Cómo AWS Config funciona - AWS Config
Entrega de elementos de configuración

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo AWS Config funciona

Al activarla AWS Config, primero descubre los AWS recursos compatibles que existen en tu cuenta y genera un elemento de configuración para cada recurso.

AWS Config también genera elementos de configuración cuando cambia la configuración de un recurso y mantiene registros históricos de los elementos de configuración de los recursos desde el momento en que se inicia el registrador de configuración. De forma predeterminada, AWS Config crea elementos de configuración para todos los recursos compatibles de la región. Si no desea AWS Config crear elementos de configuración para todos los recursos compatibles, puede especificar los tipos de recursos de los que quiere que haga un seguimiento.

Antes de especificar el tipo de recurso del que se AWS Config va a realizar el seguimiento, compruebe la cobertura de los recursos por región y la disponibilidad para comprobar si el tipo de recurso es compatible con la AWS región en la que va a realizar la configuración AWS Config. Si al menos una región admite un tipo de recurso, puede habilitar el registro de ese tipo de recurso en todas las regiones compatibles AWS Config, incluso si el tipo de recurso especificado no es compatible con la AWS región en la que está configurando AWS Config. AWS Config

AWS Config realiza un seguimiento de todos los cambios en sus recursos mediante la llamada a la API Describe o List para cada recurso de su cuenta. El servicio utiliza las mismas llamadas al API para capturar los detalles de la configuración de todos los recursos relacionados.

Por ejemplo, al eliminar una regla de salida de un grupo de seguridad de VPC, se invoca una AWS Config llamada a la API Describe en el grupo de seguridad. AWS Config a continuación, invoca una llamada a la API Describe en todas las instancias asociadas al grupo de seguridad. Las configuraciones actualizadas del grupo de seguridad (el recurso) y de cada instancia (los recursos relacionados) se registran como elementos de configuración y se entregan en un flujo de configuración en un bucket de Amazon Simple Storage Service (Amazon S3).

AWS Config también realiza un seguimiento de los cambios de configuración que no fueron iniciados por la API. AWS Config examina las configuraciones de los recursos periódicamente y genera elementos de configuración para las configuraciones que han cambiado.

Si utiliza AWS Config reglas, evalúa AWS Config continuamente las configuraciones de los AWS recursos para determinar la configuración deseada. Según la regla, AWS Config evaluará sus recursos en respuesta a los cambios de configuración o de forma periódica. Cada regla está asociada a una función AWS Lambda que contiene la lógica de evaluación de la regla. Al AWS Config evaluar los recursos, invoca la función de la AWS Lambda regla. La función devuelve el estado de conformidad de los recursos evaluados. Si un recurso infringe las condiciones de una regla, AWS Config marca el recurso y la regla como no conformes. Cuando el estado de conformidad de un recurso cambia, AWS Config envía una notificación a tu tema de Amazon SNS. La siguiente imagen muestra un resumen de cómo AWS Config funciona.

Cómo AWS Config funciona.
nota

No puedo ver mis últimos cambios de configuración

AWS Config por lo general, registra los cambios de configuración en los recursos inmediatamente después de que se detecta un cambio o con la frecuencia que usted especifique. Sin embargo, esto se hace con el máximo esfuerzo y, en ocasiones, puede llevar más tiempo. Si los problemas persisten después de un tiempo, ponte en contacto con Amazon AWS Supporty proporciona tus AWS Config estadísticas compatibles CloudWatch. Para obtener información sobre estas métricas, consulta Métricas AWS Config de uso y éxito.

Entrega de elementos de configuración

AWS Config puede entregar elementos de configuración a través de uno de los siguientes canales:

Bucket de Amazon S3

AWS Config realiza un seguimiento de los cambios en la configuración de sus AWS recursos y envía periódicamente los detalles de configuración actualizados a un bucket de Amazon S3 que especifique. Para cada tipo de recurso que AWS Config registra, envía un archivo de historial de configuración cada seis horas. Cada archivo de historial de configuración contiene información sobre los recursos que han cambiado en ese periodo de seis horas. Cada archivo incluye recursos de un tipo, como instancias de Amazon EC2 o volúmenes de Amazon EBS. Si no se produce ningún cambio en la configuración, AWS Config no envía ningún archivo.

