Registro de tipos de recursos en AWS Config
Puede especificar que AWS Config realice un seguimiento automático de los tipos de recursos privados y registre los cambios en dichos recursos como elementos de configuración. Esto le permite ver el historial de configuración de estos tipos de recursos privados, así como escribir reglas de Reglas de AWS Config para verificar las prácticas recomendadas de configuración. Se requiere AWS Config para la extensión de enlace.
Para que AWS Config realice un seguimiento automático de los tipos de recursos privados:
-
Administre los recursos a través de CloudFormation. Esto incluye la realización de todas las operaciones de creación, actualización y eliminación de recursos a través de CloudFormation.
nota
Si utiliza un rol de IAM para realizar las operaciones de pila, ese rol de IAM debe tener permiso para llamar a las siguientes acciones de AWS Config:
-
Configure AWS Config para registrar todos los tipos de recursos. Para obtener más información, consulte el Registro de configuraciones para recursos de terceros mediante la AWS CLI en la Guía para desarrolladores de AWS Config.
nota
AWS Config no admite la grabación de recursos privados que contienen propiedades definidas como obligatorias y de solo escritura.
Por diseño, las propiedades de recurso definidas como solo escritura no se devuelven en el esquema utilizado para crear el elemento de configuración AWS Config. Debido a esto, si se incluye una propiedad definida como solo escritura y obligatoria, se producirá un error en la creación del elemento de configuración, ya que no se presentará una propiedad obligatoria. Para ver el esquema que se utilizará para crear el elemento de configuración, puede revisar la propiedad
schemade la acción DescribeType.
Para obtener más información sobre los elementos de configuración, consulte Configuration items (Elementos de configuración) en la Guía para desarrolladores de AWS Config.
Impedir que se registren propiedades confidenciales en un elemento de configuración
El tipo de recurso puede contener propiedades que considere información confidencial, como contraseñas, secretos u otros datos confidenciales, que no desea que se registren como parte del elemento de configuración. Para evitar que se registre una propiedad en el elemento de configuración, puede incluir esa propiedad en la lista writeOnlyproperties del esquema de tipo de recurso. El usuario puede especificar las propiedades de recurso mostradas como writeOnlyproperties, pero no se devolverán por una solicitud read ni list.
Para obtener más información, consulte writeOnlyProperties en la Guía del usuario de la CLI de CloudFormation.
