Añadir, actualizar y eliminar AWS Config reglas - AWS Config
Mediante la consolaUso de los SDK AWS Uso del Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Añadir, actualizar y eliminar AWS Config reglas

Puedes usar la AWS Config consola o los AWS SDK para ver, añadir y eliminar tus reglas.

Añadir, ver, actualizar y eliminar reglas (consola)

La página Reglas muestra las reglas y los resultados de conformidad actuales en una tabla. El resultado de cada regla es Evaluando... hasta que AWS Config termine de evaluar sus recursos con respecto a la regla. Puede actualizar los resultados con el botón de actualizar. Cuando AWS Config finalicen las evaluaciones, podrá ver las reglas y los tipos de recursos que cumplen o no. Para obtener más información, consulte Visualización de la información de cumplimiento y los resultados de la evaluación.

nota

AWS Config evalúa solo los tipos de recursos que está registrando. Por ejemplo, si agregas la regla habilitada para CloudTrail pero no registras el tipo de recurso de la CloudTrail ruta, no AWS Config podrás evaluar si las rutas de tu cuenta cumplen o no lo hacen. Para obtener más información, consulte AWS Recursos de grabación.

Para añadir una regla

  1. Inicia sesión en la consola AWS Management Console y ábrela AWS Config en https://console.aws.amazon.com/config/.

  2. En el AWS Management Console menú, compruebe que el selector de regiones esté configurado en una región que admita AWS Config reglas. Para ver una lista de las regiones admitidas, consulte Regiones y puntos de enlace de AWS Config en la Referencia general de Amazon Web Services.

  3. En el panel de navegación izquierdo, seleccione Rules (Reglas).

  4. En la página Rules (Reglas), seleccione Add rule (Añadir regla).

  5. En la página Especificar tipo de regla, especifique el tipo de regla siguiendo estos pasos:

    1. En el campo de búsqueda para filtrar escriba la lista de las reglas administradas por nombre de regla, descripción y etiqueta. Por ejemplo, escriba EC2 para que devuelva las reglas que evalúan tipos de recursos de EC2 o escriba periodic para que devuelva reglas que se activen periódicamente.

    2. También puede crear sus propia regla personalizada. Elija Crear regla personalizada con Lambda o Crear regla personalizada con Guard y siga el procedimiento descrito en Creación de reglas AWS Config Lambda personalizadas o Creación AWS Config de reglas de políticas personalizadas.

  6. En la página Configurar regla, configure la regla siguiendo estos pasos:

    1. En Name (Nombre), escriba un nombre único para la regla.

    2. En Descripción, escriba una descripción para la regla.

    3. Para el modo de evaluación, elija en qué momento del proceso de creación y administración de recursos desea AWS Config evaluar sus recursos. Según la regla, AWS Config puede evaluar las configuraciones de sus recursos antes de que se haya desplegado un recurso, después de que se haya desplegado un recurso, o ambas cosas.

      1. Elija Active la evaluación proactiva para ejecutar evaluaciones de los valores de configuración de sus recursos antes de que se implementen.

        Una vez que hayas activado la evaluación proactiva, puedes usar la API de StartResourceevaluación y la GetResourceEvaluationSummaryAPI para comprobar si los recursos que especificas en estos comandos se marcarán como NO CONFORMES según las reglas proactivas de tu cuenta de tu región.

        Para obtener más información sobre el uso de estos comandos, consulta Cómo evaluar tus recursos con reglas. AWS Config Para obtener una lista de reglas administradas que admiten una evaluación proactiva, consulte la Lista de reglas AWS Config administradas por modo de evaluación.

      2. Seleccione Active la evaluación de detectives para evaluar los ajustes de la configuración de los recursos existentes.

        Para la evaluación de detectives, existen dos tipos de desencadenadores: Cuando cambia la configuración y Periódico.

        1. Si los tipos de desencadenadores de la regla incluyen cambios de configuración, especifique una de las siguientes opciones para el alcance de los cambios con la que se AWS Config invoca la función Lambda:

          • Recursos: cuando se crea, cambia o elimina un recurso específico que coincide con un tipo de recurso específico o con un tipo más el identificador.

          • Etiquetas: cuando se crea, cambia o elimina un recurso con la etiqueta especificada.

          • Todos los cambios: cuando AWS Config se crea, modifica o elimina un recurso registrado por.

          AWS Config ejecuta la evaluación cuando detecta un cambio en un recurso que coincide con el alcance de la regla. Puede utilizar el ámbito para definir los recursos que activan evaluaciones.

