本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 什麼是 AWS Config?
AWS Config 提供帳戶中 AWS AWS 資源組態的詳細檢視。這包含資源彼此之間的關係和之前的組態方式,所以您可以看到一段時間中組態和關係的變化。
An AWS *resource* 是您可以在其中使用的實體 AWS,例如 Amazon Elastic Compute Cloud (EC2) 執行個體、Amazon Elastic Block Store (EBS) 磁碟區、安全群組或 Amazon Virtual Private Cloud (VPC)。如需 支援的完整 AWS 資源清單 AWS Config,請參閱 [支援的資源類型 AWS Config](resource-config-reference.md)。
## 考量事項
+ **AWS 帳戶**:您需要作用中的 AWS 帳戶。如需詳細資訊,請參閱[註冊 AWS](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html#getting-started-signing-up)。
+ **Amazon S3 儲存貯體**:您需要 S3 儲存貯體來接收組態快照和歷史記錄的資料。如需詳細資訊,請參閱《[Amazon S3 儲存貯體許可](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-policy.html)》。
+ **Amazon SNS 主題**:當組態快照和歷史記錄發生變更時,您需要 Amazon SNS 才能接收通知。如需詳細資訊,請參閱 [Amazon SNS 主題的許可](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-policy.html)。
+ **IAM 角色**:您需要具有必要存取許可的 IAM 角色 AWS Config。如需詳細資訊,請參閱 [IAM 角色的許可](https://docs.aws.amazon.com/config/latest/developerguide/iamrole-permissions.html)。
+ **資源類型**:您可以決定 AWS Config 要記錄哪些資源類型。如需詳細資訊,請參閱[錄製 AWS 資源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
## 使用方式 AWS Config
當您在 上執行應用程式時 AWS,通常會使用 資源,您必須共同建立和管理這些 AWS 資源。隨著應用程式的需求不斷增長,您需要追蹤 AWS 資源。 AWS Config 旨在協助您在下列案例中監督應用程式資源:
### 資源管理
若要練習更恰當地管理資源組態,以及偵測不正確的資源組態,您需要微調資源的可見性,以及如何同時設定這些資源。您可以使用 AWS Config 在建立、修改或刪除資源時通知您,而無需透過輪詢對每個資源進行的呼叫來監控這些變更。
您可以使用 AWS Config 規則來評估 資源 AWS 的組態設定。當 AWS Config 偵測到資源違反其中一個規則的條件時, 會將資源 AWS Config 標記為不合規並傳送通知。 AWS Config 會在建立、變更或刪除資源時持續評估您的資源。
### 稽核與合規性
您可能處理需要頻繁稽核的資料,確保符合內部政策和最佳實務。若要示範合規性,您需要存取資源的歷史組態。此資訊由 提供 AWS Config。
### 組態變更的管理和故障診斷
當您使用彼此相依的多個 AWS 資源時,一個資源的組態變更可能會對相關資源造成意外後果。透過 AWS Config,您可以檢視您要修改的資源與其他資源的關係,並評估變更的影響。
您也可以使用 AWS Config 所提供資源的歷史組態對問題進行故障診斷,以及存取問題資源的上次已知正常組態。
### 安全分析
若要分析潛在的安全弱點,您需要有關 AWS 資源組態的詳細歷史資訊,例如授予給您使用者的 AWS Identity and Access Management (IAM) 許可,或控制資源存取的 Amazon EC2 安全群組規則。
您可以使用 AWS Config 隨時檢視指派給使用者、群組或角色的 IAM AWS Config 政策。此資訊可協助您判斷在特定時間屬於使用者的許可:例如,您可以檢視使用者 `John Doe` 是否具有可在 2015 年 1 月 1 日修改 Amazon VPC 設定的許可。
您也可以使用 AWS Config 來檢視 EC2 安全群組的組態,包括在特定時間開啟的連接埠規則。此資訊可協助您判斷安全群組是否封鎖傳入特定連接埠的 TCP 流量。
### 合作夥伴解決方案
AWS 會與第三方記錄和分析專家合作,以提供使用 AWS Config 輸出的解決方案。如需詳細資訊,請造訪 AWS Config 的詳細資訊頁面[AWS Config](https://aws.amazon.com/config)。
## 功能
設定 時 AWS Config,您可以完成下列操作:
**資源管理**
+ 指定 AWS Config 您要記錄的資源類型。
+ 設定 Amazon S3 儲存貯體於請求時接收組態快照及組態歷史記錄。
+ 設定 Amazon SNS 傳送組態串流通知。
+ 授予存取 Amazon S3 儲存貯體和 Amazon SNS 主題所需的 AWS Config 許可。
如需詳細資訊,請參閱[檢視 AWS 資源組態和歷史記錄](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)[和管理 AWS 資源組態和歷史記錄](https://docs.aws.amazon.com/config/latest/developerguide/aws-config-landing-page.html)。
**規則與一致性套件**
+ 指定 AWS Config 您要用來評估所記錄資源類型合規資訊的規則。
+ 使用一致性套件,或可部署和監控為 中單一實體的規則集合 AWS 帳戶。
如需詳細資訊,請參閱[使用 AWS Config 規則和一致性套件評估資源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)。 [https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)
**修復**
+ 修復由 評估的不合規資源 AWS Config 規則。
如需詳細資訊,請參閱[修復](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)。
**彙總工具**
+ 使用彙總工具來集中檢視您的資源庫存和合規性。彙整工具會將多個 AWS 帳戶 和 AWS 區域的 AWS Config 組態和合規資料收集到單一帳戶和區域。
如需詳細資訊,請參閱《[多帳戶多區域資料彙總](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)》。
**進階查詢**
+ 使用其中一個範例查詢,或參考 AWS 資源的組態結構描述來撰寫您自己的查詢。
如需詳細資訊,請參閱[查詢 AWS 資源的目前組態狀態。 ](https://docs.aws.amazon.com/config/latest/developerguide/querying-AWS-resources.html)
# 運作 AWS Config 方式
AWS Config 提供帳戶中 AWS AWS 資源組態的詳細檢視。這包含資源彼此之間的關係和之前的組態方式,所以您可以看到一段時間中組態和關係的變化。
