS Config enregistre les modifications distinctes pour les relations de ressources qui sont des relations indirectes. Par exemple, AWS Config génère deux CI si vous créez un groupe de sécurité et ajoutez une instance Amazon EC2 associée faisant partie du groupe de sécurité.

Pour plus d'informations sur les relations directes et indirectes, voir Qu'est-ce qu'une relation directe et indirecte par rapport à une ressource ?

Vous trouverez une liste des relations entre les ressources dans la AWS Config documentation.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Surveillez l'évolution des ressources avec AWS Config

Evènements du cycle de vie