        2. Si los tipos de desencadenadores de la regla incluyen Periódico, especifique la frecuencia con la que se AWS Config invoca la función Lambda.

    4. Si su regla incluye Parámetros, puede personalizar los valores de las claves proporcionadas. Un parámetro es un atributo que deben cumplir los recursos para que se considere que cumplen la regla.

  7. En la página Revisar y crear, revise todas las selecciones antes de añadir la regla a la suya. Cuenta de AWS Si la regla no funciona según lo previsto, puede que vea una de las siguientes opciones para Conformidad:

    • No se informó de ningún resultado: AWS Config evaluó sus recursos según la regla. La regla no se aplicaba a los AWS recursos incluidos en su ámbito, se eliminaron los recursos especificados o se eliminaron los resultados de la evaluación. Para obtener los resultados de la evaluación, actualice la regla, cambie su ámbito o bien seleccione Re-evaluate (Volver a evaluar).

      Este mensaje también puede aparecer si la regla no informa de resultados de evaluación.

    • No hay recursos dentro del alcance: AWS Config no puede evaluar AWS los recursos registrados según esta regla porque ninguno de sus recursos está dentro del alcance de la regla. Para obtener los resultados de la evaluación, edite la regla y cambie su alcance, o añada recursos AWS Config para registrarlos mediante la página de configuración.

    • Evaluations failed (Error en las evaluaciones): para obtener información que le ayude a determinar el problema, elija el nombre de la regla para abrir la página de detalles y ver el mensaje de error.

Para ver las reglas

  1. Inicie sesión en la AWS Config consola AWS Management Console y ábrala en https://console.aws.amazon.com/config/.

  2. En el AWS Management Console menú, compruebe que el selector de regiones esté configurado en una región que admita AWS Config reglas. Para ver una lista de las regiones admitidas, consulte Regiones y puntos de enlace de AWS Config en la Referencia general de Amazon Web Services.

  3. En el panel de navegación izquierdo, seleccione Rules (Reglas).

  4. La página de reglas muestra todas las reglas que tiene actualmente Cuenta de AWS. En ella se muestra el nombre, la acción correctiva asociada y el estado de conformidad de cada regla.

    • Elija Add rule (Añadir regla) para comenzar la creación de una regla.

    • Elija una regla para ver su configuración o elija una regla y Ver detalles.

    • Consulte el estado de conformidad de la regla cuando se evalúan los recursos.

    • Elija una regla y Editar la regla para cambiar los ajustes de configuración de la regla y establecer una acción correctiva para una regla no conforme.

Para actualizar una regla

  1. Inicie sesión AWS Management Console y abra la AWS Config consola en https://console.aws.amazon.com/config/.

  2. En el AWS Management Console menú, compruebe que el selector de regiones esté configurado en una región que admita AWS Config reglas. Para ver una lista de las regiones admitidas, consulte Regiones y puntos de enlace de AWS Config en la Referencia general de Amazon Web Services.

  3. En el panel de navegación izquierdo, seleccione Rules (Reglas).

  4. Elija una regla y Editar la regla para la regla que desee actualizar.

  5. Modifique la configuración de la página Editar la regla para cambiar la regla según sea necesario.

  6. Seleccione Guardar.

Para eliminar una regla

  1. Inicie sesión AWS Management Console y abra la AWS Config consola en https://console.aws.amazon.com/config/.

  2. En el AWS Management Console menú, compruebe que el selector de regiones esté configurado en una región que admita AWS Config reglas. Para ver una lista de las regiones admitidas, consulte Regiones y puntos de enlace de AWS Config en la Referencia general de Amazon Web Services.

  3. En el panel de navegación izquierdo, seleccione Rules (Reglas).

  4. Elija la regla que desea eliminar de la tabla.

  5. En el menú desplegable Acciones, elija Eliminar la regla.

  6. Cuando se le pida, escriba Eliminar (distingue entre mayúsculas y minúsculas) y, a continuación, seleccione Eliminar.

Puede utilizar la evaluación proactiva para evaluar los recursos antes de que se implementen. Esto le permite evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un AWS recurso, cumple o no las normas, dado el conjunto de reglas proactivas que tiene en su cuenta de su región.

El Esquema de tipos de recurso indica las propiedades de un recurso. Puede encontrar el esquema del tipo de recurso en "extensiones AWS públicas" en el AWS CloudFormation registro o con el siguiente comando CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obtener más información, consulte Administración de extensiones mediante el AWS CloudFormation registro y la referencia sobre los tipos de AWS recursos y propiedades en la Guía del AWS CloudFormation usuario.

nota

Las reglas proactivas no corrigen los recursos que están marcados como NON_COMPLIANT ni impiden su implementación.

