AWS Config Empezando por el AWS CLI - AWS Config

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Config Empezando por el AWS CLI

Para empezar AWS Config con AWS CLI, utilice los start-configuration-recordercomandos put-configuration-recorderput-delivery-channel, y, de la siguiente manera:

  • El comando put-configuration-recorder crea un nuevo registrador de configuración para registrar las configuraciones de recursos especificadas.

  • El put-delivery-channel comando crea un objeto de canal de entrega para entregar la información de configuración a un bucket y un SNS tema de S3.

  • Una vez creado un canal de entrega, start-configuration-recorder comienza a registrar las configuraciones de recursos seleccionadas, que puede ver en su cuenta de AWS .

Puede especificar el nombre de la grabadora y el nombre de recurso de Amazon (ARN) de la IAM función que asume AWS Config y utiliza la grabadora de configuración. AWS Config asigna automáticamente el nombre «predeterminado» al crear el grabador de configuración. No puede cambiar el nombre del registrador de configuración después de crearlo. Para cambiar el nombre del registrador de configuración, debe eliminarlo y crear un nuevo registrador de configuración con un nombre nuevo.

AWS Config Para configurar la agregación de datos multicuenta y multirregión con el AWS CLI, consulte Configuración de un agregador mediante la AWS interfaz de línea de comandos. Debe crear un grabador de configuración independiente para cada región en la Cuenta de AWS que desee registrar los elementos de configuración.

Consideraciones

Requisitos previos 

Antes de AWS Config configurarlo AWS CLI, debe crear un bucket de S3, un SNS tema y un IAM rol con políticas adjuntas como requisitos previos. A continuación, puede usar el AWS CLI para especificar el segmento, el tema y el rol. AWS Config Para configurar sus requisitos previos AWS Config, consulte Requisitos previos.

Un grabador de configuración por región y por cuenta

Solo puede tener un canal de grabadora de configuración Región de AWS por cada canal Cuenta de AWS, y es necesario utilizar la grabadora de configuración AWS Config.

Un canal de entrega por región y por cuenta

Solo puede tener un canal de entrega por Región de AWS Cuenta de AWS región y es obligatorio utilizarlo AWS Config.

Paso 1: ejecuta el put-configuration-recorder comando

El comando put-configuration-recorder debería ser igual al siguiente ejemplo.

$ aws configservice put-configuration-recorder \ --configuration-recorder file://configurationRecorder.json \ --recording-group file://recordingGroup.json

Este comando usa los ---recording-group campos --configuration-recorder y.

nota

Grupo de grabación y grabador de configuración

El campo --recording-group especifica los tipos de recursos que se registran.

El --configuration-recorder campo especifica name y roleArn también la frecuencia de grabación por defecto de la grabadora de configuración (recordingMode). También puede usar este campo para anular la frecuencia de registro de tipos de recursos específicos.

put-configuration-recorder usa las opciones siguientes para el parámetro de --recording-group:

  • allSupported=true— AWS Config registra los cambios de configuración de todos los tipos de recursos compatibles, excepto los tipos IAM de recursos globales. Cuando AWS Config agrega soporte para un nuevo tipo de recurso, comienza a grabar AWS Config automáticamente los recursos de ese tipo.

  • includeGlobalResourceTypes=true— Esta opción es un paquete que solo se aplica a los tipos de IAM recursos globales: IAM usuarios, grupos, roles y políticas administradas por los clientes. Estos tipos IAM de recursos globales solo se pueden registrar AWS Config en las regiones en las que AWS Config estaban disponibles antes de febrero de 2022. No se pueden registrar los tipos de IAM recursos globales en las regiones admitidas AWS Config después de febrero de 2022. Para ver una lista de esas regiones, consulta AWS Recursos de grabación | Recursos globales.

    importante

    Los clústeres globales de Aurora se registran en todas las regiones habilitadas

    El tipo de AWS::RDS::GlobalCluster recurso se registrará en todas AWS Config las regiones compatibles en las que la grabadora de configuración esté habilitada, incluso si includeGlobalResourceTypes está activadafalse. La includeGlobalResourceTypes opción es un paquete que solo se aplica a IAM los usuarios, los grupos, las funciones y las políticas administradas por los clientes.

