AWS Config 完整部署手册：启用、合规对账、费用优化

AWS Config 完整部署手册：启用、合规对账、费用优化

Photo by cottonbro studio on Pexels

在东南亚开展业务的中国出海企业，正面临越来越严格的本地化合规要求。无论是新加坡 MAS 的外包评估、印尼 OJK 的金融科技监管，还是马来西亚 BNM 的银行 IT 审计，云端资源配置的可审计性已从"加分项"变为"必选项"。对于负责基础设施决策的 CTO 和 CIO 来说，如何在 AWS 上建立一套可持续、合规可查的配置管理机制，是当前最紧迫的课题之一。

Agilewing（敏捷云）作为首家获得 APN Security 资质的合作伙伴，在 AWS 合规架构设计与 MSP 托管领域积累了丰富经验。本文以 AWS Config 为核心，提供从启用到合规对账的完整操作手册，为 SEA 出海企业的云端治理提供可落地的参考路径。

AWS Config 在出海合规体系中的角色

AWS Config 是 AWS 原生的配置记录与合规评估服务。其核心功能可以概括为三项：持续记录 AWS 资源在不同 Region 下的配置状态变更；在变更触发时生成结构化的 Configuration Item（CI）；基于预置或自定义规则对资源配置进行合规性评估。

从合规视角看，AWS Config 为企业提供的是一份可追溯、可审计的配置时间线。对于需要向监管机构证明"外包服务商具备配置管理能力"的出海企业，这套机制直接对应 MAS Notice 658 等监管文件中的外包评估要求。无论是 IAM 密码策略检查、S3 存储桶加密验证，还是 VPC 安全组默认规则审计，AWS Config 都能提供持续性的自动评估能力，而无需依赖人工巡检。

根据 AWS 官方文档，AWS Config 按 Configuration Item 数量计费，标准价格约为每个 CI $0.003，另有评估规则的使用费用。SEA 出海企业在启动配置管理之前，建议先完成环境规模评估，避免不必要的成本浪费。

第一阶段：启用基础配置与 Aggregator 部署

AWS Config 是 Region 级别的服务，这意味着在每个需要管理的 AWS Region 中，都需要单独启用 Config。建议出海企业首先梳理当前 AWS Organization 中的账户结构和 Region 分布，从核心生产 Region 开始逐步推广。

启用步骤的第一环节是在 Organizations 的 Master Account 中配置 Config Aggregator。这一步是跨账户统一合规管理的关键——Aggregator 可以聚合所有 Member Account 的配置数据，在单一控制台中呈现全局合规视图。对于管理多个 AWS Account 的大型企业，这一能力直接影响合规团队的日常运营效率。

第二步是选择需要启用的 Config Rules。AWS 提供超过 200 条托管规则，涵盖加密、访问控制、标签合规等常见场景。建议出海企业的第一批规则聚焦三类：

• 加密类：S3 存储桶服务端加密、EBS 卷加密、RDS 数据库加密检查
• 访问控制类：IAM 密码策略、安全组默认规则关闭状态检查
• 标签合规类：资源标签完整性与规范性审计

启用初期建议采用审计模式（仅评估，不触发自动修复），待团队充分理解规则影响后再开启 Auto-Remediation，避免意外的运维事故。首批 Region 从启用到完成基础规则部署，典型工时为 2 至 4 小时。

第二阶段：合规对账与报告生成

Photo by Hobi Photography on Pexels

配置启用后的第三个工作日起，AWS Config 已积累足够的 CI 数据，此时可以启动正式的合规对账工作。

对账数据的导出路径主要有三种：通过 S3 Bucket 接收 Config Snapshot，使用 Athena 对历史合规状态进行 SQL 查询；通过 Config Aggregator 控制台查看当前各账户、各规则的合规状态概览；通过 EventBridge 将合规状态变更事件推送至 CloudWatch Alarm 或 SNS 告警通道，实现实时通知。