An AWS *resource* 是您可以在其中使用的實體 AWS,例如 Amazon Elastic Compute Cloud (EC2) 執行個體、Amazon Elastic Block Store (EBS) 磁碟區、安全群組或 Amazon Virtual Private Cloud (VPC)。如需 支援的完整 AWS 資源清單 AWS Config,請參閱 [支援的資源類型 AWS Config](resource-config-reference.md)。
![\[此影像描述 如何 AWS Config 運作的高階概觀。它說明從各種 AWS 資源到 的資訊流程 AWS Config,然後將組態資料存放在 Amazon S3 儲存貯體中。程序涉及組態記錄器、 AWS Config 規則和交付管道。目標是追蹤和管理 AWS 環境中的資源組態。\]](http://docs.aws.amazon.com/zh_tw/config/latest/developerguide/images/how-AWSconfig-works-2.png)
## 資源探索
當您開啟 時 AWS Config,它會先探索帳戶中存在的支援 AWS 資源,並為每個資源產生[組態項目](config-concepts.md#config-items)。
AWS Config 當資源的組態變更時, 也會產生組態項目,而且它會從您啟動組態記錄器時,維護資源組態項目的歷史記錄。根據預設, 會為區域中每個支援的資源 AWS Config 建立組態項目。如果您不想為所有支援的資源 AWS Config 建立組態項目,您可以指定要追蹤的資源類型。
在指定 AWS Config 要追蹤的資源類型之前,請檢查[依區域可用性列出的資源涵蓋](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html)範圍,以查看您要設定 AWS 的區域是否支援資源類型 AWS Config。如果至少一個 AWS Config 區域中支援 的資源類型,您可以在 支援的所有區域中啟用該資源類型的記錄 AWS Config,即使所設定 AWS 的區域不支援指定的資源類型 AWS Config。
## 資源追蹤
AWS Config 透過叫用帳戶中每個資源的描述或列出 API 呼叫, 會追蹤資源的所有變更。此服務使用這些相同的 API 呼叫來擷取所有相關資源的組態詳細資訊。
例如,從 VPC 安全群組移除輸出規則 AWS Config 會導致 在安全群組上叫用 Describe API 呼叫。 AWS Config 然後, 會在與安全群組相關聯的所有執行個體上叫用 Describe API 呼叫。安全群組 (資源) 和每個執行個體 (相關資源) 的已更新組態會記錄為組態項目,並以組態串流形式交付至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。
AWS Config 也會追蹤 API 未啟動的組態變更。 會定期 AWS Config 檢查資源組態,並為已變更的組態產生組態項目。
如果您使用的是 AWS Config 規則, AWS Config 會持續評估您的 AWS 資源組態,以取得所需的設定。根據規則, AWS Config 將評估您的 資源,以回應組態變更或定期評估。每個規則都與 AWS Lambda 函數建立關聯,而此函數包含規則的評估邏輯。當 AWS Config 評估您的 資源時,它會叫用規則的 AWS Lambda 函數。該函數會傳回所評估資源的合規性狀態。如果資源違反規則的條件, 會將資源和規則 AWS Config 標記為不合規。當資源的合規狀態變更時, 會 AWS Config 傳送通知到您的 Amazon SNS 主題。
## 傳遞組態項目
AWS Config 可以透過下列其中一個管道交付組態項目:
### Amazon S3 儲存貯體
AWS Config 會追蹤 AWS 資源組態的變更,並定期將更新後的組態詳細資訊傳送至您指定的 Amazon S3 儲存貯體。對於 AWS Config 記錄的每個資源類型,它會每六小時傳送一個*組態歷史記錄檔案*。每個組態歷史記錄檔案都會包含該六小時期間所變更資源的詳細資訊。每個檔案都會包含一種類型的資源 (例如 Amazon EC2 執行個體或 Amazon EBS 磁碟區)。如果沒有發生組態變更, AWS Config 不會傳送檔案。
AWS Config 當您搭配 CLI 使用 [deliver-config-snapshot](https://docs.aws.amazon.com/cli/latest/reference/configservice/deliver-config-snapshot.html) 命令,或當您搭配 AWS Config API 使用 [DeliverConfigSnapshot](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html) 動作時, 會傳送*組態快照*到您的 Amazon S3 AWS 儲存貯體。組態快照包含 中 AWS Config 記錄的所有資源的組態詳細資訊 AWS 帳戶。組態歷史記錄檔案和組態快照為 JSON 格式。
**注意**
AWS Config 只會將組態歷史記錄檔案和組態快照傳送到指定的 S3 儲存貯體; AWS Config 不會修改 S3 儲存貯體中物件的生命週期政策。您可以使用生命週期政策來指定是否要刪除物件或將物件封存至 Amazon Glacier。如需詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[管理生命週期組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/LifecycleConfiguration.html)。您也可以查看將 [Amazon S3 資料封存至 Amazon Glacier](https://aws.amazon.com/blogs/aws/archive-s3-to-glacier/) 部落格文章。
### Amazon SNS 主題
Amazon Simple Notification Service (Amazon SNS) 主題是一種通訊頻道,Amazon SNS 運用該頻道來將訊息 (或*通知*) 交付至訂閱端點,例如電子郵件地址或用戶端。其他類型的 Amazon SNS 通知包含行動電話上傳送至應用程式的推播通知訊息、傳送至啟用 SMS 功能之行動電話和智慧型手機的簡訊服務 (SMS) 通知,以及 HTTP POST 請求。為了獲得最佳結果,請使用 Amazon SQS 作為 SNS 主題的通知端點,然後以程式設計方式處理通知中的資訊。
AWS Config 使用您指定的 Amazon SNS 主題來傳送通知。您收到的通知類型會以訊息本文中 `messageType` 金鑰的值表示,如下列範例所示:
```
"messageType": "ConfigurationHistoryDeliveryCompleted"
```
通知可以是下列任何訊息類型。
| **訊息類型** | **Description** |
| --- | --- |
| ComplianceChangeNotification | AWS Config 評估的資源合規類型已變更。合規類型指出資源是否符合特定 AWS Config 規則,並由訊息中的 ComplianceType金鑰表示。訊息包含要比較的 newEvaluationResult 和 oldEvaluationResult 物件。 |
