Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Evaluación de recursos con AWS Config reglas
Se utiliza AWS Config para evaluar los valores de configuración de AWS los recursos. Para ello, debe crear AWS Config reglas, que representan los valores de configuración ideales. AWS Config proporciona reglas personalizables y predefinidas denominadas reglas administradas para ayudarle a empezar. Aunque AWS Config realiza un seguimiento continuo de los cambios de configuración que se producen en los recursos, comprueba si estos cambios infringen alguna de las condiciones de las reglas. Si un recurso no cumple con la regla, AWS Config marca el recurso y la regla como no conformes. Los siguientes son los posibles resultados de la evaluación de una AWS Config regla:
-
COMPLIANT
: la regla cumple las condiciones de la comprobación de conformidad. -
NON_COMPLIANT
: la regla no cumple las condiciones de la comprobación de conformidad. -
ERROR
: uno de los parámetros obligatorios u opcionales no es válido, no es del tipo correcto o tiene un formato incorrecto. -
NOT_APPLICABLE
: se utiliza para filtrar los recursos a los que no se puede aplicar la lógica de la regla. Por ejemplo, la alb-desync-mode-checkregla solo comprueba los balanceadores de carga de aplicaciones e ignora los balanceadores de carga de red y los balanceadores de carga de puerta de enlace.
Por ejemplo, cuando se crea un volumen de EC2, AWS Config puede evaluarlo según una regla que exige el cifrado de los volúmenes. Si el volumen no está cifrado, AWS Config marca el volumen y la regla como no conformes. AWS Config también puede comprobar todos sus recursos para conocer los requisitos de toda la cuenta. Por ejemplo, AWS Config puede comprobar si el número de volúmenes de EC2 de una cuenta se mantiene dentro del total deseado o si una cuenta los utiliza para AWS CloudTrail el registro.
Las reglas vinculadas a un servicio son un tipo único de regla gestionada que permite a otros AWS servicios crear AWS Config reglas en su cuenta. Estas reglas están predefinidas para incluir todos los permisos necesarios para llamar a otros AWS servicios en tu nombre. Estas reglas son similares a las normas que un AWS servicio recomienda en tu AWS cuenta para verificar el cumplimiento. Para obtener más información, consulte Roles vinculados a servicios de AWS Config.
La AWS Config consola muestra el estado de conformidad de tus reglas y recursos. Puede ver cómo sus AWS recursos cumplen en general con las configuraciones deseadas y saber qué recursos específicos no cumplen con las normas. También puede usar la AWS CLI, la AWS Config API y AWS los SDK para realizar solicitudes al AWS Config servicio de información de conformidad.
Si se utiliza AWS Config para evaluar las configuraciones de sus recursos, puede evaluar en qué medida sus configuraciones de recursos cumplen con las prácticas internas, las directrices del sector y las normas.
Para conocer el número máximo de AWS Config reglas por región por cuenta y otros límites de servicio, consulta Límites AWS Config de servicio.
También puedes crear reglas personalizadas para evaluar los recursos adicionales que aún AWS Config no estén registrados. Para obtener más información, consulte Reglas personalizadas de AWS Config y Evaluación de tipos de recursos adicionales.
importante
Evite evaluaciones innecesarias de reglas Lambda AWS Config personalizadas
Al crear reglas lambda AWS Config personalizadas, se recomienda encarecidamente añadir lógica para gestionar la evaluación de los recursos eliminados.
Cuando los resultados de la evaluación se identifiquen como NOT_APPLICABLE
, significa que se eliminarán y depurarán. Si NO están marcados como NOT_APPLICABLE
, los resultados de la evaluación permanecerán sin cambios hasta que se elimine la regla, lo que puede provocar un aumento inesperado en la creación de elementos de configuración (CI) para ResourceCompliance
al eliminar la regla.
Para obtener información sobre cómo configurar reglas lambda AWS Config personalizadas para que se devuelvan NOT_APPLICABLE
en el caso de los recursos eliminados, consulte Administrar los recursos eliminados con reglas lambda AWS Config personalizadas. AWS Config Las reglas administradas y las reglas de políticas AWS Config personalizadas controlan este comportamiento de forma predeterminada.
Los resultados de la evaluación de los recursos eliminados pueden persistir si el registro de configuración está desactivado
Si la grabadora de configuración está apagada, se deshabilita la posibilidad de AWS Config realizar un seguimiento de los cambios en la configuración de los recursos, incluidas sus eliminaciones. Esto significa que si desactiva el registro de configuración, es posible que vea los resultados de la evaluación de los recursos que se eliminaron anteriormente.
Temas
- Compatibilidad de la región
- Componentes de una AWS Config regla
- Modo de evaluación y tipos de desencadenadores de las reglas de AWS Config
- Reglas administradas de AWS Config
- Reglas personalizadas de AWS Config
- Adición, actualización y eliminación de reglas de AWS Config
- Evaluación de los recursos con reglas de AWS Config
- Eliminación de los resultados de la evaluación de las reglas de AWS Config
- Administración de reglas de AWS Config en todas las cuentas de su organización
- Remediar los recursos no conformes con reglas AWS Config
Compatibilidad de la región
Actualmente, la función de AWS Config regla se admite en las siguientes AWS regiones. Para ver una lista de AWS Config las reglas individuales que se admiten en cada región, consulte la Lista de reglas AWS Config administradas por disponibilidad regional.
Nombre de la región | Región | Punto de conexión | Protocolo |
---|---|---|---|
Este de EE. UU. (Ohio) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
Este de EE. UU. (Norte de Virginia) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
Oeste de EE. UU. (Norte de California) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
Oeste de EE. UU. (Oregón) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
África (Ciudad del Cabo) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
Asia-Pacífico (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
Asia-Pacífico (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
Asia-Pacífico (Yakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
Asia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
Asia-Pacífico (Bombay) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
Asia-Pacífico (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
Asia-Pacífico (Seúl) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
Asia-Pacífico (Singapur) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
Asia-Pacífico (Sídney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
Asia-Pacífico (Tokio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
Canadá (centro) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
Oeste de Canadá (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
Europa (Fráncfort) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
Europa (Milán) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
Europa (París) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
Europa (España) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
Europa (Zúrich) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
Israel (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
Medio Oriente (Baréin) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
Medio Oriente (EAU) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
América del Sur (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Estados Unidos-Oeste) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
En las siguientes regiones se admite la implementación de AWS Config reglas en las cuentas de los miembros de una AWS organización.
Nombre de la región | Región | Punto de conexión | Protocolo |
---|---|---|---|
Este de EE. UU. (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
Este de EE. UU. (Norte de Virginia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
Oeste de EE. UU. (Norte de California) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
Oeste de EE. UU. (Oregón) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
Asia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
Asia-Pacífico (Bombay) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
Asia-Pacífico (Seúl) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
Asia-Pacífico (Singapur) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
Asia-Pacífico (Sídney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
Asia-Pacífico (Tokio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
Canadá (centro) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
Europa (Fráncfort) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
Europa (París) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
América del Sur (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Estados Unidos-Oeste) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |