# 使用 AWS Config 跟踪配置更改
要记录和评估 AWS 资源的配置,可以使用 AWS Config,它为您提供分配配置的详细视图。这些信息包括资源彼此之间的关联方式以及资源过去的配置方式,以便您可以查看随时间发生的变化。
也可以使用 AWS Config 记录对 CloudFront 分配设置的配置更改。您可以捕获对分配状态、价格级别、源、地理限制设置和 Lambda@Edge 配置进行的更改。
**注意**
AWS Config 不记录 CloudFront 流分配的键/值标签。
**Contents**
+ [使用 CloudFront 设置 AWS Config](#TrackingChangesSettings)
+ [查看 CloudFront 配置历史记录](#TrackingChangesGetHistory)
+ [使用 AWS Config 规则评估 CloudFront 配置](#cloudfront-config-rules)
## 使用 CloudFront 设置 AWS Config
在设置 AWS Config 时,您可以选择记录所有受支持的 AWS 资源,也可以只记录某些指定资源(例如,仅记录对 CloudFront 的更改)。要查看受支持 CloudFront 资源的列表,请参阅《AWS Config 开发人员指南》**中“受支持的资源类型”主题的 [Amazon CloudFront](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html#amazoncloudfront) 部分。
**备注**
要跟踪对 CloudFront 分配进行的配置更改,您必须登录美国东部(弗吉尼亚州北部)AWS 区域的 CloudFront 控制台。
使用 AWS Config 记录资源可能会有延迟。AWS Config 仅在发现资源后记录资源。
------
#### [ Console ]
**使用 CloudFront 设置 AWS Config**
1. 登录 AWS 管理控制台并打开 [AWS Config 控制台](https://console.aws.amazon.com/config/home)。
1. 选择 **Get Started Now**。
1. 在**设置**页面上,为**要记录的资源类型**指定您希望 AWS 记录的 AWS Config 资源类型。如果您希望仅记录 CloudFront 更改,请选择**特定类型**,然后在 **CloudFront** 下面选择要跟踪更改的分配或流分配。
要添加或更改要跟踪的分配,请在完成初始设置后选择左侧的**设置**。
1. 为 AWS Config指定额外的必需选项:设置一个通知,为配置信息指定一个位置,然后添加用于评估资源类型的规则。
有关更多信息,请参阅《AWS Config 开发人员指南》**中的[使用控制台设置 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)。
------
#### [ AWS CLI ]
要通过 CloudFront 使用 AWS CLI 设置 AWS Config,请参阅《AWS Config 开发人员指南》**中的[使用 AWS CLI 设置 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html)。
------
#### [ AWS Config API ]
要通过 CloudFront 使用 AWS Config API 设置 AWS Config,请参阅《*AWS Config API 参考》*中的 [StartConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_StartConfigurationRecorder.html) API 操作。
------
## 查看 CloudFront 配置历史记录
在 AWS Config 开始记录您的分配的配置更改后,您可以获取为 CloudFront 配置的任何分配的配置历史记录。
您可以使用以下方式查看配置历史记录。
------
#### [ Console ]
对于每个已记录的资源,您可以查看时间线页面,该页面提供了配置详细信息的历史记录。要查看此页面,请选择**专用主机**页面的**配置时间线**列中的灰色图标。
有关更多信息,请参阅《AWS Config 开发人员指南》** 中的[在 AWS Config 控制台中查看配置详细信息](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)。
------
#### [ AWS CLI ]
要获取所有分配的列表,请运行 [list-discovered-resources](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/list-discovered-resources.html) 命令,如以下示例所示。
```
aws configservice list-discovered-resources --resource-type AWS::CloudFront::Distribution
```
要获取特定时间间隔内某个分配的配置详细信息,请运行 [get-resource-config-history](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/get-resource-config-history.html) 命令。
有关更多信息,请参阅《AWS Config 开发人员指南》** 中的[使用 CLI 查看配置详细信息](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html)。
------
#### [ AWS Config API ]
要获取所有分配的列表,请使用 [ListDiscoveredResources](https://docs.aws.amazon.com/config/latest/APIReference/API_ListDiscoveredResources.html) API 操作。
要获取特定时间间隔内某个分配的配置详细信息,请使用 [GetResourceConfigHistory](https://docs.aws.amazon.com/config/latest/APIReference/API_GetResourceConfigHistory.html) API 操作。有关更多信息,请参阅 [AWS Config API 参考](https://docs.aws.amazon.com/config/latest/APIReference/)。
------
## 使用 AWS Config 规则评估 CloudFront 配置
可以使用 AWS Config 规则根据所需的配置来评估配置。例如,AWS Config 规则有助于评估 CloudFront 资源是否符合常见的安全最佳实践。可以选择要在配置更改时触发的托管式规则,例如查看器策略 HTTPS、启用 SNI、启用 OAC、启用源失效转移、AWS WAF WebACL 或 AWS Shield Advanced 资源策略。
托管式规则可以按您选择的频率定期运行评估。AWS Firewall Manager 依赖于 AWS Config 来实现自动警报和补救。有关更多信息,请参阅《AWS Config 开发人员指南》**中的 [Evaluating Resources with AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) 和 [List of AWS Config Managed Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)。