Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Modo de evaluación y tipos de activadores para AWS Config Reglas
Cuando agregas una regla a tu cuenta, puedes especificar en qué momento del proceso de creación y administración de recursos deseas AWS Config para evaluar sus recursos. El proceso de creación y administración de los recursos se denomina aprovisionamiento de recursos. Usted elige el modo de evaluación para especificar en qué momento de este proceso desea AWS Config para evaluar sus recursos.
Según la regla, AWS Config puede evaluar las configuraciones de sus recursos antes de que se haya desplegado un recurso, después de que se haya desplegado un recurso o ambas cosas. Evaluar un recurso antes de implementarlo se denomina evaluación proactiva. Evaluar un recurso después de implementarlo se denomina evaluación de detectives.
También puede elegir el tipo de disparador para especificar la frecuencia con la que AWS Config las reglas evalúan sus recursos. Los recursos se pueden evaluar cuando hay cambios de configuración, de forma periódica o en ambos casos.
Tipos de disparadores
Después de añadir una regla a su cuenta, AWS Config compara tus recursos con las condiciones de la regla. Tras esta evaluación inicial, AWS Config continúa realizando evaluaciones cada vez que se activa una. Los disparadores de evaluaciones están definidos como parte de la regla y pueden incluir los siguientes tipos:
| Tipo de disparador | Descripción |
|---|---|
| Cambios de configuración | AWS Config ejecuta las evaluaciones de la regla cuando hay un recurso que coincide con el alcance de la regla y se produce un cambio en la configuración del recurso. La evaluación se ejecuta después AWS Config envía una notificación de cambio de elemento de configuración. Usted elige qué recursos activan la evaluación al definir el ámbito de la regla. El ámbito puede incluir lo siguiente:
AWS Config ejecuta la evaluación cuando detecta un cambio en un recurso que coincide con el alcance de la regla. Puede utilizar el ámbito para definir los recursos que activan evaluaciones. |
| Periódico | AWS Config ejecuta las evaluaciones de la regla con la frecuencia que usted elija; por ejemplo, cada 24 horas. |
| Híbrido | Algunas reglas tienen cambios de configuración y desencadenadores periódicos. Para estas reglas, AWS Config evalúa sus recursos cuando detecta un cambio de configuración y también con la frecuencia que especifique. |
Modos de evaluación
Hay dos modos de evaluación:
Utilice una evaluación proactiva para evaluar los recursos antes de que se implementen. Esto le permite evaluar si un conjunto de propiedades de recursos, si se utiliza para definir un AWS recurso, sería COMPLIANT o NON _ COMPLIANT dado el conjunto de reglas proactivas que tienes en tu cuenta en tu región.
El Esquema de tipos de recurso indica las propiedades de un recurso. Puedes encontrar el esquema de tipos de recurso en "AWS extensiones públicas "dentro del AWS CloudFormation registro o con el siguiente CLI comando:
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --typeRESOURCE
Para obtener más información, consulte Administrar extensiones mediante el AWS CloudFormation registro y AWS referencia a los tipos de recursos y propiedades en el AWS CloudFormation Guía del usuario.
nota
Las reglas proactivas no corrigen los recursos que están marcados como NON _ COMPLIANT ni impiden su despliegue.
Lista de reglas administradas con una evaluación proactiva
Para obtener una lista de reglas administradas que admiten la evaluación proactiva, consulte la Lista de AWS Config Reglas administradas por modo de evaluación.
Lista de tipos de recursos compatibles para la evaluación proactiva
La siguiente es una lista de los tipos de recursos que se admiten para la evaluación proactiva:
-
AWS::ApiGateway::Stage -
AWS::AutoScaling::AutoScalingGroup -
AWS::EC2::EIP -
AWS::EC2::Instance -
AWS::EC2::Subnet -
AWS::Elasticsearch::Domain -
AWS::Lambda::Function -
AWS::RDS::DBInstance -
AWS::Redshift::Cluster -
AWS::S3::Bucket -
AWS::SNS::Topic
Ejemplo de regla con evaluación proactiva
Ejemplo de regla proactiva
-
Añada el AWS Config regla administrada,
S3_BUCKET_LOGGING_ENABLED, a su cuenta para comprobar si sus buckets de S3 tienen el registro activado. -
Para el modo de evaluación, seleccione Activar la evaluación proactiva en la AWS Consola de administración, o
PROACTIVEEvaluationModesactívela en PutConfigRuleAPI.
Una vez que haya activado la evaluación proactiva, puede utilizar StartResourceEvaluationAPIy GetResourceEvaluationSummaryAPIpara comprobar si un depósito de su cuenta, que no se ha implementado en producción, no tiene habilitado el registro. Esto le permite probar las configuraciones de los recursos antes de implementarlos y volver a evaluar si desea implementar el recurso en producción.
Por ejemplo, comience con StartResourceEvaluation API:
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"MY_RESOURCE_ID", "ResourceType":"AWS::S3::Bucket", "ResourceConfiguration": "{\"BucketName\": \"amzn-s3-demo-bucket1\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"amzn-s3-demo-bucket2\",\"LogFilePrefix\":\"my-log\"}}", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
Debería recibir el ResourceEvaluationId en el resultado:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }
A continuación, utilice el ResourceEvaluationId junto con el GetResourceEvaluationSummary API para comprobar el resultado de la evaluación:
aws configservice get-resource-evaluation-summary --resource-evaluation-idMY_RESOURCE_EVALUATION_ID
Debería obtener un resultado similar al siguiente:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "{\"BucketName\": \"amzn-s3-demo-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"amzn-s3-demo-destination-bucket1\",\"LogFilePrefix\":\"my-log\"}}", } }
Para ver información adicional sobre el resultado de la evaluación, por ejemplo, qué regla marcó un recurso como NON _COMPLIANT, utilice la GetComplianceDetailsByResourceAPI.
Utilice la evaluación de detectives para evaluar los recursos que ya se han implementado. Esto le permite evaluar los ajustes de configuración de los recursos existentes.
Ejemplo de reglas con evaluación de detectives
Ejemplo de regla desencadenada por cambios
-
Se añade la regla administrada,
S3_BUCKET_LOGGING_ENABLED, en la cuenta para comprobar si los buckets de S3 tienen habilitado el registro. -
El tipo de activación de la regla son los cambios de configuración. AWS Config ejecuta las evaluaciones de la regla cuando se crea, modifica o elimina un bucket de S3.
-
Cuando se actualiza un bucket, el cambio de configuración inicia la regla y AWS Config evalúa si el depósito cumple con la regla.
Ejemplo de regla periódica
-
Se añade la regla administrada,
IAM_PASSWORD_POLICY, en la cuenta. La regla comprueba si la política de contraseñas de sus IAM usuarios cumple con la política de su cuenta, por ejemplo, si exige una longitud mínima o exige caracteres específicos. -
El tipo de activación de la regla es periódico. AWS Config ejecuta la evaluación de la regla con la frecuencia que usted especifique, por ejemplo, cada 24 horas.
-
Cada 24 horas, se inicia la regla y AWS Config evalúa si las contraseñas de sus IAM usuarios cumplen con la regla.
Ejemplo de regla híbrida con cambio de configuración y desencadenadores periódicos
-
Cree una regla personalizada que evalúe si AWS CloudTrail Las rutas de tu cuenta están activadas y se registran en todas las regiones.
-
¿Quieres AWS Config realizar evaluaciones de la regla cada vez que se cree, actualice o elimine una ruta. También quieres AWS Config ejecutar la regla cada 12 horas.
-
Para el tipo de desencadenador, escribe la lógica tanto para los cambios de configuración como para los desencadenadores periódicos. Para obtener más información, consulte Componentes de un AWS Config Regla: reglas de escritura.
Evaluaciones de regla cuando el registrador de configuración está desactivado
Si apaga la grabadora de configuración, AWS Config deja de registrar los cambios en las configuraciones de los recursos. Esto afecta a las evaluaciones de reglas de los siguientes modos:
-
Las reglas periódicas siguen ejecutando evaluaciones con la frecuencia especificada.
-
Las reglas desencadenadas por cambios no ejecutan evaluaciones.
-
Las reglas híbridas ejecutan las evaluaciones solo con la frecuencia especificada. Las reglas no ejecutan evaluaciones para cambios de configuración.
-
Si ejecuta una evaluación bajo demanda para una regla con un disparador de cambio de configuración, la regla evalúa el último estado conocido del recurso, que es el último elemento de configuración registrado.
importante
Evite lo innecesario AWS Config Evaluaciones
Las reglas periódicas y las reglas híbridas seguirán ejecutándose a menos que se eliminen, incluso si ha desactivado el registrador de configuración. Estas reglas solo evaluarán los elementos de configuración que se hayan registrado antes de que se desactivara el registrador de configuración, lo que significa que reproducirán los mismos resultados de la evaluación sin información nueva. Elimine las reglas periódicas y las reglas híbridas al desactivar el registrador de configuración para evitar evaluaciones innecesarias de actividad y reglas.
