Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Config Empezando por el AWS CLI
Para empezar AWS Config con AWS CLI, utilice los start-configuration-recordercomandos put-configuration-recorderput-delivery-channel, y, de la siguiente manera:
El comando
put-configuration-recorder
crea un nuevo registrador de configuración para registrar las configuraciones de recursos especificadas.El
put-delivery-channel
comando crea un objeto de canal de entrega para entregar la información de configuración a un bucket y un SNS tema de S3.Una vez creado un canal de entrega,
start-configuration-recorder
comienza a registrar las configuraciones de recursos seleccionadas, que puede ver en su cuenta de AWS .
Puede especificar el nombre de la grabadora y el nombre de recurso de Amazon (ARN) de la IAM función que asume AWS Config y utiliza la grabadora de configuración. AWS Config asigna automáticamente el nombre «predeterminado» al crear el grabador de configuración. No puede cambiar el nombre del registrador de configuración después de crearlo. Para cambiar el nombre del registrador de configuración, debe eliminarlo y crear un nuevo registrador de configuración con un nombre nuevo.
AWS Config Para configurar la agregación de datos multicuenta y multirregión con el AWS CLI, consulte Configuración de un agregador mediante la AWS interfaz de línea de comandos. Debe crear un grabador de configuración independiente para cada región en la Cuenta de AWS que desee registrar los elementos de configuración.
Temas
Consideraciones
Requisitos previos
Antes de AWS Config configurarlo AWS CLI, debe crear un bucket de S3, un SNS tema y un IAM rol con políticas adjuntas como requisitos previos. A continuación, puede usar el AWS CLI para especificar el segmento, el tema y el rol. AWS Config Para configurar sus requisitos previos AWS Config, consulte Requisitos previos.
Un grabador de configuración por región y por cuenta
Solo puede tener un canal de grabadora de configuración Región de AWS por cada canal Cuenta de AWS, y es necesario utilizar la grabadora de configuración AWS Config.
Un canal de entrega por región y por cuenta
Solo puede tener un canal de entrega por Región de AWS Cuenta de AWS región y es obligatorio utilizarlo AWS Config.
Paso 1: ejecuta el put-configuration-recorder comando
El comando put-configuration-recorder
debería ser igual al siguiente ejemplo.
$ aws configservice put-configuration-recorder \ --configuration-recorder
file://configurationRecorder.json
\ --recording-groupfile://recordingGroup.json
Este comando usa los ---recording-group
campos --configuration-recorder
y.
nota
Grupo de grabación y grabador de configuración
El campo --recording-group
especifica los tipos de recursos que se registran.
El --configuration-recorder
campo especifica name
y roleArn
también la frecuencia de grabación por defecto de la grabadora de configuración (recordingMode
). También puede usar este campo para anular la frecuencia de registro de tipos de recursos específicos.
put-configuration-recorder
usa las opciones siguientes para el parámetro de --recording-group
:
-
allSupported=true
— AWS Config registra los cambios de configuración de todos los tipos de recursos compatibles, excepto los tipos IAM de recursos globales. Cuando AWS Config agrega soporte para un nuevo tipo de recurso, comienza a grabar AWS Config automáticamente los recursos de ese tipo. -
includeGlobalResourceTypes=true
— Esta opción es un paquete que solo se aplica a los tipos de IAM recursos globales: IAM usuarios, grupos, roles y políticas administradas por los clientes. Estos tipos IAM de recursos globales solo se pueden registrar AWS Config en las regiones en las que AWS Config estaban disponibles antes de febrero de 2022. No se pueden registrar los tipos de IAM recursos globales en las regiones admitidas AWS Config después de febrero de 2022. Para ver una lista de esas regiones, consulta AWS Recursos de grabación | Recursos globales.importante
Los clústeres globales de Aurora se registran en todas las regiones habilitadas
El tipo de
AWS::RDS::GlobalCluster
recurso se registrará en todas AWS Config las regiones compatibles en las que la grabadora de configuración esté habilitada, incluso siincludeGlobalResourceTypes
está activadafalse
. LaincludeGlobalResourceTypes
opción es un paquete que solo se aplica a IAM los usuarios, los grupos, las funciones y las políticas administradas por los clientes.Si no desea grabar
AWS::RDS::GlobalCluster
en todas las regiones habilitadas, utilice una de las siguientes estrategias de registro:Registrar todos los tipos de recurso actuales y futuros con exclusiones (
EXCLUSION_BY_RESOURCE_TYPES
) oRegistrar los tipos de recursos específicos (
INCLUSION_BY_RESOURCE_TYPES
).
Para obtener más información, consulte Selección de los recursos que se registran.
importante
includeGlobalResourceTipos y estrategia de registro de exclusiones
El
includeGlobalResourceTypes
campo no tiene ningún impacto en la estrategiaEXCLUSION_BY_RESOURCE_TYPES
de registro. Esto significa que los tipos de IAM recursos globales (IAMusuarios, grupos, funciones y políticas gestionadas por los clientes) no se añadirán automáticamente como exclusionesexclusionByResourceTypes
cuandoincludeGlobalResourceTypes
estén configuradas.false
El
includeGlobalResourceTypes
campo solo debe usarse para modificarlo, ya que de forma predeterminada se registran losAllSupported
cambios de configuración de todos los tipos de recursos admitidos, excepto los tipos de IAM recursos globales.AllSupported
Para incluir los tipos IAM de recursos globales cuandoAllSupported
esté establecido entrue
, asegúrese deincludeGlobalResourceTypes
configurarlo entrue
.Para excluir los tipos de IAM recursos globales de la estrategia de
EXCLUSION_BY_RESOURCE_TYPES
grabación, debe añadirlos manualmente alresourceTypes
campo deexclusionByResourceTypes
.nota
Campos obligatorios y opcionales
Para poder establecer
includeGlobalResourceTypes
comotrue
, defina antes el campoallSupported
comotrue
.Si lo desea, también puede establecer el campo
useOnly
deRecordingStrategy
comoALL_SUPPORTED_RESOURCE_TYPES
.nota
Anulación de campos
Si establece
includeGlobalResourceTypes
una lista defalse
los tipos de IAM recursos globales en elresourceTypes
campo de RecordingGroup, AWS Config seguirá registrando los cambios de configuración para esos tipos de recursos especificados, independientemente de si establece elincludeGlobalResourceTypes
campo en falso.Si no desea registrar los cambios de configuración en los tipos de IAM recursos globales (IAMusuarios, grupos, roles y políticas administradas por los clientes), asegúrese de no incluirlos en el
resourceTypes
campo además de establecer elincludeGlobalResourceTypes
campo en falso. -
recordingStrategy
: especifica la estrategia de registro para el registrador de configuración. El archivorecordingGroup.json
especifica qué tipos de recursos registrará AWS Config :-
Si establece el
useOnly
campo enALL_SUPPORTED_RESOURCE_TYPES
, AWS Config registra RecordingStrategylos cambios de configuración de todos los tipos de recursos admitidos, excepto los tipos de IAM recursos globales. Si lo desea, puede establecer elallSupported
campo RecordingGroupentrue
. Cuando AWS Config agrega soporte para un nuevo tipo de recurso, comienza a grabar AWS Config automáticamente los recursos de ese tipo. -
Si establece el
useOnly
campo enINCLUSION_BY_RESOURCE_TYPES
, AWS Config registra los cambios de RecordingStrategyconfiguración solo para los tipos de recursos que especifique en elresourceTypes
campo de RecordingGroup. Si establece el
useOnly
campo enEXCLUSION_BY_RESOURCE_TYPES
, AWS Config registra los cambios de RecordingStrategyconfiguración de todos los tipos de recursos admitidos, excepto los tipos de recursos que especifique para que no se registren en elresourceTypes
campo de ExclusionByResourceTypes.
nota
Campos obligatorios y opcionales
El campo
recordingStrategy
es opcional si se establece el campoallSupported
de--recording-group
entrue
.El campo
recordingStrategy
es opcional cuando se enumeran los tipos de recursos en el camporesourceTypes
de--recording-group
.El campo
recordingStrategy
es obligatorio si enumera los tipos de recursos que se van a excluir del registro en el camporesourceTypes
deexclusionByResourceTypes
.nota
Anulación de campos
Si elige
EXCLUSION_BY_RESOURCE_TYPES
para la estrategia de registro, el campoexclusionByResourceTypes
anulará las demás propiedades de la solicitud.Por ejemplo, incluso si se establece
includeGlobalResourceTypes
en false, los tipos de IAM recursos globales se seguirán registrando automáticamente en esta opción, a menos que dichos tipos de recursos se indiquen específicamente como exenciones en elresourceTypes
campo deexclusionByResourceTypes
.nota
Los tipos de recurso globales y la estrategia de registro de la exclusión de recursos
De forma predeterminada, si elige la estrategia de
EXCLUSION_BY_RESOURCE_TYPES
registro, cuando AWS Config añada compatibilidad con un nuevo tipo de recurso en la región en la que haya configurado la grabadora de configuración, incluidos los tipos de recursos globales, AWS Config empezará a grabar los recursos de ese tipo automáticamente.A menos que se indique específicamente como exclusiones, se
AWS::RDS::GlobalCluster
grabará automáticamente en todas AWS Config las regiones compatibles en las que la grabadora de configuración esté habilitada.IAMlos usuarios, los grupos, las funciones y las políticas gestionadas por los clientes se registrarán en la región en la que haya configurado el registrador de configuración, si es una región en la que AWS Config estaba disponible antes de febrero de 2022. No se pueden registrar los tipos de IAM recursos globales en las regiones admitidas AWS Config después de febrero de 2022. Para ver una lista de esas regiones, consulta AWS Recursos de grabación | Recursos globales.
A continuación se muestra la sintaxis de la solicitud del
recordingGroup.json
.{ "allSupported":
boolean
, "exclusionByResourceTypes": { "resourceTypes": [Comma-separated list of resource types to exclude
] }, "includeGlobalResourceTypes":boolean
, "recordingStrategy": { "useOnly": "Recording strategy for the configuration recorder
" }, "resourceTypes": [Comma-separated list of resource types to include
] }nota
Políticas de autorización para AWS Organizations Can Prevent Acceses
Si utiliza un IAM rol preexistente, asegúrese de que no haya ninguna política de autorización AWS Organizations que AWS Config impida tener permiso para registrar sus recursos. Para obtener más información sobre las políticas de autorización AWS Organizations, consulte Administración de políticas AWS Organizations en la Guía del AWS Organizations usuario.
Mantenga los permisos mínimos al reutilizar un rol IAM
Si usa un AWS servicio que usa AWS Config, como AWS Security Hub o AWS Control Tower, y ya se ha creado un IAM rol, asegúrese de que el IAM rol que usa al configurarlo AWS Config mantenga los mismos permisos mínimos que el rol IAM preexistente. Debe hacerlo para asegurarse de que el otro AWS servicio siga ejecutándose según lo previsto.
Por ejemplo, si AWS Control Tower tiene un IAM rol que AWS Config permite leer objetos de S3, asegúrese de que se concedan los mismos permisos al IAM rol que utilizó al configurarlo AWS Config. De lo contrario, podría interferir con el AWS Control Tower funcionamiento.
nota
Alto número de AWS Config evaluaciones
Es posible que notes un aumento de la actividad en tu cuenta durante el primer mes de grabación con AWS Config en comparación con los meses siguientes. Durante el proceso de arranque inicial, AWS Config realiza evaluaciones de todos los recursos de tu cuenta que hayas seleccionado para AWS Config registrarlos.
Si ejecuta cargas de trabajo efímeras, es posible que vea un aumento de la actividad debido a que registra los cambios de AWS Config configuración asociados con la creación y la eliminación de estos recursos temporales. Una carga de trabajo efímera es el uso temporal de recursos informáticos que se cargan y ejecutan cuando es necesario. Los ejemplos incluyen Amazon Elastic Compute Cloud (AmazonEC2) Spot Instances, Amazon EMR Jobs y AWS Auto Scaling. Si quiere evitar el aumento de actividad derivado de la ejecución de cargas de trabajo efímeras, puede configurar el registrador de configuración para que no se registren estos tipos de recursos o ejecutar estos tipos de cargas de trabajo en una cuenta independiente y AWS Config desactivarla para evitar aumentar el registro de la configuración y las evaluaciones de las reglas.
nota
Disponibilidad por región
Antes de especificar el tipo de recurso del que se va AWS Config a realizar el seguimiento, compruebe la cobertura de los recursos por región y la disponibilidad para comprobar si el tipo de recurso es compatible con la AWS región en la que va a realizar la configuración. AWS Config Si al menos una región admite un tipo de recurso, puede habilitar el registro de ese tipo de recurso en todas las regiones admitidas AWS Config, incluso si el tipo de recurso especificado no es compatible con la AWS región en la que está configurando AWS Config. AWS Config
-
put-configuration-recorder
utiliza los siguientes campos para el parámetro --configuration-recorder
:
name
— El nombre de la grabadora de configuración. AWS Config asigna automáticamente el nombre «predeterminado» al crear la grabadora de configuración.roleARN
— Nombre del recurso de Amazon (ARN) del IAM rol asumido AWS Config y utilizado por el grabador de configuración.recordingMode
— Especifica la frecuencia de grabación predeterminada que se AWS Config utiliza para registrar los cambios de configuración. AWS Config admite la grabación continua y la grabación diaria. El registro continuo permite registrar los cambios de configuración de forma continua siempre que se produzca un cambio. El registro diario permite recibir un elemento de configuración (CI) que representa el estado más reciente de sus recursos durante el último período de 24 horas, solo si es diferente del CI anterior registrado.-
recordingFrequency
— La frecuencia de grabación predeterminada que se AWS Config utiliza para registrar los cambios de configuración.nota
AWS Firewall Manager depende de la grabación continua para monitorizar sus recursos. Si utiliza Firewall Manager, se recomienda configurar la frecuencia de registro en Continua.
-
recordingModeOverrides
: este campo le permite especificar las anulaciones para el modo de registro. Es una matriz de objetos derecordingModeOverride
. Cada objetorecordingModeOverride
de la matrizrecordingModeOverrides
consta de tres campos:description
: la descripción que proporcione para la anulación.recordingFrequency
: la frecuencia de registro que se aplicará a todos los tipos de recursos especificados en la anulación.resourceTypes
— Una lista separada por comas que especifica qué tipos de recursos se AWS Config incluyen en la anulación.
-
nota
Campos obligatorios y opcionales
El campo recordingMode
de put-configuration-recorder
es opcional. De forma predeterminada, la frecuencia de registro del registro de configuración está definida como Registro continuo.
nota
Límites
No se admite la grabación diaria para los siguientes tipos de recursos:
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
Para la estrategia de registro Registrar todos los tipos de recursos compatibles actuales y futuros (ALL_SUPPORTED_RESOURCE_TYPES
), estos tipos de recursos se definirán con Registro continuo.
El configurationRecorder.json
archivo especifica name
y roleArn
también la frecuencia de grabación predeterminada para la grabadora de configuración (). recordingMode
También puede usar este campo para anular la frecuencia de registro de tipos de recursos específicos.
{ "name": "default", "roleARN": "
arn:aws:iam::123456789012:role/config-role
", "recordingMode": { "recordingFrequency":CONTINUOUS
orDAILY
, "recordingModeOverrides": [ { "description": "Description you provide for the override
", "recordingFrequency":CONTINUOUS
orDAILY
, "resourceTypes": [Comma-separated list of resource types to include in the override
] } ] } }
Paso 2: ejecuta el put-delivery-channel comando
En los siguientes ejemplos de código, se muestra cómo utilizar PutDeliveryChannel
.
Paso 3: ejecuta el comando start-configuration-recorder
Para terminar de encenderlo AWS Config, usa el start-configuration-recorder
comando.
$ aws configservice start-configuration-recorder --configuration-recorder-name
configRecorderName