As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Avaliação de recursos com regras AWS Config
Use AWS Config para avaliar as configurações dos seus AWS recursos. Você faz isso criando AWS Config regras, que representam suas configurações ideais. AWS Config fornece regras personalizáveis e predefinidas, chamadas de regras gerenciadas, para ajudar você a começar.
Como AWS Config as regras funcionam
Enquanto o AWS Config monitora continuamente as alterações de configuração que ocorrem entre seus recursos, ele verifica se essas alterações violam alguma das condições em suas regras. Se um recurso não estiver em conformidade com a regra, AWS Config sinaliza o recurso e a regra como não compatíveis. A seguir estão os possíveis resultados da avaliação de uma AWS Config regra:
-
COMPLIANT
: a regra passa pelas condições da verificação de conformidade. -
NON_COMPLIANT
: a regra não cumpre as condições da verificação de conformidade. -
ERROR
: um dos parâmetros obrigatórios/opcionais não é válido, não é do tipo correto ou está formatado incorretamente. -
NOT_APPLICABLE
: usado para filtrar recursos aos quais a lógica da regra não pode ser aplicada. Por exemplo, a regra alb-desync-mode-check verifica somente os Application Load Balancers e ignora os Network Load Balancers e os Gateway Load Balancers.
Por exemplo, quando um volume EC2 é criado, AWS Config pode avaliar o volume em relação a uma regra que exige que os volumes sejam criptografados. Se o volume não estiver criptografado, AWS Config sinaliza o volume e a regra como não compatíveis. AWS Config também pode verificar todos os seus recursos para atender aos requisitos de toda a conta. Por exemplo, AWS Config pode verificar se o número de volumes do EC2 em uma conta permanece dentro do total desejado ou se uma conta usa AWS CloudTrail para registro.
Regras vinculadas a serviços
As regras vinculadas a serviços são um tipo exclusivo de regra gerenciada que permite que outros AWS serviços criem AWS Config regras em sua conta. Essas regras são predefinidas para incluir todas as permissões necessárias para ligar para outros AWS serviços em seu nome. Essas regras são semelhantes aos padrões que um AWS serviço recomenda em você Conta da AWS para verificação de conformidade. Para ter mais informações, consulte Regras vinculadas ao serviço AWS Config.
Regras personalizadas
Você também pode criar regras personalizadas para avaliar recursos adicionais que ainda AWS Config não foram registrados. Para obter mais informações, consulte AWS Config Regras personalizadas e Avaliar tipos de recursos adicionais.
Visualizando a conformidade
O AWS Config console mostra o status de conformidade de suas regras e recursos. Você pode ver como seus AWS recursos estão em conformidade geral com as configurações desejadas e saber quais recursos específicos não estão em conformidade. Você também pode usar a AWS CLI, a AWS Config API e os AWS SDKs para fazer solicitações ao AWS Config serviço para obter informações de conformidade.
Ao usar AWS Config para avaliar suas configurações de recursos, você pode avaliar se suas configurações de recursos estão em conformidade com as práticas internas, as diretrizes do setor e os regulamentos.
Limitações
Para ver o número máximo de AWS Config regras para cada região para cada conta e outros limites de serviço, consulte Limites AWS Config de serviço.
Considerações sobre custos
Para obter detalhes sobre os custos associados ao registro de recursos, consulte AWS Config preços
Recomendação: pare de registrar a conformidade dos recursos antes de excluir as regras
É altamente recomendável que você interrompa a gravação do tipo de AWS::Config::ResourceCompliance
recurso antes de excluir as regras da sua conta. A exclusão de regras cria itens de configuração (CIs) AWS::Config::ResourceCompliance
e pode afetar os custos do gravador AWS Config de configuração. Se você estiver excluindo regras que avaliam um grande número de tipos de recursos, isso pode levar a um aumento no número de ICs registrados.
Melhor prática:
Pare de gravar
AWS::Config::ResourceCompliance
Excluir regra (s)
Ativar a gravação para
AWS::Config::ResourceCompliance
Recomendação: adicione lógica para lidar com a avaliação de recursos excluídos para regras lambda personalizadas
Ao criar regras lambda AWS Config personalizadas, é altamente recomendável que você adicione lógica para lidar com a avaliação dos recursos excluídos.
Quando os resultados da avaliação forem marcados como NOT_APPLICABLE
, eles serão marcados para exclusão e limpos. Se NÃO estiverem marcados comoNOT_APPLICABLE
, os resultados da avaliação permanecerão inalterados até que a regra seja excluída, o que pode causar um aumento inesperado na criação de ICs AWS::Config::ResourceCompliance
após a exclusão da regra.
Para obter informações sobre como definir regras lambda AWS Config personalizadas para retornar NOT_APPLICABLE
para recursos excluídos, consulte Gerenciamento de recursos excluídos com regras lambda AWS Config personalizadas.