| ConfigRulesEvaluationStarted | AWS Config 已開始針對指定的資源評估您的規則。 |
| ConfigurationSnapshotDeliveryStarted | AWS Config 已開始將組態快照交付至 Amazon S3 儲存貯體。已在訊息中為 s3Bucket 金鑰提供 Amazon S3 儲存貯體名稱。 |
| ConfigurationSnapshotDeliveryCompleted | AWS Config 成功將組態快照交付到您的 Amazon S3 儲存貯體。 |
| ConfigurationSnapshotDeliveryFailed | AWS Config 無法將組態快照交付到您的 Amazon S3 儲存貯體。 |
| ConfigurationHistoryDeliveryCompleted | AWS Config 成功將組態歷史記錄交付到您的 Amazon S3 儲存貯體。 |
| ConfigurationItemChangeNotification | 已在組態中建立、刪除或變更資源。此訊息包含為此變更 AWS Config 建立之組態項目的詳細資訊,並包含變更類型。這些通知會在變更的數分鐘內交付,並且統稱為「組態串流」。 |
| OversizedConfigurationItemChangeNotification | 組態項目變更通知超過 Amazon SNS 允許的大小上限時,會交付此訊息類型。訊息包含組態項目的摘要。除了 SMS 訊息外,Amazon SNS 訊息最多可包含 256 KB 的文字資料,包括 XML、JSON 和未格式化的文字。您可以在指定的 Amazon S3 儲存貯體位置檢視完整通知。 |
| OversizedConfigurationItemChangeDeliveryFailed | AWS Config 無法將過大的組態項目變更通知傳送到您的 Amazon S3 儲存貯體。 |
如需範例通知,請參閱 [AWS Config 傳送至 Amazon SNS 主題的通知](notifications-for-AWS-Config.md)。如需 Amazon SNS 的詳細資訊,請參閱 [Amazon Simple Notification Service 開發人員指南](https://docs.aws.amazon.com/sns/latest/dg/)。
**注意**
**為什麼我看不到最新的組態變更?**
AWS Config 通常會在偵測到變更後立即記錄資源的組態變更,或您指定的頻率。不過,這需要盡最大努力,有時可能需要更長的時間。如果問題在一段時間後仍存在,請聯絡 [支援](https://aws.amazon.com/contact-us/)並提供 Amazon CloudWatch 支援的 AWS Config 指標。如需這些指標的資訊,請參閱[AWS Config 用量和成功指標](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aws-config-dashboard.html)。
## 控制對 的存取 AWS Config
AWS Identity and Access Management 是一種 Web 服務,可讓 Amazon Web Services (AWS) 客戶管理使用者和使用者許可。
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
# AWS Config 術語和概念
為了協助您了解 AWS Config,本主題說明一些重要概念。
**Contents**
+ [AWS Config 介面](#config-concepts-manage)
+ [AWS Config 主控台](#config-concepts-console)
+ [AWS Config CLI](#config-concepts-cli)
+ [AWS Config APIs](#config-concepts-api)
+ [AWS Config SDKs](#config-concepts-sdk)
+ [資源管理](#config-platform-concept)
+ [AWS 資源](#aws-resources)
+ [資源關係](#resource-relationship)
+ [組態記錄器](#config-recorder)
+ [交付通道](#delivery-channel)
+ [組態項目](#config-items)
+ [組態歷史記錄](#config-history)
+ [組態快照](#config-snapshot)
+ [組態串流](#config-stream)
+ [AWS Config 規則](#aws-config-rules)
+ [評估結果](#aws-config-managed-rules-evaluation-results)
+ [規則類型](#aws-config-managed-rules-type)
+ [觸發類型](#aws-config-rules-trigger)
+ [評估模式](#aws-config-rules-proactive-detective)
+ [一致性套件](#aws-config-conformance-packs)
+ [多帳戶多區域資料彙整](#multi-account-multi-region-data-aggregation)
+ [來源帳戶](#source-accounts)
+ [來源區域](#source-region)
+ [彙整工具](#aggregator)
+ [服務連結彙整工具](#aggregator-service-linked)
+ [彙整工具帳戶](#aggregator-accounts)
+ [Authorization](#authorization)
## AWS Config 介面
### AWS Config 主控台
您可以使用 AWS Config 主控台來管理服務。如需 的詳細資訊 AWS 管理主控台,請參閱 [AWS 管理主控台](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html)。
### AWS Config CLI
AWS Command Line Interface 是一個統一的工具,您可以使用它 AWS Config 從命令列與 互動。如需詳細資訊,請參閱[「AWS Command Line Interface 使用者指南」](https://docs.aws.amazon.com/cli/latest/userguide/)。如需 CLI AWS Config 命令的完整清單,請參閱[可用命令](https://docs.aws.amazon.com/cli/latest/reference/configservice/index.html)。
### AWS Config APIs
除了 主控台和 CLI 之外,您也可以使用 AWS Config RESTful APIs AWS Config 直接編寫程式。如需詳細資訊,請參閱 [AWS Config API 參考](https://docs.aws.amazon.com/config/latest/APIReference/)。
### AWS Config SDKs
除了使用 AWS Config API 之外,您也可以使用其中一個 AWS SDKs。每種開發套件皆包含多種程式設計語言與平台的程式庫與範本程式碼。開發套件提供便捷方法來建立對 AWS Config的程式化存取。例如,您可以使用開發套件以密碼編譯方式來簽署請求、管理錯誤,以及自動重試請求。如需詳細資訊,請參閱 [Amazon Web Services 適用工具](https://aws.amazon.com/tools/)頁面。