AWS Config envía una instantánea de la configuración a su bucket de Amazon S3 cuando utiliza el deliver-config-snapshotcomando con la AWS CLI o cuando utiliza la DeliverConfigSnapshotacción con la AWS Config API. Una instantánea de configuración contiene los detalles de configuración de todos los recursos que se AWS Config registran en su AWS cuenta. El archivo de historial de configuración y la instantánea de configuración están en formato JSON.

nota

AWS Config solo entrega los archivos del historial de configuración y las instantáneas de configuración al bucket de S3 especificado; AWS Config no modifica las políticas del ciclo de vida de los objetos del bucket de S3. Puede usar políticas sobre el ciclo de vida para especificar si desea eliminar o archivar objetos en Amazon S3 Glacier. Para obtener más información, consulte Administración de la configuración del ciclo de vida en la Guía del usuario de Amazon Simple Storage Service. También puede consultar la publicación del blog Archivado de datos de Amazon S3 en S3 Glacier.

Tema de Amazon SNS

Un tema de Amazon Simple Notification Service (Amazon SNS) es un canal de comunicación que utiliza para entregar mensajes (o notificaciones) a puntos de enlace de suscripción, como una dirección de correo electrónico o un cliente. Entre otros tipos de notificaciones de Amazon SNS se incluyen mensajes de notificación de inserción para aplicaciones en teléfonos móviles, notificaciones por SMS (servicio de mensajes cortos) a teléfonos y smartphones habilitados para SMS y solicitudes HTTP POST. Para obtener los mejores resultados, utilice Amazon SQS como punto de conexión de notificación para el tema de SNS y, a continuación, procese la información en la notificación de forma programada.

AWS Config usa el tema Amazon SNS que especifiques para enviarte las notificaciones. El tipo de notificación que está recibiendo se indica por el valor de la clave messageType en el cuerpo del mensaje, como en el siguiente ejemplo:

"messageType": "ConfigurationHistoryDeliveryCompleted"

Las notificaciones pueden ser cualquiera de los siguientes tipos de mensajes:

ComplianceChangeNotification

El tipo de conformidad del recurso que AWS Config evalúa ha cambiado. El tipo de conformidad indica si el recurso cumple con una AWS Config regla específica y se representa mediante la ComplianceType clave del mensaje. El mensaje incluye objetos newEvaluationResult y oldEvaluationResult de comparación.

ConfigRulesEvaluationStarted

AWS Config comenzó a evaluar la regla en función de los recursos especificados.

ConfigurationSnapshotDeliveryStarted

AWS Config comenzó a entregar la instantánea de configuración a su bucket de Amazon S3. Se proporciona el nombre del bucket de Amazon S3 para la clave s3Bucket en el mensaje.

ConfigurationSnapshotDeliveryCompleted

AWS Config entregó correctamente la instantánea de configuración a su bucket de Amazon S3.

ConfigurationSnapshotDeliveryFailed

AWS Config no se pudo entregar la instantánea de configuración a su bucket de Amazon S3.

ConfigurationHistoryDeliveryCompleted

AWS Config entregó correctamente el historial de configuración a su bucket de Amazon S3.

ConfigurationItemChangeNotification

Un recurso se ha creado, eliminado o cambiado en la configuración. Este mensaje incluye los detalles del elemento de configuración que se AWS Config crea para este cambio e incluye el tipo de cambio. Estas notificaciones se entregan en cuestión de minutos tras el cambio y se conocen colectivamente como el flujo de configuración.

OversizedConfigurationItemChangeNotification

Este tipo de mensaje se entrega cuando una notificación de cambio de elemento de configuración supera el tamaño máximo permitido por Amazon SNS. El mensaje incluye un resumen del elemento de configuración. A excepción de los mensajes SMS, los mensajes de Amazon SNS pueden contener hasta 256 KB de datos de texto, incluidos XML, JSON y texto sin formato. Puede ver la notificación completa en el bucket de Amazon S3 especificado.

OversizedConfigurationItemChangeDeliveryFailed

AWS Config no se pudo entregar la notificación de cambio del elemento de configuración sobredimensionado a su bucket de Amazon S3.

Para obtener ejemplos de notificaciones, consulte Notificaciones que AWS Config envía a un tema de Amazon SNS.

Para obtener más información sobre Amazon SNS, consulte la Guía para desarrolladores de Amazon Simple Notification Service.