Configuración manual para AWS Config - AWS Config
Paso 1: ConfiguraciónPaso 2: ReglasPaso 3: RevisarPara obtener más información

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración manual para AWS Config

Con el flujo de trabajo de introducción, puede realizar todas las selecciones manuales del proceso de configuración para empezar a utilizar la AWS Config consola. Para obtener un proceso de introducción simplificado, consulte Configuración con un solo clic.

Para configurarlo AWS Config con la consola mediante Get Started

  1. Inicie sesión en AWS Management Console y abra la AWS Config consola en https://console.aws.amazon.com/config/.

  2. Elija Comenzar.

La página de configuración incluye tres pasos. A continuación, se proporciona un desglose del procedimiento después de seleccionar Introducción.

  • Configuración: para seleccionar la forma en que la AWS Config consola registra los recursos y las funciones, y elegir dónde se envían el historial de configuración y los archivos de instantáneas de la configuración.

  • Reglas: Para Regiones de AWS que AWS Config las reglas sean compatibles, este paso le permite configurar las reglas administradas iniciales que puede agregar a su cuenta. Tras la configuración, AWS Config evaluará sus AWS recursos en función de las reglas que haya elegido. Después de configurar, podrá crear reglas adicionales y actualizar las existentes en su cuenta.

  • Revisión: para verificar los detalles de la configuración.

Paso 1: Configuración

Estrategia de registro

En la sección Método de grabación, elija una estrategia de registro. Puede especificar los AWS recursos que AWS Config desea grabar.

All resource types with customizable overrides

Se configura AWS Config para registrar los cambios de configuración de todos los tipos de recursos compatibles actuales y futuros en esta región. Puede anular la frecuencia de registro para tipos de recursos específicos o excluir tipos de recursos específicos del registro. Para obtener más información, consulte Tipos de recursos admitidos.

  • Configuración predeterminada

    Configure la frecuencia de registro predeterminada para todos los tipos de recursos compatibles actuales y futuros. Para obtener más información, consulte Frecuencia de registro.

    • Grabación continua: AWS Config registrará los cambios de configuración de forma continua siempre que se produzca un cambio.

    • Registro diario: recibirá un elemento de configuración (CI) que representa el estado más reciente de sus recursos durante el último período de 24 horas, solo si es diferente del CI anterior registrado.

    nota

    AWS Firewall Manager depende de la grabación continua para monitorear sus recursos. Si utiliza Firewall Manager, se recomienda configurar la frecuencia de registro en Continua.

  • Anular la configuración

    Puede anular la frecuencia de registro para tipos de recursos específicos o excluir tipos de recursos específicos del registro. Si cambia la frecuencia de registro de un tipo de recurso, o deja de registrar un tipo de recurso, los elementos de configuración que ya estaban registrados permanecerán sin cambios.

Specific resource types

Se configura AWS Config para registrar los cambios de configuración solo para los tipos de recursos que especifique.

  • Tipos de recurso específicos

    Elija un tipo de recurso que desee registrar y su frecuencia. Para obtener más información, consulte Frecuencia de registro.

    • Grabación continua: AWS Config registrará los cambios de configuración de forma continua siempre que se produzca un cambio.

    • Registro diario: recibirá un elemento de configuración (CI) que representa el estado más reciente de sus recursos durante el último período de 24 horas, solo si es diferente del CI anterior registrado.

    nota

    AWS Firewall Manager depende de la grabación continua para monitorear sus recursos. Si utiliza Firewall Manager, se recomienda configurar la frecuencia de registro en Continua.

    Si cambia la frecuencia de registro de un tipo de recurso, o deja de registrar un tipo de recurso, los elementos de configuración que ya estaban registrados permanecerán sin cambios.

Consideraciones a la hora de grabar los recursos

Gran número de AWS Config evaluaciones

Es posible que notes un aumento de la actividad en tu cuenta durante el primer mes de grabación con AWS Config en comparación con los meses siguientes. Durante el proceso de arranque inicial, AWS Config realiza evaluaciones de todos los recursos de tu cuenta que hayas seleccionado para AWS Config registrarlos.