## 資源管理
了解 的基本元件 AWS Config 可協助您追蹤資源庫存和變更,並評估 AWS 資源的組態。
### AWS 資源
*AWS 資源*是您使用 AWS 管理主控台、 AWS Command Line Interface (CLI)、 AWS SDKs 或 AWS 合作夥伴工具建立和管理的實體。資源的範例 AWS 包括 Amazon EC2 執行個體、安全群組、Amazon VPCs 和 Amazon Elastic Block Store。 會使用其唯一識別符來 AWS Config 參考每個資源,例如資源 ID 或 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#ARN)。如需 AWS Config 支援的資源類型清單,請參閱 [支援的資源類型 AWS Config](resource-config-reference.md)。
### 資源關係
AWS Config 探索您帳戶中 AWS 的資源,然後在 AWS 資源之間建立關係映射。例如,關係可能包含的 Amazon EBS 磁碟區 `vol-123ab45d`,其連接至與安全群組 `sg-ef678hk` 建立關聯的 Amazon EC2 執行個體 `i-a1b2c3d4`。
如需詳細資訊,請參閱[支援的資源類型 AWS Config](resource-config-reference.md)。
## 組態記錄器
*組態記錄器*會將範圍內資源類型的組態變更儲存為組態項目。如需詳細資訊,請參閱[使用組態記錄器](stop-start-recorder.md)。
組態記錄器有兩種類型。
| **類型** | **Description** |
| --- | --- |
| 客戶受管組態記錄器 | 您管理的組態記錄器。範圍內的資源類型由您設定。根據預設,客戶受管組態記錄器會在 AWS Config 執行 的 AWS 區域 中記錄所有支援的資源。 |
| 服務連結組態記錄器 | 連結至特定 的組態記錄器 AWS 服務。範圍內的資源類型由連結的服務設定。 |
## 交付通道
當 AWS Config 持續記錄 AWS 資源發生的變更時,它會透過*交付管道*傳送通知和更新的組態狀態。您可以管理交付管道,以控制 AWS Config 傳送組態更新的位置。
### 組態項目
*組態項目*代表帳戶中存在之支援 AWS 資源的各種屬性point-in-time檢視。組態項目的元件包括中繼資料、屬性、關係、目前組態和相關事件。 會在偵測到正在記錄的資源類型變更時 AWS Config 建立組態項目。例如,如果 AWS Config 正在記錄 Amazon S3 儲存貯體,則 會在建立、更新或刪除儲存貯體時 AWS Config 建立組態項目。您也可以為 選取 AWS Config ,以您設定的錄製頻率建立組態項目。
如需詳細資訊,請參閱 [組態項目的元件](config-item-table.md)和 [錄製頻率](https://docs.aws.amazon.com/config/latest/developerguide/select-resources-recording-frequency.html)。
### 組態歷史記錄
*組態歷史記錄*是指定資源在任何時間期間的組態項目集合。組態歷史記錄可協助您回答下列這類問題,例如,第一次建立資源時、上個月如何設定資源,以及昨天 9 AM 進行何種組態變更。您可以使用多種格式的組態歷史記錄。 AWS Config 會自動將每個資源類型的組態歷史記錄檔案,記錄到您指定的 Amazon S3 儲存貯體。您可以在 AWS Config 主控台中選取指定的資源,並使用時間軸導覽至該資源的所有先前組態項目。此外,您也可以從 API 存取資源的歷史組態項目。
如需詳細資訊,請參閱[檢視合規歷史記錄](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)和[查詢合規歷史記錄](https://docs.aws.amazon.com/config/latest/developerguide/quering-resource-compliance-history.html)。
### 組態快照
*組態快照*是帳戶中現有所支援資源的組態項目集合。此組態快照是所記錄資源和其組態的完整全貌。組態快照可以是驗證組態的實用工具。例如,建議您定期檢查未正確設定或可能不存在之資源的組態快照。組態快照具有多種格式。您可以將組態快照交付至您指定的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。此外,您可以在 AWS Config 主控台中選取時間點,並使用資源之間的關係瀏覽組態項目的快照。
如需詳細資訊,請參閱[傳遞組態快照](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html)、[檢視組態快照](https://docs.aws.amazon.com/config/latest/developerguide/view-configuration-snapshot.html)和[範例組態快照](https://docs.aws.amazon.com/config/latest/developerguide/example-s3-snapshot.html)。
### 組態串流
*組態串流*是 AWS Config 正在記錄之資源的所有組態項目的自動更新清單。每次建立、修改或刪除資源時, AWS Config 都會建立組態項目,並新增至組態串流。使用您選擇的 Amazon Simple Notification Service (Amazon SNS) 主題後,組態串流即可運作。組態串流有助於觀察組態變更,以便您可以發現潛在問題、在特定資源變更時產生通知,或更新需要反映 AWS 資源組態的外部系統。
## AWS Config 規則
AWS Config 規則是一種合規檢查,可協助您管理特定 AWS 資源的理想組態設定。 會 AWS Config 評估您的資源組態是否符合相關規則,並顯示合規結果。
### 評估結果
AWS Config 規則有四個可能的評估結果。
| **評估結果** | **Description** |
| --- | --- |
| COMPLIANT | 規則會傳遞合規檢查的條件。 |
| NON\$1COMPLIANT | 規則未通過合規檢查的條件。 |
| ERROR | 其中一個必要/選用參數無效、類型不正確或格式不正確。 |
| NOT\$1APPLICABLE | 用來篩選無法套用規則邏輯的資源。例如,[alb-desync-mode-check](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html) 規則僅檢查 Application Load Balancer,並忽略 Network Load Balancer 和 Gateway Load Balancer。 |
### 規則類型
規則有兩種類型。如需規則定義和規則中繼資料結構的詳細資訊,請參閱[AWS Config 規則的元件](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_components.html)。
| **類型** | **Description** | **其他資訊** |
| --- | --- | --- |
| 受管規則 | 由 建立的預先定義、可自訂規則 AWS Config。 | 如需受管規則的清單,請參閱[AWS Config 受管規則的清單](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)。 |
| 自訂規則 | 您從頭開始建立的規則。有兩種方式可以建立 AWS Config 自訂規則:Lambda 函數 [AWS Lambda (開發人員指南](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-concepts.html#gettingstarted-concepts-function)) 和 Guard ([Guard GitHub 儲存庫](https://github.com/aws-cloudformation/cloudformation-guard)) | 如需詳細資訊,請參閱[建立 AWS Config 自訂政策規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_cfn-guard.html)和[建立 AWS Config 自訂 Lambda 規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_lambda-functions.html)。 |
### 觸發類型
將規則新增至帳戶後, 會將您的資源與規則的條件 AWS Config 進行比較。在此初始評估之後, 會在每次觸發評估時 AWS Config 繼續執行評估。評估觸發會定義為規則的一部分,而且可以包含下列類型。
| **觸發類型** | **Description** |
| --- | --- |
| 組態變更 | AWS Config 當資源符合規則的範圍,且資源的組態變更時, 會執行規則的評估。評估會在 AWS Config 傳送組態項目變更通知後執行。您可以透過定義規則的*範圍*來選擇要進行評估的資源。範圍可包含下列項目: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/config/latest/developerguide/config-concepts.html) AWS Config 會在偵測到符合規則範圍的資源變更時執行評估。您可以使用範圍來定義要進行評估的資源。 |
| 定期 | AWS Config 會依您選擇的頻率執行規則評估;例如,每 24 小時一次。 |
| 混合 | 部分規則同時具有組態變更和定期觸發條件。對於這些規則, 會在偵測到組態變更時評估您的資源,也會依您指定的頻率 AWS Config 進行評估。 |
### 評估模式
AWS Config 規則的評估模式有兩種。
| **評估模式** | **Description** |
| --- | --- |
| 主動 | 使用主動評估,在部署資源之前對其進行評估。這可讓您評估一組資源屬性是否是 COMPLIANT 或 NON\$1COMPLIANT,如果是用於定義 AWS 資源,則考慮到您在區域中帳戶中擁有的一組主動規則。 如需詳細資訊,請參閱《[評估模式](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_components.html#evaluate-config_use-managed-rules-proactive-detective)》。如需支援主動評估的受管規則清單,請參閱[依評估模式的 AWS Config 受管規則清單](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-evaluation-mode.html)。 |
| 偵測 | 使用偵測評估來評估已部署的資源。這可讓您評估現有資源的組態設定。 |
**注意**
主動規則不會修復標記為「NON\$1COMPLIANT」的資源,也不會防止部署這些資源。
## 一致性套件
一致性套件是 AWS Config 規則和修補動作的集合,可輕鬆地部署為帳戶和區域中的單一實體,或 中的整個組織 AWS Organizations。
您可以透過編寫包含 AWS Config 受管或自訂規則和修補動作之清單的 YAML 範本,來建立一致性套件。您可以使用 AWS Config 主控台或 AWS CLI來部署範本。
若要快速入門並評估您的 AWS 環境,請使用其中一個[範例一致性套件範本](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html)。您也可以根據《[自訂一致性套件](https://docs.aws.amazon.com/config/latest/developerguide/custom-conformance-pack.html)》,從頭開始建立一致性套件 YAML 檔案。自訂一致性套件是一組獨特的 AWS Config 規則和修補動作,您可以在 帳戶和 AWS 區域中一起部署,或在 中跨組織部署 AWS Organizations。
**程序檢查**是一種 AWS Config 規則,可讓您追蹤需要驗證作為一致性套件一部分的外部和內部任務。您可以將這些檢查新增至現有或新的一致性套件。您可以在單一位置追蹤所有合規,包括 urations AWS Config和手動檢查。
## 多帳戶多區域資料彙整
中的多帳戶多區域資料彙總 AWS Config 可讓您將多個帳戶和區域的組態和合規資料彙總 AWS Config 至單一帳戶。多帳戶多區域資料彙總有助於中央 IT 管理員監控企業 AWS 帳戶 中多個 的合規性。使用彙整工具不會產生任何額外費用。
### 來源帳戶
來源帳戶是您要 AWS 帳戶 從中彙總 AWS Config 資源組態和合規資料的 。來源帳戶可以是 AWS Organizations中的個別帳戶或組織。您可以個別提供來源帳戶,也可以透過 擷取來源帳戶 AWS Organizations。
### 來源區域
來源區域是您要從中彙總 AWS Config 組態和合規資料 AWS 的區域。
### 彙整工具
彙整工具會從多個來源帳戶和區域收集 AWS Config 組態和合規資料。在您要查看彙總 AWS Config 組態和合規資料的區域中建立彙總工具。
**注意**
彙總工具提供來源帳戶的*唯讀檢視*,以及授權彙總工具透過將來源帳戶的資料複寫至彙總工具帳戶來檢視的區域。彙總器不提供來源帳戶或區域的變動存取。例如,這表示您無法透過彙總工具部署規則,也無法透過彙總工具將快照檔案推送至來源帳戶或區域。
### 服務連結彙整工具
服務連結彙整工具會連結至特定 AWS 服務。範圍內的組態和合規資料是由連結的服務所設定。
### 彙整工具帳戶
彙整工具帳戶是您建立彙整工具的帳戶。
### Authorization
身為來源帳戶擁有者,授權是指您授予彙總工具帳戶和區域的許可,以收集您的 AWS Config 組態和合規資料。如果您要彙整屬於 AWS Organizations一部分的來源帳戶,則不需要授權。
# AWS與 的服務整合AWS Config
AWS Config支援與數個其他AWS服務的整合。此清單是非詳盡的。
## AWS Organizations
您可以使用AWS Organizations定義用於AWS Config多帳戶、多區域資料彙總功能的 帳戶。AWS Organizations是一種帳戶管理服務,可協助您將多個 合併AWS 帳戶到您建立並集中管理的組織。透過提供AWS Organizations詳細資訊,您可以監控整個組織的合規狀態。如需詳細資訊,請參閱*AWS Organizations《 使用者指南*》中的 [AWS Config和AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html) 。
