- Productos›
- Herramientas de administración›
- AWS Config
Preguntas frecuentes sobre Amazon Config
Aspectos generales
¿Qué es AWS Config?
AWS Config es un servicio completamente administrado que le proporciona inventario de recursos, historial de configuración y notificaciones de cambios de configuración para la seguridad y la gobernanza. Con AWS Config, puede descubrir recursos de AWS existentes, registrar configuraciones para recursos de terceros, exportar un inventario completo de sus recursos con todos los detalles de configuración y determinar cómo se configuró un recurso en cualquier momento. Estas capacidades utilizan la auditoría de cumplimiento, el análisis de seguridad, el seguimiento de cambios de recursos y la resolución de problemas.
¿Qué es una regla de AWS Config?
Una regla de AWS Config representa las configuraciones deseadas para un recurso y se evalúa frente a los cambios de configuración en los recursos relevantes, según lo registrado por AWS Config. Los resultados de la evaluación de una regla con respecto a la configuración de un recurso se encuentran disponibles en el panel. Con las reglas de AWS Config puede evaluar su estado general de cumplimiento y riesgo desde una perspectiva de configuración, ver las tendencias de cumplimiento a lo largo del tiempo y determinar qué cambio de configuración provocó que un recurso dejara de cumplir con una regla.
¿Qué es un paquete de conformidad?
Un paquete de conformidad es una colección de reglas de AWS Config y acciones correctivas que se crea al utilizar un marco común y un modelo de empaquetado en AWS Config. Al empaquetar los artefactos de AWS Config anteriores, puede simplificar los aspectos de implementación e informes de las políticas de gobernanza y el cumplimiento de la configuración en varias cuentas y regiones y reducir el tiempo que un recurso se mantiene en un estado de incumplimiento.
¿Qué beneficios ofrece AWS Config?
AWS Config facilita el seguimiento de la configuración de sus recursos sin necesidad de realizar inversiones iniciales y evita la complejidad de instalar y actualizar agentes para la recopilación de datos o el mantenimiento de grandes bases de datos. Después de habilitar AWS Config, puede ver constantemente los detalles actualizados de todos los atributos de configuración asociados con los recursos de AWS. A través de Amazon Simple Notification Service (SNS) se le notifica cada cambio de la configuración.
¿En qué ayuda AWS Config en las auditorías?
AWS Config le permite obtener acceso al historial de configuración de los recursos. Puede relacionar los cambios de configuración con los eventos de AWS CloudTrail que posiblemente contribuyen a dichos cambios. Esta información le brinda una visibilidad completa, desde detalles como “¿Quién hizo el cambio?” y “¿Desde qué dirección IP?”, al efecto de este cambio en los recursos de AWS y los recursos relacionados. Puede utilizar esta información para generar informes que ayuden a auditar y evaluar el cumplimiento durante un periodo.
¿Quién debería usar AWS Config y las reglas de AWS Config?
Cualquier cliente de AWS que desee mejorar la seguridad y postura de gobernanza en AWS mediante la evaluación constante de la configuración de sus recursos se beneficiará de esta función. Los administradores de organizaciones más grandes que recomiendan prácticas recomendadas para configurar recursos pueden codificar estas reglas como reglas de AWS Config e inculcar la autogobernanza entre los usuarios. Los expertos en seguridad de la información que supervisan la actividad de uso y las configuraciones para detectar vulnerabilidades pueden beneficiarse de las reglas de AWS Config. Si tiene una carga de trabajo que debe cumplir con estándares específicos (por ejemplo, PCI-DSS o HIPAA), puede usar esta capacidad para evaluar el cumplimiento de las configuraciones de su infraestructura de AWS y generar informes para sus auditores. Los operadores que administran grandes infraestructuras de AWS o componentes que cambian con frecuencia también pueden beneficiarse de las reglas de AWS Config para la resolución de problemas. Si desea realizar un seguimiento de los cambios en la configuración de los recursos, responder preguntas sobre las configuraciones de los recursos, demostrar el cumplimiento, solucionar problemas o realizar análisis de seguridad, debe activar AWS Config.
¿Quién debería usar los paquetes de conformidad de AWS Config?
