Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Modo de evaluación y tipos de desencadenadores de las reglas de AWS Config
Cuando añade una regla a su cuenta, puede especificar en qué momento del proceso de creación y administración de los recursos quiere que AWS Config evalúe sus recursos. El proceso de creación y administración de los recursos se denomina aprovisionamiento de recursos. Usted elige el modo de evaluación para especificar en qué momento de este proceso quiere que AWS Config evalúe sus recursos.
Según la regla, AWS Config puede evaluar las configuraciones de los recursos antes de que se haya implementado un recurso, después de que se haya implementado o ambas cosas. Evaluar un recurso antes de implementarlo se denomina evaluación proactiva. Evaluar un recurso después de implementarlo se denomina evaluación de detectives.
También puede elegir el tipo de desencadenador para especificar la frecuencia con la que sus reglas de AWS Config evalúan sus recursos. Los recursos se pueden evaluar cuando hay cambios de configuración, de forma periódica o en ambos casos.
Tipos de disparadores
Después de añadir una regla a la cuenta, AWS Config compara sus recursos con las condiciones de la regla. Después de esta evaluación inicial, AWS Config continúa realizando evaluaciones cada vez que se activa una. Los disparadores de evaluaciones están definidos como parte de la regla y pueden incluir los siguientes tipos:
- Cambios de configuración
-
AWS Config ejecuta evaluaciones de la regla cuando hay un recurso que coincide con el alcance de la regla y hay un cambio en la configuración del recurso. La evaluación se realiza después de que AWS Config envía una notificación sobre un cambio de elementos de configuración.
Usted elige qué recursos activan la evaluación al definir el ámbito de la regla. El ámbito puede incluir lo siguiente:
-
Uno o varios tipos de recursos
-
Una combinación de un tipo de recurso y un ID de recurso
-
Una combinación de una clave de etiqueta y un valor
-
Cuando se crea, se actualiza o se elimina cualquier recurso registrado
AWS Config ejecuta la evaluación cuando detecta un cambio en un recurso que coincide con el ámbito de la regla. Puede utilizar el ámbito para definir los recursos que activan evaluaciones.
-
- Periódico
-
AWS Config ejecuta evaluaciones de la regla con la frecuencia que elija (por ejemplo, cada 24 horas).
- Híbrido
-
Algunas reglas tienen cambios de configuración y desencadenadores periódicos. En el caso de estas reglas, AWS Config evalúa los recursos cuando detecta un cambio de configuración y también con la frecuencia que especifique.
Modos de evaluación
Hay dos modos de evaluación:
Utilice una evaluación proactiva para evaluar los recursos antes de que se implementen. De este modo, podrá evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un recurso de AWS, es COMPLIANT o NON_COMPLIANT dado el conjunto de reglas proactivas que tiene en su cuenta en su región.
El Esquema de tipos de recurso indica las propiedades de un recurso. El esquema de tipos de recurso está en extensiones de AWS públicas en el registro de AWS CloudFormation o con el siguiente comando de la CLI:
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --typeRESOURCE
Para obtener más información, consulte Administración de extensiones a través del registro de AWS CloudFormation y la Referencia de tipos de recursos y propiedades de AWS en la Guía del usuario de AWS CloudFormation.
nota
Las reglas proactivas no corrigen los recursos que están marcados como NON_COMPLIANT ni impiden su implementación.
Lista de reglas administradas con una evaluación proactiva
Para obtener una lista de las reglas administradas que admiten la evaluación proactiva, consulte Lista de reglas de AWS Config administradas por modo de evaluación.
Lista de tipos de recursos compatibles para la evaluación proactiva
La siguiente es una lista de los tipos de recursos que se admiten para la evaluación proactiva:
-
AWS::ApiGateway::Stage -
AWS::AutoScaling::AutoScalingGroup -
AWS::EC2::EIP -
AWS::EC2::Instance -
AWS::EC2::Subnet -
AWS::Elasticsearch::Domain -
AWS::Lambda::Function -
AWS::RDS::DBInstance -
AWS::Redshift::Cluster -
AWS::S3::Bucket -
AWS::SNS::Topic
Ejemplo de regla con evaluación proactiva
Ejemplo de regla proactiva
-
Se añade la regla de AWS Config administrada,
S3_BUCKET_LOGGING_ENABLED, en la cuenta para comprobar si los buckets de S3 tienen habilitado el registro. -
Para el modo de evaluación, elija Active la evaluación proactiva en la consola de administración de AWS o habilite
PROACTIVEparaEvaluationModesen la API PutConfigrule.
