本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
組態記錄器會將範圍中的資源類型的組態變更儲存為組態項目 CIs)。
組態記錄器有兩種類型。
| 類型 | Description |
|---|---|
| 客戶受管組態記錄器 | 您管理的組態記錄器。範圍內的資源類型由您設定。根據預設,客戶受管組態記錄器會在 AWS Config 執行 AWS 區域 的 中記錄所有支援的資源。 |
| 服務連結組態記錄器 | 連結至特定 的組態記錄器 AWS 服務。範圍內的資源類型由連結的服務設定。 |
主題
客戶受管組態記錄器的考量
每個區域每個帳戶一個客戶受管組態記錄器
每個 只能有一個客戶受管組態記錄器 AWS 帳戶 AWS 區域。
預設為記錄所有支援的資源類型,不包括全域 IAM 資源類型
客戶受管組態記錄器的預設值是記錄所有支援的資源類型,不包括下列全域 IAM 資源類型:AWS::IAM::Group、AWS::IAM::Role、 AWS::IAM::Policy和 AWS::IAM::User 您可以指定要包含或排除在記錄外的資源類型。
如需詳細資訊,請參閱使用 錄製 AWS 資源 AWS Config。
使用客戶受管組態記錄器需支付服務費用
使用客戶受管組態記錄器 AWS Config 開始記錄組態時,需支付使用費。
如需定價資訊,請參閱 AWS Config
定價
AWS Systems Manager 使用 在整個組織中建立客戶受管組態記錄器
您可以使用 AWS Systems Manager Quick Setup 跨多個組織單位 (OUs) 建立客戶受管組態記錄器, AWS 區域 並使用 AWS 最佳實務。
如需詳細資訊,請參閱 Systems Manager 使用者指南中的使用快速設定建立 AWS Config 組態記錄器。
重要
政策和合規結果
在 中管理的 IAM 政策和其他政策可能會影響 是否 AWS Config 具有記錄資源組態變更的許可。 AWS Organizations此外,規則會直接評估資源的組態,而規則在執行評估時不會考慮這些政策。確定有效政策符合您打算使用的方式 AWS Config。
如果組態記錄器已關閉,已刪除資源的過時評估結果可能會持續存在
如果客戶受管組態記錄器已關閉,則會停用 AWS Config Config 追蹤您指定資源組態變更的功能,包括其刪除。這表示您可能會看到在客戶受管組態記錄器關閉時,資源的過時評估結果,因為如果未開啟記錄,則 AWS Config 無法擷取刪除事件。
服務連結組態記錄器的考量事項
必須使用 AWS Config 服務連結角色
AWS Config 服務連結組態記錄器需要 服務連結角色。
如需詳細資訊,請參閱使用 AWS Config的服務連結角色。
服務連結組態記錄器一律正在記錄
您無法停止或開始記錄服務連結組態記錄器。若要停止錄製,您必須刪除服務連結組態記錄器。
如需詳細資訊,請參閱刪除組態記錄器。
記錄範圍會判斷您是否收到組態項目
錄製範圍是由連結至組態記錄器的服務所設定,並決定您是否在交付管道中接收組態項目 (CIs)。如果錄製範圍是內部,則不會在交付管道中收到 CIs。
記錄範圍會判斷是否向您收取服務費用
記錄範圍是由連結至組態記錄器的服務所設定,並決定範圍內的組態項目 (CIs) 是免費記錄 (INTERNAL),還是影響帳單 (PAID) 的成本。
組態記錄器的偏離偵測
AWS::Config::ConfigurationRecorder 資源類型是組態記錄器的組態項目 (CI),可追蹤組態記錄器狀態的所有變更。您可以使用此 CI 來檢查組態記錄器的狀態是否與先前狀態不同,或已漂移。
例如,此 CI 會追蹤您已啟用 AWS Config 追蹤的資源類型更新、是否已停止或啟動組態記錄器,或者您是否已刪除或解除安裝組態記錄器。已漂移的組態記錄器會指出您未準確偵測預期資源類型的變更。如果您的組態記錄器已經漂移,這可能會導致誤判為非或誤判為真的合規結果。
AWS::Config::ConfigurationRecorder 資源類型是 的系統資源類型, AWS Config 且預設會在所有支援的區域中啟用此資源類型的記錄。AWS::Config::ConfigurationRecorder 資源型態的記錄不會收取額外的費用。