    Si no desea grabar AWS::RDS::GlobalCluster en todas las regiones habilitadas, utilice una de las siguientes estrategias de registro:

    1. Registrar todos los tipos de recurso actuales y futuros con exclusiones (EXCLUSION_BY_RESOURCE_TYPES) o

    2. Registrar los tipos de recursos específicos (INCLUSION_BY_RESOURCE_TYPES).

    Para obtener más información, consulte Selección de los recursos que se registran.

    importante

    includeGlobalResourceTipos y estrategia de registro de exclusiones

    El includeGlobalResourceTypes campo no tiene ningún impacto en la estrategia EXCLUSION_BY_RESOURCE_TYPES de registro. Esto significa que los tipos de IAM recursos globales (IAMusuarios, grupos, funciones y políticas gestionadas por los clientes) no se añadirán automáticamente como exclusiones exclusionByResourceTypes cuando includeGlobalResourceTypes estén configuradas. false

    El includeGlobalResourceTypes campo solo debe usarse para modificarlo, ya que de forma predeterminada se registran los AllSupported cambios de configuración de todos los tipos de recursos admitidos, excepto los tipos de IAM recursos globales. AllSupported Para incluir los tipos IAM de recursos globales cuando AllSupported esté establecido entrue, asegúrese de includeGlobalResourceTypes configurarlo entrue.

    Para excluir los tipos de IAM recursos globales de la estrategia de EXCLUSION_BY_RESOURCE_TYPES grabación, debe añadirlos manualmente al resourceTypes campo deexclusionByResourceTypes.

    nota

    Campos obligatorios y opcionales

    Para poder establecer includeGlobalResourceTypes como true, defina antes el campo allSupported como true.

    Si lo desea, también puede establecer el campo useOnly de RecordingStrategy como ALL_SUPPORTED_RESOURCE_TYPES.

    nota

    Anulación de campos

    Si establece includeGlobalResourceTypes una lista de false los tipos de IAM recursos globales en el resourceTypes campo de RecordingGroup, AWS Config seguirá registrando los cambios de configuración para esos tipos de recursos especificados, independientemente de si establece el includeGlobalResourceTypes campo en falso.

    Si no desea registrar los cambios de configuración en los tipos de IAM recursos globales (IAMusuarios, grupos, roles y políticas administradas por los clientes), asegúrese de no incluirlos en el resourceTypes campo además de establecer el includeGlobalResourceTypes campo en falso.

  • recordingStrategy: especifica la estrategia de registro para el registrador de configuración. El archivo recordingGroup.json especifica qué tipos de recursos registrará AWS Config :

    • Si establece el useOnly campo enALL_SUPPORTED_RESOURCE_TYPES, AWS Config registra RecordingStrategylos cambios de configuración de todos los tipos de recursos admitidos, excepto los tipos de IAM recursos globales. Si lo desea, puede establecer el allSupported campo RecordingGroupentrue. Cuando AWS Config agrega soporte para un nuevo tipo de recurso, comienza a grabar AWS Config automáticamente los recursos de ese tipo.

    • Si establece el useOnly campo enINCLUSION_BY_RESOURCE_TYPES, AWS Config registra los cambios de RecordingStrategyconfiguración solo para los tipos de recursos que especifique en el resourceTypes campo de RecordingGroup.

    • Si establece el useOnly campo enEXCLUSION_BY_RESOURCE_TYPES, AWS Config registra los cambios de RecordingStrategyconfiguración de todos los tipos de recursos admitidos, excepto los tipos de recursos que especifique para que no se registren en el resourceTypes campo de ExclusionByResourceTypes.

    nota

    Campos obligatorios y opcionales

    El campo recordingStrategy es opcional si se establece el campo allSupported de --recording-group en true.

    El campo recordingStrategy es opcional cuando se enumeran los tipos de recursos en el campo resourceTypes de --recording-group.

    El campo recordingStrategy es obligatorio si enumera los tipos de recursos que se van a excluir del registro en el campo resourceTypes de exclusionByResourceTypes.

    nota

    Anulación de campos

    Si elige EXCLUSION_BY_RESOURCE_TYPES para la estrategia de registro, el campo exclusionByResourceTypes anulará las demás propiedades de la solicitud.

    Por ejemplo, incluso si se establece includeGlobalResourceTypes en false, los tipos de IAM recursos globales se seguirán registrando automáticamente en esta opción, a menos que dichos tipos de recursos se indiquen específicamente como exenciones en el resourceTypes campo deexclusionByResourceTypes.

    nota

    Los tipos de recurso globales y la estrategia de registro de la exclusión de recursos

    De forma predeterminada, si elige la estrategia de EXCLUSION_BY_RESOURCE_TYPES registro, cuando AWS Config añada compatibilidad con un nuevo tipo de recurso en la región en la que haya configurado la grabadora de configuración, incluidos los tipos de recursos globales, AWS Config empezará a grabar los recursos de ese tipo automáticamente.

    A menos que se indique específicamente como exclusiones, se AWS::RDS::GlobalCluster grabará automáticamente en todas AWS Config las regiones compatibles en las que la grabadora de configuración esté habilitada.

    IAMlos usuarios, los grupos, las funciones y las políticas gestionadas por los clientes se registrarán en la región en la que haya configurado el registrador de configuración, si es una región en la que AWS Config estaba disponible antes de febrero de 2022. No se pueden registrar los tipos de IAM recursos globales en las regiones admitidas AWS Config después de febrero de 2022. Para ver una lista de esas regiones, consulta AWS Recursos de grabación | Recursos globales.

    A continuación se muestra la sintaxis de la solicitud del recordingGroup.json.

    { "allSupported": boolean, "exclusionByResourceTypes": { "resourceTypes": [ Comma-separated list of resource types to exclude ] }, "includeGlobalResourceTypes": boolean, "recordingStrategy": { "useOnly": "Recording strategy for the configuration recorder" }, "resourceTypes": [ Comma-separated list of resource types to include] }
    nota

    Políticas de autorización para AWS Organizations Can Prevent Acceses

    Si utiliza un IAM rol preexistente, asegúrese de que no haya ninguna política de autorización AWS Organizations que AWS Config impida tener permiso para registrar sus recursos. Para obtener más información sobre las políticas de autorización AWS Organizations, consulte Administración de políticas AWS Organizations en la Guía del AWS Organizations usuario.

    Mantenga los permisos mínimos al reutilizar un rol IAM

    Si usa un AWS servicio que usa AWS Config, como AWS Security Hub o AWS Control Tower, y ya se ha creado un IAM rol, asegúrese de que el IAM rol que usa al configurarlo AWS Config mantenga los mismos permisos mínimos que el rol IAM preexistente. Debe hacerlo para asegurarse de que el otro AWS servicio siga ejecutándose según lo previsto.

    Por ejemplo, si AWS Control Tower tiene un IAM rol que AWS Config permite leer objetos de S3, asegúrese de que se concedan los mismos permisos al IAM rol que utilizó al configurarlo AWS Config. De lo contrario, podría interferir con el AWS Control Tower funcionamiento.

    nota

    Alto número de AWS Config evaluaciones

    Es posible que notes un aumento de la actividad en tu cuenta durante el primer mes de grabación con AWS Config en comparación con los meses siguientes. Durante el proceso de arranque inicial, AWS Config realiza evaluaciones de todos los recursos de tu cuenta que hayas seleccionado para AWS Config registrarlos.

    Si ejecuta cargas de trabajo efímeras, es posible que vea un aumento de la actividad debido a que registra los cambios de AWS Config configuración asociados con la creación y la eliminación de estos recursos temporales. Una carga de trabajo efímera es el uso temporal de recursos informáticos que se cargan y ejecutan cuando es necesario. Los ejemplos incluyen Amazon Elastic Compute Cloud (AmazonEC2) Spot Instances, Amazon EMR Jobs y AWS Auto Scaling. Si quiere evitar el aumento de actividad derivado de la ejecución de cargas de trabajo efímeras, puede configurar el registrador de configuración para que no se registren estos tipos de recursos o ejecutar estos tipos de cargas de trabajo en una cuenta independiente y AWS Config desactivarla para evitar aumentar el registro de la configuración y las evaluaciones de las reglas.

    nota

    Disponibilidad por región

    Antes de especificar el tipo de recurso del que se va AWS Config a realizar el seguimiento, compruebe la cobertura de los recursos por región y la disponibilidad para comprobar si el tipo de recurso es compatible con la AWS región en la que va a realizar la configuración. AWS Config Si al menos una región admite un tipo de recurso, puede habilitar el registro de ese tipo de recurso en todas las regiones admitidas AWS Config, incluso si el tipo de recurso especificado no es compatible con la AWS región en la que está configurando AWS Config. AWS Config

put-configuration-recorder utiliza los siguientes campos para el parámetro --configuration-recorder:

  • name— El nombre de la grabadora de configuración. AWS Config asigna automáticamente el nombre «predeterminado» al crear la grabadora de configuración.

