Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Activación del seguimiento de recursos
Antes de crear su primer marco relacionado con la conformidad, debe activar el seguimiento de los recursos. De este modo, podrá AWS Config realizar un seguimiento de sus AWS Backup recursos. Para obtener documentación técnica sobre cómo gestionar el seguimiento de los recursos, consulte Configuración AWS Config con la consola en la Guía para AWS Config desarrolladores.
Al activar el seguimiento de los recursos, se aplican cargos. Para obtener información sobre el seguimiento de los recursos, los precios y la facturación de AWS Backup Audit Manager, consulte Medición, costes y facturación.
Temas
Activación del seguimiento de recursos mediante la consola
Active el seguimiento de recursos mediante la consola:
Abra la AWS Backup consola en https://console.aws.amazon.com/backup.
-
En el panel de navegación izquierdo, en Audit Manager, elija Marcos.
-
Para activar el seguimiento de recursos, seleccione Administrar el seguimiento de recursos.
-
Selecciona Ir a la AWS Config configuración.
-
Elija Habilitar o deshabilitar el registro.
-
Elija Habilitar el registro para todos los tipos de recursos siguientes o elija habilitar el registro para algunos tipos de recursos. Consulte Controles y correcciones de AWS Backup Audit Manager para ver qué tipos de recursos se requieren para sus controles.
-
AWS Backup: backup plans
-
AWS Backup: backup vaults
-
AWS Backup: recovery points
-
AWS Backup: backup selection
nota
AWS Backup Audit Manager requiere
AWS Config: resource compliance
para cada control. -
-
Elija Close.
-
Espere a que el banner azul con el texto Activando el seguimiento de recursos pase al banner verde con el texto El seguimiento de recursos está activado.
Puede comprobar si ha activado el seguimiento de recursos y, de ser así, qué tipos de recursos está grabando en dos lugares de la AWS Backup consola. En el panel de navegación izquierdo:
-
Elija Marcos y, a continuación, elija el texto en estado de registro de AWS Config .
-
Elija Configuración y, a continuación, elija el texto en estado de registro de AWS Config .
Activación del seguimiento de recursos mediante la AWS Command Line Interface (AWS CLI)
Si aún no lo has incorporado AWS Config, puede que sea más rápido hacerlo con el. AWS CLI
Para activar el seguimiento de recursos mediante la AWS CLI:
-
Escriba el siguiente comando para determinar si ya ha habilitado el registro de AWS Config .
$ aws configservice describe-configuration-recorders
-
Si la lista
ConfigurationRecorders
está vacía de esta manera:{ "ConfigurationRecorders": [] }
El registro no está habilitado. Continúe con el paso 2 para crear el registro.
-
Si ya ha habilitado el registro para todos los recursos, el resultado
ConfigurationRecorders
tendrá el siguiente aspecto:{ "ConfigurationRecorders":[ { "recordingGroup":{ "allSupported":true, "resourceTypes":[ ], "includeGlobalResourceTypes":true }, "roleARN":"arn:aws:iam::[account]:role/[roleName]", "name":"default" } ] }
Como ha habilitado todos los recursos, ya ha activado el seguimiento de recursos. No necesita completar el resto de este procedimiento para utilizar AWS Backup Audit Manager.
-
Si su
ConfigurationRecorders
no está vacío, pero no ha habilitado el registro para todos los recursos, agregue recursos de copia de seguridad al registro existente mediante el siguiente comando. Después, vaya al paso 3.$ aws configservice describe-configuration-recorders { "ConfigurationRecorders":[ { "name":"default", "roleARN":"arn:aws:iam::
accountId
:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig", "recordingGroup":{ "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::Backup::BackupPlan", "AWS::Backup::BackupSelection", "AWS::Backup::BackupVault", "AWS::Backup::RecoveryPoint", "AWS::Config::ResourceCompliance" ] } } ] }
-
-
Cree una AWS Config grabadora con los tipos de recursos de AWS Backup Audit Manager
$ aws configservice put-configuration-recorder --configuration-recorder name=
default
, \ roleARN=arn:aws:iam::accountId
:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \ --recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \ 'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint','AWS::Config::ResourceCompliance']" -
Describa su AWS Config grabadora.
$ aws configservice describe-configuration-recorders
Compruebe que tiene los tipos de recursos de AWS Backup Audit Manager comparando el resultado con el siguiente resultado esperado.
{ "ConfigurationRecorders":[ { "name":"
default
", "roleARN":"arn:aws:iam::accountId
:role/AWSServiceRoleForConfig", "recordingGroup":{ "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::Backup::BackupPlan", "AWS::Backup::BackupSelection", "AWS::Backup::BackupVault", "AWS::Backup::RecoveryPoint", "AWS::Config::ResourceCompliance" ] } } ] } -
Cree un bucket de Amazon S3 como destino para almacenar los archivos AWS Config de configuración.
$ aws s3api create-bucket --bucket
amzn-s3-demo-bucket
—regionus-east-1
-
Uso
policy.json
para conceder AWS Config permiso de acceso a su bucket. Consulte el siguiente ejemplopolicy.json
.$ aws s3api put-bucket-policy --bucket
amzn-s3-demo-bucket
--policyfile://policy.json
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AWSConfigBucketPermissionsCheck", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:GetBucketAcl", "Resource":"arn:aws:s3:::
amzn-s3-demo-bucket
" }, { "Sid":"AWSConfigBucketExistenceCheck", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:ListBucket", "Resource":"arn:aws:s3:::amzn-s3-demo-bucket
" }, { "Sid":"AWSConfigBucketDelivery", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::amzn-s3-demo-bucket
/*" } ] } -
Configure su depósito como canal AWS Config de entrega
$ aws configservice put-delivery-channel --delivery-channel name=
default
,s3BucketName=amzn-s3-demo-bucket
-
Habilita la AWS Config grabación
$ aws configservice start-configuration-recorder --configuration-recorder-name
default
-
Verifique que
"FrameworkStatus":"ACTIVE"
en la última línea de su resultado deDescribeFramework
es como sigue.$ aws backup describe-framework --framework-name
test
--regionus-east-1
{ "FrameworkName":"test", "FrameworkArn":"arn:aws:backup:us-east-1:
accountId
:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666
", "FrameworkDescription":"", "FrameworkControls":[ { "ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK", "ControlInputParameters":[ { "ParameterName":"requiredRetentionDays", "ParameterValue":"1" } ], "ControlScope":{ } }, { "ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK", "ControlInputParameters":[ { "ParameterName":"requiredFrequencyUnit", "ParameterValue":"hours" }, { "ParameterName":"requiredRetentionDays", "ParameterValue":"35" }, { "ParameterName":"requiredFrequencyValue", "ParameterValue":"1" } ], "ControlScope":{ } }, { "ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN", "ControlInputParameters":[ ], "ControlScope":{ } }, { "ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED", "ControlInputParameters":[ ], "ControlScope":{ } }, { "ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED", "ControlInputParameters":[ ], "ControlScope":{ } } ], "CreationTime":1633463605.233, "DeploymentStatus":"COMPLETED", "FrameworkStatus":"ACTIVE" }
Activación del seguimiento de recursos mediante una plantilla de AWS CloudFormation
Para ver una AWS CloudFormation plantilla que active el seguimiento de recursos, consulte Uso de AWS Backup Audit Manager con AWS CloudFormation.