AWS Config Empezando por el AWS CLI - AWS Config
put-configuration-recorderput-delivery-channelstart-configuration-recorder

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Config Empezando por el AWS CLI

nota

Antes de AWS Config configurarlo AWS CLI, debe crear un bucket de S3, un tema de SNS y un rol de IAM con políticas adjuntas como requisitos previos. A continuación, puede usar el AWS CLI para especificar el segmento, el tema y el rol. AWS Config Para configurar sus requisitos previos AWS Config, consulte Requisitos previos.

Para AWS Config empezar AWS CLI, utilice los comandos put-configuration-recorder, put-delivery-channel y start-configuration-recorder, de la siguiente manera:

  • El comando put-configuration-recorder crea un nuevo registrador de configuración para registrar las configuraciones de recursos especificadas.

  • El comando put-delivery-channel crea un objeto de canal de entrega para entregar información de configuración a un bucket de S3 y un tema de Amazon SNS.

  • Una vez creado un canal de entrega, start-configuration-recorder comienza a registrar las configuraciones de recursos seleccionadas, que puede ver en su cuenta de AWS .

nota

Solo puede tener un registrador de configuración y un canal de entrega por cada región de AWS en su cuenta.

Puede especificar el nombre de la grabadora y el nombre de recurso de Amazon (ARN) de la función de IAM que asume AWS Config y utiliza la grabadora de configuración. AWS Config asigna automáticamente el nombre «predeterminado» al crear el grabador de configuración. No puede cambiar el nombre del registrador de configuración después de crearlo. Para cambiar el nombre del registrador de configuración, debe eliminarlo y crear un nuevo registrador de configuración con un nombre nuevo.

AWS Config Para configurar la agregación de datos multicuenta y multirregión con el AWS CLI, consulte Configuración de un agregador mediante la AWS interfaz de línea de comandos. Debe crear un grabador de configuración independiente para cada región en la Cuenta de AWS que desee registrar los elementos de configuración.

put-configuration-recorder

El comando put-configuration-recorder debería ser igual al siguiente ejemplo.

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

Este comando usa los ---recording-group campos --configuration-recorder y.

nota

Grupo de grabación y grabador de configuración

El campo --recording-group especifica los tipos de recursos que se registran.

El --configuration-recorder campo especifica name y roleArn también la frecuencia de grabación por defecto de la grabadora de configuración (recordingMode). También puede usar este campo para anular la frecuencia de registro de tipos de recursos específicos.

put-configuration-recorder usa las opciones siguientes para el parámetro de --recording-group:

  • allSupported=true— AWS Config registra los cambios de configuración de todos los tipos de recursos compatibles, excepto los tipos de recursos de IAM globales. Cuando AWS Config agrega soporte para un nuevo tipo de recurso, comienza a grabar AWS Config automáticamente los recursos de ese tipo.

  • includeGlobalResourceTypes=true: esta opción es una agrupación que solo se aplica a los tipos de recursos de IAM globales: usuarios, grupos, roles y políticas administradas por el cliente de IAM. Estos tipos de recursos de IAM globales solo se pueden registrar AWS Config en las regiones en las que AWS Config estaban disponibles antes de febrero de 2022. No se pueden registrar los tipos de recursos de IAM globales en las regiones admitidas después de febrero de AWS Config 2022. Para obtener una lista de esas regiones, consulte Recursos de grabación | AWS Recursos globales.

    importante

    Los clústeres globales de Aurora se registran en todas las regiones habilitadas

    El tipo de AWS::RDS::GlobalCluster recurso se registrará en todas AWS Config las regiones compatibles en las que la grabadora de configuración esté habilitada, incluso si includeGlobalResourceTypes está activadafalse. La opción includeGlobalResourceTypes es una agrupación que solo se aplica a los usuarios, grupos, roles y políticas administradas por el cliente de IAM.

