本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Config 术语和概念
<a name="config-concepts"></a>

为了帮助您理解 Amazon Config，本主题解释了一些关键概念。

**Contents**
+ [Amazon Config 接口](#config-concepts-manage)
  + [Amazon Config 控制台](#config-concepts-console)
  + [Amazon Config CLI](#config-concepts-cli)
  + [Amazon Config APIs](#config-concepts-api)
  + [Amazon Config SDKs](#config-concepts-sdk)
+ [资源管理](#config-platform-concept)
  + [Amazon Resources](#aws-resources)
  + [资源关系](#resource-relationship)
+ [配置记录器](#config-recorder)
+ [传输通道](#delivery-channel)
  + [配置项](#config-items)
  + [配置历史](#config-history)
  + [配置快照](#config-snapshot)
  + [配置流](#config-stream)
+ [Amazon Config 规则](#aws-config-rules)
  + [评估结果](#aws-config-managed-rules-evaluation-results)
  + [规则类型](#aws-config-managed-rules-type)
  + [触发器类型](#aws-config-rules-trigger)
  + [评估模式](#aws-config-rules-proactive-detective)

## Amazon Config 接口
<a name="config-concepts-manage"></a>

### Amazon Config 控制台
<a name="config-concepts-console"></a>

您可以使用 Amazon Config 控制台管理服务。有关更多信息 Amazon Web Services 管理控制台，请参阅[Amazon Web Services 管理控制台](https://docs.amazonaws.cn/awsconsolehelpdocs/latest/gsg/getting-started.html)。

### Amazon Config CLI
<a name="config-concepts-cli"></a>

 Amazon Command Line Interface 是一个统一的工具，可用于 Amazon Config 从命令行与之交互。有关更多信息，请参阅 [Amazon Command Line Interface 《用户指南》](https://docs.amazonaws.cn/cli/latest/userguide/)。有关 C Amazon Config LI 命令的完整列表，请参阅[可用命令](https://docs.amazonaws.cn/cli/latest/reference/configservice/index.html)。

### Amazon Config APIs
<a name="config-concepts-api"></a>

除了控制台和 CLI 之外，您还可以 Amazon Config 直接使用 Amazon Config RESTful APIs 进行编程。有关更多信息，请参阅 [Amazon Config API 参考](https://docs.amazonaws.cn/config/latest/APIReference/)。

### Amazon Config SDKs
<a name="config-concepts-sdk"></a>

除了使用 Amazon Config API 之外，您还可以使用其中一个 Amazon SDKs。每个软件开发工具包均包含适用于各种编程语言和平台的库和示例代码。 SDKs 提供了一种创建编程访问权限的便捷方式 Amazon Config。例如，您可以使用对请求 SDKs 进行加密签名、管理错误和自动重试请求。有关更多信息，请参阅[用于 Amazon Web Services 的工具](https://www.amazonaws.cn/tools/)页面。

## 资源管理
<a name="config-platform-concept"></a>

了解的基本组成部分 Amazon Config 将有助于您跟踪资源清单和更改，并评估 Amazon 资源的配置。

### Amazon Resources
<a name="aws-resources"></a>

*Amazon 资源*是您使用、 Amazon Command Line Interface (CLI) Amazon Web Services 管理控制台 Amazon SDKs、或 Amazon 合作伙伴工具创建和管理的实体。 Amazon 资源示例包括亚马逊 EC2 实例、安全组 VPCs、亚马逊和亚马逊弹性区块存储。 Amazon Config 使用其唯一标识符来指代每种资源，例如资源 ID 或 A [mazon 资源名称 (ARN](https://docs.amazonaws.cn/general/latest/gr/glos-chap.html#ARN))。有关 Amazon Config 支持的资源类型的列表，请参阅[支持的资源类型 Amazon Config](resource-config-reference.md)。

### 资源关系
<a name="resource-relationship"></a>

Amazon Config 发现您账户中的 Amazon 资源，然后创建 Amazon 资源之间的关系图。例如，关系可能包括附加到与安全组 `sg-ef678hk` 关联的 Amazon EC2 实例 `i-a1b2c3d4` 的 Amazon EBS 卷。`vol-123ab45d`

有关更多信息，请参阅 [支持的资源类型 Amazon Config](resource-config-reference.md)

