Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Config terminología y conceptos
Para ayudarle a entender AWS Config, en este tema se explican algunos de los conceptos clave.
Contenido
AWS Config Interfaces
AWS Config Consola
Puede gestionar el servicio mediante la AWS Config consola. Para obtener más información acerca de AWS Management Console, consulte AWS Management Console.
AWS Config CLI
AWS Command Line Interface Es una herramienta unificada con la que puede interactuar AWS Config desde la línea de comandos. Para obtener más información, consulte la AWS Command Line Interface Guía del usuario de . Para obtener una lista completa de AWS Config CLI comandos, consulte Comandos disponibles.
AWS Config APIs
Además de la consola y elCLI, también puede utilizarlos AWS Config RESTful APIs para programar AWS Config directamente. Para obtener más información, consulte la AWS Config APIReferencia.
AWS Config SDKs
Como alternativa al uso del AWS Config API, puede utilizar uno de los AWS SDKs. Cada uno SDK consta de bibliotecas y códigos de muestra para varios lenguajes de programación y plataformas. SDKsProporcionan una forma cómoda de crear un acceso programático a AWS Config. Por ejemplo, puede utilizarlos SDKs para firmar las solicitudes de forma criptográfica, gestionar los errores y volver a intentar las solicitudes automáticamente. A fin de obtener más información, consulte la página de Herramientas para Amazon Web Services
Administración de recursos
Comprender los componentes básicos de AWS Config le ayudará a realizar un seguimiento del inventario y los cambios de los recursos y a evaluar las configuraciones de los recursos. AWS
AWS Recursos
AWS los recursos son entidades que se crean y administran mediante las AWS Management Console herramientas, AWS Command Line Interface (CLI) AWS SDKs, las o AWS asociadas. Algunos ejemplos de AWS recursos son EC2 las instancias de Amazon, los grupos de seguridadVPCs, Amazon y Amazon Elastic Block Store. AWS Config hace referencia a cada recurso mediante su identificador único, como el ID del recurso o un nombre de recurso de Amazon (ARN). Para obtener una lista de los tipos de recursos AWS Config compatibles, consulteTipos de recursos compatibles para AWS Config.
Relación de recursos
AWS Config descubre AWS los recursos de su cuenta y, a continuación, crea un mapa de relaciones entre AWS los recursos. Por ejemplo, una relación puede incluir un EBS volumen de Amazon vol-123ab45d adjunto a una EC2 instancia i-a1b2c3d4 de Amazon asociada a un grupo de seguridadsg-ef678hk.
Para obtener más información, consulte Tipos de recursos compatibles para AWS Config.
Registro de configuración
El registrador de configuración almacena los cambios de configuración de los tipos de recursos incluidos en el ámbito como elementos de configuración. Para obtener más información, consulte Trabajar con la grabadora de configuración.
Hay dos tipos de grabadores de configuración.
| Tipo | Descripción |
|---|---|
| Grabador de configuración gestionado por el cliente | Un grabador de configuración que usted administró. Usted establece los tipos de recursos incluidos en el ámbito. De forma predeterminada, un grabador de configuración gestionado por el cliente registra todos los recursos compatibles en el Región de AWS lugar en el que AWS Config se están ejecutando. |
| Grabador de configuración vinculado a un servicio | Un grabador de configuración que está vinculado a un archivo específico. Servicio de AWS Los tipos de recursos incluidos en el ámbito los establece el servicio vinculado. |
Canal de entrega
Como registra AWS Config continuamente los cambios que se producen en sus AWS recursos, envía notificaciones y estados de configuración actualizados a través del canal de entrega. Puede administrar el canal de entrega para controlar dónde se AWS Config envían las actualizaciones de configuración.
Elementos de configuración
Un elemento de configuración representa una point-in-time vista de los distintos atributos de un AWS recurso compatible que existe en su cuenta. Los componentes de un elemento de configuración incluyen los metadatos, los atributos, las relaciones, la configuración actual y los eventos relacionados. AWS Config crea un elemento de configuración cada vez que detecta un cambio en un tipo de recurso que está registrando. Por ejemplo, si AWS Config está grabando buckets de Amazon S3, AWS Config crea un elemento de configuración cada vez que se crea, actualiza o elimina un bucket. También puede seleccionar AWS Config crear un elemento de configuración con la frecuencia de grabación que haya establecido.
Para obtener más información, consulte Components of a Configuration Item y Recording Frequency.