## AWS Control Tower
AWS Control Tower會在所有註冊帳戶AWS Config上啟用 ,以便透過偵測控制、記錄資源變更,以及將資源變更日誌交付至日誌封存帳戶,來監控合規性。如需詳細資訊,請參閱*AWS Control Tower《 使用者指南*》中的[使用 監控資源變更AWS Config](https://docs.aws.amazon.com/controltower/latest/userguide/monitoring-with-config.html)。
## AWS CloudTrail
AWS Config與 整合AWS CloudTrail,以將組態變更關聯至您帳戶中的特定事件。您可以使用 CloudTrail 日誌來取得叫用變更之事件的詳細資訊,包括提出請求的人員、時間以及來自哪個 IP 地址。您可以從 CloudTrail 主控台導覽至AWS Config時間軸,以檢視與您AWS API 活動相關的組態變更。
如需詳細資訊,請參閱《 *AWS Config開發人員指南*》中的[使用 記錄AWS Config API 呼叫AWS CloudTrail](https://docs.aws.amazon.com/config/latest/developerguide/log-api-calls.html),以及[《 使用者指南》中的使用 主控台建立AWS Config組態項目的事件資料存放](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-config.html)區。 *AWS CloudTrail*
## AWS Security Hub CSPM
AWS Security Hub CSPM會集中其他AWS服務的安全檢查,包括AWS Config規則。Security Hub 可讓 和 控制AWS Config規則,以驗證您的資源組態是否符合最佳實務。在 Security Hub CSPM 為 的所有區域中的所有帳戶AWS Config上啟用 ,以對您環境的資源執行安全檢查。如需詳細資訊,請參閱*AWS Security Hub CSPM《 使用者指南*》中的[AWS將問題清單傳送到 Security Hub 的 服務](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html#integrations-internal-send)。
**有些 Security Hub CSPM 相關規則是定期的,不依賴組態項目**
有些 Security Hub CSPM 相關規則是定期的。這些規則可在未啟用組態記錄器的情況下執行,且不依賴組態項目 (CI)。
這表示如果您檢視規則頁面,則沒有列出的 CI 或支援的資源。如果選取資源 ID,您將會看到下列錯誤:`The provided resource ID and resource type cannot be found`。這是預期的行為。
## AWS Trusted Advisor
AWS Config受管規則支援所有類別的一組Trusted Advisor檢查。當您啟用特定受管規則時,會自動啟用對應的Trusted Advisor檢查。若要查看哪些Trusted Advisor檢查是由特定AWS Config受管規則提供支援,請參閱*AWS 支援《 使用者指南*》中的[AWS Trusted Advisor檢查參考](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)。
AWS Config支援 功能的檢查可供商業[AWS支援](https://aws.amazon.com/premiumsupport/plans/business/)、[AWS Enterprise On-Ramp](https://aws.amazon.com/premiumsupport/plans/enterprise-onramp/) 和 [AWS Enterprise Support](https://aws.amazon.com/premiumsupport/plans/enterprise/) 計劃的客戶使用。如果您啟用 ,AWS Config且您有其中一個AWS支援計劃,則會自動看到由對應的部署AWS Config受管規則提供支援的建議。
**不允許重新整理請求,也無法排除資源**
這些檢查的結果會根據AWS Config受管規則的變更觸發更新自動重新整理。不允許重新整理請求。目前,您無法從這些檢查中排除資源。
如需詳細資訊,請參閱*AWS 支援《 使用者指南*》中的[檢視由 提供的Trusted Advisor檢查AWS Config](https://docs.aws.amazon.com/systems-manager/latest/userguide/integrations-aws.html#integrations-aws-management-governance)。
## AWS Audit Manager
您可以使用 Audit Manager 擷取AWS Config評估做為稽核的證據。當您建立或編輯自訂控制項時,您可以將一或多個AWS Config規則指定為證據收集的資料來源映射。 會根據這些規則AWS Config執行合規檢查,而 Audit Manager 會將結果報告為合規檢查證據。如需詳細資訊,請參閱*AWS Audit Manager《 使用者指南*》中的 [AWS Config支援的規則AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-config.html)。
## AWS Systems Manager
AWS Config與 Systems Manager 整合,以記錄現場部署環境中 Amazon EC2 執行個體和伺服器上軟體的組態變更。透過此整合,您可以了解作業系統 (OS) 組態、系統層級更新、已安裝的應用程式、網路組態等。AWS Config也提供作業系統和系統層級組態變更的歷史記錄,以及 Amazon EC2 執行個體記錄的基礎設施組態變更。您可以從 Systems Manager 主控台導覽至AWS Config時間軸,以檢視受管 Amazon EC2 執行個體的組態變更。您可以使用AWS Config來檢視 Systems Manager 清查歷史記錄,並追蹤所有受管執行個體的變更。
如需詳細資訊,請參閱*AWS Systems Manager《 使用者指南*》中的[與服務整合AWS\$1 管理與控管](https://docs.aws.amazon.com/systems-manager/latest/userguide/integrations-aws.html#integrations-aws-management-governance)、[AWS Config組態記錄器](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html)和[AWS Config一致性套件部署](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-cpack.html)。
## AWS Firewall Manager
若要使用 Firewall Manager,您必須AWS Config為每個AWS Organizations成員帳戶啟用 。建立新應用程式時,防火牆管理員是建置防火牆規則、建立安全政策並一致強制執行它們的單一服務。如需詳細資訊,請參閱《》中的[啟用AWS Config](https://docs.aws.amazon.com/waf/latest/developerguide/enable-config.html) *AWS WAFAWS Firewall Manager和AWS Shield Advanced開發人員指南*》。
**注意**
Firewall Manager 依賴持續記錄來監控您的資源。如果您使用的是 Firewall Manager,建議您將記錄頻率設定為「持續」。如需持續錄製和每日錄製的詳細資訊,請參閱[錄製頻率](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency)。
## Amazon EC2 專用執行個體
AWS Config與 Amazon EC2 專用主機整合,以評估授權合規性。 在專用主機上啟動、停止或關閉執行個體時的AWS Config記錄,並將此資訊與主機 ID、Amazon Machine Image (AMI) IDs、通訊端數量和實體核心等軟體授權相關的主機和執行個體層級資訊配對。這可協助您使用AWS Config做為授權報告的資料來源。您可以從 Amazon EC2 專用主機主控台導覽至AWS Config時間軸,以檢視 Amazon EC2 專用主機的組態變更。
如需詳細資訊,請參閱《*Amazon Elastic Compute Cloud Linux 執行個體使用者指南*》中的[追蹤組態變更](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-hosts-aws-config.html),或《*Amazon Elastic Compute Cloud Windows 執行個體使用者指南*》中的[追蹤組態變更](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/dedicated-hosts-aws-config.html)。
## Application Load Balancer
AWS Config與 Elastic Load Balancing (ELB) 服務整合,以記錄 Application Load Balancer 的組態變更。AWS Config也包含與相關聯 Amazon EC2 安全群組、VPCs和子網路的關係。您可以使用此資訊進行安全性分析和疑難排解。例如,您可以隨時檢查哪些安全群組與您的 Application Load Balancer 相關聯。您可以從 ELB 主控台導覽至AWS Config時間軸,以檢視 Application Load Balancer 的組態變更。
## AWS CodeBuild
AWS Config提供AWS資源的庫存,以及這些資源的組態變更歷史記錄。AWS Config支援AWS CodeBuild; 做為AWS資源,這表示服務可以追蹤 CodeBuild 專案。如需詳細資訊,請參閱*AWS CodeBuild《 使用者指南*》中的[AWS Config搭配使用 CodeBuild 範例](https://docs.aws.amazon.com/codebuild/latest/userguide/how-to-integrate-config.html)。
## AWS X-Ray
AWS X-Ray與 整合AWS Config,以記錄對 X-Ray 加密資源所做的組態變更。您可以使用AWS Config清查 X-Ray 加密資源、稽核 X-Ray 組態歷史記錄,並根據資源變更傳送通知。如需詳細資訊,請參閱《 *AWS X-Ray開發人員指南*》中的[使用 追蹤 X-Ray 加密組態變更AWS Config](https://docs.aws.amazon.com/xray/latest/devguide/xray-api-config.html)。
## AWS Service Management Connector
AWS Service Management Connector適用於 ServiceNow 的 可以使用彙總工具來同步來自多個帳戶和區域AWS Config的資料。如需詳細資訊,請參閱《 *AWS Service Management Connector管理員指南*》中的在 [ ServiceNow AWS Config中整合](https://docs.aws.amazon.com/smc/latest/ag/sn-configue-config.html)。
## Amazon API Gateway
您可以使用AWS Config記錄對 API Gateway API 資源所做的組態變更,並根據資源變更傳送通知。保留 API Gateway 資源的組態變更歷史記錄很實用,可用於解決操作問題、稽核和合規使用案例。如需詳細資訊,請參閱《 [API Gateway 開發人員指南》中的使用 監控 API Gateway API 組態AWS Config](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-config.html)。 **
# 的區域支援 AWS Config
## 考量事項
的某些功能 AWS Config 僅支援 AWS Config 支援的 AWS 區域子集。
**資源管理**
+ 如需哪些區域支援哪些 AWS 資源類型的清單,請參閱[依區域可用性劃分的資源涵蓋](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html)範圍。
**AWS Config 規則**
+ 如需哪些區域支援哪些 AWS Config 規則的清單,請參閱[依區域可用性列出的 AWS Config 受管規則清單](https://docs.aws.amazon.com/config/latest/developerguide/managing-rules-by-region-availability.html )。
+ 如需支援組織部署 AWS Config 規則的區域清單,請參閱[組織規則 \$1 區域支援](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html#region-support-org-config-rules)。
**一致性套件**
+ 如需支援一致性套件及一致性套件組織部署的區域清單,請參閱《[一致性套件 \$1 區域支援](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html#conformance-packs-regions)。
**修復**
+ 如需支援 AWS Config 規則修補動作的區域清單,請參閱[修補動作 \$1 區域支援](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#region-support-config-remediation )。
**彙整工具**
+ 如需支援彙整工具的區域清單,請參閱《[彙總工具 \$1 區域支援](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html#aggregation-regions )》。
**進階查詢**
+ 如需支援進階查詢的區域清單,請參閱《[進階查詢 \$1 區域支援](https://docs.aws.amazon.com/config/latest/developerguide/querying-AWS-resources.html#query-regionsupport)》。
+ 如需支援進階查詢之自然語言查詢處理器的區域清單,請參閱[進階查詢的自然語言查詢處理器 \$1 區域支援](https://docs.aws.amazon.com/config/latest/developerguide/query-assistant.html#query-assistant-region-support)。
## 支援的 區域清單
下表列出您可以啟用 AWS 的區域 AWS Config。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/config/latest/developerguide/config-region-support.html)
# 的服務限制 AWS Config
下表說明其中的限制 AWS Config。除非另有說明,否則可以在請求時提高配額。您可以[要求增加配額](https://console.aws.amazon.com/servicequotas/home)。
如需 中其他限制的資訊 AWS,請參閱[AWS 服務限制](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。
**資源標籤**
| 描述 | 限制值 | 可以提高 |
| --- | --- | --- |
| 每個資源的標籤數上限 | 50 | 否 |
**AWS Config 規則**
| 描述 | 限制值 | 可以提高 |
| --- | --- | --- |
| 每個帳戶每個區域的 AWS Config 規則數目上限 | 1000 | 否 |
**單一帳戶一致性套件**
| 描述 | 限制值 | 可以提高 |
| --- | --- | --- |
| 每個帳戶的一致性套件數量上限 | 50 | 否 |
| 每個一致性套件的 AWS Config 規則數量上限 | 130 | 否 |
**注意**
AWS Config 一致性套件中的規則計算為每個帳戶每個區域的最大 AWS Config 規則數量限制。
**組織一致性套件**
| 描述 | 限制值 | 可以提高 |
| --- | --- | --- |
| 每個組織的一致性套件數量上限 | 50 | 否 |
| 每個組織一致性套件的 AWS Config 規則數目上限 | 130 | 否 |
**注意**
在組織層級部署會計入子帳戶限制。一致性套件中的 AWS Config 規則會計入每個帳戶每個區域的最大 AWS Config 規則數量限制。
**彙總工具**
| 描述 | 限制值 | 可以提高 |
| --- | --- | --- |
| 組態彙總工具的數量上限 | 50 | 是 |
| 彙總工具中的帳戶數目上限 | 10000 | 否 |
| 所有彙總工具每週新增或刪除的帳戶數目上限 | 1000 | 是 |
**注意**
組織層級彙總器和個別帳戶彙總器都會計入組態彙總器數目上限中。
**進階查詢**
| 描述 | 限制值 | 可以提高 |
| --- | --- | --- |
| 單一帳戶與區域中儲存的查詢數目上限 | 300 | 是 |
# 的補充資訊和相關資源 AWS Config
以下相關資源可協助您使用此服務。
+ **[AWS Config](https://aws.amazon.com/config/)** – 有關 資訊的主要網頁 AWS Config。
+ **[AWS Config 定價](https://aws.amazon.com/config/pricing)**
+ **[ 技術常見問答集](https://aws.amazon.com/config/faq/)**
+ **[AWS Config 規則開發套件 (RDK)](https://rdk.readthedocs.io/en/latest/)** – 一種開放原始碼工具,可協助您設定 AWS Config、編寫規則,然後使用各種 AWS 資源類型進行測試。
+ **[合作夥伴](https://aws.amazon.com/config/partners/)** – 與 完全整合的合作夥伴產品連結 AWS Config ,可協助您視覺化、監控和管理來自組態串流、組態快照或組態歷史記錄的資料。
+ [課程和研討會](https://aws.amazon.com/training/course-descriptions/) – 連結至角色型和特殊課程,以及自主安排進度的實驗室,以協助強化您的 AWS 技能並取得實際經驗。
+ [AWS 開發人員中心](https://aws.amazon.com/developer/?ref=docs_id=res1) – 探索教學課程、下載工具,並了解 AWS 開發人員事件。
+ [AWS 開發人員工具](https://aws.amazon.com/developer/tools/?ref=docs_id=res1) – 開發人員工具、SDKs、IDE 工具組和命令列工具的連結,用於開發和管理 AWS 應用程式。
+ [入門資源中心](https://aws.amazon.com/getting-started/?ref=docs_id=res1) – 了解如何設定您的 AWS 帳戶、加入 AWS 社群,以及啟動您的第一個應用程式。
+ [實用的教學課程](https://aws.amazon.com/getting-started/hands-on/?ref=docs_id=res1) - 按照逐步教學課程在 AWS上啟動第一個應用程式。
+ [AWS 白皮書](https://aws.amazon.com/whitepapers/) – 技術 AWS 白皮書的完整清單連結,涵蓋架構、安全和經濟等主題,並由 AWS Solutions Architects 或其他技術專家撰寫。
+ [AWS 支援 中心](https://console.aws.amazon.com/support/home#/) – 建立和管理 AWS 支援 案例的中樞。也包含其他實用資源的連結,例如論壇、技術FAQs、服務運作狀態和 AWS Trusted Advisor。
+ [支援](https://aws.amazon.com/premiumsupport/) – 有關one-on-one、快速回應支援管道的資訊的主要網頁 支援,可協助您在雲端中建置和執行應用程式。
+ [聯絡我們](https://aws.amazon.com/contact-us/) – 查詢有關 AWS 帳單、帳戶、事件、濫用與其他問題的聯絡中心。
+ [AWS 網站條款](https://aws.amazon.com/terms/) – 有關我們的著作權和商標、您的帳戶、授權和網站存取,以及其他主題的詳細資訊。
## AWS 適用於 的軟體開發套件 AWS Config
AWS 軟體開發套件 (SDK) 可讓您更輕鬆地建置應用程式,以存取經濟實惠、可擴展且可靠的 AWS 基礎設施服務。透過 AWS 開發套件,您可以在幾分鐘內開始使用可下載的單一套件,其中包括程式庫、程式碼範例和參考文件。下表列出可用於 AWS Config 以程式設計方式存取SDKs 和第三方程式庫。
****
| 存取類型 | 描述 |
| --- | --- |
| AWS SDKs | AWS 提供下列 SDKs: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/config/latest/developerguide/cloudconfig-resources.html) |
| 第三方程式庫 | AWS 開發人員社群中的開發人員也提供自己的程式庫,您可以在下列 AWS 開發人員中心找到這些程式庫: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/config/latest/developerguide/cloudconfig-resources.html) |