Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Lista de reglas AWS Config administradas
AWS Config actualmente admite las siguientes reglas administradas.
Consideraciones
Valores predeterminados para las reglas administradas
Los valores predeterminados especificados para las reglas administradas solo se rellenan automáticamente cuando se utiliza la AWS consola. Los valores predeterminados no se proporcionan para APICLI, oSDK.
Retrasos en la grabación de los elementos
AWS Config por lo general, registra los cambios de configuración en los recursos inmediatamente después de detectar un cambio o con la frecuencia que usted especifique. Sin embargo, esto se hace con el máximo esfuerzo y, en ocasiones, puede llevar más tiempo. Algunos tipos de recursos con retrasos conocidos incluyen:AWS::SecretsManager::Secret
.
No se admiten depósitos de directorio
Las reglas administradas solo admiten buckets de uso general al evaluar los recursos de Amazon Simple Storage Service (Amazon S3). AWS Config no registra los cambios de configuración de los buckets de directorio. Para obtener más información sobre los buckets de uso general y los buckets de directorio, consulte la información general sobre los buckets y los buckets de directorio en la Guía del usuario de Amazon S3.
Reglas administradas y tipos de IAM recursos globales
Los tipos de IAM recursos globales incorporados antes de febrero de 2022 (AWS::IAM::Group
, AWS::IAM::Policy
AWS::IAM::Role
, yAWS::IAM::User
) solo se pueden registrar AWS Config en AWS las regiones en las que AWS Config estaban disponibles antes de febrero de 2022. Estos tipos de recursos no se pueden registrar en las regiones admitidas AWS Config después de febrero de 2022. Para ver una lista de esas regiones, consulta AWS Recursos de grabación | Recursos globales.
Si registra un tipo de IAM recurso global en al menos una región, las normas periódicas que notifican el cumplimiento del tipo de IAM recurso global realizarán evaluaciones en todas las regiones en las que se añada la regla periódica, incluso si no ha activado el registro del tipo de IAM recurso global en la región en la que se agregó la regla periódica.
Para evitar evaluaciones innecesarias, solo debe implementar reglas periódicas que informen sobre el cumplimiento de un tipo de IAM recurso global a una de las regiones compatibles. Para ver una lista de las reglas administradas que se admiten en qué regiones, consulte la Lista de reglas AWS Config administradas por disponibilidad regional.
Temas
- access-keys-rotated
- account-part-of-organizations
- acm-certificate-expiration-check
- acm-certificate-rsa-check
- acm-pca-root-ca-deshabilitado
- alb-desync-mode-check
- alb-http-drop-invalid-habilitado para encabezado
- alb-http-to-https-comprobación de redireccionamiento
- alb-waf-enabled
- api-gwv2- access-logs-enabled
- api-gwv2- authorization-type-configured
- api-gw-associated-with-guerra
- api-gw-cache-enabled-y encriptado
- api-gw-endpoint-type-comprobar
- api-gw-execution-logging-habilitado
- api-gw-ssl-enabled
- api-gw-xray-enabled
- approved-amis-by-id
- approved-amis-by-tag
- appsync-associated-with-waf
- appsync-authorization-check
- appsync-cache-encryption-at-descanso
- appsync-logging-enabled
- athena-workgroup-encrypted-at-descanso
- athena-workgroup-logging-enabled
- aurora-last-backup-recovery-punto creado
- aurora-meets-restore-time-objetivo
- aurora-mysql-backtracking-enabled
- aurora-resources-protected-by-plan de respaldo
- autoscaling-capacity-rebalancing
- autoscaling-group-elb-healthcheck-obligatorio
- autoscaling-launchconfig-requires-imdsv2
- autoscaling-launch-config-hop-límite
- autoscaling-launch-config-public-ip deshabilitada