## 配置记录器
<a name="config-recorder"></a>

**配置记录器以配置项的形式存储资源类型的配置更改。有关更多信息，请参阅 [使用配置记录器](stop-start-recorder.md)

有两种类型的配置记录器。


| **Type** | **描述** | 
| --- | --- | 
| 客户管理的配置记录器 | 您管理的配置记录器。范围内的资源类型由您设置。默认情况下，客户管理的配置记录器会在运行 Amazon Web Services 区域 位置 Amazon Config 中记录所有支持的资源。 | 
| 服务相关配置记录器 | 链接到特定的配置记录器 Amazon Web Services 服务。范围内的资源类型由相关服务设置。 | 

## 传输通道
<a name="delivery-channel"></a>

由于 Amazon Config 持续记录您的 Amazon 资源发生的变化，它会通过*交付渠道*发送通知和更新的配置状态。您可以管理交付渠道以控制配置更新的 Amazon Config 发送位置。

### 配置项
<a name="config-items"></a>

*配置项目*表示您账户中存在的受支持 Amazon 资源的各种属性的 point-in-time视图。配置项目的组件包括元数据、属性、关系、当前配置和相关事件。 Amazon Config 每当它检测到正在记录的资源类型发生变化时，都会创建一个配置项目。例如，如果 Amazon Config 正在记录 Amazon S3 存储桶，则每当创建、更新或删除存储桶时，都会 Amazon Config 创建一个配置项目。您也可以选择 Amazon Config 以您设置的录制频率创建配置项目。

有关更多信息，请参阅[配置项的组成部分](config-item-table.md)和[记录频率](https://docs.amazonaws.cn/config/latest/developerguide/select-resources-recording-frequency.html)。

### 配置历史
<a name="config-history"></a>

*配置历史记录*是指定资源在某个时间段的配置项集合。配置历史记录包含多种信息，例如资源首次创建的时间、过去一个月的资源配置情况以及昨天上午 9 点发生了哪些配置更改等。配置历史记录有多种格式可供您使用。 Amazon Config 自动将正在记录的每种资源类型的配置历史记录文件传输到您指定的 Amazon S3 存储桶。您可以在 Amazon Config 控制台中选择给定资源，然后使用时间轴导航到该资源的所有先前配置项目。此外，您还可以从 API 访问资源的历史配置项。

有关更多信息，请参阅[查看合规性历史记录](https://docs.amazonaws.cn/config/latest/developerguide/view-manage-resource-console.html)和[查询合规性历史记录](https://docs.amazonaws.cn/config/latest/developerguide/quering-resource-compliance-history.html)。

### 配置快照
<a name="config-snapshot"></a>

*配置快照*是您账户中受支持资源的配置项的集合。配置快照可以完整展示被记录的资源及其配置的相关信息。配置快照是验证您的配置的有效工具。例如，您可以定期检查配置快照，以便找出配置错误的资源或可能不应存在的资源。配置快照具有多种格式。您可以将配置快照传输到您指定的 Amazon Simple Storage Service（Amazon S3）存储桶。此外，您还可以在 Amazon Config 控制台中选择一个时间点，并使用资源之间的关系浏览配置项目的快照。

有关更多信息，请参阅[传送配置快照](https://docs.amazonaws.cn/config/latest/developerguide/deliver-snapshot-cli.html)、[查看配置快照](https://docs.amazonaws.cn/config/latest/developerguide/view-configuration-snapshot.html)和[示例配置快照](https://docs.amazonaws.cn/config/latest/developerguide/example-s3-snapshot.html)。

### 配置流
<a name="config-stream"></a>

*配置流*是自动更新的列表，列出了 Amazon Config 正在录制的资源的所有配置项目。每当资源被创建、修改或删除时， Amazon Config 会创建一条配置项并将其添加到配置流。配置流使用您选择的 Amazon Simple Notification Service（Amazon SNS）主题工作。配置流有助于观察配置更改的发生，这样您就可以发现潜在的问题，在某些资源发生更改时生成通知，或者更新需要反映 Amazon 资源配置的外部系统。

## Amazon Config 规则
<a name="aws-config-rules"></a>

 Amazon Config 规则是一种合规性检查，可帮助您管理特定 Amazon 资源的理想配置设置。 Amazon Config 评估您的资源配置是否符合相关规则并显示合规性结果。

