Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Amazon Config 控件

这些控制措施与 Amazon Config 资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息，请参阅 按地区划分的控件可用性。

Amazon Config 应启用 [Config.1] 并使用服务相关角色进行资源记录

相关要求：独联体 Amazon 基金会基准 v1.2.0/2.5、CIS 基金会基准 v1.4.0/3.5、CIS Amazon 基金会基准 v3.0.0/3.3、nist.800-53.r5 CM-3、nist.800-53.r5 CM-6 (1)、nist.800-53.r5 CM-8 (2)、PCI Amazon DSS v3.2.r5 (2) 1/10.5.2，PCI DSS v3.2.1/11.5

类别：识别 > 清单

严重性：中

资源类型：AWS::::Account

Amazon Config 规则：无（自定义 Security Hub 规则）

计划类型：定期

参数：无

此控件检查您的账户当前 Amazon Config 是否已启用 Amazon Web Services 区域，记录与当前区域中启用的控件对应的所有资源，并使用服务相关 Amazon Config 角色。如果您不使用服务相关角色，则控制将失败，因为其他角色可能不具备准确记录您的资源的必要权限。 Amazon Config

该 Amazon Config 服务对您的账户中支持的 Amazon 资源执行配置管理，并向您提供日志文件。记录的信息包括配置项目（Amazon 资源）、配置项目之间的关系以及资源中的任何配置更改。全球资源是指任何地区都可用的资源。

该控件的评估方式如下：

控制结果不受您选择每天还是连续记录资源状态变化的影响 Amazon Config。但是，如果您配置了自动启用新控件或具有自动启用新控件的中央配置策略，则在发布新控件时，此控件的结果可能会发生变化。在这些情况下，如果您不记录所有资源，则必须为与新控件关联的资源配置录制才能收到PASSED调查结果。

Security Hub 安全检查只有 Amazon Config 在所有区域中启用并针对需要它的控件配置资源记录时，才能按预期运行。

修复

有关必须为每个控件记录哪些资源的列表，请参阅Amazon Config 生成控制结果所需的资源。

在主区域和不属于聚合器的区域中，记录当前区域中启用的控件所需的所有资源，包括 IAM 全球资源（如果您启用了需要 IAM 全球资源的控件）。

在关联的区域中，只要您 Amazon Config 录制的是与当前区域中启用的控件相对应的所有资源，您就可以使用任何录制模式。在关联区域中，如果您启用了需要记录 IAM 全球资源的控件，则不会收到FAILED调查结果（您记录的其他资源就足够了）。

要启用 Amazon Config 和配置它以记录资源，请参阅《Amazon Config 开发者指南》中的控制台设置 Amazon Config。您也可以使用 Amazon CloudFormation 模板来自动执行此过程。有关更多信息，请参阅《Amazon CloudFormation 用户指南》中的Amazon CloudFormation StackSets 示例模板。