Si ejecuta cargas de trabajo efímeras, es posible que vea un aumento de la actividad de AWS Config debido a que registra los cambios de configuración asociados con la creación y la eliminación de estos recursos temporales. Una carga de trabajo efímera es el uso temporal de recursos informáticos que se cargan y ejecutan cuando es necesario. Los ejemplos incluyen Amazon Elastic Compute Cloud (AmazonEC2) Spot Instances, Amazon EMR Jobs y AWS Auto Scaling. Si quiere evitar el aumento de actividad derivado de la ejecución de cargas de trabajo efímeras, puede configurar el registrador de configuración para que no se registren estos tipos de recursos o ejecutar estos tipos de cargas de trabajo en una cuenta independiente y AWS Config desactivarla para evitar aumentar el registro de la configuración y las evaluaciones de las reglas.

Considerations: All resource types with customizable overrides

Tipos de recursos registrados de forma global | Los clústeres globales de Aurora se incluyen inicialmente en el registro

El tipo AWS::RDS::GlobalCluster de recurso se registrará en todas las AWS Config regiones compatibles en las que el registrador de configuración esté activado.

Si no desea registrar AWS::RDS::GlobalCluster en todas las regiones habilitadas, elija «AWS RDS GlobalCluster» y «Excluir del registro».

Tipos de recursos globales | Los tipos de IAM recursos se excluyen inicialmente del registro

Los tipos IAM de recursos globales se excluyen inicialmente del registro para ayudarle a reducir los costes. Este paquete incluye IAM usuarios, grupos, funciones y políticas gestionadas por los clientes. Seleccione Eliminar para eliminar la anulación e incluir estos recursos en el registro.

La excepción es para el este de EE. UU. (Virginia del Norte). Los tipos de IAM recursos globales se incluyen inicialmente en la región EE.UU. Este (Virginia del Norte), ya que esta región funciona como región de origen para los tipos de IAM recursos globales.

Además, los tipos de IAM recursos globales (AWS::IAM::User, AWS::IAM::GroupAWS::IAM::Role, yAWS::IAM::Policy) no se pueden registrar en las regiones admitidas AWS Config después de febrero de 2022. Para obtener una lista de esas regiones, consulte AWS Recursos de grabación | Recursos globales.

Límites

Puede añadir hasta 100 anulaciones de frecuencia y 600 anulaciones de exclusión.

No se admite la grabación diaria para los siguientes tipos de recursos:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Considerations: Specific resource types

Disponibilidad por región

Antes de especificar el tipo de recurso AWS Config que deseas rastrear, comprueba la cobertura de recursos por región y disponibilidad para ver si el tipo de recurso es compatible con la AWS región en la que lo configuraste AWS Config. Si al menos una región admite un tipo de recurso, puede habilitar el registro de ese tipo de recurso en todas las regiones admitidas AWS Config, incluso si el tipo de recurso especificado no es compatible con la AWS región en la que lo configuró AWS Config. AWS Config

Límites

No hay límites si todos los tipos de recursos tienen la misma frecuencia. Puede agregar hasta 100 tipos de recursos con la frecuencia diaria si al menos un tipo de recursos está configurado como Continuo.

No se admite el registro diario para los siguientes tipos de recursos:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Gobernanza de datos

  • Para el período de retención de datos, elija el período de retención predeterminado para conservar AWS Config los datos durante 7 años (2557) o establezca un período de retención personalizado para los artículos registrados por. AWS Config

    AWS Config le permite eliminar sus datos especificando un período de retención para usted. ConfigurationItems Cuando especificas un período de retención, lo AWS Config retiene ConfigurationItems durante ese período específico. Puede elegir un período entre un mínimo de 30 días y un máximo de 7 años (2557 días). AWS Config elimina los datos anteriores al período de retención especificado.

  • Para IAM el rol AWS Config, elige un rol AWS Config vinculado al servicio existente o IAM un rol de tu cuenta.

    • Los roles vinculados al servicio están predefinidos AWS Config e incluyen todos los permisos que el servicio requiere para llamar a otros servicios. AWS

      nota

      Recomendado: utilice el rol vinculado al servicio

      Se recomienda utilizar el rol vinculado al servicio. Un rol vinculado a un servicio agrega todos los permisos necesarios para que se ejecute según AWS Config lo previsto.