Si busca un marco para crear e implementar paquetes de cumplimiento para sus configuraciones de recursos de AWS en varias cuentas, debe utilizar los paquetes de conformidad. Este marco se puede usar para crear paquetes personalizados para seguridad, DevOps y otras personas y puede comenzar rápidamente a usar una de las plantillas de paquetes de conformidad de muestra.
¿Garantiza este servicio que mis configuraciones siempre estarán en conformidad?
Las reglas de AWS Config y los paquetes de conformidad brindan información sobre si sus recursos cumplen con las reglas de configuración que especifique. Evaluarán las configuraciones de recursos con las reglas de AWS Config periódicamente o al detectar cambios de configuración, o ambos, según cómo haya configurado la regla. No se garantiza la conformidad de los recursos ni tampoco se evita que los usuarios lleven a cabo acciones contrarias a las reglas. Sin embargo, se pueden usar para que un recurso que no cumple los requisitos vuelva a cumplirlos mediante la configuración de las acciones correctivas adecuadas para cada regla de AWS Config.
¿Impide el servicio que los usuarios lleven a cabo acciones contrarias a las reglas?
Las reglas de AWS Config no afectan directamente la forma en que los usuarios finales consumen AWS. Las reglas de AWS Config evalúan las configuraciones de recursos solo después de que AWS Config haya completado y registrado un cambio de configuración. Las reglas de AWS Config no impiden a los usuarios realizar cambios que puedan dar lugar a que la configuración no sea conforme. Para controlar lo que puede aprovisionar en AWS y los parámetros de configuración utilizados durante el aprovisionamiento, utilice las políticas de AWS Identity and Access Management (IAM) y AWS Service Catalog, respectivamente.
¿Se pueden evaluar las reglas antes de aprovisionar un recurso?
Sí, las reglas de AWS Config se pueden configurar en modo solo proactivo, solo de detección o en ambos modos. Para obtener una lista completa de estas reglas, consulte la documentación.
Ya utilizo las reglas de AWS Config para mis recursos después del aprovisionamiento. ¿Cómo ejecuto esas mismas reglas en modo proactivo?
Puede utilizar la API PutConfigRule existente o la consola de AWS Config para habilitar el modo proactivo en una regla de AWS Config de su cuenta.
¿Puede AWS Config registrar las configuraciones de los recursos en las instalaciones o en otras nubes?
AWS Config lo ayuda a registrar configuraciones para recursos de terceros o tipos de recursos personalizados, como servidores en las instalaciones, herramientas de supervisión de software como servicio (SaaS) y sistemas de control de versiones. Para ello, debe crear un esquema de proveedor de recursos que se ajuste a la configuración del tipo de recurso y la valide. Debe registrar el recurso personalizado mediante AWS CloudFormation o su herramienta de infraestructura como código (IaC).
Si configuró AWS Config para registrar todos los tipos de recursos, los recursos de terceros que se administran (crean, actualizan o eliminan) a través de AWS CloudFormation se rastrean automáticamente en AWS Config como elementos de configuración. Para profundizar en los pasos necesarios para ello y comprender en qué regiones de AWS está disponible, consulte la Guía para desarrolladores de AWS Config: registro de configuraciones para recursos de terceros.
¿Cómo funciona AWS Config con AWS CloudTrail?
AWS CloudTrail registra la actividad de la API del usuario en su cuenta y lo ayuda a acceder a información sobre esta actividad. Puede obtener todos los detalles sobre las acciones de la API, como la identidad del intermediario, la hora de la llamada de API, los parámetros de la solicitud y los elementos de respuesta que devuelve el servicio de AWS. AWS Config registra los detalles de configuración en un momento dado para sus recursos de AWS como elementos de configuración (CI). Puede usar un CI para responder: “¿Cómo era mi recurso de AWS?” en un punto en el tiempo. Puede usar CloudTrail para responder “¿Quién hizo una llamada a la API para modificar este recurso?”. Por ejemplo, puede usar la Consola de administración de AWS para que AWS Config detecte que el grupo de seguridad “Production-DB” estaba mal configurado anteriormente. Con la información integrada de CloudTrail, puede identificar qué usuario configuró incorrectamente el grupo de seguridad “Production-DB”.
¿Puedo supervisar la información de cumplimiento de varias cuentas y regiones a través de una cuenta central?
AWS Config facilita el seguimiento del estado de cumplimiento en varias cuentas y regiones mediante la capacidad de agregación de datos de varias cuentas y varias regiones. Puede crear un agregador de configuración en cualquier cuenta y agregar los detalles de conformidad desde otras cuentas. Esta capacidad también se aprovecha en AWS Organizations, por lo que puede agregar datos de todas las cuentas dentro de su organización.
¿Puedo conectar mis instancias de ServiceNow y Jira Service Desk con AWS Config?
Sí. El conector de administración de servicios de AWS para ServiceNow y Jira Service Desk ayuda a los usuarios finales de ServiceNow y Jira Service Desk a aprovisionar, administrar y operar los recursos de AWS de forma nativa mediante ServiceNow y Jira Service Desk. Los usuarios de ServiceNow pueden hacer un seguimiento de los recursos en una vista de elementos de configuración con tecnología AWS Config sin inconvenientes en ServiceNow con el conector de administración de servicios de AWS. Los usuarios de Jira Service Desk pueden hacer un seguimiento de los recursos dentro de la solicitud de emisión con AWS Service Management Connector. Esto simplifica las acciones de solicitud de productos de AWS para usuarios de ServiceNow y Jira Service Desk y ofrece a los administradores de ServiceNow y Jira Service Desk capacidades de supervisión y gobernanza en relación con los productos de AWS.
El conector de administración de servicios de AWS para ServiceNow está disponible de forma gratuita en la tienda de ServiceNow. Esta nueva característica está disponible de manera general en todas las regiones de AWS en las que se ofrece AWS Service Catalog. Para obtener más información, consulte la documentación.
El conector de administración de servicios de AWS para Jira Service Desk está disponible sin cargo en Atlassian Marketplace. Esta nueva característica está disponible de manera general en todas las regiones de AWS en las que se ofrece AWS Service Catalog. Para obtener más información, consulte la documentación.
Introducción
¿Cómo puedo comenzar a utilizar este servicio?
La manera más rápida de comenzar a utilizar AWS Config es mediante la Consola de administración de AWS. Puede activar AWS Config con unas pocas selecciones. Para obtener más detalles, consulte la documentación de introducción.
¿Cómo puedo obtener acceso a la configuración de mis recursos?
Puede buscar la configuración de recursos actual e histórica mediante la Consola de administración de AWS, la interfaz de la línea de comandos de AWS o los SDK.
Para obtener más detalles, consulte la documentación de AWS Config.
¿Tengo que activar AWS Config a nivel regional o global?
Active AWS Config por región para su cuenta.
¿Puede AWS Config agregar datos entre diferentes cuentas de AWS?
Sí, puede configurar AWS Config para entregar actualizaciones de configuración desde diferentes cuentas a un bucket de Amazon Simple Storage Service (S3), una vez que se aplican las políticas de IAM adecuadas al bucket de Amazon S3. También puede publicar notificaciones en un tema de SNS, dentro de la misma región, una vez que se hayan aplicado las políticas apropiadas de IAM en el tema de SNS.
¿Registra CloudTrail la actividad de la API en AWS Config?
Sí. CloudTrail registra toda la actividad de la API de AWS Config, incluido el uso de operaciones de la API de AWS Config para leer datos de configuración.
¿Qué horarios y husos horarios se muestran en la vista de escala de tiempo de un recurso? ¿Se tiene en cuenta el horario de verano?
AWS Config muestra la hora en la que se registraron los elementos de configuración de un recurso en una escala de tiempo. Todas las horas se registran en tiempo universal coordinado (UTC). Cuando la escala de tiempo se visualiza en la consola de administración, el servicio usa la zona horaria actual (ajustada para el horario de verano, si corresponde) para mostrar todas las horas en la vista de escala de tiempo.
Configuración de recursos
¿Qué es un elemento de configuración?
Un elemento de configuración (CI) es la configuración de un recurso en un momento concreto. Un CI consta de cinco secciones:
Información básica sobre el recurso que es común a diferentes tipos de recursos (como nombres de recursos de Amazon, etiquetas).
Datos de configuración específicos del recurso (como el tipo de instancia de EC2).
Mapa de relaciones con otros recursos (como EC2::Volume vol-3434df43 está “adjunto a la instancia” EC2 Instance i-3432ee3a).
ID de eventos de CloudTrail relacionados con este estado (solo para recursos de AWS).
Metadatos que ayudan a identificar información sobre el CI, como la versión del CI y cuándo se capturó dicho CI.
Obtenga más información sobre los elementos de configuración.
¿Qué es un elemento de configuración personalizado?
Es el elemento de configuración establecido para un recurso de terceros o un recurso personalizado. Algunos ejemplos son las bases de datos en las instalaciones, los servidores de Active Directory, los sistemas de control de versiones como GitHub y las herramientas de monitoreo de terceros como Datadog.
¿Qué son las relaciones de AWS Config y cómo se usan?
AWS Config tiene en cuenta las relaciones entre los recursos al registrar los cambios. Por ejemplo, si un nuevo grupo de seguridad de EC2 está asociado a una instancia de EC2, AWS Config registra las configuraciones actualizadas del recurso principal, el grupo de seguridad de EC2 y los recursos relacionados, si estos recursos han cambiado.
¿Registra AWS Config todos los estados en los que estuvo un recurso?
AWS Config detecta cambios en la configuración de un recurso y registra el estado de configuración resultante de ese cambio. En los casos en que se realicen varios cambios de configuración en un recurso en rápida sucesión, AWS Config registrará solo la última configuración de ese recurso que representa el impacto acumulativo del conjunto de cambios. En estas situaciones, AWS Config enumerará solo el último cambio en el campo de relatedEvents del elemento de configuración. Esto ayuda a los usuarios y programas a continuar cambiando las configuraciones de la infraestructura sin tener que esperar a que AWS Config registre estados transitorios intermedios.
¿Cómo puedo elegir la frecuencia con la que AWS Config registra los cambios de configuración?
El registro periódico le permite decidir con qué frecuencia registrar los cambios en su entorno, lo que reduce los elementos de configuración de los recursos que cambian con frecuencia. En lugar de recibir actualizaciones de forma continua, puede usar el registro periódico para recibir los cambios de configuración cada 24 horas para cumplir con sus casos de uso.
¿Cuándo debo utilizar el registro periódico en lugar del registro continuo?
El registro periódico le brinda la opción de decidir con qué frecuencia desea recibir actualizaciones sobre las configuraciones de sus recursos. Cuando está habilitada, AWS Config solo entregará la configuración más reciente de un recurso al final de un período de 24 horas si ha cambiado, lo que reduce la frecuencia de los datos de configuración y hace que el costo de recopilar estos datos sea más predecible para casos de uso como la planificación operativa y la auditoría. Si sus necesidades de seguridad y cumplimiento requieren una supervisión continua de los recursos, debe utilizar el registro continuo.
¿Registra AWS Config los cambios de configuración no derivados de la actividad de la API en dicho recurso?
Sí, AWS Config analiza regularmente la configuración de los recursos en busca de cambios que aún no se hayan registrado y registra estos cambios. Los CI registrados a partir de estos análisis no tienen un campo de relatedEvent en el mensaje, y solo se selecciona el último estado que es diferente del estado ya seleccionado.
¿Registra AWS Config cambios en el software de instancias de EC2?
Sí. AWS Config lo ayuda a registrar los cambios de configuración del software dentro de las instancias de EC2 en su cuenta de AWS y también en las máquinas virtuales (VM) o servidores en su entorno en las instalaciones. La información de configuración registrada por AWS Config incluye actualizaciones del sistema operativo, configuración de red y aplicaciones instaladas. Con las reglas de AWS Config, puede evaluar si sus instancias, máquinas virtuales y servidores cumplen con sus instrucciones. Las capacidades de visibilidad profunda y supervisión continua proporcionadas por AWS Config lo ayudan a evaluar el cumplimiento y solucionar problemas operativos.
¿Continúa AWS Config enviando notificaciones si un recurso que antes no cumplía con los requisitos sigue sin cumplirlos tras una evaluación de reglas periódica?