Para activar una evaluación proactiva

  1. Inicie sesión en la AWS Config consola AWS Management Console y ábrala en https://console.aws.amazon.com/config/.

  2. En el AWS Management Console menú, compruebe que el selector de regiones esté configurado en una región que admita AWS Config reglas. Para ver una lista de las regiones de AWS admitidas, consulte AWS Config Regions and Endpoints en la Referencia general de Amazon Web Services.

  3. En el panel de navegación izquierdo, seleccione Rules (Reglas). Para obtener una lista de reglas administradas que admiten una evaluación proactiva, consulte la Lista de reglas AWS Config administradas por modo de evaluación.

  4. Elija una regla y, a continuación, elija Editar la regla para la regla que desee actualizar.

  5. En Modo de evaluación, seleccione Active la evaluación proactiva para ejecutar evaluaciones de los valores de configuración de sus recursos antes de que se implementen.

  6. Seleccione Guardar.

Una vez que haya activado la evaluación proactiva, puede utilizar la API de StartResourceevaluación y la GetResourceEvaluationSummaryAPI para comprobar si los recursos que especifique en estos comandos se marcarán como NO CONFORMES según las reglas proactivas de su cuenta de su región.

Por ejemplo, comience con la API: StartResourceEvaluation 

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Debería recibir el ResourceEvaluationId en el resultado:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

A continuación, úsala ResourceEvaluationId con la GetResourceEvaluationSummary API para comprobar el resultado de la evaluación:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Debería obtener un resultado similar al siguiente:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver información adicional sobre el resultado de la evaluación, por ejemplo, qué regla marcó un recurso como NO CONFORME, usa la GetCompliance DetailsBy API de recursos.

Vea, actualice o agregue y elimine reglas (SDK)AWS

En los siguientes ejemplos de código, se muestra cómo utilizar DescribeConfigRules.

CLI
AWS CLI

Para obtener detalles de una regla de AWS Config

El siguiente comando devuelve los detalles de una regla de AWS Config denominadaInstanceTypesAreT2micro:

aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro

Salida:

{
    "ConfigRules": [
        {
            "ConfigRuleState": "ACTIVE",
            "Description": "Evaluates whether EC2 instances are the t2.micro type.",
            "ConfigRuleName": "InstanceTypesAreT2micro",
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "Source": {
                "Owner": "CUSTOM_LAMBDA",
                "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
                "SourceDetails": [
                    {
                        "EventSource": "aws.config",
                        "MessageType": "ConfigurationItemChangeNotification"
                    }
                ]
            },
            "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}",
            "Scope": {
                "ComplianceResourceTypes": [
                    "AWS::EC2::Instance"
                ]
            },
            "ConfigRuleId": "config-rule-abcdef"
        }
    ]
}
PowerShell
Herramientas para PowerShell

Ejemplo 1: En este ejemplo se enumeran las reglas de configuración de la cuenta, con las propiedades seleccionadas.

Get-CFGConfigRule | Select-Object ConfigRuleName, ConfigRuleId, ConfigRuleArn, ConfigRuleState

Salida:

ConfigRuleName                                    ConfigRuleId       ConfigRuleArn                                                        ConfigRuleState
--------------                                    ------------       -------------                                                        ---------------
ALB_REDIRECTION_CHECK                             config-rule-12iyn3 arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-12iyn3 ACTIVE
access-keys-rotated                               config-rule-aospfr arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-aospfr ACTIVE
autoscaling-group-elb-healthcheck-required        config-rule-cn1f2x arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-cn1f2x ACTIVE
Python
SDK para Python (Boto3)
nota

Hay más información al respecto. GitHub Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS. 

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def describe_config_rule(self, rule_name):
        """
        Gets data for the specified rule.

        :param rule_name: The name of the rule to retrieve.
        :return: The rule data.
        """
        try:
            response = self.config_client.describe_config_rules(
                ConfigRuleNames=[rule_name]
            )
            rule = response["ConfigRules"]
            logger.info("Got data for rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't get data for rule %s.", rule_name)
            raise
        else:
            return rule

  • Para obtener más información sobre la API, consulta DescribeConfigReglas en la referencia de la API del AWS SDK for Python (Boto3).

En los siguientes ejemplos de código, se muestra cómo utilizar PutConfigRule.