    • De lo contrario, elija un IAM rol de uno de los roles y políticas de permisos preexistentes.

      nota

      Políticas de autorización para AWS Organizations Can Prevent Acceses

      Si utiliza un IAM rol preexistente, asegúrese de que no haya ninguna política de autorización AWS Organizations que AWS Config impida tener permiso para registrar sus recursos. Para obtener más información sobre las políticas de autorización AWS Organizations, consulte Administración de políticas AWS Organizations en la Guía del AWS Organizations usuario.

      Mantenga los permisos mínimos al reutilizar un rol IAM

      Si usa un AWS servicio que usa AWS Config, como AWS Security Hub o AWS Control Tower, y ya se ha creado un IAM rol, asegúrese de que el IAM rol que usa al configurarlo AWS Config mantenga los mismos permisos mínimos que el rol IAM preexistente. Debe hacerlo para asegurarse de que el otro AWS servicio siga ejecutándose según lo previsto.

      Por ejemplo, si AWS Control Tower tiene un IAM rol que AWS Config permite leer objetos de S3, asegúrese de que se concedan los mismos permisos al IAM rol que utilizó al configurarlo AWS Config. De lo contrario, podría interferir con el AWS Control Tower funcionamiento.

Modo de entrega

  • Para Método de entrega, elija el bucket de S3 al que AWS Config envía archivos de historial de configuración y de instantáneas de configuración:

    • Crear un bucket: en Nombre del bucket de S3, escriba un nombre para el bucket de S3.

      El nombre que escriba debe ser único entre todos los nombres de buckets existentes en Amazon S3. Una forma de garantizar la exclusividad consiste en incluir un prefijo; por ejemplo, el nombre de su organización. No se puede cambiar el nombre del bucket después de crearlo. Para obtener más información, consulte Restricciones y limitaciones de los buckets en la Guía del usuario de Amazon Simple Storage Service.

    • Elegir un bucket de su cuenta: en Nombre del bucket de S3, elija el bucket que prefiera.

    • Elegir un bucket de otra cuenta: en Nombre del bucket de S3, escriba el nombre del bucket.

      nota

      Permisos de bucket

      Si eliges un depósito de otra cuenta, ese depósito debe tener políticas que concedan permisos de acceso AWS Config. Para obtener más información, consulte Permisos del bucket de Amazon S3 para el canal AWS Config de entrega.

  • Para el SNStema de Amazon, selecciona Transmitir los cambios de configuración y las notificaciones a un SNS tema de Amazon para que se AWS Config envíen notificaciones como la entrega del historial de configuración, la entrega de instantáneas de la configuración y el cumplimiento.

  • Si has elegido hacer AWS Config streaming sobre un SNS tema de Amazon, elige el tema de destino:

    • Crear un tema: en Nombre del tema, escribe un nombre para el SNS tema.

    • Elegir un tema de su cuenta: en Nombre del tema, seleccione el tema que prefiera.

    • Elige un tema de otra cuenta: en Tema ARN, escribe el nombre del recurso de Amazon (ARN) del tema. Si eliges un tema de otra cuenta, el tema debe tener políticas que otorguen permisos de acceso AWS Config. Para obtener más información, consulte Permisos para el SNS tema Amazon.

      nota

      Región para el SNS tema Amazon

      El SNS tema de Amazon debe estar en la misma región que la región en la que lo configuraste AWS Config.

Paso 2: Reglas

Si te estás configurando AWS Config en una región que admite reglas, selecciona Siguiente.

Paso 3: Revisar

Revisa los detalles de la AWS Config configuración. Puede volver a editar los cambios de cada sección. Selecciona Confirmar para finalizar la configuración AWS Config.

Para obtener más información

Para obtener información sobre cómo buscar los recursos existentes en su cuenta y comprender las configuraciones de sus recursos, consulte Búsqueda de recursos, Visualización de la información de conformidad y Visualizacióndel historial de conformidad.

También puede utilizar Amazon Simple Queue Service para supervisar AWS los recursos mediante programación. Para obtener más información, consulte Supervisión de los cambios en los AWS recursos con Amazon SQS.