AWS Config envía notificaciones solo cuando cambia el estado de cumplimiento. Si un recurso no cumplió anteriormente y sigue sin cumplir, AWS Config no enviará una nueva notificación. Si el estado de cumplimiento cambia a “cumple”, recibirá una notificación del cambio de estado.
¿Puedo marcar, eximir o excluir recursos de la evaluación de las reglas de AWS Config?
Sí, puede excluir recursos accediendo a la página de “recorder settings” (configuración del grabador) de AWS Config en la consola, y seleccionar la opción “Exclude Resource Types” (Excluir tipos de recursos), y especificar las exclusiones deseadas. También puede utilizar la API PutConfigurationRecorder para acceder a esta característica. Esta API deshabilitará el registro de la configuración para ese tipo de recurso. Además, cuando configura las reglas de AWS Config, puede especificar si su regla ejecuta evaluaciones contra tipos de recursos específicos o recursos con una etiqueta específica.
Reglas de AWS Config
¿Qué es la configuración de un recurso?
La configuración de un recurso la definen los datos incluidos en el elemento de configuración de AWS Config. El lanzamiento inicial de las reglas de AWS Config hace que el CI de un recurso esté disponible para las reglas relevantes. Las reglas de AWS Config pueden usar esta información junto con cualquier otra información relevante, como otros recursos adjuntos y el horario comercial, para evaluar el cumplimiento de la configuración de un recurso.
¿Qué es una regla?
Una regla representa los valores de atributo de un elemento de configuración (CI) deseados para los recursos y se evalúa comparando esos valores de atributo con los CI registrados por AWS Config. Existen dos tipos de reglas:
Reglas administradas por AWS: las reglas administradas por AWS son creadas y administradas previamente por AWS. Puede elegir la regla que desea habilitar y luego proporcionar algunos parámetros de configuración para comenzar. Más información »
Reglas administradas por el cliente: las reglas administradas por el cliente son reglas personalizadas, definidas y creadas por usted. Puede crear una función en AWS Lambda que se puede invocar como parte de una regla personalizada y estas funciones se aplican en su cuenta. Más información »
La manera más rápida de comenzar a utilizar AWS Config es mediante la Consola de administración de AWS. Puede activar AWS Config con unas pocas selecciones. Para obtener más detalles, consulte la documentación de introducción.
¿Cómo se crean las reglas?
Por lo general, es el administrador de cuentas de AWS quien crea las reglas. Se pueden crear al aprovechar las reglas administradas por AWS (un conjunto predefinido de reglas proporcionadas por AWS) o mediante reglas administradas por el cliente. Con las reglas administradas por AWS, las actualizaciones de la regla se aplican automáticamente a cualquier cuenta que utilice esa regla. En el modelo administrado por el cliente, los clientes tienen una copia completa de la regla y la aplican en su propia cuenta. El mantenimiento de estas reglas corre por cuenta de los clientes.
¿Cuántas reglas puedo crear?
Puede crear hasta 150 reglas en su cuenta de AWS de forma predeterminada. Además, puede solicitar un aumento del límite para el número de reglas de su cuenta visitando la página de AWS Service Limits.
¿Cómo se evalúan las reglas?
Cualquier regla se puede configurar como una regla activada por cambios o como una regla periódica. Se aplica una regla activada por cambios cuando AWS Config registra un cambio de configuración para cualquiera de los recursos especificados. Además, se ha de especificar uno de los elementos siguientes:
Etiqueta de clave:(valor opcional): una etiqueta de clave:valor implica que cualquier cambio de configuración registrado para los recursos con la etiqueta de clave:valor especificada iniciará una evaluación de la regla.
Tipos de recursos: cualquier cambio de configuración registrado para cualquier recurso dentro de los tipos de recursos especificados iniciará una evaluación de la regla.
ID de recurso: cualquier cambio registrado en el recurso especificado por el tipo de recurso y el ID de recurso iniciará una evaluación de la regla.
Una regla periódica se inicia a una frecuencia especificada. Las frecuencias disponibles son 1 hora, 3 horas, 6 horas, 12 horas o 24 horas. Las reglas periódicas tienen una instantánea completa de los elementos de configuración (CI) actuales de todos los recursos disponibles para la regla.
¿Qué es una evaluación?
Con la evaluación de una regla se determina si una regla es conforme a un recurso en un momento determinado. Es el resultado de evaluar una regla con respecto a la configuración de un recurso. Las reglas de AWS Config capturarán y almacenarán el resultado de cada evaluación. Este resultado incluirá el recurso, la regla, el tiempo de evaluación y un enlace al elemento de configuración (CI) que provocó el incumplimiento.
¿Qué significa cumplimiento?
Un recurso cumple con los requisitos si observa todas las reglas que se aplican; de lo contrario, no cumple con los requisitos. De manera similar, una regla es conforme si todos los recursos evaluados por la regla cumplen con la regla; de lo contrario, es no conforme. En algunos casos, como cuando hay permisos inadecuados disponibles para la regla, no puede existir una evaluación para el recurso, lo que lleva a un estado de datos insuficientes. Esta situación no permite determinar el estado de conformidad de un recurso o de una regla.
¿Qué información proporciona el panel de reglas de AWS Config?
El panel de reglas de AWS Config le brinda una descripción general de los recursos rastreados por AWS Config y un resumen de la conformidad actual por recurso y por regla. Cuando se consulta la conformidad por recurso, se puede determinar si alguna de las reglas aplicables al recurso no es conforme en estos momentos. También se puede ver la conformidad por regla, lo que nos indica si alguno de los recursos a los que se aplica la regla no es conforme en estos momentos. Con estas vistas de resumen, puede explorar más a fondo la vista de línea de tiempo de los recursos de AWS Config para determinar qué parámetros de configuración cambiaron. Desde el panel, se puede comenzar con información general y profundizar en vistas detalladas que aportan información exhaustiva sobre los cambios en el estado de conformidad y qué cambios han provocado la no conformidad.
Paquetes de conformidad
¿Cuándo debo usar las reglas de AWS Config en lugar de los paquetes de conformidad?
Puede utilizar reglas individuales de AWS Config para evaluar la conformidad de la configuración de los recursos en una o más cuentas. Los paquetes de conformidad brindan el beneficio adicional de empaquetar reglas junto con acciones correctivas en una sola entidad que se puede implementar en toda la organización con una sola selección. Los paquetes de conformidad están destinados a simplificar la administración del cumplimiento y la generación de informes a escala cuando administra varias cuentas. Los paquetes de conformidad están diseñados para proporcionar informes de cumplimiento agregados a nivel de paquete e inmutabilidad. Esto ayuda a que las cuentas de miembros individuales de una organización no modifiquen ni eliminen las reglas administradas de AWS Config y los documentos de corrección incluidos en el paquete de conformidad.
¿Cómo se relacionan AWS Config y las reglas de AWS Config con AWS Security Hub?
AWS Security Hub es un servicio que permite administrar posturas de conformidad y seguridad. Utiliza AWS Config y las reglas de AWS Config como mecanismo principal para evaluar la configuración de los recursos de AWS. Las reglas de AWS Config también se pueden utilizar para evaluar la configuración de los recursos directamente. Las reglas de AWS Config también las utilizan otros servicios de AWS, como AWS Control Tower y AWS Firewall Manager.
¿Cuándo debo utilizar los paquetes de conformidad de AWS Security Hub y AWS Config?
Si un estándar de cumplimiento, como PCI DSS, ya está presente en Security Hub, entonces el servicio Security Hub totalmente administrado es una forma más fácil de ponerlo en práctica. Puede investigar los resultados a través de la integración de Security Hub con Amazon Detective y puede crear acciones correctivas automatizadas o semiautomáticas al utilizar la integración de Security Hub con Amazon EventBridge. Sin embargo, si desea crear su propio estándar de cumplimiento o seguridad, que puede incluir comprobaciones de seguridad, operativas o de optimización de costos, los paquetes de conformidad de AWS Config son el camino a seguir. Los paquetes de conformidad de AWS Config simplifican la administración de las reglas de AWS Config al empaquetar un grupo de reglas de AWS Config y las acciones correctivas asociadas en una sola entidad. Este paquete simplifica la implementación de reglas y acciones correctivas en una organización. También habilita los informes agregados, como resúmenes de conformidad que pueden generarse como informes en el nivel de paquete. Puede comenzar con las muestras del paquete de conformidad de AWS Config que proporcionamos y personalizarlas como mejor le parezca.