    Si no desea grabar AWS::RDS::GlobalCluster en todas las regiones habilitadas, utilice una de las siguientes estrategias de registro:

    1. Registrar todos los tipos de recurso actuales y futuros con exclusiones (EXCLUSION_BY_RESOURCE_TYPES) o

    2. Registrar los tipos de recursos específicos (INCLUSION_BY_RESOURCE_TYPES).

    Para obtener más información, consulte Selección de los recursos que se registran.

    importante

    la estrategia de registro de inclusiones GlobalResourceTypes y exclusiones

    El includeGlobalResourceTypes campo no tiene ningún impacto en la estrategia EXCLUSION_BY_RESOURCE_TYPES de grabación. Esto significa que los tipos de recursos de IAM globales (usuarios, grupos, funciones y políticas gestionadas por los clientes de IAM) no se añadirán automáticamente como exclusiones exclusionByResourceTypes cuando includeGlobalResourceTypes estén configuradas. false

    El includeGlobalResourceTypes campo solo debe usarse para modificarlo, ya que de forma predeterminada se registran los cambios de configuración de todos los AllSupported tipos de recursos admitidos, excepto los tipos de recursos de IAM globales. AllSupported Para incluir los tipos de recursos de IAM globales cuando AllSupported esté configurado entrue, asegúrese de includeGlobalResourceTypes configurarlo en. true

    Para excluir los tipos de recursos de IAM globales de la estrategia de EXCLUSION_BY_RESOURCE_TYPES registro, debe añadirlos manualmente al resourceTypes campo de. exclusionByResourceTypes

    nota

    Campos obligatorios y opcionales

    Para poder establecer includeGlobalResourceTypes como true, defina antes el campo allSupported como true.

    Si lo desea, también puede establecer el campo useOnly de RecordingStrategy como ALL_SUPPORTED_RESOURCE_TYPES.

    nota

    Anulación de campos

    Si se establece includeGlobalResourceTypes como lista false pero los tipos de recursos de IAM globales en el resourceTypes campo de RecordingGroup, AWS Config se seguirán registrando los cambios de configuración para esos tipos de recursos especificados, independientemente de si se establece el includeGlobalResourceTypes campo en falso.

    Si no desea registrar los cambios de configuración en los tipos de recursos de IAM globales (usuarios, grupos, roles y políticas gestionadas por el cliente de IAM), asegúrese de no incluirlos en el campo resourceTypes además de establecer el campo includeGlobalResourceTypes como false.

  • recordingStrategy: especifica la estrategia de registro para el registrador de configuración. El archivo recordingGroup.json especifica qué tipos de recursos registrará AWS Config :

    • Si establece el useOnly campo enALL_SUPPORTED_RESOURCE_TYPES, AWS Config registra RecordingStrategylos cambios de configuración de todos los tipos de recursos compatibles, excepto los tipos de recursos de IAM globales. Si lo desea, puede establecer el allSupported campo en. RecordingGrouptrue Cuando AWS Config agrega soporte para un nuevo tipo de recurso, comienza a grabar AWS Config automáticamente los recursos de ese tipo.

    • Si establece el useOnly campo enINCLUSION_BY_RESOURCE_TYPES, AWS Config registra los cambios de RecordingStrategyconfiguración solo para los tipos de recursos que especifique en el resourceTypes campo de RecordingGroup.

    • Si establece el useOnly campo enEXCLUSION_BY_RESOURCE_TYPES, AWS Config registra los cambios de RecordingStrategyconfiguración de todos los tipos de recursos admitidos, excepto los tipos de recursos que especifique para que no se registren en el resourceTypes campo de ExclusionByResourceTypes.

    nota

    Campos obligatorios y opcionales

    El campo recordingStrategy es opcional si se establece el campo allSupported de --recording-group en true.

    El campo recordingStrategy es opcional cuando se enumeran los tipos de recursos en el campo resourceTypes de --recording-group.

    El campo recordingStrategy es obligatorio si enumera los tipos de recursos que se van a excluir del registro en el campo resourceTypes de exclusionByResourceTypes.

    nota

    Anulación de campos

    Si elige EXCLUSION_BY_RESOURCE_TYPES para la estrategia de registro, el campo exclusionByResourceTypes anulará las demás propiedades de la solicitud.

    Por ejemplo, aunque se defina includeGlobalResourceTypes como false, los tipos de recursos de IAM globales se seguirán registrando automáticamente en esta opción, a menos que esos tipos de recursos se indiquen específicamente como excepciones en el campo resourceTypes de exclusionByResourceTypes.

    nota

    Los tipos de recurso globales y la estrategia de registro de la exclusión de recursos

    De forma predeterminada, si elige la estrategia de EXCLUSION_BY_RESOURCE_TYPES registro, al AWS Config añadir soporte para un nuevo tipo de recurso en la región en la que ha configurado la grabadora de configuración, incluidos los tipos de recursos globales, AWS Config comienza a grabar los recursos de ese tipo automáticamente.

