Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Config Empezando por el AWS CLI
nota
Antes de AWS Config configurarlo AWS CLI, debe crear un bucket de S3, un tema de SNS y un rol de IAM con políticas adjuntas como requisitos previos. A continuación, puede usar el AWS CLI para especificar el segmento, el tema y el rol. AWS Config Para configurar sus requisitos previos AWS Config, consulte Requisitos previos.
Para AWS Config empezar AWS CLI, utilice los comandos put-configuration-recorder, put-delivery-channel y start-configuration-recorder, de la siguiente manera:
El comando
put-configuration-recorder
crea un nuevo registrador de configuración para registrar las configuraciones de recursos especificadas.El comando
put-delivery-channel
crea un objeto de canal de entrega para entregar información de configuración a un bucket de S3 y un tema de Amazon SNS.Una vez creado un canal de entrega,
start-configuration-recorder
comienza a registrar las configuraciones de recursos seleccionadas, que puede ver en su cuenta de AWS .
nota
Solo puede tener un registrador de configuración y un canal de entrega por cada región de AWS en su cuenta.
Puede especificar el nombre de la grabadora y el nombre de recurso de Amazon (ARN) de la función de IAM que asume AWS Config y utiliza la grabadora de configuración. AWS Config asigna automáticamente el nombre «predeterminado» al crear el grabador de configuración. No puede cambiar el nombre del registrador de configuración después de crearlo. Para cambiar el nombre del registrador de configuración, debe eliminarlo y crear un nuevo registrador de configuración con un nombre nuevo.
AWS Config Para configurar la agregación de datos multicuenta y multirregión con el AWS CLI, consulte Configuración de un agregador mediante la AWS interfaz de línea de comandos. Debe crear un grabador de configuración independiente para cada región en la Cuenta de AWS que desee registrar los elementos de configuración.
put-configuration-recorder
El comando put-configuration-recorder
debería ser igual al siguiente ejemplo.
$ aws configservice put-configuration-recorder \ --configuration-recorder
file://configurationRecorder.json
\ --recording-groupfile://recordingGroup.json
Este comando usa los ---recording-group
campos --configuration-recorder
y.
nota
Grupo de grabación y grabador de configuración
El campo --recording-group
especifica los tipos de recursos que se registran.
El --configuration-recorder
campo especifica name
y roleArn
también la frecuencia de grabación por defecto de la grabadora de configuración (recordingMode
). También puede usar este campo para anular la frecuencia de registro de tipos de recursos específicos.
put-configuration-recorder
usa las opciones siguientes para el parámetro de --recording-group
:
-
allSupported=true
— AWS Config registra los cambios de configuración de todos los tipos de recursos compatibles, excepto los tipos de recursos de IAM globales. Cuando AWS Config agrega soporte para un nuevo tipo de recurso, comienza a grabar AWS Config automáticamente los recursos de ese tipo. -
includeGlobalResourceTypes=true
: esta opción es una agrupación que solo se aplica a los tipos de recursos de IAM globales: usuarios, grupos, roles y políticas administradas por el cliente de IAM. Estos tipos de recursos de IAM globales solo se pueden registrar AWS Config en las regiones en las que AWS Config estaban disponibles antes de febrero de 2022. No se pueden registrar los tipos de recursos de IAM globales en las regiones admitidas después de febrero de AWS Config 2022. Para obtener una lista de esas regiones, consulte Recursos de grabación | AWS Recursos globales.importante
Los clústeres globales de Aurora se registran en todas las regiones habilitadas
El tipo de
AWS::RDS::GlobalCluster
recurso se registrará en todas AWS Config las regiones compatibles en las que la grabadora de configuración esté habilitada, incluso siincludeGlobalResourceTypes
está activadafalse
. La opciónincludeGlobalResourceTypes
es una agrupación que solo se aplica a los usuarios, grupos, roles y políticas administradas por el cliente de IAM.Si no desea grabar
AWS::RDS::GlobalCluster
en todas las regiones habilitadas, utilice una de las siguientes estrategias de registro:Registrar todos los tipos de recurso actuales y futuros con exclusiones (
EXCLUSION_BY_RESOURCE_TYPES
) oRegistrar los tipos de recursos específicos (
INCLUSION_BY_RESOURCE_TYPES
).
Para obtener más información, consulte Selección de los recursos que se registran.
importante
la estrategia de registro de inclusiones GlobalResourceTypes y exclusiones
El
includeGlobalResourceTypes
campo no tiene ningún impacto en la estrategiaEXCLUSION_BY_RESOURCE_TYPES
de grabación. Esto significa que los tipos de recursos de IAM globales (usuarios, grupos, funciones y políticas gestionadas por los clientes de IAM) no se añadirán automáticamente como exclusionesexclusionByResourceTypes
cuandoincludeGlobalResourceTypes
estén configuradas.false
El
includeGlobalResourceTypes
campo solo debe usarse para modificarlo, ya que de forma predeterminada se registran los cambios de configuración de todos losAllSupported
tipos de recursos admitidos, excepto los tipos de recursos de IAM globales.AllSupported
Para incluir los tipos de recursos de IAM globales cuandoAllSupported
esté configurado entrue
, asegúrese deincludeGlobalResourceTypes
configurarlo en.true
Para excluir los tipos de recursos de IAM globales de la estrategia de
EXCLUSION_BY_RESOURCE_TYPES
registro, debe añadirlos manualmente alresourceTypes
campo de.exclusionByResourceTypes
nota
Campos obligatorios y opcionales
Para poder establecer
includeGlobalResourceTypes
comotrue
, defina antes el campoallSupported
comotrue
.Si lo desea, también puede establecer el campo
useOnly
deRecordingStrategy
comoALL_SUPPORTED_RESOURCE_TYPES
.nota
Anulación de campos
Si se establece
includeGlobalResourceTypes
como listafalse
pero los tipos de recursos de IAM globales en elresourceTypes
campo de RecordingGroup, AWS Config se seguirán registrando los cambios de configuración para esos tipos de recursos especificados, independientemente de si se establece elincludeGlobalResourceTypes
campo en falso.Si no desea registrar los cambios de configuración en los tipos de recursos de IAM globales (usuarios, grupos, roles y políticas gestionadas por el cliente de IAM), asegúrese de no incluirlos en el campo
resourceTypes
además de establecer el campoincludeGlobalResourceTypes
como false. -
recordingStrategy
: especifica la estrategia de registro para el registrador de configuración. El archivorecordingGroup.json
especifica qué tipos de recursos registrará AWS Config :-
Si establece el
useOnly
campo enALL_SUPPORTED_RESOURCE_TYPES
, AWS Config registra RecordingStrategylos cambios de configuración de todos los tipos de recursos compatibles, excepto los tipos de recursos de IAM globales. Si lo desea, puede establecer elallSupported
campo en. RecordingGrouptrue
Cuando AWS Config agrega soporte para un nuevo tipo de recurso, comienza a grabar AWS Config automáticamente los recursos de ese tipo. -
Si establece el
useOnly
campo enINCLUSION_BY_RESOURCE_TYPES
, AWS Config registra los cambios de RecordingStrategyconfiguración solo para los tipos de recursos que especifique en elresourceTypes
campo de RecordingGroup. Si establece el
useOnly
campo enEXCLUSION_BY_RESOURCE_TYPES
, AWS Config registra los cambios de RecordingStrategyconfiguración de todos los tipos de recursos admitidos, excepto los tipos de recursos que especifique para que no se registren en elresourceTypes
campo de ExclusionByResourceTypes.
nota
Campos obligatorios y opcionales
El campo
recordingStrategy
es opcional si se establece el campoallSupported
de--recording-group
entrue
.El campo
recordingStrategy
es opcional cuando se enumeran los tipos de recursos en el camporesourceTypes
de--recording-group
.El campo
recordingStrategy
es obligatorio si enumera los tipos de recursos que se van a excluir del registro en el camporesourceTypes
deexclusionByResourceTypes
.nota
Anulación de campos
Si elige
EXCLUSION_BY_RESOURCE_TYPES
para la estrategia de registro, el campoexclusionByResourceTypes
anulará las demás propiedades de la solicitud.Por ejemplo, aunque se defina
includeGlobalResourceTypes
como false, los tipos de recursos de IAM globales se seguirán registrando automáticamente en esta opción, a menos que esos tipos de recursos se indiquen específicamente como excepciones en el camporesourceTypes
deexclusionByResourceTypes
.nota
Los tipos de recurso globales y la estrategia de registro de la exclusión de recursos
De forma predeterminada, si elige la estrategia de
EXCLUSION_BY_RESOURCE_TYPES
registro, al AWS Config añadir soporte para un nuevo tipo de recurso en la región en la que ha configurado la grabadora de configuración, incluidos los tipos de recursos globales, AWS Config comienza a grabar los recursos de ese tipo automáticamente.A menos que se indique específicamente como exclusiones, se
AWS::RDS::GlobalCluster
grabará automáticamente en todas AWS Config las regiones compatibles en las que la grabadora de configuración esté habilitada.Los usuarios, los grupos, las funciones y las políticas gestionadas por los clientes de IAM se registrarán en la región en la que haya configurado el registrador de configuración, si es una región en la que AWS Config estaba disponible antes de febrero de 2022. No se pueden registrar los tipos de recursos de IAM globales en las regiones admitidas después de febrero de AWS Config 2022. Para obtener una lista de esas regiones, consulte Recursos de grabación | AWS Recursos globales.
A continuación se muestra la sintaxis de la solicitud del
recordingGroup.json
.{ "allSupported":
boolean
, "exclusionByResourceTypes": { "resourceTypes": [Comma-separated list of resource types to exclude
] }, "includeGlobalResourceTypes":boolean
, "recordingStrategy": { "useOnly": "Recording strategy for the configuration recorder
" }, "resourceTypes": [Comma-separated list of resource types to include
] }nota
Políticas de autorización para AWS Organizations Can Prevent Acceses
Si utiliza una función de IAM preexistente, asegúrese de que no haya ninguna política de autorización AWS Organizations que AWS Config impida tener permiso para registrar sus recursos. Para obtener más información sobre las políticas de autorización AWS Organizations, consulte Gestión de políticas AWS Organizations en la Guía del AWS Organizations usuario.
Mantenga los permisos mínimos al reutilizar un rol de IAM
Si utiliza un AWS servicio que utiliza AWS Config, como AWS Security Hub o AWS Control Tower, y ya se ha creado un rol de IAM, asegúrese de que el rol de IAM que utilice al configurar AWS Config mantenga los mismos permisos mínimos que el rol de IAM preexistente. Debe hacerlo para asegurarse de que el otro AWS servicio siga ejecutándose según lo previsto.
Por ejemplo, si AWS Control Tower tiene una función de IAM que AWS Config permite leer objetos de S3, asegúrese de conceder los mismos permisos a la función de IAM que utilizó al configurar. AWS Config De lo contrario, podría interferir con el funcionamiento AWS Control Tower .
nota
Alto número de AWS Config evaluaciones
Es posible que notes un aumento de la actividad en tu cuenta durante el primer mes de grabación con AWS Config en comparación con los meses siguientes. Durante el proceso de arranque inicial, AWS Config realiza evaluaciones de todos los recursos de tu cuenta que hayas seleccionado para AWS Config registrarlos.