¿Admiten los paquetes de conformidad de Security Hub y AWS Config la supervisión continua del cumplimiento?
Sí, tanto Security Hub como los paquetes de conformidad de AWS Config admiten la supervisión continua del cumplimiento, dada su dependencia de AWS Config y las reglas de AWS Config. Las reglas de AWS Config subyacentes pueden activarse de forma periódica o al detectar cambios en la configuración de los recursos. Esto lo ayuda a auditar y evaluar continuamente el cumplimiento general de sus configuraciones de recursos de AWS con las políticas y pautas de su organización.
¿Cómo comienzo a utilizar los paquetes de conformidad?
La forma más rápida de comenzar es crear un paquete de conformidad con una de nuestras plantillas de muestra a través de la CLI o la consola de AWS Config. Algunas de las plantillas de muestra incluyen Mejores prácticas operativas de S3, Mejores prácticas operativas de Amazon DynamoDB y Mejores prácticas operativas para PCI. Estas plantillas se encuentran en lenguaje YAML. Puede descargarlas en nuestros sitios de documentación y utilizar su editor de texto favorito para modificarlas y adecuarlas a su entorno. Incluso puede agregar reglas personalizadas de AWS Config que podría haber escrito previamente en el paquete.
¿Hay algún costo asociado con el uso de esta característica en AWS Config?
El uso de los paquetes de reglas se cobra en función de un modelo de precios por niveles. Para obtener más detalles, consulte la página de precios de AWS Config.
Agregación de datos de varias cuentas y varias regiones
¿Qué es la agregación de datos de varias cuentas y varias regiones?
La agregación de datos en AWS Config lo ayuda a agregar datos de AWS Config de varias cuentas y regiones en una sola cuenta y una sola región. La agregación de datos de varias cuentas es útil para que los administradores de TI central supervisen la conformidad de varias cuentas de AWS en la empresa.
¿Puedo utilizar la capacidad de agregación de datos para aprovisionar de forma centralizada las reglas de AWS Config en varias cuentas?
La capacidad de agregado de datos no se puede usar para aprovisionar reglas entre varias cuentas. Es solamente una capacidad de evaluación que ofrece visibilidad de su conformidad. Puede usar AWS CloudFormation StackSets para aprovisionar las reglas entre cuentas y regiones. Obtenga más información en este enlace del blog.
¿Cómo habilito la agregación de datos en mi cuenta?
Una vez que AWS Config y las reglas de AWS Config están habilitadas en su cuenta y las cuentas se agregan, puede habilitar la agregación de datos al crear un agregador en su cuenta. Más información.
¿Qué es un agregador?
Un agregador es un tipo de recurso de AWS Config que recopila datos de AWS Config de varias cuentas y regiones. Utilice un agregador para ver la configuración de recursos y los datos de conformidad registrados en AWS Config para varias cuentas y regiones.
¿Qué información ofrece la vista agregada?
La vista agregada muestra el recuento total de reglas no conformes en toda la organización, las cinco reglas principales no conformes por número de recursos y las cinco cuentas de AWS principales que tienen la mayor cantidad de reglas no conformes. A continuación, puede desplazarse hacia abajo para ver más detalles sobre los recursos que no cumplen la regla y la lista de reglas que una cuenta infringe.
No soy un cliente de AWS Organizations. ¿Aún así puedo usar la capacidad de incorporación de datos?
Puede especificar las cuentas para agregar los datos de AWS Config al cargar un archivo o al ingresar cuentas individualmente. Tenga en cuenta que, como estas cuentas no son parte de ninguna organización de AWS, debe autorizar explícitamente la cuenta del agregador. Más información.
Solo tengo una cuenta, ¿puedo aprovechar la capacidad de agregación de datos?
La capacidad de agregación de datos también es útil para la agregación de varias regiones. Por lo tanto, puede agregar los datos de AWS Config para su cuenta en varias regiones al utilizar esta capacidad.