Historial de configuración
Un historial de configuración es una colección de elementos de configuración de un recurso determinado durante cualquier periodo de tiempo. Un historial de configuración puede ayudarle a responder preguntas sobre, por ejemplo, cuándo se creó el recurso, cómo se ha configurado durante el último mes y qué cambios de configuración se introdujeron ayer a las 9 de la mañana. El historial de configuración está disponible en varios formatos. AWS Config entrega automáticamente un archivo de historial de configuración para cada tipo de recurso que se registre en un bucket de Amazon S3 que especifique. Puede seleccionar un recurso determinado en la AWS Config consola y navegar hasta todos los elementos de configuración anteriores de ese recurso utilizando la cronología. Además, puede acceder a los elementos de configuración históricos de un recurso desdeAPI.
Para obtener más información, consulte Viewing Compliance History y Querying Compliance History.
Instantánea de configuración
Una instantánea de configuración es una colección de elementos de configuración de los recursos admitidos que existen en su cuenta. Esta instantánea de configuración es una imagen completa de los recursos que se registran y sus configuraciones. La instantánea de configuración puede ser una herramienta útil para validar la configuración. Por ejemplo, puede examinar la instantánea de configuración con regularidad para los recursos que se han configurado de forma incorrecta o que potencialmente no deban existir. La instantánea de configuración está disponible en varios formatos. Puede hacer que la instantánea de configuración se entregue al bucket de Amazon Simple Storage Service (Amazon S3) que especifique. Además, puede seleccionar un punto en el tiempo en la AWS Config consola y navegar por la instantánea de los elementos de configuración utilizando las relaciones entre los recursos.
Para obtener más información, consulte Delivering Configuration Snapshots, Viewing Configuration Snapshots y Example Configuration Snapshot.
Flujo de configuración
Un flujo de configuración es una lista que se actualiza automáticamente de todos los elementos de configuración de los recursos que AWS Config se están registrando. Cada vez que se crea, se modifica o se elimina un recurso, AWS Config crea un elemento de configuración y lo añade al flujo de configuración. El flujo de configuración funciona mediante el tema de Amazon Simple Notification Service (AmazonSNS) que elija. El flujo de configuración es útil para observar los cambios de configuración a medida que se producen, de modo que pueda detectar posibles problemas, generar notificaciones si se modifican determinados recursos o actualizar los sistemas externos que deben reflejar la configuración de sus AWS recursos.
AWS Config Reglas
Una AWS Config regla es una comprobación de conformidad que le ayuda a gestionar los ajustes de configuración ideales para AWS recursos específicos. AWS Config evalúa si las configuraciones de sus recursos cumplen con las normas pertinentes y muestra los resultados de conformidad.
Resultados de la evaluación
Hay cuatro posibles resultados de evaluación para una AWS Config regla.
| Resultado de la evaluación | Descripción |
|---|---|
COMPLIANT |
La regla cumple las condiciones de la verificación de conformidad. |
NON_COMPLIANT |
La regla no cumple las condiciones de la verificación de conformidad. |
ERROR |
Uno de los parámetros obligatorios u opcionales no es válido, no es del tipo correcto o tiene un formato incorrecto. |
NOT_APPLICABLE |
Se utiliza para filtrar los recursos a los que no se puede aplicar la lógica de la regla. Por ejemplo, la alb-desync-mode-checkregla solo comprueba los balanceadores de carga de aplicaciones e ignora los balanceadores de carga de red y de puerta de enlace. |
Tipos de regla
Existen dos tipos de reglas. Para obtener más información sobre la estructura de las definiciones y los metadatos de las reglas, consulte Componentes de una AWS Config regla.
| Tipo | Descripción | Más información |
|---|---|---|
| Reglas administradas | Reglas predefinidas y personalizables creadas por AWS Config. | Para obtener una lista de reglas administradas, consulte Lista de reglas AWS Config administradas. |
| Reglas personalizadas | Reglas que se crean desde cero. Hay dos formas de crear reglas AWS Config personalizadas: funciones Lambda (Guía para AWS Lambda desarrolladores) y Guard (Guard Repository) GitHub |
Para obtener más información, consulte Creación de reglas de políticas AWS Config personalizadas y Creación de reglas Lambda AWS Config personalizadas. |
Tipos de desencadenadores
Tras añadir una regla a su cuenta, AWS Config compara sus recursos con las condiciones de la regla. Tras esta evaluación inicial, AWS Config continúa realizando evaluaciones cada vez que se activa una. Los desencadenadores de evaluaciones están definidos como parte de la regla, y pueden incluir los siguientes tipos.
| Tipo de desencadenador | Descripción |
|---|---|
| Cambios de configuración | AWS Config ejecuta las evaluaciones de la regla cuando hay un recurso que coincide con el alcance de la regla y se produce un cambio en la configuración del recurso. La evaluación se ejecuta después de AWS Config enviar una notificación de cambio de elemento de configuración. Usted elige qué recursos activan la evaluación al definir el ámbito de la regla. El ámbito puede incluir lo siguiente:
AWS Config ejecuta la evaluación cuando detecta un cambio en un recurso que coincide con el alcance de la regla. Puede utilizar el ámbito para definir los recursos que activan evaluaciones. |
| Periódico | AWS Config ejecuta las evaluaciones de la regla con la frecuencia que usted elija; por ejemplo, cada 24 horas. |
| Híbrido | Algunas reglas tienen cambios de configuración y desencadenadores periódicos. Para estas reglas, AWS Config evalúa sus recursos cuando detecta un cambio de configuración y también con la frecuencia que especifique. |
Modos de evaluación
Hay dos modos de evaluación de las AWS Config reglas.
| Modo de evaluación | Descripción |
|---|---|
| Proactiva | Utilice una evaluación proactiva para evaluar los recursos antes de que se implementen. Esto le permite evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un AWS recurso, sería COMPLIANT oNON... COMPLIANT dado el conjunto de reglas proactivas que tiene en su cuenta en su región. Para obtener más información, consulte Modos de evaluación. Para obtener una lista de reglas administradas que admiten una evaluación proactiva, consulte la Lista de reglas AWS Config administradas por modo de evaluación. |
| Detective | Utilice la evaluación de detectives para evaluar los recursos que ya se han implementado. Esto le permite evaluar los ajustes de configuración de los recursos existentes. |
nota
Las reglas proactivas no corrigen los recursos que están marcados como NON _ COMPLIANT ni impiden que se desplieguen.
Paquetes de conformidad
Un paquete de conformidad es un conjunto de AWS Config reglas y acciones correctivas que se pueden implementar fácilmente como una sola entidad en una cuenta y una región o en toda la organización. AWS Organizations
Los paquetes de conformidad se crean mediante la creación de una YAML plantilla que contiene la lista de reglas AWS Config administradas o personalizadas y acciones de corrección. Puede implementar la plantilla utilizando la consola de AWS Config o la AWS CLI.
Para empezar rápidamente y evaluar su AWS entorno, utilice una de las plantillas de paquetes de conformidad de ejemplo. También puede crear un YAML archivo de paquete de conformidad desde cero basado en el paquete de conformidad personalizado. Un paquete de conformidad personalizado es un conjunto único de AWS Config reglas y acciones correctivas que se pueden implementar de forma conjunta en una cuenta y una AWS región, o en una organización. AWS Organizations
Las comprobaciones de procesos son un tipo de AWS Config regla que te permite realizar un seguimiento de las tareas externas e internas que requieren verificación como parte de los paquetes de conformidad. Estas comprobaciones se pueden agregar a un paquete de conformidad existente o a un paquete de conformidad nuevo. Puede realizar un seguimiento de todo el cumplimiento, incluidas las AWS Config duraciones y las comprobaciones manuales, en un solo lugar.
Acumulación de datos de varias cuentas y regiones
La agregación de datos multicuenta y multirregión AWS Config le permite agregar datos de AWS Config configuración y cumplimiento de varias cuentas y regiones en una sola cuenta. La agregación de datos multicuenta y multirregión es útil para que los administradores de TI centrales supervisen el cumplimiento de varias Cuentas de AWS cuentas de la empresa. El uso de agregadores no implica ningún costo adicional.
Cuenta de origen
Una cuenta de origen es la cuenta Cuenta de AWS desde la que desea agregar los datos de conformidad y configuración de los AWS Config recursos. Una cuenta de origen puede ser una cuenta individual o una organización de AWS Organizations. Puede proporcionar las cuentas de origen de forma individual o puede recuperarlas a través de ellas AWS Organizations.
Región de origen
Una región de origen es la AWS región desde la que desea agregar los datos AWS Config de configuración y conformidad.
Agregador
Un agregador recopila datos AWS Config de configuración y conformidad de varias regiones y cuentas de origen. Cree un agregador en la región en la que desee ver los datos agregados de AWS Config configuración y conformidad.
nota
Los agregadores proporcionan una vista de solo lectura de las cuentas y regiones de origen que el agregador está autorizado a ver; para ello, replican los datos de las cuentas de origen en la cuenta del agregador. Los agregadores no proporcionan acceso mutante ni a la cuenta ni a la región de origen. Por ejemplo, esto significa que no puede implementar reglas a través de un agregador ni enviar archivos de instantáneas a una cuenta o región de origen a través de un agregador.
Cuenta de agregador
Una cuenta de agregador es la cuenta en la que se crea un agregador.
Autorización
Como propietario de una cuenta de origen, la autorización se refiere a los permisos que concedes a una cuenta y región de agregador para recopilar tus datos de AWS Config configuración y conformidad. La autorización no es necesaria si se agregan cuentas de origen que forman parte de AWS Organizations.
