Servicio que evalúa y audita continuamente la configuración de los recursos AWS frente a reglas definidas. Registra el historial de cambios de configuración y puede remediar automáticamente incumplimientos.
En CLF-C02 y SAA-C03 complementa a CloudTrail: Config registra "cómo está configurado el recurso ahora y cómo ha cambiado"; CloudTrail registra "qué acción se realizó". Útil para cumplimiento: "¿todos los S3 tienen el cifrado activado?"