Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Paquetes de conformidad
Un paquete de conformidad es un conjunto de AWS Config reglas y acciones correctivas que se pueden implementar fácilmente como una sola entidad en una cuenta y una región o en toda una organización en. AWS Organizations
Los paquetes de conformidad se crean generando una plantilla YAML que contiene la lista de reglas administradas o personalizadas y las acciones de corrección de AWS Config . También puede usar AWS Systems Manager documentos (documentos SSM) para almacenar las plantillas de los paquetes de conformidad e implementar directamente los paquetes de conformidad utilizando los nombres de los documentos SSM. AWS Puede implementar la plantilla utilizando la consola de AWS Config o la AWS CLI.
Para empezar rápidamente y evaluar su AWS entorno, utilice una de las plantillas de paquetes de conformidad de ejemplo. También puede crear un archivo YAML del paquete de conformidad desde cero basándose en el paquete de conformidad personalizado.
Temas
- Requisitos previos
- Compatibilidad de la región
- AWS Config Comprobaciones de procesos dentro de un paquete de conformidad
- Plantillas de ejemplo del paquete de conformidad
- Paquetes de conformidad personalizados
- Visualización de los datos de conformidad en el panel de paquetes de conformidad
- Visualización de la línea de tiempo del historial de conformidad de los paquetes de conformidad
- Implementación de un paquete de conformidad a través de la consola de AWS Config
- Implementación de un paquete de conformidad a través de AWS Command Line Interface
- Administración de paquetes de conformidad (API)
- Administración de paquetes de conformidad en todas las cuentas de una organización
- Resolución de problemas
Compatibilidad de la región
Los paquetes de conformidad se admiten en las siguientes regiones:
| Nombre de la región | Región | Punto de conexión | Protocolo |
|---|---|---|---|
| Este de EE. UU. (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| Oeste de EE. UU. (Norte de California) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| Oeste de EE. UU. (Oregón) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| Asia-Pacífico (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| Asia-Pacífico (Yakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Asia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asia-Pacífico (Bombay) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asia-Pacífico (Seúl) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asia-Pacífico (Singapur) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asia-Pacífico (Sídney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asia-Pacífico (Tokio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canadá (centro) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Europa (Fráncfort) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (París) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Medio Oriente (Baréin) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| América del Sur (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Estados Unidos-Oeste) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
En las siguientes regiones se admite la implementación de paquetes de conformidad en las cuentas de los miembros de una AWS organización.
| Nombre de la región | Región | Punto de conexión | Protocolo |
|---|---|---|---|
| Este de EE. UU. (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| Oeste de EE. UU. (Norte de California) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| Oeste de EE. UU. (Oregón) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| Asia-Pacífico (Yakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Asia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asia-Pacífico (Bombay) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asia-Pacífico (Seúl) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asia-Pacífico (Singapur) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asia-Pacífico (Sídney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asia-Pacífico (Tokio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canadá (centro) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Europa (Fráncfort) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (París) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| América del Sur (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Estados Unidos-Oeste) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
Resolución de problemas
Estado fallido de un paquete de conformidad
Si aparece un error que indica que el paquete de conformidad no se pudo crear, actualizar o eliminar correctamente, puede comprobar el estado del paquete de conformidad.
aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1
Debería ver un resultado similar a este.
"ConformancePackStatusDetails": [ { "ConformancePackName": "ConformancePackName", "ConformancePackId": "ConformancePackId", "ConformancePackArn": "ConformancePackArn", "ConformancePackState": "CREATE_FAILED", "StackArn": "CloudFormation stackArn", "ConformancePackStatusReason": "Failure Reason", "LastUpdateRequestedTime": 1573865201.619, "LastUpdateCompletedTime": 1573864244.653 } ]
Compruebe si hay información sobre el error. ConformancePackStatusReason
Cuando el valor de stackArn está presente en la respuesta
Si el mensaje de error no está claro o si el error es interno, vaya a la consola de AWS CloudFormation y haga lo siguiente:
-
Busque el valor de stackArn en la salida.