对于需要向监管机构提交合规报告的企业，建议建立月度合规报告机制。报告内容通常包括：各 Config Rule 的合规率趋势图、非合规资源的具体清单及修复计划、配置变更的完整时间线。Agilewing 这类持有 APN Security 认证的 MSP 合作伙伴，通常可以承接这一持续性运维工作，与企业内部的合规团队协作，将 Config 数据转化为标准化的合规交付物。

从实际经验来看，首次合规对账报告的生成通常需要 13 至 17 小时，包括数据校验、报告撰写与管理层的 Review 环节。

第三阶段：成本优化与规模治理

Photo by fauxels on Pexels

AWS Config 的成本会随 AWS 资源规模线性增长。对于管理 47 个 AWS Account、每个 Account 约 230 个 AWS 资源的企业，Config 月度费用大约在 $470 至 $940 美元区间。这一成本对成本敏感的出海企业而言，是需要主动管理的项目。

降低 Config 费用的核心策略有两种。第一种是选择性 Region 覆盖——仅在生产关键 Region 启用 Config，非生产 Region 推迟启用或关闭。第二种是选择性 Resource Recorder 配置——排除高频变化且合规敏感度低的资源类型（如 CloudWatch Logs），减少不必要的 CI 记录数量。

合理的配置可以让合规覆盖与成本控制达到平衡。建议企业在启用 Config 后的第一周，导出 CI 数量报告，分析资源类型的分布与变化频率，据此优化 Recorder 配置。

东南亚出海企业实施 AWS Config 的实务建议

基于多个 SEA 出海企业的实际部署经验，Agilewing 的建议可以归纳为三个阶段：

第一，评估与设计阶段（第 1 至 2 周）。完成 AWS 环境现况盘点，梳理 Account 结构、Region 分布、主要资源类型，并结合业务合规需求确定 Config 覆盖范围与首批 Rules 清单。此阶段产出完整的技术设计文档。

第二，PoC 与验证阶段（第 3 至 4 周）。在单个 Account 的单个 Region 中完成 Config 启用，验证 CI 记录数量、规则触发准确性与报告导出流程。确认无误后，制定跨账户推广计划。

第三，持续运营阶段（第 5 周起）。建立定期合规 Review 机制，将 Config 报告纳入月度运维流程。并行推进团队 AWS Cloud Practitioner 认证，提升整体云端合规意识。参考 AWS 官方培训数据，拥有 17 至 47 人云端团队规模的 SEA 企业，从启动 Cloud Practitioner 培训到 80% 成员通过认证，典型周期为 11 至 17 周。

对于希望系统提升团队云端能力的出海企业，与持有 APN Security 认证的合作伙伴协作组织内部培训，通常可以将备考周期压缩约 30%，特别是结合企业实际 AWS 工作负载场景的 Mock Case Study，效果尤为显著。

FAQ：AWS Config 高频问题解答

Q：AWS Config 和 AWS CloudTrail 有何区别？
A：CloudTrail 记录 API 操作日志，关注"谁在什么时间调用了什么 API"；AWS Config 记录资源配置状态变更，关注"某个资源在某个时间点的配置是什么"。两者互补——CloudTrail 提供操作审计，Config 提供配置合规，两者共同构成完整的云端可审计性基础。

Q：一个 AWS Account 中可以启用多少条 Config Rules？
A：AWS 没有硬性上限，但托管规则按评估次数计费。建议首批启用 10 至 20 条核心规则，覆盖加密、访问、标签三大类；后续根据合规需求逐步扩展。

Q：AWS Config 的合规评估结果可以自动修复吗？
A：可以。通过 Config Rule 的 Auto-Remediation 功能，在触发非合规状态时自动调用 SSM Automation Document 执行修复。但建议初期采用审计模式，由运维团队人工确认每条规则的影响后再开启自动修复。

Q：非 AWS 原生资源可以通过 AWS Config 管理吗？
A：可以通过 AWS Config Rules SDK 编写自定义规则，调用外部 API 验证第三方资源（如阿里云 OSS、Azure Resource）的配置状态。这对采用多云架构的出海企业尤为重要。

如需进一步了解 Agilewing 如何协助您的企业构建完整的 AWS 合规治理体系，欢迎联系我们的技术顾问，获取针对性的评估方案。