CLI
AWS CLI

Para añadir una regla de Config AWS gestionada

El siguiente comando proporciona código JSON para añadir una regla de Config AWS gestionada:

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.json es un archivo JSON que contiene la configuración de la regla:

{
  "ConfigRuleName": "RequiredTagsForEC2Instances",
  "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "REQUIRED_TAGS"
  },
  "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}"
}

Para el ComplianceResourceTypes atributo, este código JSON limita el alcance a los recursos de este AWS::EC2::Instance tipo, por lo que AWS Config evaluará solo las instancias de EC2 según la regla. Puesto que la regla es una regla administrada, el atributo Owner se establece en AWS y el atributo SourceIdentifier en el identificador de la regla, REQUIRED_TAGS. Para el atributo InputParameters, se especifican las claves de etiqueta que requiere la regla, CostCenter y Owner.

Si el comando se ejecuta correctamente, AWS Config no devuelve ningún resultado. Para verificar la configuración de la regla, ejecute el describe-config-rules comando y especifique el nombre de la regla.

Adición de una regla de configuración administrada por el cliente

En el siguiente comando se proporciona un código JSON para añadir una regla de configuración administrada por el cliente:

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.json es un archivo JSON que contiene la configuración de la regla:

{
  "ConfigRuleName": "InstanceTypesAreT2micro",
  "Description": "Evaluates whether EC2 instances are the t2.micro type.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "CUSTOM_LAMBDA",
    "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
    "SourceDetails": [
      {
        "EventSource": "aws.config",
        "MessageType": "ConfigurationItemChangeNotification"
      }
    ]
  },
  "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}"
}

Para el ComplianceResourceTypes atributo, este código JSON limita el alcance a los recursos de este AWS::EC2::Instance tipo, por lo que AWS Config evaluará solo las instancias de EC2 según la regla. Como esta regla es una regla administrada por el cliente, el Owner atributo se establece en y el SourceIdentifier atributo se establece en el ARN de la función Lambda AWS . CUSTOM_LAMBDA El objeto SourceDetails es obligatorio. Los parámetros que se especifican para el InputParameters atributo se pasan a la función AWS Lambda cuando AWS Config la invoca para evaluar los recursos en función de la regla.

Si el comando se ejecuta correctamente, AWS Config no devuelve ningún resultado. Para verificar la configuración de la regla, ejecute el describe-config-rules comando y especifique el nombre de la regla.

  • Para obtener más información sobre la API, consulte PutConfigRule in AWS CLI Command Reference.

Python
SDK para Python (Boto3)
nota

Hay más información al respecto GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS. 

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def put_config_rule(self, rule_name):
        """
        Sets a configuration rule that prohibits making Amazon S3 buckets publicly
        readable.

        :param rule_name: The name to give the rule.
        """
        try:
            self.config_client.put_config_rule(
                ConfigRule={
                    "ConfigRuleName": rule_name,
                    "Description": "S3 Public Read Prohibited Bucket Rule",
                    "Scope": {
                        "ComplianceResourceTypes": [
                            "AWS::S3::Bucket",
                        ],
                    },
                    "Source": {
                        "Owner": "AWS",
                        "SourceIdentifier": "S3_BUCKET_PUBLIC_READ_PROHIBITED",
                    },
                    "InputParameters": "{}",
                    "ConfigRuleState": "ACTIVE",
                }
            )
            logger.info("Created configuration rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't create configuration rule %s.", rule_name)
            raise

  • Para obtener más información sobre la API, consulta PutConfigRegla en la referencia de la API del AWS SDK for Python (Boto3).

En los siguientes ejemplos de código, se muestra cómo utilizar DeleteConfigRule.

CLI
AWS CLI

Para eliminar una regla de AWS Config

El siguiente comando elimina una regla de AWS Config denominadaMyConfigRule:

aws configservice delete-config-rule --config-rule-name MyConfigRule

  • Para obtener más información sobre la API, consulta la referencia sobre la DeleteConfigregla en AWS CLI el comando.

Python
SDK para Python (Boto3)
nota

Hay más información al respecto GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS. 

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def delete_config_rule(self, rule_name):
        """
        Delete the specified rule.

        :param rule_name: The name of the rule to delete.
        """
        try:
            self.config_client.delete_config_rule(ConfigRuleName=rule_name)
            logger.info("Deleted rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't delete rule %s.", rule_name)
            raise

  • Para obtener más información sobre la API, consulta DeleteConfigRegla en la referencia de la API del AWS SDK for Python (Boto3).