-
Seleccione la pestaña Eventos de la CloudFormation pila y compruebe si hay eventos fallidos.
El motivo del estado indica por qué se produjeron errores en el paquete de conformidad.
Cuando el valor de stackArn no está presente en la respuesta
Si recibes un error al crear un paquete de conformidad, pero el StackArn no aparece en la respuesta de estado, la posible razón es que la creación de la pila ha fallado CloudFormation y se ha revertido y eliminado la pila. Ve a la CloudFormation consola y busca las pilas que estén en estado Eliminado. Es posible que la pila errónea esté disponible allí. La CloudFormation pila contiene el nombre del paquete de conformidad. Si encuentra la pila fallida, seleccione la pestaña Eventos de la CloudFormation pila y compruebe si hay eventos fallidos.
Si ninguno de estos pasos ha funcionado y el motivo del fallo es un error de servicio interno, vuelva a intentarlo o póngase en contacto con el AWS Support Centro
Reglas pendientes en un paquete de conformidad
La implementación de un paquete de conformidad implica la creación de una AWS CloudFormation pila subyacente en segundo plano para implementar las reglas en la plantilla del paquete de conformidad. Estas reglas son reglas vinculadas a un servicio y no se pueden actualizar ni eliminar fuera del paquete de conformidad.
Si realiza cambios en la CloudFormation pila subyacente, se produce una situación en la que el paquete de conformidad y sus reglas se vuelven inmanejables. Estas reglas inmanejables son reglas pendientes.
Déjate llevar entre la CloudFormation pila y el paquete de conformidad
Puede actualizar los nombres de las reglas en una plantilla de paquete de conformidad directamente desde la CloudFormation consola. Si actualiza la plantilla directamente desde la CloudFormation consola, no se actualiza el paquete de conformidad implementado.
Esta deriva crea una regla pendiente. Si intenta eliminar la regla del paquete de conformidad, recibirá un error similar al siguiente:
"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID:my-request-ID; Proxy: null)".
Si intenta eliminar el paquete de conformidad, la regla pendiente no se podrá eliminar y recibirá un error similar al siguiente:
"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource:my-dangling-rule
Para solucionar este problema, lleve a cabo los siguientes pasos:
Elimine la pila de . Para obtener más información, consulte Eliminar una pila de la AWS CloudFormation consola en la Guía del CloudFormation usuario.
Elimine el paquete de conformidad mediante la AWS Config consola o la API del DeleteConformancepaquete. Si se trata de un paquete de conformidad organizacional y utiliza la cuenta de administración o de administrador delegado, utilice la API. DeleteOrganizationConformancePack
Póngase en contacto con el AWS Support Centro
con el nombre de recurso de Amazon (ARN) de las reglas pendientes del paquete de conformidad para ayudar a limpiar su cuenta.
Para evitar este problema, recuerde estas prácticas recomendadas:
Nunca realices actualizaciones directas en la CloudFormation pila de un paquete de conformidad.
Nunca intentes realizar cambios que generen diferencias entre el paquete de conformidad y su paquete subyacente CloudFormation .
La función vinculada al servicio (SLR) de los paquetes de conformidad no se puede modificar. Asegúrese de que los recursos que va a actualizar forman parte de la política de permisos de la SLR.
Se ha eliminado la CloudFormation pila de un paquete de conformidad
A menos que haya diferencias entre la CloudFormation pila y el paquete de conformidad, nunca se recomienda eliminar las reglas de un paquete de conformidad o de su CloudFormation pila directamente desde la consola. CloudFormation
Para solucionar este problema, ponte en contacto con el AWS Support Centro
Para evitar este problema, recuerda estas prácticas recomendadas:
Nunca elimines la CloudFormation pila subyacente de un paquete de conformidad.
Elimine los paquetes de conformidad mediante la API DeleteConformancePack. Si se trata de un paquete de conformidad organizacional y utiliza la cuenta de administración o de administrador delegado, utilice la API. DeleteOrganizationConformancePack