Después de activar la evaluación proactiva, puede usar la API StartResourceEvaluation y la API GetResourceEvaluationSummary para comprobar si un bucket de su cuenta, que no se ha implementado en producción, no tiene habilitado el registro. Esto le permite probar las configuraciones de los recursos antes de implementarlos y volver a evaluar si desea implementar el recurso en producción.
Por ejemplo, comience con la API StartResourceEvaluation:
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"MY_RESOURCE_ID", "ResourceType":"AWS::S3::Bucket", "ResourceConfiguration": "{\"BucketName\": \"my-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"my-log-bucket\",\"LogFilePrefix\":\"my-log\"}}", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
Debería recibir el ResourceEvaluationId en el resultado:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }
A continuación, utilice ResourceEvaluationId con la API GetResourceEvaluationSummary para comprobar el resultado de la evaluación:
aws configservice get-resource-evaluation-summary --resource-evaluation-idMY_RESOURCE_EVALUATION_ID
Debería obtener un resultado similar al siguiente:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "{\"BucketName\": \"my-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"my-log-bucket\",\"LogFilePrefix\":\"my-log\"}}", } }
Para ver información adicional sobre el resultado de la evaluación, por ejemplo, qué regla ha marcado un recurso como NON_COMPLIANT, use la API GetComplianceDetailsByResource.
Utilice la evaluación de detectives para evaluar los recursos que ya se han implementado. Esto le permite evaluar los ajustes de configuración de los recursos existentes.
Ejemplo de reglas con evaluación de detectives
Ejemplo de regla desencadenada por cambios
-
Se añade la regla administrada,
S3_BUCKET_LOGGING_ENABLED, en la cuenta para comprobar si los buckets de S3 tienen habilitado el registro. -
El tipo de desencadenador de la regla es de cambios de configuración. AWS Config ejecuta las evaluaciones de la regla cuando se crea, cambia o se elimina un bucket de S3.
-
Cuando se actualiza un bucket, el cambio de configuración activa la regla y AWS Config evalúa si el bucket es conforme con respecto a la regla.
Ejemplo de regla periódica
-
Se añade la regla administrada,
IAM_PASSWORD_POLICY, en la cuenta. La regla comprueba si la política de contraseñas de los usuarios de IAM cumplen con la política de su cuenta, por ejemplo, si tienen una longitud mínima o requieren caracteres específicos. -
El tipo de disparador de la regla es periódico. AWS Config ejecuta una evaluación de la regla con una frecuencia que especifique, como por ejemplo, cada 24 horas.
-
Cada 24 horas, la regla se activa y AWS Config evalúa si las contraseñas de los usuarios de IAM cumplen la regla.
Ejemplo de regla híbrida con cambio de configuración y desencadenadores periódicos
-
Cree una regla personalizada que evalúe si los registros de seguimiento de AWS CloudTrail de su cuenta están activados y registran todas las regiones.
-
Desea que AWS Config ejecute evaluaciones de la regla cada vez que se cree, se actualice o se elimine un registro de seguimiento. También desea que AWS Config ejecute la regla cada 12 horas.
-
Para el tipo de desencadenador, escribe la lógica tanto para los cambios de configuración como para los desencadenadores periódicos. Para obtener más información, consulte Components of an AWS Config Rule: Writing Rules.
Evaluaciones de regla cuando el registrador de configuración está desactivado
Si desactiva el registrador de configuraciones, AWS Config deja de registrar los cambios en las configuraciones de los recursos. Esto afecta a las evaluaciones de reglas de los siguientes modos:
-
Las reglas periódicas siguen ejecutando evaluaciones con la frecuencia especificada.
-
Las reglas desencadenadas por cambios no ejecutan evaluaciones.
-
Las reglas híbridas ejecutan las evaluaciones solo con la frecuencia especificada. Las reglas no ejecutan evaluaciones para cambios de configuración.
-
Si ejecuta una evaluación bajo demanda para una regla con un disparador de cambio de configuración, la regla evalúa el último estado conocido del recurso, que es el último elemento de configuración registrado.
importante
Evite las evaluaciones de AWS Config innecesarias
Las reglas periódicas y las reglas híbridas seguirán ejecutándose a menos que se eliminen, incluso si ha desactivado el registrador de configuración. Estas reglas solo evaluarán los elementos de configuración que se hayan registrado antes de que se desactivara el registrador de configuración, lo que significa que reproducirán los mismos resultados de la evaluación sin información nueva. Elimine las reglas periódicas y las reglas híbridas al desactivar el registrador de configuración para evitar evaluaciones innecesarias de actividad y reglas.