Puede utilizar la evaluación proactiva para evaluar los recursos antes de que se implementen. Esto le permite evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un AWS recurso, cumpliría o no lo sería, dado el conjunto de reglas proactivas que tiene en su cuenta en su región.

El Esquema de tipos de recurso indica las propiedades de un recurso. Puede encontrar el esquema del tipo de recurso en "extensiones AWS públicas" en el AWS CloudFormation registro o con el siguiente comando CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obtener más información, consulte Administración de extensiones mediante el AWS CloudFormation registro y la referencia sobre los tipos de AWS recursos y propiedades en la Guía del AWS CloudFormation usuario.

nota

Las reglas proactivas no corrigen los recursos que están marcados como NON_COMPLIANT ni impiden su implementación.

Para activar la evaluación proactiva

Utilice el comando put-config-rule y active PROACTIVE para EvaluationModes.

Una vez que haya activado la evaluación proactiva, puede usar el comando CLI start-resource-evaluation y el comando CLI get-resource-evaluation-summary para comprobar si los recursos que especifica en estos comandos se marcarán como NO CONFORMES según las reglas proactivas de su cuenta en su región.

Por ejemplo, empiece con el comando start-resource-evaluation:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Debería recibir el ResourceEvaluationId en el resultado:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

A continuación, utilice el ResourceEvaluationId junto con el get-resource-evaluation-summary para comprobar el resultado de la evaluación:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Debería obtener un resultado similar al siguiente:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver información adicional sobre el resultado de la evaluación, por ejemplo, qué regla ha marcado un recurso como NON_COMPLIANT, use el comando de la CLI get-compliance-details-by-resource.

nota

Para obtener una lista de reglas administradas que admiten la evaluación proactiva, consulte Lista de reglas administradas por modo de evaluación. AWS Config

Puede utilizar la evaluación proactiva para evaluar los recursos antes de que se implementen. Esto le permite evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un AWS recurso, cumple o no lo cumple, dado el conjunto de reglas proactivas que tiene en su cuenta en su región.

El Esquema de tipos de recurso indica las propiedades de un recurso. Puede encontrar el esquema del tipo de recurso en "extensiones AWS públicas" en el AWS CloudFormation registro o con el siguiente comando CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obtener más información, consulte Administración de extensiones mediante el AWS CloudFormation registro y la referencia sobre los tipos de AWS recursos y propiedades en la Guía del AWS CloudFormation usuario.

nota

Las reglas proactivas no corrigen los recursos que están marcados como NON_COMPLIANT ni impiden su implementación.

Para activar la evaluación proactiva para una regla

Utilice la acción PutConfigRegla y habilite PROACTIVE paraEvaluationModes.

Una vez que hayas activado la evaluación proactiva, puedes usar la API de StartResourceevaluación y la GetResourceEvaluationSummaryAPI para comprobar si los recursos que especificas en estos comandos se marcarán como NO CONFORMES según las reglas proactivas de tu cuenta en tu región. Por ejemplo, comience con la API: StartResourceEvaluation 

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Debería recibir el ResourceEvaluationId en el resultado:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

A continuación, úsala ResourceEvaluationId con la GetResourceEvaluationSummary API para comprobar el resultado de la evaluación:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Debería obtener un resultado similar al siguiente:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver información adicional sobre el resultado de la evaluación, por ejemplo, qué regla marcó un recurso como NO CONFORME, usa la GetCompliance DetailsBy API de recursos.

nota

Para obtener una lista de reglas administradas que admiten la evaluación proactiva, consulte Lista de reglas AWS Config administradas por modo de evaluación.

Envío de evaluaciones de reglas al Security Hub

Tras añadir una AWS Config regla, también puede enviar las evaluaciones de la regla a AWS Security Hub. La integración entre AWS Config y Security Hub le permite clasificar y corregir las evaluaciones de reglas junto con otros errores de configuración y problemas de seguridad.

Enviar evaluaciones de reglas al Security Hub

Para enviar evaluaciones de reglas a Security Hub, primero debe configurar AWS Security Hub y AWS Config, a continuación, agregar al menos una regla AWS Config administrada o personalizada. Después de esto, comienza AWS Config inmediatamente a enviar evaluaciones de reglas a Security Hub. Security Hub enriquece las evaluaciones de reglas y las transforma en resultados en el Security Hub.

Para obtener más información sobre esta integración, consulte las integraciones AWS de servicios disponibles en la Guía del AWS Security Hub usuario.