Recomendação: forneça os recursos no escopo das regras lambda personalizadas
AWS Config As regras personalizadas do Lambda podem causar um grande número de invocações de funções do Lambda se a regra não tiver como escopo um ou mais tipos de recursos. Para evitar o aumento da atividade associada à sua conta, é altamente recomendável fornecer recursos no escopo de suas regras personalizadas do Lambda. Se nenhum tipo de recurso for selecionado, a regra invocará a função do Lambda para todos os recursos na conta.
Suporte regional
Atualmente, o recurso de AWS Config regra é suportado nas seguintes AWS regiões. Para obter uma lista de quais AWS Config regras individuais são suportadas em quais regiões, consulte Lista de regras AWS Config gerenciadas por disponibilidade regional.
Nome da região | Região | Endpoint | Protocolo |
---|---|---|---|
Leste dos EUA (Ohio) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
Leste dos EUA (Norte da Virgínia) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
Oeste dos EUA (N. da Califórnia) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
Oeste dos EUA (Oregon) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
África (Cidade do Cabo) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Jacarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
Ásia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
Ásia-Pacífico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
Ásia-Pacífico (Seul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Singapura) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Tóquio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
Canadá (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
Oeste do Canadá (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
Europa (Milão) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
Europa (Espanha) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
Europa (Zurique) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
Israel (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
Oriente Médio (Barém) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
Oriente Médio (Emirados Árabes Unidos) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
América do Sul (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Leste dos EUA) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
A implantação de AWS Config regras em contas de membros em uma AWS organização é suportada nas seguintes regiões.
Nome da região | Região | Endpoint | Protocolo |
---|---|---|---|
Leste dos EUA (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
Leste dos EUA (Norte da Virgínia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
Oeste dos EUA (N. da Califórnia) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
Oeste dos EUA (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Jacarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
Ásia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
Ásia-Pacífico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Seul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Singapura) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Tóquio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
Canadá (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
América do Sul (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Leste dos EUA) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
Solução de problemas
Verifique os seguintes problemas para solucionar se você não conseguir excluir uma AWS Config regra ou receber um erro semelhante ao seguinte: “Ocorreu um erro com AWS Config”.
A entidade AWS Identity and Access Management (IAM) tem permissões para a DeleteConfigRule API
Abra o console do IAM em https://console.aws.amazon.com/iam/
. No painel de navegação, escolha Usuários ou Funções.
Escolha o usuário ou a função que você usou para excluir a AWS Config regra e expanda as políticas de permissões.
Na guia Permissões, escolha JSON.
No painel de visualização do JSON, confirme se a política do IAM permite permissões para a API DeleteConfigRule.
O limite de permissão da entidade IAM permite a API DeleteConfigRule
Se a entidade do IAM tiver um limite de permissões, certifique-se de que ela permita permissões para a DeleteConfigRule API.
Abra o console do IAM em https://console.aws.amazon.com/iam/
. No painel de navegação, escolha Usuários ou Funções.
Escolha o usuário ou a função que você usou para excluir a AWS Config regra, expanda o limite de permissões e escolha JSON.
No painel de visualização do JSON, confirme se a política do IAM permite permissões para a API DeleteConfigRule.
Atenção
Os usuários do IAM têm credenciais de longo prazo, o que representa um risco de segurança. Para ajudar a reduzir esse risco, recomendamos que você forneça a esses usuários somente as permissões necessárias para realizar a tarefa e que você os remova quando não forem mais necessários.
A política de controle de serviços (SCP) permite a API DeleteConfigRule
Abra o AWS Organizations console em https://console.aws.amazon.com/organizations/ usando a conta de gerenciamento da organização.
Em Nome da conta, escolha Conta da AWS o.
Em Políticas, expanda Políticas de controle de serviços e observe as políticas de SCP anexadas.
Na parte superior da página, escolha Políticas.
Selecione a política e, em seguida, escolha Exibir detalhes.
No painel de visualização do JSON, confirme se a política permite a API de DeleteConfigregras.
A regra não é uma regra vinculada a serviços
Quando você habilita um padrão de segurança, AWS Security Hub cria regras vinculadas a serviços para você. Você não pode excluir essas regras vinculadas ao serviço usando AWS Config, e o botão de exclusão está esmaecido. Para remover uma regra vinculada ao serviço, consulte Desabilitar um padrão de segurança no Guia do Usuário do Security Hub.
Nenhuma ação de remediação está em andamento
Você não pode excluir AWS Config regras que tenham ações de remediação em andamento. Siga as etapas para excluir a ação de remediação associada a essa regra. Em seguida, tente excluir a regra novamente.
Importante
Exclua somente ações de remediação que estejam em estado de falha ou sucesso.