Componentes de una AWS Config regla - AWS Config
Cómo funcionan AWS Config las reglasTipos de desencadenadoresModos de evaluaciónMetadatos de las reglas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Componentes de una AWS Config regla

AWS Config las reglas evalúan los ajustes de configuración de sus AWS recursos. En esta página se describen los componentes de una regla.

Cómo funcionan AWS Config las reglas

Aunque AWS Config realiza un seguimiento continuo de los cambios de configuración que se producen en los recursos, comprueba si estos cambios infringen alguna de las condiciones de las reglas. Si un recurso no cumple con la regla, AWS Config marca el recurso y la regla como no conformes.

Hay cuatro posibles resultados de evaluación para una AWS Config regla.

Resultado de la evaluación Descripción
COMPLIANT La regla cumple las condiciones de la verificación de conformidad.
NON_COMPLIANT La regla no cumple las condiciones de la verificación de conformidad.
ERROR Uno de los parámetros obligatorios u opcionales no es válido, no es del tipo correcto o tiene un formato incorrecto.
NOT_APPLICABLE Se utiliza para filtrar los recursos a los que no se puede aplicar la lógica de la regla. Por ejemplo, la alb-desync-mode-checkregla solo comprueba los balanceadores de carga de aplicaciones e ignora los balanceadores de carga de red y de puerta de enlace.

Por ejemplo, cuando se crea un EC2 volumen, AWS Config puede evaluarlo según una regla que exige el cifrado de los volúmenes. Si el volumen no está cifrado, AWS Config marca el volumen y la regla como no conformes. AWS Config también puede comprobar todos sus recursos para conocer los requisitos de toda la cuenta. Por ejemplo, AWS Config puede comprobar si el número de EC2 volúmenes de una cuenta se mantiene dentro del total deseado o si una cuenta los utiliza AWS CloudTrail para el registro.

Tipos de desencadenadores

Tras añadir una regla a su cuenta, AWS Config compara sus recursos con las condiciones de la regla. Tras esta evaluación inicial, AWS Config continúa realizando evaluaciones cada vez que se activa una. Los desencadenadores de evaluaciones están definidos como parte de la regla, y pueden incluir los siguientes tipos.

Tipo de desencadenador Descripción
Cambios de configuración AWS Config ejecuta las evaluaciones de la regla cuando hay un recurso que coincide con el alcance de la regla y se produce un cambio en la configuración del recurso. La evaluación se ejecuta después de AWS Config enviar una notificación de cambio de elemento de configuración.

Usted elige qué recursos activan la evaluación al definir el ámbito de la regla. El ámbito puede incluir lo siguiente:

  • Uno o varios tipos de recursos

  • Una combinación de un tipo de recurso y un ID de recurso

  • Una combinación de una clave de etiqueta y un valor

  • Cuando se crea, se actualiza o se elimina cualquier recurso registrado

AWS Config ejecuta la evaluación cuando detecta un cambio en un recurso que coincide con el alcance de la regla. Puede utilizar el ámbito para definir los recursos que activan evaluaciones.
Periódico AWS Config ejecuta las evaluaciones de la regla con la frecuencia que usted elija; por ejemplo, cada 24 horas.
Híbrido Algunas reglas tienen cambios de configuración y desencadenadores periódicos. Para estas reglas, AWS Config evalúa sus recursos cuando detecta un cambio de configuración y también con la frecuencia que especifique.

Modos de evaluación

Hay dos modos de evaluación de las AWS Config reglas.

Modo de evaluación Descripción
Proactiva

Utilice una evaluación proactiva para evaluar los recursos antes de que se implementen. Esto le permite evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un AWS recurso, cumple o no lo cumple, dado el conjunto de reglas proactivas que tiene en su cuenta en su región.
Detective Utilice la evaluación de detectives para evaluar los recursos que ya se han implementado. Esto le permite evaluar los ajustes de configuración de los recursos existentes.
nota

Las reglas proactivas no corrigen los recursos que están marcados como NON_COMPLIANT ni impiden su implementación.

Para obtener más información, consulte Activar la evaluación proactiva de las AWS Config reglas.

Lista de reglas administradas con una evaluación proactiva

Para obtener una lista de las reglas administradas que admiten la evaluación proactiva, consulte la lista de reglas AWS Config administradas por modo de evaluación.

Lista de tipos de recursos compatibles para la evaluación proactiva

La siguiente es una lista de los tipos de recursos que se admiten para la evaluación proactiva:

  • AWS::AutoScaling::AutoScalingGroup

  • AWS::EC2::EIP

  • AWS::Elasticsearch::Domain

  • AWS::Lambda::Function

  • AWS::RDS::DBInstance

  • AWS::Redshift::Cluster

  • AWS::S3::Bucket

  • AWS::SNS::Topic

AWS Config Metadatos de reglas

AWS Config las reglas pueden contener los siguientes metadatos mutables:

defaultName

El defaultName es el nombre que recibirán las instancias de una regla de forma predeterminada.

description

La description de la regla proporciona el contexto de lo que evalúa la regla. La consola de AWS Config tiene un límite de 256 caracteres. Como práctica recomendada, la descripción de la regla debería empezar por “Comprueba si” e incluir una descripción del supuesto NON_COMPLIANT. Los nombres de los servicios deben escribirse completos empezando AWS por Amazon cuando se mencionen por primera vez en la descripción de la regla. Por ejemplo, AWS CloudTrail o Amazon CloudWatch en lugar de CloudTrail o CloudWatch para el primer uso. Los nombres de los servicios se pueden abreviar después.

scope

El scope determina los tipos de recursos a los que se dirige la regla. Para obtener una lista de tipos de recursos compatibles, consulte Tipos de recursos compatibles.

compulsoryInputParameterDetalles

Los compulsoryInputParameter detalles se utilizan para los parámetros necesarios para que una regla pueda evaluarse. Por ejemplo, la regla de access-keys-rotated administrada incluye maxAccessKeyAge como parámetro obligatorio. Si un parámetro es obligatorio, no se marcará como (opcional). Para cada parámetro, se debe especificar un tipo Los tipos pueden ser «String», «int», «double», «CSV», «boolean» y "StringMap».

optionalInputParameterDetalles

Los optionalInputParameter detalles se utilizan para los parámetros que son opcionales para que una regla realice su evaluación. Por ejemplo, la regla de elasticsearch-logs-to-cloudwatch administrada incluye logTypes como parámetro opcional. Para cada parámetro, se debe especificar un tipo El tipo puede ser «String», «int», «double», «CSV», «boolean» y "StringMap».

supportedEvaluationModes

supportedEvaluationModes Determina cuándo se evaluarán los recursos, ya sea antes de que se haya implementado un recurso o después de que se haya implementado.

DETECTIVE se utiliza para evaluar los recursos que ya se han implementado. Esto le permite evaluar los valores de configuración de los recursos existentes. PROACTIVE se utiliza para evaluar los recursos antes de que se hayan implementado.

Esto le permite evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un AWS recurso, cumple o no lo es, dado el conjunto de reglas proactivas que tiene en su cuenta en su región.

Puede especificar el supportedEvaluationModes para DETECTIVEPROACTIVE, o ambos DETECTIVE y. PROACTIVE Debe especificar un modo de evaluación; este campo no puede permanecer vacío.

nota

Las reglas proactivas no corrigen los recursos que están marcados como NON_COMPLIANT ni impiden su implementación.