Evaluación de recursos con AWS Config reglas - AWS Config

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Evaluación de recursos con AWS Config reglas

Se utiliza AWS Config para evaluar los valores de configuración de AWS los recursos. Para ello, debe crear AWS Config reglas, que representan los valores de configuración ideales. AWS Config proporciona reglas personalizables y predefinidas denominadas reglas administradas para ayudarle a empezar. Aunque AWS Config realiza un seguimiento continuo de los cambios de configuración que se producen en los recursos, comprueba si estos cambios infringen alguna de las condiciones de las reglas. Si un recurso no cumple con la regla, AWS Config marca el recurso y la regla como no conformes. Los siguientes son los posibles resultados de la evaluación de una AWS Config regla:

  • COMPLIANT: la regla cumple las condiciones de la comprobación de conformidad.

  • NON_COMPLIANT: la regla no cumple las condiciones de la comprobación de conformidad.

  • ERROR: uno de los parámetros obligatorios u opcionales no es válido, no es del tipo correcto o tiene un formato incorrecto.

  • NOT_APPLICABLE: se utiliza para filtrar los recursos a los que no se puede aplicar la lógica de la regla. Por ejemplo, la alb-desync-mode-checkregla solo comprueba los balanceadores de carga de aplicaciones e ignora los balanceadores de carga de red y los balanceadores de carga de puerta de enlace.

Por ejemplo, cuando se crea un volumen de EC2, AWS Config puede evaluarlo según una regla que exige el cifrado de los volúmenes. Si el volumen no está cifrado, AWS Config marca el volumen y la regla como no conformes. AWS Config también puede comprobar todos sus recursos para conocer los requisitos de toda la cuenta. Por ejemplo, AWS Config puede comprobar si el número de volúmenes de EC2 de una cuenta se mantiene dentro del total deseado o si una cuenta los utiliza para AWS CloudTrail el registro.

Las reglas vinculadas a un servicio son un tipo único de regla gestionada que permite a otros AWS servicios crear AWS Config reglas en su cuenta. Estas reglas están predefinidas para incluir todos los permisos necesarios para llamar a otros AWS servicios en tu nombre. Estas reglas son similares a las normas que un AWS servicio recomienda en tu AWS cuenta para verificar el cumplimiento. Para obtener más información, consulte Roles vinculados a servicios de AWS Config.

La AWS Config consola muestra el estado de conformidad de tus reglas y recursos. Puede ver cómo sus AWS recursos cumplen en general con las configuraciones deseadas y saber qué recursos específicos no cumplen con las normas. También puede usar la AWS CLI, la AWS Config API y AWS los SDK para realizar solicitudes al AWS Config servicio de información de conformidad.

Si se utiliza AWS Config para evaluar las configuraciones de sus recursos, puede evaluar en qué medida sus configuraciones de recursos cumplen con las prácticas internas, las directrices del sector y las normas.

Para conocer el número máximo de AWS Config reglas por región por cuenta y otros límites de servicio, consulta Límites AWS Config de servicio.

También puedes crear reglas personalizadas para evaluar los recursos adicionales que aún AWS Config no estén registrados. Para obtener más información, consulte Reglas personalizadas de AWS Config y Evaluación de tipos de recursos adicionales.

importante

Evite evaluaciones innecesarias de reglas Lambda AWS Config personalizadas

Al crear reglas lambda AWS Config personalizadas, se recomienda encarecidamente añadir lógica para gestionar la evaluación de los recursos eliminados.

Cuando los resultados de la evaluación se identifiquen como NOT_APPLICABLE, significa que se eliminarán y depurarán. Si NO están marcados como NOT_APPLICABLE, los resultados de la evaluación permanecerán sin cambios hasta que se elimine la regla, lo que puede provocar un aumento inesperado en la creación de elementos de configuración (CI) para ResourceCompliance al eliminar la regla.

Para obtener información sobre cómo configurar reglas lambda AWS Config personalizadas para que se devuelvan NOT_APPLICABLE en el caso de los recursos eliminados, consulte Administrar los recursos eliminados con reglas lambda AWS Config personalizadas. AWS Config Las reglas administradas y las reglas de políticas AWS Config personalizadas controlan este comportamiento de forma predeterminada.

Los resultados de la evaluación de los recursos eliminados pueden persistir si el registro de configuración está desactivado

Si la grabadora de configuración está apagada, se deshabilita la posibilidad de AWS Config realizar un seguimiento de los cambios en la configuración de los recursos, incluidas sus eliminaciones. Esto significa que si desactiva el registro de configuración, es posible que vea los resultados de la evaluación de los recursos que se eliminaron anteriormente.

Compatibilidad de la región

Actualmente, la función de AWS Config regla se admite en las siguientes AWS regiones. Para ver una lista de AWS Config las reglas individuales que se admiten en cada región, consulte la Lista de reglas AWS Config administradas por disponibilidad regional.

Nombre de la región Región Punto de conexión Protocolo
Este de EE. UU. (Ohio) us-east-2

config.us-east-2.amazonaws.com

config-fips.us-east-2.amazonaws.com

HTTPS

HTTPS

Este de EE. UU. (Norte de Virginia) us-east-1

config.us-east-1.amazonaws.com

config-fips.us-east-1.amazonaws.com

HTTPS

HTTPS

Oeste de EE. UU. (Norte de California) us-west-1

config.us-west-1.amazonaws.com

config-fips.us-west-1.amazonaws.com

HTTPS

HTTPS

Oeste de EE. UU. (Oregón) us-west-2

config.us-west-2.amazonaws.com

config-fips.us-west-2.amazonaws.com

HTTPS

HTTPS

África (Ciudad del Cabo) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asia-Pacífico (Hong Kong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asia-Pacífico (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asia-Pacífico (Yakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asia-Pacífico (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asia-Pacífico (Bombay) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asia-Pacífico (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asia-Pacífico (Seúl) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asia-Pacífico (Singapur) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asia-Pacífico (Sídney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asia-Pacífico (Tokio) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Canadá (centro) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Oeste de Canadá (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europa (Fráncfort) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europa (Irlanda) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europa (Londres) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europa (Milán) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europa (París) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europa (España) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europa (Estocolmo) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europa (Zúrich) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israel (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Medio Oriente (Baréin) me-south-1 config.me-south-1.amazonaws.com HTTPS
Medio Oriente (EAU) me-central-1 config.me-central-1.amazonaws.com HTTPS
América del Sur (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (Este de EE. UU.) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (Estados Unidos-Oeste) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS

En las siguientes regiones se admite la implementación de AWS Config reglas en las cuentas de los miembros de una AWS organización.

Nombre de la región Región Punto de conexión Protocolo
Este de EE. UU. (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
Este de EE. UU. (Norte de Virginia) us-east-1 config.us-east-1.amazonaws.com HTTPS
Oeste de EE. UU. (Norte de California) us-west-1 config.us-west-1.amazonaws.com HTTPS
Oeste de EE. UU. (Oregón) us-west-2 config.us-west-2.amazonaws.com HTTPS
Asia-Pacífico (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asia-Pacífico (Bombay) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asia-Pacífico (Seúl) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asia-Pacífico (Singapur) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asia-Pacífico (Sídney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asia-Pacífico (Tokio) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Canadá (centro) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Europa (Fráncfort) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europa (Irlanda) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europa (Londres) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europa (París) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europa (Estocolmo) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
América del Sur (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (Este de EE. UU.) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (Estados Unidos-Oeste) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS