在 AWS Control Tower 中管理 AWS Config 成本 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 AWS Control Tower 中管理 AWS Config 成本

本节介绍如何 AWS Config 记录您的 AWS Control Tower 账户中的资源变更并向您开具账单。这些信息可以帮助您了解在使用 AWS Control Tower 时如何管理与 AWS Config之相关的成本。AWS Control Tower 不会增加任何额外费用。

注意

如果您的着陆区域版本为 3.0 或更高版本:AWS Control Tower 将全球资源(例如 IAM 用户、群组、角色和客户管理的策略)的 AWS Config 记录仅限于您的主区域。因此,这一部分的某些信息可能不适用于您的登录区。

AWS Config 旨在将账户运营所在的每个区域中每项资源的每项更改记录为配置项目 (CI)。 AWS Config 根据它生成的每个配置项目向您开具账单。

如何 AWS Config 运作

AWS Config 分别记录每个区域的资源。某些全局资源(如 IAM 角色)在每个区域记录一次。例如,如果您在五个区域运营的注册账户中创建了一个新的 IAM 角色,则 AWS Config 会生成五个 CIs,每个区域一个。其他全局资源(如 Route 53 托管区)在所有区域只记录一次。例如,如果您在已注册的账户中创建一个新的 Route 53 托管区,则无论为该账户选择了多少个区域, AWS Config 都会生成一个 CI。有关可帮助您区分这些类型的资源的列表,请参阅 同一资源被记录多次

注意

当 AWS Control Tower 与之合作时 AWS Config,一个区域可能受 AWS Control Tower 管辖,也可以不受管辖,如果账户在该区域运营,则 AWS Config 仍会记录更改。

AWS Config 检测资源中的两种关系

AWS Config 区分了资源之间的直接关系和间接关系。如果一项资源在另一项资源的 Describe API 调用中被返回,这些资源将被记录为直接关系。当您更改与另一种资源有直接关系的资源时, AWS Config 不会为这两个资源创建 CI。

例如,如果您创建了一个 Amazon EC2 实例,而 API 要求您创建网络接口,则 AWS Config 认为该亚马逊 EC2 实例与该网络接口有直接关系。因此,仅 AWS Config 生成一个 CI。

AWS Config 记录属于间接关系的资源关系的单独更改。例如, CIs 如果您创建安全组并添加属于安全组的关联 Amazon EC2 实例,则 AWS Config 会生成两个。

有关直接关系和间接关系的更多信息,请参阅什么是与资源的直接关系和间接关系?

你可以在 AWS Config 文档中找到资源关系列表