AWS Control Tower в  каждом аккаунте конфигурирует SNS топик в центральном Audit аккаунте как AWS Config delivery channel. Разумно. Дальше начинается странное. Тоже в каждом аккаунте еще заводится следующее:

- AWS EventBridge правило , которое матчит "Compliance Change" событие от AWS Config
- target этого правила - местный (внутри аккаунта) SNS топик
- на SNS топик повешана лямба, которая шлёт всё  в  другой SNS топик в центральном Audit аккаунте.

Почему так заковыристо? Ведь:
-  можно просто сделать AWS Config Aggregator внутри организации и получать всё в одном месте без всяких SNS
- ну ОК, если вдруг нельзя, то можно из AWS EventBridge в каждом аккаунте слать в SNS топик напрямую в центральном аккаунте
- ну ОК, если вдруг и это нельзя, то можно из AWS Event Bridge в каждом аккаунте дёргать сразу  лямбду, зачем через локальный SNS топик делать?

"все" и "Compliance Change" не одно и тоже

конечно, "Compliance Change" евент уже есть во "всё". Даже если хочется именно его отфильтровать, то описал (теоретические, сам не пробовал) способы сделать это без лямбды

Подключайтесь с 2 по 17 декабря к бесплатным Twitch-стримам, на которых ведущие русскоязычные архитекторы AWS вместе с вами обсудят новинки и анонсы конференции AWS re:Invent 2020. Приходите и участвуйте в обсуждении всего самого интересного и полезного, что будет объявлено на мероприятии - от контейнеров и serverless, до инфраструктуры, баз данных и машинного обучения - https://rureinventawsrecaps2020.splashthat.com/

re:Invent SessionCatalog делали люди, которые им не собираются пользоваться. Это ужас какой-то: нету фильтров языков докладов,  надо прокликивать в двадцать раз, чтобы подгрузить все сессии (чтобы поиск по Ctrl+F работал) . Нельзя прямо на сайте составить расписание посещения для себя как  и нельзя увидеть где есть перекрытие по времени,  приходитеся делать через календарь