Remediar los recursos no conformes con reglas AWS Config - AWS Config
Requisito previoConfiguración de la corrección manual (consola)Configuración de la corrección automática (consola)Eliminación de la acción de corrección (consola)Administración de medidas de corrección (API)Compatibilidad de la región

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Remediar los recursos no conformes con reglas AWS Config

AWS Config permite corregir los recursos no conformes que son evaluados por. Reglas de AWS Config AWS Config aplica la corrección mediante AWS Systems Manager documentos de automatización. Estos documentos definen las acciones que se deben realizar con los AWS recursos no conformes evaluados por. Reglas de AWS Config Puede asociar documentos SSM mediante AWS Management Console o mediante API.

AWS Config proporciona un conjunto de documentos de automatización gestionada con acciones correctivas. También puede crear y asociar documentos de automatización personalizados a las AWS Config reglas.

Para aplicar medidas correctivas a los recursos no conformes, puede elegir la acción correctiva que desee asociar de una lista previamente rellenada o crear sus propias acciones correctivas personalizadas utilizando documentos SSM. AWS Config proporciona una lista recomendada de medidas de corrección en el. AWS Management Console

En el AWS Management Console, puede optar por corregir manual o automáticamente los recursos no conformes asociando las acciones de corrección a las reglas. AWS Config Con todas las acciones de corrección, puede elegir la corrección manual o automática.

Requisito previo

Antes de empezar a aplicar medidas de corrección a los recursos no conformes, debe seleccionar una regla y configurar las medidas de corrección (manual o automática) para ella.

Configuración de la corrección manual (consola)

  1. Inicie sesión en la consola AWS Management Console y ábrala en https://console.aws.amazon.com/config/. AWS Config

  2. Elija Reglas a la izquierda y, a continuación, en la página Reglas, elija Agregar regla para añadir reglas nuevas a la lista de reglas.

    Si se trata de una regla existente, seleccione la regla no conforme en la lista y elija la lista desplegable Acciones.

  3. En la lista desplegable Acciones, seleccione Administrar corrección. Seleccione Corrección manual y, a continuación, elija la acción de corrección adecuada de la lista recomendada.

    nota

    Solo puede gestionar las correcciones de las reglas que no estén vinculadas AWS Config a un servicio. Para obtener más información, consulte Service-Linked AWS Rules.

    En función de la acción de corrección seleccionada, verá parámetros específicos o no verá ningún parámetro.

  4. (Opcional) Si desea pasar el ID de recurso de los recursos no conformes a la acción de corrección, elija Resource ID parameter (Parámetro de ID de recurso). Si se selecciona esta opción, ese parámetro se sustituye por el ID del recurso que se va a corregir en tiempo de ejecución.

    Cada parámetro tiene un valor estático o un valor dinámico. Si no elige un parámetro de ID de recurso específico en la lista desplegable, puede especificar valores para cada clave. Si elige un parámetro de ID de recurso en la lista desplegable, puede especificar valores para todas las demás claves, excepto el parámetro de ID de recurso seleccionado.

  5. Seleccione Guardar. Aparece la página Rules (Reglas).

nota

Para solucionar problemas de las acciones de corrección fallidas, puede ejecutar el AWS comando de la interfaz de línea de comandos describe-remediation-execution-status para obtener una vista detallada de la ejecución de una corrección para un conjunto de recursos. Los detalles incluyen el estado, las marcas temporales para los pasos de ejecución de corrección y cualquier mensaje de error que corresponda a los pasos con error.

Configuración de la corrección automática (consola)

  1. Inicie sesión en la AWS Config consola AWS Management Console y ábrala en https://console.aws.amazon.com/config/.

  2. Elija Rules (Reglas) a la izquierda y, a continuación, en la página Rules (Reglas), elija Add Rule (Añadir regla) para añadir reglas nuevas a la lista de reglas.

    Si se trata de una regla existente, seleccione la regla no conforme en la lista y elija la lista desplegable Acciones.

  3. En la lista desplegable Acciones, seleccione Administrar corrección. Seleccione Corrección automática y, a continuación, elija la acción de corrección adecuada de la lista recomendada.

    nota

    Solo puede gestionar las correcciones de las reglas que no estén vinculadas AWS Config a un servicio. Para obtener más información, consulte Service-Linked AWS Rules.

    En función de la acción de corrección seleccionada, verá parámetros específicos o no verá ningún parámetro.

  4. Elija Auto remediation (Corrección automática) para solucionar automáticamente los recursos no conformes.

    Si un recurso sigue siendo no conforme después de la corrección automática, puede configurar la regla para que intente realizar de nuevo la corrección automática. Escriba los reintentos y segundos deseados.

    nota

    Existen costos asociados con la ejecución de un script de corrección varias veces. Los reintentos solo se producen si la corrección falla y funcionan dentro del período de tiempo especificado; por ejemplo, 5 reintentos en 300 segundos.

  5. (Opcional) Si desea pasar el ID de recurso de los recursos no conformes a la acción de corrección, elija Resource ID parameter (Parámetro de ID de recurso). Si se selecciona esta opción, ese parámetro se sustituye por el ID del recurso que se va a corregir en tiempo de ejecución.

    Cada parámetro tiene un valor estático o un valor dinámico. Si no elige un parámetro de ID de recurso específico en la lista desplegable, puede especificar valores para cada clave. Si elige un parámetro de ID de recurso en la lista desplegable, puede especificar valores para todas las demás claves, excepto el parámetro de ID de recurso seleccionado.

  6. Seleccione Guardar. Aparece la página Rules (Reglas).

nota

Para solucionar problemas de las acciones de corrección fallidas, puede ejecutar el AWS comando de la interfaz de línea de comandos describe-remediation-execution-status para obtener una vista detallada de la ejecución de una corrección para un conjunto de recursos. Los detalles incluyen el estado, las marcas temporales para los pasos de ejecución de corrección y cualquier mensaje de error que corresponda a los pasos con error.

nota

La corrección automática se puede iniciar incluso en el caso de los recursos que cumplen con las normas

Si habilitas la corrección automática para una AWS Config regla específica mediante la PutRemediationConfigurationsAPI o la AWS Config consola, se iniciará el proceso de corrección para todos los recursos que no cumplan con esa regla específica. El proceso de corrección automática se basa en la instantánea de los datos de cumplimiento que se captura periódicamente. Cualquier recurso no conforme que se actualice entre el cronograma de instantáneas se seguirá corrigiendo en función de la última instantánea de datos de cumplimiento conocida.

Esto significa que, en algunos casos, se puede iniciar una corrección automática incluso para los recursos que cumplen con las normas, ya que el procesador de arranque utiliza una base de datos que puede tener resultados de evaluación obsoletos basados en la última instantánea de datos de conformidad conocida.

Eliminación de la acción de corrección (consola)

Para poder eliminar una regla, primero debe eliminar una acción de corrección asociada a ella.

  1. Inicie sesión en la AWS Config consola AWS Management Console y ábrala en https://console.aws.amazon.com/config/.

  2. Seleccione Reglas a la izquierda y, en la página Reglas, seleccione la regla en la lista y elija Editar.

  3. En la página Nombre de la regla, vaya a la sección Acción de corrección. Amplíe la sección para ver detalles adicionales.

  4. En la sección Acción de corrección, elija Eliminar y confirme la acción de eliminación.

    nota

    Si la corrección está en curso, la acción de corrección no se eliminará. Si selecciona Eliminar la acción de corrección, no podrá recuperar esta acción. La acción de corrección no elimina la regla asociada.

    Si se elimina una acción de corrección, el Parámetro de ID del recurso estará vacío y mostrará N/A. En la página Reglas, la columna de acción de corrección muestra Sin definir para la regla asociada.

Administración de medidas de corrección (API)

Reparación manual

Utilice las siguientes acciones AWS Config de la API para gestionar las correcciones:

Auto Remediation

Use las siguientes acciones AWS Config de la API para administrar la corrección automática:

Compatibilidad de la región

Actualmente, se admiten acciones correctivas para AWS Config Rules en las siguientes regiones:

Nombre de la región Región Punto de conexión Protocolo
Este de EE. UU. (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
Este de EE. UU. (Norte de Virginia) us-east-1 config.us-east-1.amazonaws.com HTTPS
Oeste de EE. UU. (Norte de California) us-west-1 config.us-west-1.amazonaws.com HTTPS
Oeste de EE. UU. (Oregón) us-west-2 config.us-west-2.amazonaws.com HTTPS
África (Ciudad del Cabo) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asia-Pacífico (Hong Kong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asia-Pacífico (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asia-Pacífico (Yakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asia-Pacífico (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asia-Pacífico (Bombay) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asia-Pacífico (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asia-Pacífico (Seúl) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asia-Pacífico (Singapur) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asia-Pacífico (Sídney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asia-Pacífico (Tokio) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Canadá (centro) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Oeste de Canadá (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europa (Fráncfort) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europa (Irlanda) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europa (Londres) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europa (Milán) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europa (París) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europa (España) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europa (Estocolmo) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europa (Zúrich) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israel (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Medio Oriente (Baréin) me-south-1 config.me-south-1.amazonaws.com HTTPS
Medio Oriente (EAU) me-central-1 config.me-central-1.amazonaws.com HTTPS
América del Sur (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (Este de EE. UU.) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (Estados Unidos-Oeste) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS