Activación del seguimiento de recursos - AWS Backup
Activación del seguimiento de recursos mediante la consolaActivación del seguimiento de recursos mediante la AWS Command Line Interface (AWS CLI)Activación del seguimiento de recursos mediante una plantilla de AWS CloudFormation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Activación del seguimiento de recursos

Antes de crear su primer marco relacionado con la conformidad, debe activar el seguimiento de los recursos. De este modo, podrá AWS Config realizar un seguimiento de sus AWS Backup recursos. Para obtener documentación técnica sobre cómo gestionar el seguimiento de los recursos, consulte Configuración AWS Config con la consola en la Guía para AWS Config desarrolladores.

Al activar el seguimiento de los recursos, se aplican cargos. Para obtener información sobre el seguimiento de los recursos, los precios y la facturación de AWS Backup Audit Manager, consulte Medición, costes y facturación.

Activación del seguimiento de recursos mediante la consola

Active el seguimiento de recursos mediante la consola:

  1. Abra la AWS Backup consola en https://console.aws.amazon.com/backup.

  2. En el panel de navegación izquierdo, en Audit Manager, elija Marcos.

  3. Para activar el seguimiento de recursos, seleccione Administrar el seguimiento de recursos.

  4. Selecciona Ir a la AWS Config configuración.

  5. Elija Habilitar o deshabilitar el registro.

  6. Elija Habilitar el registro para todos los tipos de recursos siguientes o elija habilitar el registro para algunos tipos de recursos. Consulte Controles y correcciones de AWS Backup Audit Manager para ver qué tipos de recursos se requieren para sus controles.

    • AWS Backup: backup plans

    • AWS Backup: backup vaults

    • AWS Backup: recovery points

    • AWS Backup: backup selection

    nota

    AWS Backup Audit Manager requiere AWS Config: resource compliance para cada control.

  7. Elija Close.

  8. Espere a que el banner azul con el texto Activando el seguimiento de recursos pase al banner verde con el texto El seguimiento de recursos está activado.

Puede comprobar si ha activado el seguimiento de recursos y, de ser así, qué tipos de recursos está grabando en dos lugares de la AWS Backup consola. En el panel de navegación izquierdo:

  • Elija Marcos y, a continuación, elija el texto en estado de registro de AWS Config .

  • Elija Configuración y, a continuación, elija el texto en estado de registro de AWS Config .

Activación del seguimiento de recursos mediante la AWS Command Line Interface (AWS CLI)

Si aún no lo has incorporado AWS Config, puede que sea más rápido hacerlo con el. AWS CLI

Para activar el seguimiento de recursos mediante la AWS CLI:

  1. Escriba el siguiente comando para determinar si ya ha habilitado el registro de AWS Config .

    $ aws configservice describe-configuration-recorders

    1. Si la lista ConfigurationRecorders está vacía de esta manera:

      {
  "ConfigurationRecorders": []
}

      El registro no está habilitado. Continúe con el paso 2 para crear el registro.

    2. Si ya ha habilitado el registro para todos los recursos, el resultado ConfigurationRecorders tendrá el siguiente aspecto:

      {
  "ConfigurationRecorders":[
    {
      "recordingGroup":{
        "allSupported":true,
        "resourceTypes":[
          
        ],
        "includeGlobalResourceTypes":true
      },
      "roleARN":"arn:aws:iam::[account]:role/[roleName]",
      "name":"default"
    }
  ]
}

      Como ha habilitado todos los recursos, ya ha activado el seguimiento de recursos. No necesita completar el resto de este procedimiento para utilizar AWS Backup Audit Manager.

    3. Si su ConfigurationRecorders no está vacío, pero no ha habilitado el registro para todos los recursos, agregue recursos de copia de seguridad al registro existente mediante el siguiente comando. Después, vaya al paso 3.

      $ aws configservice describe-configuration-recorders
{
  "ConfigurationRecorders":[
    {
      "name":"default",
      "roleARN":"arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig",
      "recordingGroup":{
        "allSupported":false,
        "includeGlobalResourceTypes":false,
        "resourceTypes":[
          "AWS::Backup::BackupPlan",
          "AWS::Backup::BackupSelection",
          "AWS::Backup::BackupVault",
          "AWS::Backup::RecoveryPoint",
          "AWS::Config::ResourceCompliance"
        ]
      }
    }
  ]
}

  2. Cree una AWS Config grabadora con los tipos de recursos de AWS Backup Audit Manager

    $ aws configservice put-configuration-recorder --configuration-recorder name=default, \
roleARN=arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \ 
--recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \
'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint','AWS::Config::ResourceCompliance']"

  3. Describa su AWS Config grabadora.

    $ aws configservice describe-configuration-recorders

    Compruebe que tiene los tipos de recursos de AWS Backup Audit Manager comparando el resultado con el siguiente resultado esperado.

    {
  "ConfigurationRecorders":[
    {
      "name":"default",
      "roleARN":"arn:aws:iam::accountId:role/AWSServiceRoleForConfig",
      "recordingGroup":{
        "allSupported":false,
        "includeGlobalResourceTypes":false,
        "resourceTypes":[
          "AWS::Backup::BackupPlan",
          "AWS::Backup::BackupSelection",
          "AWS::Backup::BackupVault",
          "AWS::Backup::RecoveryPoint",
          "AWS::Config::ResourceCompliance"
        ]
      }
    }
  ]
}

  4. Cree un bucket de Amazon S3 como destino para almacenar los archivos AWS Config de configuración.

    $ aws s3api create-bucket --bucket my-bucket —region us-east-1

  5. Uso policy.json para conceder AWS Config permiso de acceso a su bucket. Consulte el siguiente ejemplo policy.json.

    $ aws s3api put-bucket-policy --bucket MyBucket --policy file://policy.json
    {
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"AWSConfigBucketPermissionsCheck",
      "Effect":"Allow",
      "Principal":{
        "Service":"config.amazonaws.com"
      },
      "Action":"s3:GetBucketAcl",
      "Resource":"arn:aws:s3:::my-bucket"
    },
    {
      "Sid":"AWSConfigBucketExistenceCheck",
      "Effect":"Allow",
      "Principal":{
        "Service":"config.amazonaws.com"
      },
      "Action":"s3:ListBucket",
      "Resource":"arn:aws:s3:::my-bucket"
    },
    {
      "Sid":"AWSConfigBucketDelivery",
      "Effect":"Allow",
      "Principal":{
        "Service":"config.amazonaws.com"
      },
      "Action":"s3:PutObject",
      "Resource":"arn:aws:s3:::my-bucket/*"
    }
  ]
}

  6. Configure su depósito como canal AWS Config de entrega

    $ aws configservice put-delivery-channel --delivery-channel name=default,s3BucketName=my-bucket

  7. Habilita la AWS Config grabación

    $ aws configservice start-configuration-recorder --configuration-recorder-name default

  8. Verifique que "FrameworkStatus":"ACTIVE" en la última línea de su resultado de DescribeFramework es como sigue.

    $ aws backup describe-framework --framework-name test --region us-east-1
    {
  "FrameworkName":"test",
 "FrameworkArn":"arn:aws:backup:us-east-1:accountId:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666",
  "FrameworkDescription":"",
  "FrameworkControls":[
    {
      "ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
      "ControlInputParameters":[
        {
          "ParameterName":"requiredRetentionDays",
          "ParameterValue":"1"
        }
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
      "ControlInputParameters":[
        {
          "ParameterName":"requiredFrequencyUnit",
          "ParameterValue":"hours"
        },
        {
          "ParameterName":"requiredRetentionDays",
          "ParameterValue":"35"
        },
        {
          "ParameterName":"requiredFrequencyValue",
          "ParameterValue":"1"
        }
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
      "ControlInputParameters":[
        
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED",
      "ControlInputParameters":[
        
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
      "ControlInputParameters":[
        
      ],
      "ControlScope":{
        
      }
    }
  ],
  "CreationTime":1633463605.233,
  "DeploymentStatus":"COMPLETED",
  "FrameworkStatus":"ACTIVE"
}

Activación del seguimiento de recursos mediante una plantilla de AWS CloudFormation

Para ver una AWS CloudFormation plantilla que active el seguimiento de recursos, consulte Uso de AWS Backup Audit Manager con AWS CloudFormation.