- autoscaling-launch-template
- autoscaling-multiple-az
- autoscaling-multiple-instance-types
- backup-plan-min-frequency-and-min-retention-check
- backup-recovery-point-encrypted
- backup-recovery-point-manual-eliminación-deshabilitada
- backup-recovery-point-minimum- control de retención
- beanstalk-enhanced-health-reporting-habilitado
- clb-desync-mode-check
- clb-multiple-az
- cloudformation-stack-drift-detection-comprobar
- cloudformation-stack-notification-check
- cloudfront-accesslogs-enabled
- cloudfront-associated-with-waf
- cloudfront-custom-ssl-certificate
- cloudfront-default-root-object-configurado
- cloudfront-no-deprecated-ssl-protocolos
- cloudfront-origin-access-identity-habilitado
- cloudfront-origin-failover-enabled
- frente a nubos-s3- origin-access-control-enabled
- frente a nubos-s3- origin-non-existent-bucket
- cloudfront-security-policy-check
- cloudfront-sni-enabled
- cloudfront-traffic-to-origin-encriptado
- cloudfront-viewer-policy-https
- cloudtrail-all-read-s3- data-event-check
- cloudtrail-all-write-s3- data-event-check
- rastro de nubes -S3- bucket-access-logging
- rastro de nubes -S3- bucket-public-access-prohibited
- cloudtrail-s3-dataevents-enabled
- cloudtrail-security-trail-enabled
- cloudwatch-alarm-action-check
- cloudwatch-alarm-action-enabled-comprobar
- cloudwatch-alarm-resource-check
- cloudwatch-alarm-settings-check
- cloudwatch-log-group-encrypted
- cloud-trail-cloud-watch-registros habilitados
- cloudtrail-enabled
- cloud-trail-encryption-enabled
- cloud-trail-log-file-habilitada para validación
- cmk-backing-key-rotation-habilitado
- codebuild-project-artifact-encryption
- codebuild-project-environment-privileged-comprobar
- codebuild-project-envvar-awscred-comprobar
- codebuild-project-logging-enabled
- codebuild-project-sCifrado de 3 registros
- codebuild-project-source-repo-comprobación de URL
- codebuild-report-group-encrypted-en reposo
- codedeploy-auto-rollback-monitor-habilitado
- código deploy-ec2- minimum-healthy-hosts-configured
- codedeploy-lambda-allatonce-traffic-turno desactivado
- codepipeline-deployment-count-check
- codepipeline-region-fanout-check
- cognito-user-pool-advanced-con seguridad habilitada
- custom-eventbus-policy-attached
- custom-schema-registry-policy-adjunto
- cw-loggroup-retention-period-comprobar
- datasync-task-logging-enabled
- dax-encryption-enabled
- dax-tls-endpoint-encryption
- db-instance-backup-enabled
- desired-instance-tenancy
- desired-instance-type
- dms-auto-minor-version-verificación de actualizaciones
- dms-endpoint-ssl-configured
- dms-mongo-db-authentication-habilitado
- dms-neptune-iam-authorization-habilitado
- dms-redis-tls-enabled
- dms-replication-not-public
- dms-replication-task-sourcedb-registro
- dms-replication-task-targetdb-registro
- docdb-cluster-audit-logging-habilitado
- docdb-cluster-backup-retention-comprobar
- docdb-cluster-deletion-protection-habilitado
- docdb-cluster-encrypted
- docdb-cluster-snapshot-public-prohibido
- dynamodb-autoscaling-enabled
- dynamodb-in-backup-plan
- dynamodb-last-backup-recovery-punto creado
- dynamodb-meets-restore-time-objetivo
- dynamodb-pitr-enabled
- dynamodb-resources-protected-by-plan de respaldo
- dynamodb-table-deletion-protection-habilitado
- dynamodb-table-encrypted-kms
- dynamodb-table-encryption-enabled
- dynamodb-throughput-limit-check
- ebs-in-backup-plan
- ebs-last-backup-recovery-punto creado
- ebs-meets-restore-time-objetivo
- ebs-optimized-instance
- ebs-resources-protected-by-plan de respaldo
- ebs-snapshot-public-restorable-comprobar
- ec2- activado client-vpn-connection-log
- ec2- -todos client-vpn-not-authorize
- ec-2 ebs-encryption-by-default
- ec2-imdsv2-check
- ec-2 instance-detailed-monitoring-enabled
- ec2- -administrador instance-managed-by-systems
- ec-2 instance-multiple-eni-check
- ec-2 instance-no-public-ip
- ec-2 instance-profile-attached
- ec2- -creado last-backup-recovery-point
- ec2- -deshabilitado launch-template-public-ip
- ec-2 managedinstance-applications-blacklisted
- ec-2 managedinstance-applications-required
- ec2- -comprobar managedinstance-association-compliance-status
- ec-2 managedinstance-inventory-blacklisted
- ec2- -comprobar managedinstance-patch-compliance-status
- ec-2 managedinstance-platform-check
- ec-2 meets-restore-time-target
- ec-2 no-amazon-key-pair
- ec-2 paravirtual-instance-check
- plan ec2 resources-protected-by-backup
- ec-2 security-group-attached-to -es
- ec2- -eni-periódico security-group-attached-to
- ec2-stopped-instance
- ec-2 token-hop-limit-check
- ec2- -attach-desactivado transit-gateway-auto-vpc
- ec-2 volume-inuse-check
- ecr-private-image-scanning-habilitado
- ecr-private-lifecycle-policy-configurado
- ecr-private-tag-immutability-habilitado
- ecs-awsvpc-networking-enabled
- ecs-containers-nonprivileged
- ecs-containers-readonly-access
- ecs-container-insights-enabled
- ecs-fargate-latest-platform-versión
- ecs-no-environment-secrets
- ecs-task-definition-log-configuración
- ecs-task-definition-memory-límite estricto
- ecs-task-definition-nonroot-usuario
- ecs-task-definition-pid-comprobación de modo
- ecs-task-definition-user-for-host-mode-check
- efs-access-point-enforce-directorio-raíz
- efs-access-point-enforce-identidad de usuario
- efs-automatic-backups-enabled
- efs-encrypted-check
- efs-in-backup-plan
- efs-last-backup-recovery-punto creado
- efs-meets-restore-time-objetivo
- efs-mount-target-public-accesible
- efs-resources-protected-by-plan de respaldo
- eip-attached
- eks-cluster-logging-enabled
- eks-cluster-log-enabled
- eks-cluster-oldest-supported-versión
- eks-cluster-secrets-encrypted
- eks-cluster-supported-version
- eks-endpoint-no-public-acceso
- eks-secrets-encrypted
- elasticache-auto-minor-version-verificación de actualizaciones
- elasticache-rbac-auth-enabled
- elasticache-redis-cluster-automatic-verificación de respaldo
- elasticache-repl-grp-auto-habilitado para conmutación por error
- elasticache-repl-grp-encrypted-en reposo
- elasticache-repl-grp-encrypted-en tránsito
- elasticache-repl-grp-redis-habilitada para autenticación
- elasticache-subnet-group-check
- elasticache-supported-engine-version
- elasticsearch-encrypted-at-rest
- elasticsearch-in-vpc-only
- elasticsearch-logs-to-cloudwatch
- elasticsearch-node-to-node-comprobación de cifrado
- elastic-beanstalk-logs-to- vigilancia en la nube
- elastic-beanstalk-managed-updates-habilitado
- elb 2- acm-certificate-required
- elbv2-multiple-az
- elb-acm-certificate-required
- elb-cross-zone-load-habilitado para el equilibrio
- elb-custom-security-policy-comprobación de SSL
- elb-deletion-protection-enabled
- elb-logging-enabled
- elb-predefined-security-policy-comprobación de SSL
- elb-tls-https-listeners-solo
- emr-block-public-access
- emr-kerberos-enabled
- emr-master-no-public-IP
- encrypted-volumes
- fms-shield-resource-policy-comprobar
- fms-webacl-resource-policy-comprobar
- fms-webacl-rulegroup-association-comprobar
- fsx-last-backup-recovery-punto creado
- fsx-lustre-copy-tags-copias de seguridad
- fsx-meets-restore-time-objetivo
- fsx-openzfs-copy-tags-habilitado
- fsx-resources-protected-by-plan de respaldo
- fsx-windows-audit-log-configurado
- global-endpoint-event-replication-habilitado
- glue-job-logging-enabled
- glue-ml-transform-encrypted-en reposo
- guardduty-eks-protection-audit-habilitado
- guardduty-eks-protection-runtime-habilitado
- guardduty-enabled-centralized
- guardduty-lambda-protection-enabled
- guardduty-malware-protection-enabled
- guardduty-non-archived-findings
- guardduty-rds-protection-enabled
- protección guardduty-s3-habilitada
- iam-customer-policy-blocked-kms-acciones
- iam-external-access-analyzer-habilitado
- iam-group-has-users-comprobar
- iam-inline-policy-blocked-kms-acciones
- iam-no-inline-policy-comprobar
- iam-password-policy
- iam-policy-blacklisted-check
- iam-policy-in-use
- iam-policy-no-statements-with-admin-access
- iam-policy-no-statements-with-full-access
- iam-role-managed-policy-comprobar
- iam-root-access-key-comprobar
- iam-server-certificate-expiration-comprobar
- iam-user-group-membership-comprobar
- iam-user-mfa-enabled
- iam-user-no-policies-comprobar
- iam-user-unused-credentials-comprobar
- restricted-ssh
- inspector-ec2-scan habilitado
- inspector-ecr-scan-enabled
- inspector-lambda-code-scan-habilitado
- inspector-lambda-standard-scan-habilitado
- ec-2 instances-in-vpc
- internet-gateway-authorized-vpc-solo
- kinesis-firehose-delivery-stream-encriptado
- kinesis-stream-backup-retention-comprobar
- kinesis-stream-encrypted
- kms-cmk-not-scheduled-para eliminar
- lambda-concurrency-check
- lambda-dlq-check
- lambda-function-public-access-prohibido
- lambda-function-settings-check
- lambda-inside-vpc
- lambda-vpc-multi-az-comprobar
- macie-auto-sensitive-data-comprobación-descubrimiento
- macie-status-check
- mfa-enabled-for-iam-acceso a la consola
- mq-active-deployment-mode
- mq-automatic-minor-version-habilitado para la actualización
- mq-auto-minor-version-habilitado para la actualización
- mq-cloudwatch-audit-logging-habilitado
- mq-cloudwatch-audit-log-habilitado
- mq-no-public-access
- mq-rabbit-deployment-mode
- msk-enhanced-monitoring-enabled
- msk-in-cluster-node-requerido-tls
- multi-region-cloudtrail-enabled
- nacl-no-unrestricted-ssh-rdp
- neptune-cluster-backup-retention-comprobar
- neptune-cluster-cloudwatch-log-habilitado para exportación
- neptune-cluster-copy-tags-to-snapshot-enabled
- neptune-cluster-deletion-protection-habilitado
- neptune-cluster-encrypted
- neptune-cluster-iam-database-autenticación
- neptune-cluster-multi-az-habilitado
- neptune-cluster-snapshot-encrypted
- neptune-cluster-snapshot-public-prohibido
- netfw-deletion-protection-enabled
- netfw-logging-enabled
- netfw-multi-az-enabled
- netfw-policy-default-action-paquetes de fragmentos
- netfw-policy-default-action-paquetes completos
- netfw-policy-rule-group-asociado
- netfw-stateless-rule-group-no está vacío
- nlb-cross-zone-load-habilitado para el equilibrio
- no-unrestricted-route-to-igw
- opensearch-access-control-enabled
- opensearch-audit-logging-enabled
- opensearch-data-node-fault-tolerancia
- opensearch-encrypted-at-rest
- opensearch-https-required
- opensearch-in-vpc-only
- opensearch-logs-to-cloudwatch
- opensearch-node-to-node-comprobación de cifrado
- opensearch-primary-node-fault-tolerancia
- opensearch-update-check
- rds-aurora-mysql-audit-habilitado para el registro
- rds-aurora-postgresql-logs-a Cloudwatch
- rds-automatic-minor-version-habilitado para la actualización
- rds-cluster-auto-minor-version-upgrade-enable
- rds-cluster-default-admin-comprobar
- rds-cluster-deletion-protection-habilitado
- rds-cluster-encrypted-at-descanso
- rds-cluster-iam-authentication-habilitado
- rds-cluster-multi-az-habilitado
- rds-db-security-group-no permitido
- rds-enhanced-monitoring-enabled
- rds-instance-default-admin-comprobar
- rds-instance-deletion-protection-habilitado
- rds-instance-iam-authentication-habilitado
- rds-instance-public-access-comprobar