### 评估结果
<a name="aws-config-managed-rules-evaluation-results"></a>

 Amazon Config 一条规则有四种可能的评估结果。


| **评估结果** | **描述** | 
| --- | --- | 
| COMPLIANT | 规则通过了合规性检查的条件。 | 
| NON\_COMPLIANT | 此规则未通过合规性检查的条件。 | 
| ERROR | 其中一个 required/optional 参数无效、类型不正确或格式不正确。 | 
| NOT\_APPLICABLE | 用于筛选出无法应用规则逻辑的资源。例如，该[alb-desync-mode-check](https://docs.amazonaws.cn/config/latest/developerguide/alb-desync-mode-check.html)规则仅检查应用程序负载均衡器，而忽略网络负载均衡器和网关负载均衡器。 | 

### 规则类型
<a name="aws-config-managed-rules-type"></a>

有两种类型的规则。有关规则定义和规则元数据结构的更多信息，请参阅[Amazon Config 规则的组成部分](https://docs.amazonaws.cn/config/latest/developerguide/evaluate-config_components.html)。


| **Type** | **描述** | **更多信息** | 
| --- | --- | --- | 
| 托管规则 | 由创建的预定义、可自定义的规则 Amazon Config。 | 有关托管规则的[列表，请参阅 Amazon Config 托管规则](https://docs.amazonaws.cn/config/latest/developerguide/managed-rules-by-aws-config.html)列表。 | 
| 自定义规则 | 您从头开始创建的规则。有两种创建 Amazon Config 自定义规则的方法：Lambda 函数（[Amazon Lambda 开发者指南](https://docs.amazonaws.cn/lambda/latest/dg/gettingstarted-concepts.html#gettingstarted-concepts-function)）和 Guard（[防护 GitHub](https://github.com/aws-cloudformation/cloudformation-guard)存储库） | 有关更多信息，请参阅[创建 Amazon Config 自定义策略规则和创建 Amazon Config 自定义](https://docs.amazonaws.cn/config/latest/developerguide/evaluate-config_develop-rules_cfn-guard.html) [Lambda](https://docs.amazonaws.cn/config/latest/developerguide/evaluate-config_develop-rules_lambda-functions.html) 规则。 | 

### 触发器类型
<a name="aws-config-rules-trigger"></a>

向账户添加规则后， Amazon Config 将您的资源与规则的条件进行比较。在这次初始评估之后，每次触发评估时都会 Amazon Config 继续运行评估。规则中会定义评估触发器，可以包括以下类型。


| **触发器类型** | **描述** | 
| --- | --- | 
| 配置更改 | Amazon Config 当存在与规则范围匹配的资源并且资源的配置发生变化时，会对规则进行评估。评估将在 Amazon Config 发送配置项目变更通知后运行。通过定义规则的*范围*来选择哪些资源启动评估。范围可以包括：[See the AWS documentation website for more details](http://docs.amazonaws.cn/config/latest/developerguide/config-concepts.html)<br />Amazon Config 当它检测到与规则范围相匹配的资源发生变化时，就会运行评估。您可以使用范围来定义哪些资源启动评估。 | 
| 定期 | Amazon Config 按您选择的频率对规则进行评估；例如，每 24 小时运行一次。 | 
| 混合 | 有些规则既有配置更改也有定期触发器。对于这些规则，它 Amazon Config 会在检测到配置更改时以及按照您指定的频率评估您的资源。 | 

### 评估模式
<a name="aws-config-rules-proactive-detective"></a>

 Amazon Config 规则有两种评估模式。


| **评估模式** | **描述** | 
| --- | --- | 
| 主动 | 使用主动评估在资源部署之前对其进行评估。这使您可以评估一组资源属性（如果用于定义 Amazon 资源）是合规还是不合规，因为您所在地区的账户中有一组主动规则。<br />有关更多信息，请参阅[评估模式](https://docs.amazonaws.cn/config/latest/developerguide/evaluate-config_components.html#evaluate-config_use-managed-rules-proactive-detective)。有关支持主动评估的托管规则[列表，请参阅按评估模式列出的 Amazon Config 托管规则](https://docs.amazonaws.cn/config/latest/developerguide/managed-rules-by-evaluation-mode.html)列表。 | 
| 侦查 | 使用侦查评估来评估已部署的资源。这允许您评估现有资源的配置设置。 | 

**注意**  
主动规则不会修复标记为 NON\_COMPLIANT 的资源，也不会阻止部署这些资源。