Evaluación de los recursos con reglas de AWS Config - AWS Config

Evaluación de los recursos con reglas de AWS Config

Al crear reglas personalizadas o utilizar las reglas administradas, AWS Config evalúa los recursos con respecto a esas reglas. Puede realizar evaluaciones bajo demanda de los recursos con respecto a sus reglas. Por ejemplo, esto es útil cuando crea una regla personalizada y desea comprobar que AWS Config está evaluando correctamente los recursos o para identificar si existe algún problema con la lógica de la evaluación de la función AWS Lambda.

Ejemplo

  1. Puede crear una regla personalizada que evalúe si los usuarios de IAM tienen claves de acceso activas.

  2. AWS Config evalúa los recursos con respecto a la regla personalizada.

  3. Hay un usuario de IAM que no tiene una clave de acceso activa en su cuenta. La regla no marca correctamente este recurso como NON_COMPLIANT.

  4. Puede corregir la regla y empezar de nuevo la evaluación.

  5. Dado que ha corregido la regla, la regla evalúa correctamente los recursos y marca el recurso de usuario de IAM como NON_COMPLIANT.

Cuando añade una regla a su cuenta, puede especificar en qué momento del proceso de creación y administración de los recursos quiere que AWS Config evalúe sus recursos. El proceso de creación y administración de los recursos se denomina aprovisionamiento de recursos. Usted elige el modo de evaluación para especificar en qué momento de este proceso quiere que AWS Config evalúe sus recursos.

Según la regla, AWS Config puede evaluar las configuraciones de los recursos antes de que se haya implementado un recurso, después de que se haya implementado o ambas cosas. Evaluar un recurso antes de implementarlo se denomina evaluación proactiva. Evaluar un recurso después de implementarlo se denomina evaluación de detectives.

Utilice una evaluación proactiva para evaluar los recursos antes de que se implementen. De este modo, podrá evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un recurso de AWS, es COMPLIANT o NON_COMPLIANT dado el conjunto de reglas proactivas que tiene en su cuenta en su región.

El Esquema de tipos de recurso indica las propiedades de un recurso. El esquema de tipos de recurso está en extensiones de AWS públicas en el registro de AWS CloudFormation o con el siguiente comando de la CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obtener más información, consulte Administración de extensiones a través del registro de AWS CloudFormation y la Referencia de tipos de recursos y propiedades de AWS en la Guía del usuario de AWS CloudFormation.

nota

Las reglas proactivas no corrigen los recursos que están marcados como NON_COMPLIANT ni impiden su implementación.

Evaluación de sus recursos

Para activar una evaluación proactiva

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS Config en https://console.aws.amazon.com/config/.

  2. En el menú de la AWS Management Console, compruebe que el selector de región esté establecido en una región que admita reglas de AWS Config. Para ver una lista de las regiones de AWS admitidas, consulte AWS Config Regions and Endpoints en la Referencia general de Amazon Web Services.

  3. En el panel de navegación izquierdo, seleccione Rules (Reglas). Para obtener una lista de las reglas administradas que admiten la evaluación proactiva, consulte Lista de reglas de AWS Config administradas por modo de evaluación.

  4. Elija una regla y, a continuación, elija Editar la regla para la regla que desee actualizar.

  5. En Modo de evaluación, seleccione Active la evaluación proactiva para ejecutar evaluaciones de los valores de configuración de sus recursos antes de que se implementen.

  6. Seleccione Guardar.

nota

También puede activar la evaluación proactiva con el comando put-config-rule y activando PROACTIVE para EvaluationModes o utilizando la acción PutConfigrule y habilitando PROACTIVE para EvaluationModes.

Después de activar la evaluación proactiva, puede utilizar la API StartResourceEvaluation y la API GetResourceEvaluationSummary para comprobar si los recursos que especifique en estos comandos se marcarán como NON_COMPLIANT según las reglas proactivas de la cuenta en su región.

Por ejemplo, comience con la API StartResourceEvaluation:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Debería recibir el ResourceEvaluationId en el resultado:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

A continuación, utilice ResourceEvaluationId con la API getResourceEvaluationSummary para comprobar el resultado de la evaluación:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Debería obtener un resultado similar al siguiente:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver información adicional sobre el resultado de la evaluación, por ejemplo, qué regla ha marcado un recurso como NON_COMPLIANT, use la API GetComplianceDetailsByResource.

Utilice la evaluación de detectives para evaluar los recursos que ya se han implementado. Esto le permite evaluar los ajustes de configuración de los recursos existentes.

Evaluación de sus recursos (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS Config en https://console.aws.amazon.com/config/.

  2. En el menú de la AWS Management Console, compruebe que el selector de región esté establecido en una región que admita reglas de AWS Config. Para ver una lista de las regiones admitidas, consulte Regiones y puntos de enlace de AWS Config en la Referencia general de Amazon Web Services.

  3. En el panel de navegación, seleccione Reglas. La página Reglas muestra el nombre, la acción correctiva asociada y el estado de conformidad de cada regla.

  4. Seleccione una regla de la tabla.

  5. En la lista desplegable Acciones, seleccione Volver a evaluar.

  6. AWS Config comienza a evaluar los recursos con respecto a la regla.

nota

Puede volver a evaluar una regla una vez por minuto. Debe esperar a que AWS Config termine la evaluación de la regla antes de empezar a otra evaluación. No puede ejecutar una evaluación si la regla se está actualizando al mismo tiempo o si la regla se está eliminando.

Evaluación de sus recursos (CLI)

  • Utilice el comando start-config-rules-evaluation:

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName

    AWS Config comienza evaluar las configuraciones de los recursos registrados con respecto a la regla. También puede especificar varias reglas en su solicitud:

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName1 ConfigRuleName2 ConfigRuleName3

Evaluación de sus recursos (API)

Utilice la acción StartConfigRulesEvaluation.