- rds-in-backup-plan
- rds-last-backup-recovery-punto creado
- rds-logging-enabled
- rds-meets-restore-time-objetivo
- rds-multi-az-support
- rds-postgresql-logs-to- vigilancia en la nube
- rds-resources-protected-by-plan de respaldo
- rds-snapshots-public-prohibited
- rds-snapshot-encrypted
- rds-storage-encrypted
- redshift-audit-logging-enabled
- redshift-backup-enabled
- redshift-cluster-configuration-check
- redshift-cluster-kms-enabled
- redshift-cluster-maintenancesettings-check
- redshift-cluster-public-access-comprobar
- redshift-default-admin-check
- redshift-default-db-name-comprobar
- redshift-enhanced-vpc-routing-habilitado
- redshift-require-tls-ssl
- redshift-unrestricted-port-access
- required-tags
- restricted-common-ports
- root-account-hardware-mfa-habilitado
- root-account-mfa-enabled
- ruta 53- query-logging-enabled
- solo access-point-in-vpc s3
- bloques s3 access-point-public-access -
- bloques s3 account-level-public-access -
- s3- account-level-public-access -bloques-periódicos
- s3- bucket-acl-prohibited
- s3- bucket-blacklisted-actions-prohibited
- habilitado para bucket-cross-region-replication s3
- s3- bucket-default-lock-enabled
- s3- bucket-level-public-access -prohibido
- s3- bucket-logging-enabled
- s3- bucket-mfa-delete-enabled
- s3- bucket-policy-grantee-check
- s3- bucket-policy-not-more -permisivo
- s3- bucket-public-read-prohibited
- s3- bucket-public-write-prohibited
- s3- bucket-replication-enabled
- habilitado para bucket-server-side-encryption s3
- s3- bucket-ssl-requests-only
- s3- bucket-versioning-enabled
- s3- default-encryption-kms
- s3- event-notifications-enabled
- s3- last-backup-recovery-point -creado
- s3- lifecycle-policy-check
- s3- meets-restore-time-target
- plano resources-protected-by-backup s3
- s3- version-lifecycle-policy-check
- sagemaker-endpoint-configuration-kms-configurado por clave
- sagemaker-endpoint-config-prod-recuento de instancias
- sagemaker-notebook-instance-inside-PVC
- sagemaker-notebook-instance-kms-configurado por clave
- sagemaker-notebook-instance-root-control de acceso
- sagemaker-notebook-no-direct-acceso a internet
- secretsmanager-rotation-enabled-check
- secretsmanager-scheduled-rotation-success-comprobar
- secretsmanager-secret-periodic-rotation
- secretsmanager-secret-unused
- secretsmanager-using-cmk
- securityhub-enabled
- security-account-information-provided
- service-catalog-shared-within-organización
- service-vpc-endpoint-enabled
- ses-malware-scanning-enabled
- shield-advanced-enabled-autorenew
- shield-drt-access
- sns-encrypted-kms
- sns-topic-message-delivery-habilitado para notificaciones
- ssm-document-not-public
- step-functions-state-machine-habilitado para el registro
- storagegateway-last-backup-recovery-punto creado
- storagegateway-resources-protected-by-plan de respaldo
- subnet-auto-assign-public-ip deshabilitada
- transfer-family-server-no-ftp
- virtualmachine-last-backup-recovery-punto creado
- virtualmachine-resources-protected-by-plan de respaldo
- vpc-default-security-group-cerrado
- vpc-flow-logs-enabled
- vpc-network-acl-unused-comprobar
- vpc-peering-dns-resolution-comprobar
- vpc-sg-open-only-to-authorized-ports
- vpc-sg-port-restriction-comprobar
- vpc-vpn-2-tunnels-up
- wafv2-logging-enabled
- guerra 2- rulegroup-logging-enabled
- guerra 2- rulegroup-not-empty
- guerra 2- webacl-not-empty
- waf-classic-logging-enabled
- waf-global-rulegroup-not-vacío
- waf-global-rule-not-vacío
- waf-global-webacl-not-vacío
- waf-regional-rulegroup-not-vacío
- waf-regional-rule-not-vacío
- waf-regional-webacl-not-vacío
- workspaces-root-volume-encryption-habilitado
- workspaces-user-volume-encryption-habilitado