    A menos que se indique específicamente como exclusiones, se AWS::RDS::GlobalCluster grabará automáticamente en todas AWS Config las regiones compatibles en las que la grabadora de configuración esté habilitada.

    Los usuarios, los grupos, las funciones y las políticas gestionadas por los clientes de IAM se registrarán en la región en la que haya configurado el registrador de configuración, si es una región en la que AWS Config estaba disponible antes de febrero de 2022. No se pueden registrar los tipos de recursos de IAM globales en las regiones admitidas después de febrero de AWS Config 2022. Para obtener una lista de esas regiones, consulte Recursos de grabación | AWS Recursos globales.

    A continuación se muestra la sintaxis de la solicitud del recordingGroup.json.

    { 
    "allSupported": boolean,
    "exclusionByResourceTypes": { 
        "resourceTypes": [ Comma-separated list of resource types to exclude ]
    },
    "includeGlobalResourceTypes": boolean,
    "recordingStrategy": { 
        "useOnly": "Recording strategy for the configuration recorder"
    },
    "resourceTypes": [ Comma-separated list of resource types to include]
}
    nota

    Políticas de autorización para AWS Organizations Can Prevent Acceses

    Si utiliza una función de IAM preexistente, asegúrese de que no haya ninguna política de autorización AWS Organizations que AWS Config impida tener permiso para registrar sus recursos. Para obtener más información sobre las políticas de autorización AWS Organizations, consulte Gestión de políticas AWS Organizations en la Guía del AWS Organizations usuario.

    Mantenga los permisos mínimos al reutilizar un rol de IAM

    Si utiliza un AWS servicio que utiliza AWS Config, como AWS Security Hub o AWS Control Tower, y ya se ha creado un rol de IAM, asegúrese de que el rol de IAM que utilice al configurar AWS Config mantenga los mismos permisos mínimos que el rol de IAM preexistente. Debe hacerlo para asegurarse de que el otro AWS servicio siga ejecutándose según lo previsto.

    Por ejemplo, si AWS Control Tower tiene una función de IAM que AWS Config permite leer objetos de S3, asegúrese de conceder los mismos permisos a la función de IAM que utilizó al configurar. AWS Config De lo contrario, podría interferir con el funcionamiento AWS Control Tower .

    nota

    Alto número de AWS Config evaluaciones

    Es posible que notes un aumento de la actividad en tu cuenta durante el primer mes de grabación con AWS Config en comparación con los meses siguientes. Durante el proceso de arranque inicial, AWS Config realiza evaluaciones de todos los recursos de tu cuenta que hayas seleccionado para AWS Config registrarlos.

    Si ejecuta cargas de trabajo efímeras, es posible que vea un aumento de la actividad debido a que registra los cambios de AWS Config configuración asociados con la creación y la eliminación de estos recursos temporales. Una carga de trabajo efímera es el uso temporal de recursos informáticos que se cargan y ejecutan cuando es necesario. Algunos ejemplos son las instancias puntuales de Amazon Elastic Compute Cloud (Amazon EC2), los trabajos de Amazon EMR y. AWS Auto Scaling Si quiere evitar el aumento de actividad derivado de la ejecución de cargas de trabajo efímeras, puede configurar el registrador de configuración para que no se registren estos tipos de recursos o ejecutar estos tipos de cargas de trabajo en una cuenta independiente con la opción AWS Config desactivada para evitar aumentar el registro de la configuración y la evaluación de las reglas.

    nota

    Disponibilidad por región

    Antes de especificar el tipo de recurso del que se va AWS Config a realizar el seguimiento, compruebe la cobertura de los recursos por región y la disponibilidad para comprobar si el tipo de recurso es compatible con la AWS región en la que va a realizar la configuración. AWS Config Si al menos una región admite un tipo de recurso, puede habilitar el registro de ese tipo de recurso en todas las regiones admitidas AWS Config, incluso si el tipo de recurso especificado no es compatible con la AWS región en la que está configurando AWS Config. AWS Config

put-configuration-recorder utiliza los siguientes campos para el parámetro --configuration-recorder:

  • name— El nombre de la grabadora de configuración. AWS Config asigna automáticamente el nombre «predeterminado» al crear la grabadora de configuración.

  • roleARN— Nombre de recurso de Amazon (ARN) de la función de IAM que asume AWS Config y utiliza el grabador de configuración.

  • recordingMode— Especifica la frecuencia de grabación predeterminada que se AWS Config utiliza para registrar los cambios de configuración. AWS Config admite la grabación continua y la grabación diaria. El registro continuo permite registrar los cambios de configuración de forma continua siempre que se produzca un cambio. El registro diario permite recibir un elemento de configuración (CI) que representa el estado más reciente de sus recursos durante el último período de 24 horas, solo si es diferente del CI anterior registrado.

    • recordingFrequency— La frecuencia de grabación predeterminada que se AWS Config utiliza para registrar los cambios de configuración.

      nota

      AWS Firewall Manager depende de la grabación continua para monitorizar sus recursos. Si utiliza Firewall Manager, se recomienda configurar la frecuencia de registro en Continua.

    • recordingModeOverrides: este campo le permite especificar las anulaciones para el modo de registro. Es una matriz de objetos de recordingModeOverride. Cada objeto recordingModeOverride de la matriz recordingModeOverrides consta de tres campos:

      • description: la descripción que proporcione para la anulación.

      • recordingFrequency: la frecuencia de registro que se aplicará a todos los tipos de recursos especificados en la anulación.

      • resourceTypes— Una lista separada por comas que especifica qué tipos de recursos se AWS Config incluyen en la anulación.

nota

Campos obligatorios y opcionales

El campo recordingMode de put-configuration-recorder es opcional. De forma predeterminada, la frecuencia de registro del registro de configuración está definida como Registro continuo.

nota

Límites

No se admite la grabación diaria para los siguientes tipos de recursos:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Para la estrategia de registro Registrar todos los tipos de recursos compatibles actuales y futuros (ALL_SUPPORTED_RESOURCE_TYPES), estos tipos de recursos se definirán con Registro continuo.

El configurationRecorder.json archivo especifica name y roleArn también la frecuencia de grabación predeterminada para la grabadora de configuración (). recordingMode También puede usar este campo para anular la frecuencia de registro de tipos de recursos específicos.

{
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

put-delivery-channel

En los siguientes ejemplos de código, se muestra cómo utilizar PutDeliveryChannel.

CLI
AWS CLI

Para crear un canal de entrega

El siguiente comando proporciona la configuración del canal de entrega en forma de código JSON:

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

El deliveryChannel.json archivo especifica los atributos del canal de entrega:

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Este ejemplo establece los siguientes atributos:

name- El nombre del canal de entrega. De forma predeterminada, AWS Config asigna el nombre default a un nuevo canal de entrega. No puede actualizar el nombre del canal de entrega con el comando. put-delivery-channel Para conocer los pasos para cambiar el nombre, consulte Cambiar el nombre del canal de entrega. s3BucketName - El nombre del bucket de Amazon S3 al que AWS Config entrega las instantáneas de configuración y los archivos del historial de configuración. Si especifica un bucket que pertenece a otra AWS cuenta, ese bucket debe tener políticas que concedan permisos de acceso a Config. AWS Para obtener más información, consulte Permisos para el bucket de Amazon S3.

snsTopicARN- El nombre del recurso de Amazon (ARN) del tema de Amazon SNS al que AWS Config envía notificaciones sobre los cambios de configuración. Si elige un tema de otra cuenta, el tema debe tener políticas que concedan permisos de acceso a Config. AWS Para obtener más información, consulte el tema Permisos para Amazon SNS.

configSnapshotDeliveryProperties- Contiene el deliveryFrequency atributo, que establece la frecuencia con la que AWS Config entrega instantáneas de la configuración y la frecuencia con la que invoca las evaluaciones de las reglas de Config periódicas.

Si el comando se ejecuta correctamente, AWS Config no devuelve ningún resultado. Para verificar la configuración de su canal de entrega, ejecute el describe-delivery-channels comando.

  • Para obtener más información sobre la API, consulta PutDeliveryChannel in AWS CLI Command Reference.

PowerShell
Herramientas para PowerShell

Ejemplo 1: Este ejemplo cambia la propiedad DeliveryFrequency de un canal de entrega existente.

Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName config-bucket-NA -DeliveryChannel_S3KeyPrefix my

  • Para obtener información sobre la API, consulte PutDeliveryChannel in AWS Tools for PowerShell Cmdlet Reference.

start-configuration-recorder

Para terminar de encenderlo AWS Config, usa el start-configuration-recordercomando.

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName