Vea los datos del AWS Config registrador de las cuentas inscritas Solución de problemas AWS Config en AWS Control Tower

Supervise los cambios en los recursos con AWS Config

AWS Control Tower habilita todas AWS Config las cuentas inscritas, de modo que puede supervisar el cumplimiento mediante controles de detección, registrar los cambios en los recursos y entregar los registros de cambios de los recursos a la cuenta de archivo de registros.

Si tu versión de landing zone es anterior a la 3.0: en el caso de las cuentas inscritas, AWS Config registra todos los cambios en los recursos de todas las regiones en las que opera la cuenta. Cada cambio se modela como un elemento de configuración (IC), que contiene información como el identificador del recurso, la región, la fecha en que se registró cada cambio y si el cambio se refiere a un recurso conocido o a uno descubierto recientemente.

Si su versión de landing zone es 3.0 o posterior: AWS Control Tower limita el registro de los recursos globales, como los usuarios de IAM, los grupos, las funciones y las políticas administradas por los clientes, únicamente a su región de origen. No se almacenan copias de los cambios en los recursos globales en todas las regiones. Esta limitación del registro de recursos se ajusta a las AWS Config mejores prácticas. La lista completa de los recursos globales está disponible en la AWS Config documentación.

Para obtener más información AWS Config, consulte Cómo AWS Config funciona.
Para ver una lista de los recursos compatibles AWS Config , consulta Tipos de recursos compatibles.
Para obtener información sobre cómo personalizar el seguimiento de recursos en el entorno de la Torre de Control de AWS, consulte la entrada del blog titulada Personalizar el seguimiento de AWS Config recursos en la Torre de Control de AWS.

AWS Control Tower configura un canal de AWS Config entrega en todas las cuentas inscritas. A través de este canal de entrega, registra todos los cambios registrados AWS Config en la cuenta del archivo de registros, donde se almacenan en una carpeta de un depósito de Amazon Simple Storage Service.

Vea los datos del AWS Config registrador de las cuentas inscritas

AWS Config está integrado CloudWatch para que pueda ver los AWS Config CI en un panel de control. Para obtener más información, consulta la entrada del blog titulada AWS Config Compatible con CloudWatch las métricas de Amazon.

Mediante programación, para ver AWS Config los datos, puede trabajar con la AWS CLI o utilizar otras AWS herramientas.

Consulte los datos de la AWS Config grabadora en un recurso específico

Puede usar la AWS CLI para recuperar una lista de los cambios más recientes de un recurso.

Comando de historial de recursos:

aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION

Para obtener más información, consulte la documentación de la API de get-config-history.

Visualice AWS Config los datos con Amazon QuickSight

Puede visualizar y consultar los recursos registrados AWS Config en toda su organización. Para obtener más información, consulte Visualización de AWS Config datos con Amazon Athena y Amazon. QuickSight

Solución de problemas AWS Config en AWS Control Tower

En esta sección se proporciona información sobre algunos problemas que pueden surgir AWS Config al utilizar AWS Control Tower.

AWS Config Costos elevados

Si su flujo de trabajo incluye procesos que crean, actualizan o eliminan recursos con frecuencia, o si gestiona los recursos en grandes cantidades, ese flujo de trabajo puede generar un gran número de elementos de configuración. Si ejecuta estos procesos en una cuenta que no es de producción, considere la posibilidad de anular la inscripción de la cuenta. Es posible que tengas que desactivar la AWS Config grabadora de esa cuenta manualmente.

nota

Tras anular la inscripción de la cuenta, AWS Control Tower no podrá aplicar controles de detección ni registrar los eventos de la cuenta, como AWS Config las actividades, para los recursos de esa cuenta.

Para obtener más información, consulte Anular la administración de una cuenta inscrita. Para obtener información sobre cómo desactivar la AWS Config grabadora, consulte Administrar la grabadora de configuración.

El mismo recurso se graba varias veces

Compruebe si el recurso es un recurso global. En el caso de las zonas de aterrizaje de la Torre de Control de AWS anteriores a la versión 3.0, AWS Config es AWS Config posible que se registren determinados recursos globales una vez por cada región en la que opere. Por ejemplo, si AWS Config está habilitado en ocho regiones, cada rol se graba ocho veces.

Los siguientes recursos se registran una vez para cada región en la que AWS Config se opera:

AWS::IAM::Group
AWS::IAM::Policy
AWS::IAM::Role
AWS::IAM::User

Los demás recursos globales se registran solo una vez. Estos son algunos ejemplos de recursos que se registran una vez:

AWS::Route53::HostedZone
AWS::Route53::HealthCheck
AWS::ECR::PublicRepository
AWS::GlobalAccelerator::Listener
AWS::GlobalAccelerator::EndpointGroup
AWS::GlobalAccelerator::Accelerator

AWS Config no registró un recurso

Algunos recursos tienen relaciones de dependencia con otros recursos. Estas relaciones pueden ser directas o indirectas. Puedes encontrar una lista de relaciones indirectas obsoletas en las AWS Config Preguntas frecuentes.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Registro de las acciones de AWS Control Tower con AWS CloudTrail

Gestione los costes de Config