本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 追蹤組態變更 AWS Config
若要記錄和評估 AWS 資源的組態,您可以使用 AWS Config,這可讓您詳細檢視 分佈的組態。這包含資源彼此之間的關係和之前的組態方式,所以您可以檢閱其中的長期變化。
您也可以使用 AWS Config 記錄 CloudFront 分佈設定的組態變更。您可以擷取對於分佈狀態、價格分級、來源、地理限制設定以及 Lambda@Edge 組態的變更。
**注意**
AWS Config 不會記錄 CloudFront 串流分佈的鍵/值標籤。
**Contents**
+ [AWS Config 使用 CloudFront 設定](#TrackingChangesSettings)
+ [檢視 CloudFront 組態歷史記錄](#TrackingChangesGetHistory)
+ [使用 AWS Config 規則評估 CloudFront 組態](#cloudfront-config-rules)
## AWS Config 使用 CloudFront 設定
設定 時 AWS Config,您可以選擇記錄所有支援 AWS 的資源,或僅記錄一些指定的資源,例如僅記錄 CloudFront 的變更。如需獲得支援的 CloudFront 資源清單,請參閱《*AWS Config 開發人員指南*》中支援資源類型主題的 [Amazon CloudFront](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html#amazoncloudfront) 章節。
**備註**
若要追蹤對 CloudFront 分佈進行的組態變更,您必須登入位於美國東部 (維吉尼亞北部) AWS 區域的 CloudFront 主控台。
使用 記錄資源時,可能會延遲 AWS Config。只有在發現資源後才會 AWS Config 記錄資源。
------
#### [ Console ]
**AWS Config 使用 CloudFront 設定**
1. 登入 AWS 管理主控台 並開啟 [AWS Config 主控台](https://console.aws.amazon.com/config/home)。
1. 選擇 **Get Started Now** (立即開始)。
1. 在**設定**頁面上,針對**要記錄的資源類型**,指定您要 AWS Config 記錄 AWS 的資源類型。如果您只想要記錄 CloudFront 的變更,請選擇**特定類型**,然後在 **CloudFront** 中,選擇您想追蹤其變更的分佈或串流分發。
若要新增或變更想追蹤的分佈,請在完成初始設定後,選擇左側的 **Settings (設定)**。
1. 指定其他必要選項 AWS Config:設定通知、指定組態資訊的位置,以及新增評估資源類型的規則。
如需詳細資訊,請參閱《 *AWS Config 開發人員指南*》中的[AWS Config 使用主控台設定](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) 。
------
#### [ AWS CLI ]
若要使用 AWS Config 設定 CloudFront AWS CLI,請參閱《 *AWS Config 開發人員指南*》中的[AWS Config 使用 AWS CLI 設定](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html) 。
------
#### [ AWS Config API ]
若要使用 AWS Config API AWS Config 設定 CloudFront,請參閱 API 參考中的 [ StartConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_StartConfigurationRecorder.html) API 操作。 *AWS Config *
------
## 檢視 CloudFront 組態歷史記錄
AWS Config 開始記錄分佈的組態變更後,您可以取得為 CloudFront 設定的任何分佈的組態歷史記錄。
您可以透過以下方式來檢視組態歷史記錄。
------
#### [ Console ]
對於每個記錄的資源,您可以查看時間軸頁面,其中提供組態詳細資訊的歷史記錄。若要查看此頁面,請選擇**專用執行個體**頁面中的 **Config Timeline** (組態時間軸) 欄內的灰色圖示。
如需詳細資訊,請參閱《 *AWS Config 開發人員指南*[》中的在 AWS Config 主控台中檢視組態詳細資訊](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)。
------
#### [ AWS CLI ]
若要取得您所有分佈的清單,請執行 [list-discovered-resources](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/list-discovered-resources.html) 命令,如以下範例所示。
```
aws configservice list-discovered-resources --resource-type AWS::CloudFront::Distribution
```
若要取得特定時間間隔內的分佈組態詳細資訊,請執行 [get-resource-config-history](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/get-resource-config-history.html) 命令。
如需詳細資訊,請參閱*AWS Config 開發人員指南*中的[使用 CLI 檢視組態詳細資訊](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html)。
------
#### [ AWS Config API ]
若要取得您所有的分佈清單,請使用 [ListDiscoveredResources](https://docs.aws.amazon.com/config/latest/APIReference/API_ListDiscoveredResources.html) API 操作。
若要取得特定時間間隔內的分佈組態詳細資訊,請使用 [GetResourceConfigHistory](https://docs.aws.amazon.com/config/latest/APIReference/API_GetResourceConfigHistory.html) API 操作。如需詳細資訊,請參閱 [AWS Config API 參考](https://docs.aws.amazon.com/config/latest/APIReference/)。
------
## 使用 AWS Config 規則評估 CloudFront 組態
您可以使用 AWS Config 規則,根據所需的組態來評估組態。例如, AWS Config Rules 可協助您評估 CloudFront 資源是否符合常見的安全最佳實務。您可以選擇受管規則,例如檢視器政策 HTTPS、啟用 SNI、啟用 OAC、啟用原始伺服器容錯移轉、 AWS WAF WebACL,或在組態變更時觸發 AWS Shield Advanced 的資源政策。
受管規則可以依您選擇的頻率定期執行評估。 AWS Firewall Manager 依賴 AWS Config 進行自動提醒和修復。如需詳細資訊,請參閱《 *AWS Config 開發人員指南*》中的[使用 AWS Config 規則評估資源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)和[AWS Config 受管規則清單](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)。