如何佈建AWS Config?
1.找到Config

2.側邊選單選擇Settings

3.還沒有任何組態被記錄，按Edit

4.這裡可以選擇要記錄你現在region內的所有資源或是特定資源，如果是選擇所有資源可以選擇是否連Global的資源，如:IAM一起記錄；如果是特定資源，你可以自行選擇。
Data retention period可以指定組態的保留天數或是選擇最常保留時間7年(2557天)。AWS Config role你可以選擇現有的Config role或是從你帳號自建的role來選。

5.接下來你可以選擇Config被存在現有的S3 Bucket、新建一個S3 Bucket或是其他帳號的S3 Bucket。
當組態有變動時，你可以透過SNS傳送Email到你的信箱，這裡一樣可以選擇現有的、新建一個或是其他帳號的SNS Topic。
最後按下Save就完成了

如何建立Rules?
Config rule能透過AWS代管或是您自定的規則來監控組態，目前一個帳號預設可設定150條rule。

1.側邊選單選擇Rules

2.按Add rule

3.這裡可選擇AWS 代管規則或是自定規則，選擇AWS 代管規則可從下面列表選擇，選擇完按Next；若選擇自定則直接按Next

4.選擇AWS 代管規則，Detail欄位會自動帶入；自定須自行填寫名稱、敘述以及你要靠哪一隻Lambda來幫你執行監控

5.Trigger，選擇AWS代管規則，你可以選擇多久要執行一次；自訂除了可以多久執行一次，你還可以選擇當組態變化，裡面又有三項1.只要有變更就紀錄2.只有資源變動3.Tag變動

6.最後確認完後就按Add rule，就完成了

AWS Config Dashboard
在你設置完規則以及Config監控的組態後，Config會開始掃描你系統內的變化並顯示在Dashboard上，你可以看到那些資源目前是違反規則的狀態。

1.選擇側邊選單Dashboard

2.就可以看到目前帳戶中組態哪些是不合規的

3.點進去每一項，會有找出事件的詳細敘述

小結
Config能幫你紀錄服務的組態，其實是個非常方便的服務，有時候公司雲端資源有變動管理人員需要扮演柯南去查到底是不是未經授權或是不小心開啟/關閉服務，Config就能夠幫助他們來進行相關調查。
很多人可能覺得為什麼要講Config?因為接下來我們將進到Security Hub，而啟用Security Hub的先決條件就是啟用Config。