Si ejecuta cargas de trabajo efímeras, es posible que vea un aumento de la actividad debido a que registra los cambios de AWS Config configuración asociados con la creación y la eliminación de estos recursos temporales. Una carga de trabajo efímera es el uso temporal de recursos informáticos que se cargan y ejecutan cuando es necesario. Algunos ejemplos son las instancias puntuales de Amazon Elastic Compute Cloud (Amazon EC2), los trabajos de Amazon EMR y. AWS Auto Scaling Si quiere evitar el aumento de actividad derivado de la ejecución de cargas de trabajo efímeras, puede configurar el registrador de configuración para que no se registren estos tipos de recursos o ejecutar estos tipos de cargas de trabajo en una cuenta independiente con la opción AWS Config desactivada para evitar aumentar el registro de la configuración y la evaluación de las reglas.
nota
Disponibilidad por región
Antes de especificar el tipo de recurso del que se va AWS Config a realizar el seguimiento, compruebe la cobertura de los recursos por región y la disponibilidad para comprobar si el tipo de recurso es compatible con la AWS región en la que va a realizar la configuración. AWS Config Si al menos una región admite un tipo de recurso, puede habilitar el registro de ese tipo de recurso en todas las regiones admitidas AWS Config, incluso si el tipo de recurso especificado no es compatible con la AWS región en la que está configurando AWS Config. AWS Config
-
put-configuration-recorder
utiliza los siguientes campos para el parámetro --configuration-recorder
:
name
— El nombre de la grabadora de configuración. AWS Config asigna automáticamente el nombre «predeterminado» al crear la grabadora de configuración.roleARN
— Nombre de recurso de Amazon (ARN) de la función de IAM que asume AWS Config y utiliza el grabador de configuración.recordingMode
— Especifica la frecuencia de grabación predeterminada que se AWS Config utiliza para registrar los cambios de configuración. AWS Config admite la grabación continua y la grabación diaria. El registro continuo permite registrar los cambios de configuración de forma continua siempre que se produzca un cambio. El registro diario permite recibir un elemento de configuración (CI) que representa el estado más reciente de sus recursos durante el último período de 24 horas, solo si es diferente del CI anterior registrado.-
recordingFrequency
— La frecuencia de grabación predeterminada que se AWS Config utiliza para registrar los cambios de configuración.nota
AWS Firewall Manager depende de la grabación continua para monitorizar sus recursos. Si utiliza Firewall Manager, se recomienda configurar la frecuencia de registro en Continua.
-
recordingModeOverrides
: este campo le permite especificar las anulaciones para el modo de registro. Es una matriz de objetos derecordingModeOverride
. Cada objetorecordingModeOverride
de la matrizrecordingModeOverrides
consta de tres campos:description
: la descripción que proporcione para la anulación.recordingFrequency
: la frecuencia de registro que se aplicará a todos los tipos de recursos especificados en la anulación.resourceTypes
— Una lista separada por comas que especifica qué tipos de recursos se AWS Config incluyen en la anulación.
-
nota
Campos obligatorios y opcionales
El campo recordingMode
de put-configuration-recorder
es opcional. De forma predeterminada, la frecuencia de registro del registro de configuración está definida como Registro continuo.
nota
Límites
No se admite la grabación diaria para los siguientes tipos de recursos:
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
Para la estrategia de registro Registrar todos los tipos de recursos compatibles actuales y futuros (ALL_SUPPORTED_RESOURCE_TYPES
), estos tipos de recursos se definirán con Registro continuo.
El configurationRecorder.json
archivo especifica name
y roleArn
también la frecuencia de grabación predeterminada para la grabadora de configuración (). recordingMode
También puede usar este campo para anular la frecuencia de registro de tipos de recursos específicos.
{ "name": "default", "roleARN": "
arn:aws:iam::123456789012:role/config-role
", "recordingMode": { "recordingFrequency":CONTINUOUS
orDAILY
, "recordingModeOverrides": [ { "description": "Description you provide for the override
", "recordingFrequency":CONTINUOUS
orDAILY
, "resourceTypes": [Comma-separated list of resource types to include in the override
] } ] } }
put-delivery-channel
En los siguientes ejemplos de código, se muestra cómo utilizar PutDeliveryChannel
.
start-configuration-recorder
Para terminar de encenderlo AWS Config, usa el start-configuration-recorder
comando.
$ aws configservice start-configuration-recorder --configuration-recorder-name
configRecorderName