AWS Config Reglas administradas - AWS Config

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Config Reglas administradas

AWS Config proporciona reglas AWS administradas, que son reglas predefinidas y personalizables que se AWS Config utilizan para evaluar si sus AWS recursos cumplen con las mejores prácticas comunes. Por ejemplo, podría utilizar una regla administrada para empezar a evaluar de forma rápida si sus volúmenes de Amazon Elastic Block Store (Amazon EBS) están cifrados o si se aplican etiquetas específicas a los recursos. La AWS Config consola le guía a través del proceso de configuración y activación de una regla administrada. También puede usar la AWS Config API AWS Command Line Interface o para pasar el código JSON que define la configuración de una regla administrada.

Puede personalizar el comportamiento de una regla administrada para adaptarla a sus necesidades. Por ejemplo, puede definir el ámbito de la regla para restringir qué recursos inician una evaluación para la regla como, por ejemplo, volúmenes o instancias EC2. Puede personalizar los parámetros de la regla para definir los atributos que deben tener los recursos para cumplir la regla. Por ejemplo, puede personalizar un parámetro para especificar que el grupo de seguridad debería bloquear el tráfico entrante a un número de puerto específico.

Consideraciones sobre costos

Para obtener más información sobre los costes asociados al registro de recursos, consulta AWS Config los precios.

Recomendación: deje de registrar el cumplimiento de los recursos antes de eliminar las reglas

Se recomienda encarecidamente que dejes de grabar para ese tipo de AWS::Config::ResourceCompliance recurso antes de eliminar las reglas de tu cuenta. Al eliminar las reglas, se crean elementos de configuración (CI) AWS::Config::ResourceCompliance y esto puede repercutir en los costes AWS Config del registrador de configuración. Si elimina reglas que evalúan una gran cantidad de tipos de recursos, esto puede provocar un aumento en el número de elementos de configuración registrados.

Práctica óptima:

  1. Deja de grabar AWS::Config::ResourceCompliance

  2. Eliminar regla (s)

  3. Activa la grabación para AWS::Config::ResourceCompliance

Tipos de desencadenadores

Después de añadir una regla a su cuenta, AWS Config compara sus recursos con las condiciones de la regla. Tras esta evaluación inicial, AWS Config continúa realizando evaluaciones cada vez que se activa una. Los activadores de la evaluación se definen como parte de la regla y pueden incluir los siguientes tipos.

Tipo de disparador Descripción
Cambios de configuración AWS Config ejecuta las evaluaciones de la regla cuando hay un recurso que coincide con el alcance de la regla y se produce un cambio en la configuración del recurso. La evaluación se ejecuta después de AWS Config enviar una notificación de cambio de elemento de configuración.

Usted elige qué recursos activan la evaluación al definir el ámbito de la regla. El ámbito puede incluir lo siguiente:

  • Uno o varios tipos de recursos

  • Una combinación de un tipo de recurso y un ID de recurso

  • Una combinación de una clave de etiqueta y un valor

  • Cuando se crea, se actualiza o se elimina cualquier recurso registrado

AWS Config ejecuta la evaluación cuando detecta un cambio en un recurso que coincide con el alcance de la regla. Puede utilizar el ámbito para definir los recursos que activan evaluaciones.

Periódico AWS Config ejecuta las evaluaciones de la regla con la frecuencia que usted elija; por ejemplo, cada 24 horas.
Híbrido Algunas reglas tienen cambios de configuración y desencadenadores periódicos. Para estas reglas, AWS Config evalúa sus recursos cuando detecta un cambio de configuración y también con la frecuencia que especifique.

Modos de evaluación

Hay dos modos de evaluación de las AWS Config reglas.

Modo de evaluación Descripción
Proactiva

Utilice una evaluación proactiva para evaluar los recursos antes de que se implementen. Esto le permite evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un AWS recurso, cumple o no lo es, dado el conjunto de reglas proactivas que tiene en su cuenta en su región.

Para obtener más información, consulte Modos de evaluación. Para obtener una lista de las reglas administradas que admiten la evaluación proactiva, consulte la Lista de reglas AWS Config administradas por modo de evaluación.

Detective Utilice la evaluación de detectives para evaluar los recursos que ya se han implementado. Esto le permite evaluar los ajustes de configuración de los recursos existentes.
nota

Las reglas proactivas no corrigen los recursos que están marcados como NON_COMPLIANT ni impiden su implementación.