Evaluación de sus recursos con AWS Config reglas - AWS Config

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Evaluación de sus recursos con AWS Config reglas

Cuando crea reglas personalizadas o utiliza reglas administradas, AWS Config evalúa sus recursos en función de esas reglas. Puede realizar evaluaciones bajo demanda de los recursos con respecto a sus reglas. Por ejemplo, esto resulta útil cuando se crea una regla personalizada y se desea comprobar si AWS Config se están evaluando correctamente los recursos o si hay algún problema con la lógica de evaluación de la AWS Lambda función.

Ejemplo

  1. Puede crear una regla personalizada que evalúe si los usuarios de IAM tienen claves de acceso activas.

  2. AWS Config evalúa los recursos en función de la regla personalizada.

  3. Hay un usuario de IAM que no tiene una clave de acceso activa en su cuenta. La regla no marca correctamente este recurso como NON_COMPLIANT.

  4. Puede corregir la regla y empezar de nuevo la evaluación.

  5. Dado que ha corregido la regla, la regla evalúa correctamente los recursos y marca el recurso de usuario de IAM como NON_COMPLIANT.

Al agregar una regla a su cuenta, puede especificar en qué momento del proceso de creación y administración de recursos desea AWS Config evaluar sus recursos. El proceso de creación y administración de los recursos se denomina aprovisionamiento de recursos. Usted elige el modo de evaluación para especificar en qué momento de este proceso AWS Config desea evaluar sus recursos.

Según la regla, AWS Config puede evaluar las configuraciones de los recursos antes de que se haya desplegado un recurso, después de que se haya desplegado un recurso, o ambas cosas. Evaluar un recurso antes de implementarlo se denomina evaluación proactiva. Evaluar un recurso después de implementarlo se denomina evaluación de detectives.

Utilice una evaluación proactiva para evaluar los recursos antes de que se implementen. Esto le permite evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un AWS recurso, es conforme o no, dado el conjunto de reglas proactivas que tiene en su cuenta en su región.

El Esquema de tipos de recurso indica las propiedades de un recurso. Puede encontrar el esquema del tipo de recurso en "extensiones AWS públicas" en el AWS CloudFormation registro o con el siguiente comando CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obtener más información, consulte Administración de extensiones mediante el AWS CloudFormation registro y la referencia sobre los tipos de AWS recursos y propiedades en la Guía del AWS CloudFormation usuario.

nota

Las reglas proactivas no corrigen los recursos que están marcados como NON_COMPLIANT ni impiden su implementación.

Evaluación de sus recursos

Para activar una evaluación proactiva

  1. Inicie sesión en la AWS Config consola AWS Management Console y ábrala en https://console.aws.amazon.com/config/.

  2. En el AWS Management Console menú, compruebe que el selector de regiones esté configurado en una región que admita AWS Config reglas. Para ver una lista de las regiones de AWS admitidas, consulte AWS Config Regions and Endpoints en la Referencia general de Amazon Web Services.

  3. En el panel de navegación izquierdo, seleccione Rules (Reglas). Para obtener una lista de reglas administradas que admiten una evaluación proactiva, consulte la Lista de reglas AWS Config administradas por modo de evaluación.

  4. Elija una regla y, a continuación, elija Editar la regla para la regla que desee actualizar.

  5. En Modo de evaluación, seleccione Active la evaluación proactiva para ejecutar evaluaciones de los valores de configuración de sus recursos antes de que se implementen.

  6. Seleccione Guardar.

nota

También puede activar la evaluación proactiva mediante el put-config-rulecomando y habilitar PROACTIVE EvaluationModes o usar la PutConfigRuleacción y habilitar PROACTIVE forEvaluationModes.

Una vez que hayas activado la evaluación proactiva, puedes usar la StartResourceEvaluationAPI y la GetResourceEvaluationSummaryAPI para comprobar si los recursos que especifiques en estos comandos se marcarán como NO CONFORMES según las reglas proactivas de tu cuenta de tu región.

Por ejemplo, comience con la API: StartResourceEvaluation 

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Debería recibir el ResourceEvaluationId en el resultado:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

A continuación, ResourceEvaluationId utilícela con la GetResourceEvaluationSummary API para comprobar el resultado de la evaluación:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Debería obtener un resultado similar al siguiente:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver información adicional sobre el resultado de la evaluación, por ejemplo, qué regla marcó un recurso como NO CUMPLIDO, usa la API. GetComplianceDetailsByResource

Utilice la evaluación de detectives para evaluar los recursos que ya se han implementado. Esto le permite evaluar los ajustes de configuración de los recursos existentes.

Evaluación de sus recursos (consola)

  1. Inicie sesión en la AWS Config consola AWS Management Console y ábrala en https://console.aws.amazon.com/config/.

  2. En el AWS Management Console menú, compruebe que el selector de regiones esté configurado en una región que admita AWS Config reglas. Para ver una lista de las regiones admitidas, consulte Regiones y puntos de enlace de AWS Config en la Referencia general de Amazon Web Services.

  3. En el panel de navegación, seleccione Reglas. La página Reglas muestra el nombre, la acción correctiva asociada y el estado de conformidad de cada regla.

  4. Seleccione una regla de la tabla.

  5. En la lista desplegable Acciones, seleccione Volver a evaluar.

  6. AWS Config comienza a evaluar los recursos en función de tu regla.

nota

Puede volver a evaluar una regla una vez cada minuto. Debe esperar AWS Config a que se complete la evaluación de su regla antes de iniciar otra evaluación. No puede ejecutar una evaluación si la regla se está actualizando al mismo tiempo o si la regla se está eliminando.

Evaluación de sus recursos (CLI)

  • Utilice el comando start-config-rules-evaluation:

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName

    AWS Config comienza a evaluar las configuraciones de recursos registradas en función de su regla. También puede especificar varias reglas en su solicitud:

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName1 ConfigRuleName2 ConfigRuleName3

Evaluación de sus recursos (API)

Utilice la acción StartConfigRulesEvaluation.