¿En qué regiones está disponible la capacidad de agregación de datos de varias cuentas y varias regiones?
Para obtener más información sobre las regiones en las que está disponible la agregación de datos de varias cuentas y varias regiones, visite la Guía para desarrolladores de AWS Config: agregación de datos de varias cuentas y varias regiones.
¿Qué pasa si tengo una cuenta que incluye una región que no admite esta característica?
Cuando crea un agregador, especifica las regiones desde donde puede agregar datos. Esta lista muestra solo las regiones donde esta característica está disponible. También puede seleccionar “todas las regiones”, en cuyo caso, tan pronto como se agregue soporte en otras regiones, se agregarán automáticamente los datos.
Compatibilidad con servicios y disponibilidad en regiones
¿Qué tipos de recursos de AWS abarca AWS Config?
Consulte nuestra documentación para ver una lista completa de los tipos de recursos admitidos.
¿En qué regiones se encuentra disponible AWS Config?
Para obtener más información sobre las regiones de AWS en las que está disponible AWS Config, consulte la tabla de región de AWS.
Precios
¿Qué cargos se me aplicarán por utilizar AWS Config?
Con AWS Config, se le cobra en función de la cantidad de elementos de configuración registrados, la cantidad de evaluaciones de reglas de AWS Config activas y la cantidad de evaluaciones de paquetes de conformidad en su cuenta. Un elemento de configuración es un registro del estado de configuración de un recurso en su cuenta de AWS. Hay dos frecuencias en las que AWS Config puede entregar elementos de configuración: continua y periódica. El registro continuo registra y entrega los cambios de configuración cada vez que se produce un cambio. El registro periódico entrega los datos de configuración una vez cada 24 horas, solo si se ha producido un cambio. Una evaluación de regla de AWS Config es una evaluación del estado de cumplimiento de un recurso por parte de una regla de AWS Config en su cuenta de AWS. Una evaluación de paquete de conformidad es la evaluación de un recurso por parte de una regla de AWS Config dentro del paquete de conformidad. Para obtener más información y ejemplos, visite https://aws.amazon.com/config/pricing/.
¿Incluye el precio de las reglas de AWS Config los costos de las funciones de Lambda?
Puede elegir entre un conjunto de reglas administradas proporcionadas por AWS o puede crear sus propias reglas, escritas como funciones de Lambda. AWS mantiene completamente las reglas administradas y usted no paga ningún cargo adicional de Lambda para ejecutarlas. Puede habilitar reglas administradas, proporcionar los parámetros necesarios y pagar una tarifa única por cada regla de AWS Config activa en un mes determinado. Las reglas personalizadas brindan control total, ya que se aplican como funciones de Lambda en su cuenta. Además de los cargos mensuales por una regla activa, se aplican tarifas de aplicación de función y nivel gratuito de Lambda* estándar a las reglas de AWS Config personalizadas.
* El nivel gratuito de AWS no se encuentra disponible en las regiones de AWS China (Pekín) ni AWS China (Ningxia).
Quiero cambiar la función de Lambda para mi regla de AWS Config personalizada. ¿Cuál es el enfoque recomendado?
Se incurre en cargos cada vez que se crea una nueva regla y se activa. Si debe actualizar o reemplazar la función de Lambda asociada con una regla, el enfoque recomendado es actualizar la regla en lugar de eliminarla y crear una nueva regla.
Soluciones de socios
¿Qué soluciones de socios de AWS están disponibles para AWS Config?
Las soluciones de socios de APN como Splunk, ServiceNow, Evident.io, CloudCheckr, Redseal y Red Hat CloudForms brindan ofertas que están completamente integradas con datos de AWS Config. Los proveedores de servicios administrados, como 2nd Watch y Cloudnexa, también han anunciado integraciones con AWS Config. Además, con las reglas de AWS Config, socios como CloudHealth Technologies, Alert Logic y Trend Micro ofrecen ofertas integradas que se pueden utilizar. Estas soluciones incluyen capacidades como administración de cambios y análisis de seguridad y lo ayudan a visualizar, supervisar y administrar configuraciones de recursos de AWS.