Terminología Actualización del canal de entrega Cambio de nombre del canal de entrega

Administrar el canal de entrega

Como registra AWS Config continuamente los cambios que se producen en sus AWS recursos, envía notificaciones y estados de configuración actualizados a través del canal de entrega. Puede administrar el canal de entrega para controlar dónde se AWS Config envían las actualizaciones de configuración.

Solo puede tener un canal de entrega por AWS región, región y AWS cuenta, y es obligatorio utilizar el canal de entrega AWS Config.

Cuando AWS Config detecta un cambio en la configuración de un recurso y la notificación supera el tamaño máximo permitido por Amazon SNS, la notificación incluye un breve resumen del elemento de configuración. Puede ver la notificación completa en la ubicación del bucket de Amazon S3 especificada en el campo s3BucketLocation. Para obtener más información, consulte Example Oversized Configuration Item Change Notification.

nota

AWS Config admite el AWS KMS cifrado de los buckets de Amazon S3 utilizados por AWS Config

Puede proporcionar una clave AWS Key Management Service (AWS KMS) o un alias (Amazon Resource Name, ARN) para cifrar los datos que se envían a su bucket de Amazon Simple Storage Service (Amazon S3). De forma predeterminada, AWS Config entrega el historial de configuración y los archivos de instantáneas a su bucket de Amazon S3 y cifra los datos en reposo mediante el cifrado S3 AES-256 del lado del servidor, SSE-S3. Sin embargo, si AWS Config proporciona su clave de KMS o alias ARN, AWS Config utiliza esa clave de KMS en lugar del cifrado AES-256.

AWS Config no admite el canal de entrega a un bucket de Amazon S3 en el que el bloqueo de objetos está habilitado con la retención predeterminada habilitada. Para obtener más información, consulte Cómo funciona el bloqueo de objetos de S3.

Temas

Terminología

Un elemento de configuración representa una point-in-time vista de los distintos atributos de un AWS recurso compatible que existe en su cuenta. Los componentes de un elemento de configuración incluyen los metadatos, los atributos, las relaciones, la configuración actual y los eventos relacionados. AWS Config crea un elemento de configuración cada vez que detecta un cambio en un tipo de recurso que está registrando. Por ejemplo, si AWS Config está grabando buckets de Amazon S3, AWS Config crea un elemento de configuración cada vez que se crea, actualiza o elimina un bucket. También puede seleccionar AWS Config crear un elemento de configuración con la frecuencia de grabación que haya establecido.

Un historial de configuración es una colección de elementos de configuración de un recurso determinado durante cualquier periodo de tiempo. Un historial de configuración puede ayudarle a responder preguntas sobre, por ejemplo, cuándo se creó el recurso, cómo se ha configurado durante el último mes y qué cambios de configuración se introdujeron ayer a las 9 de la mañana. El historial de configuración está disponible en varios formatos. AWS Config entrega automáticamente un archivo de historial de configuración para cada tipo de recurso que se registre en un bucket de Amazon S3 que especifique. Puede seleccionar un recurso determinado en la AWS Config consola y navegar hasta todos los elementos de configuración anteriores de ese recurso utilizando la cronología. Asimismo, puede obtener acceso a los elementos de configuración históricos de un recurso desde la API.

Una instantánea de configuración es una colección de elementos de configuración de los recursos admitidos que existen en su cuenta. Esta instantánea de configuración es una imagen completa de los recursos que se registran y sus configuraciones. La instantánea de configuración puede ser una herramienta útil para validar la configuración. Por ejemplo, puede examinar la instantánea de configuración con regularidad para los recursos que se han configurado de forma incorrecta o que potencialmente no deban existir. La instantánea de configuración está disponible en varios formatos. Puede hacer que la instantánea de configuración se entregue al bucket de Amazon Simple Storage Service (Amazon S3) que especifique. Además, puede seleccionar un punto en el tiempo en la AWS Config consola y navegar por la instantánea de los elementos de configuración utilizando las relaciones entre los recursos.

Un flujo de configuración es una lista actualizada automáticamente de todos los elementos de configuración de los recursos que AWS Config se están registrando. Cada vez que se crea, se modifica o se elimina un recurso, AWS Config crea un elemento de configuración y lo añade al flujo de configuración. El flujo de configuración utiliza el tema de Amazon Simple Notification Service (Amazon SNS) de su elección. El flujo de configuración es útil para observar los cambios de configuración a medida que se producen y detectar posibles problemas, generar notificaciones si se modifican determinados recursos o actualizar los sistemas externos que deben reflejar la configuración de AWS los recursos.

Actualización del canal de entrega

Al actualizar el canal de entrega, puede ajustar las siguientes opciones:

El bucket de Amazon S3 al que se AWS Config envían las instantáneas de configuración y los archivos del historial de configuración.
Con qué frecuencia AWS Config entrega instantáneas de configuración a su bucket de Amazon S3.
El tema de Amazon SNS al que se AWS Config envían notificaciones sobre los cambios de configuración.

Puede usar la AWS Config consola para configurar el bucket de Amazon S3 y el tema Amazon SNS para su canal de entrega. Para conocer los pasos para administrar estos ajustes, consulte Configuración AWS Config con la consola.

La consola no proporciona opciones para cambiar el nombre del canal de entrega, ajustar la frecuencia de las instantáneas de configuración o eliminar el canal de entrega. Para realizar estas tareas, debe usar la AWS CLI AWS Config API o uno de los AWS SDK.

En los siguientes ejemplos de código, se muestra cómo utilizar PutDeliveryChannel.

CLI

AWS CLI

Para crear un canal de entrega

El siguiente comando proporciona la configuración del canal de entrega en forma de código JSON:


aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

El deliveryChannel.json archivo especifica los atributos del canal de entrega:


{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Este ejemplo establece los siguientes atributos:

name- El nombre del canal de entrega. De forma predeterminada, AWS Config asigna el nombre default a un nuevo canal de entrega. No puede actualizar el nombre del canal de entrega con el comando. put-delivery-channel Para conocer los pasos para cambiar el nombre, consulte Cambiar el nombre del canal de entrega. s3BucketName - El nombre del bucket de Amazon S3 al que AWS Config entrega las instantáneas de configuración y los archivos del historial de configuración. Si especifica un bucket que pertenece a otra AWS cuenta, ese bucket debe tener políticas que concedan permisos de acceso a Config. AWS Para obtener más información, consulte Permisos para el bucket de Amazon S3.

snsTopicARN- El nombre del recurso de Amazon (ARN) del tema de Amazon SNS al que AWS Config envía notificaciones sobre los cambios de configuración. Si elige un tema de otra cuenta, el tema debe tener políticas que concedan permisos de acceso a Config. AWS Para obtener más información, consulte el tema Permisos para Amazon SNS.

configSnapshotDeliveryProperties- Contiene el deliveryFrequency atributo, que establece la frecuencia con la que AWS Config entrega instantáneas de la configuración y la frecuencia con la que invoca las evaluaciones de las reglas de Config periódicas.

Si el comando se ejecuta correctamente, AWS Config no devuelve ningún resultado. Para verificar la configuración de su canal de entrega, ejecute el describe-delivery-channels comando.

Para obtener más información sobre la API, consulte PutDeliveryChannella Referencia de AWS CLI comandos.

PowerShell

Herramientas para PowerShell

Ejemplo 1: Este ejemplo cambia la propiedad DeliveryFrequency de un canal de entrega existente.


Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName config-bucket-NA -DeliveryChannel_S3KeyPrefix my

Para obtener más información sobre la API, consulte la referencia del PutDeliveryChannel AWS Tools for PowerShellcmdlet.

(Opcional) Puede utilizar el comando describe-delivery-channels para verificar que se han actualizado los ajustes del canal de entrega:


$ aws configservice describe-delivery-channels
{
    "DeliveryChannels": [
        {
            "configSnapshotDeliveryProperties": {
                "deliveryFrequency": "Twelve_Hours"
            },
            "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

En los siguientes ejemplos de código, se muestra cómo utilizar DescribeDeliveryChannels.

Cambio de nombre del canal de entrega

Para cambiar el nombre del canal de entrega, debe eliminarlo y crear un nuevo canal de entrega con el nombre que desee. Antes de poder eliminar el canal de entrega, debe detener temporalmente el registrador de configuración.

La AWS Config consola no ofrece la opción de eliminar el canal de entrega, por lo que debe usar la AWS CLI, la AWS Config API o uno de los AWS SDK.

Cambiar el nombre del canal de entrega mediante el AWS CLI

Utilice el comando stop-configuration-recorder para detener el registrador de configuración:


$ aws configservice stop-configuration-recorder --configuration-recorder-name configRecorderName

Utilice el comando describe-delivery-channels y anote los atributos de su canal de entrega:


$ aws configservice describe-delivery-channels
{
    "DeliveryChannels": [
        {
            "configSnapshotDeliveryProperties": {
                "deliveryFrequency": "Twelve_Hours"
            },
            "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

Utilice el comando delete-delivery-channel para eliminar el canal de entrega:


$ aws configservice delete-delivery-channel --delivery-channel-name default

Utilice el comando put-delivery-channel para crear un canal de entrega con el nombre que desee:


$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

El archivo deliveryChannel.json especifica los atributos del canal de entrega:


{
    "name": "myCustomDeliveryChannelName",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Utilice el comando start-configuration-recorder para reanudar el registro:


$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Registro de configuración

Componentes de un elemento de configuración