  • roleARN— Nombre del recurso de Amazon (ARN) del IAM rol asumido AWS Config y utilizado por el grabador de configuración.

  • recordingMode— Especifica la frecuencia de grabación predeterminada que se AWS Config utiliza para registrar los cambios de configuración. AWS Config admite la grabación continua y la grabación diaria. El registro continuo permite registrar los cambios de configuración de forma continua siempre que se produzca un cambio. El registro diario permite recibir un elemento de configuración (CI) que representa el estado más reciente de sus recursos durante el último período de 24 horas, solo si es diferente del CI anterior registrado.

    • recordingFrequency— La frecuencia de grabación predeterminada que se AWS Config utiliza para registrar los cambios de configuración.

      nota

      AWS Firewall Manager depende de la grabación continua para monitorizar sus recursos. Si utiliza Firewall Manager, se recomienda configurar la frecuencia de registro en Continua.

    • recordingModeOverrides: este campo le permite especificar las anulaciones para el modo de registro. Es una matriz de objetos de recordingModeOverride. Cada objeto recordingModeOverride de la matriz recordingModeOverrides consta de tres campos:

      • description: la descripción que proporcione para la anulación.

      • recordingFrequency: la frecuencia de registro que se aplicará a todos los tipos de recursos especificados en la anulación.

      • resourceTypes— Una lista separada por comas que especifica qué tipos de recursos se AWS Config incluyen en la anulación.

nota

Campos obligatorios y opcionales

El campo recordingMode de put-configuration-recorder es opcional. De forma predeterminada, la frecuencia de registro del registro de configuración está definida como Registro continuo.

nota

Límites

No se admite la grabación diaria para los siguientes tipos de recursos:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Para la estrategia de registro Registrar todos los tipos de recursos compatibles actuales y futuros (ALL_SUPPORTED_RESOURCE_TYPES), estos tipos de recursos se definirán con Registro continuo.

El configurationRecorder.json archivo especifica name y roleArn también la frecuencia de grabación predeterminada para la grabadora de configuración (). recordingMode También puede usar este campo para anular la frecuencia de registro de tipos de recursos específicos.

{ "name": "default", "roleARN": "arn:aws:iam::123456789012:role/config-role", "recordingMode": { "recordingFrequency": CONTINUOUS or DAILY, "recordingModeOverrides": [ { "description": "Description you provide for the override", "recordingFrequency": CONTINUOUS or DAILY, "resourceTypes": [ Comma-separated list of resource types to include in the override ] } ] } }

Paso 2: ejecuta el put-delivery-channel comando

En los siguientes ejemplos de código, se muestra cómo utilizar PutDeliveryChannel.

CLI
AWS CLI

Para crear un canal de entrega

El siguiente comando proporciona la configuración del canal de entrega en forma de JSON código:

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

El deliveryChannel.json archivo especifica los atributos del canal de entrega:

{ "name": "default", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }

Este ejemplo establece los siguientes atributos:

name- El nombre del canal de entrega. De forma predeterminada, AWS Config asigna el nombre default a un nuevo canal de entrega. No puede actualizar el nombre del canal de entrega con el comando. put-delivery-channel Para conocer los pasos para cambiar el nombre, consulte Cambiar el nombre del canal de entrega. s3BucketName - El nombre del bucket de Amazon S3 al que AWS Config entrega las instantáneas de configuración y los archivos del historial de configuración. Si especifica un bucket que pertenece a otra AWS cuenta, ese bucket debe tener políticas que concedan permisos de acceso a Config. AWS Para obtener más información, consulte Permisos para el bucket de Amazon S3.

snsTopicARN- El nombre del recurso de Amazon (ARN) del SNS tema de Amazon al que AWS Config envía notificaciones sobre los cambios de configuración. Si eliges un tema de otra cuenta, el tema debe tener políticas que concedan permisos de acceso a Config AWS . Para obtener más información, consulta el SNS tema Permisos para Amazon.

configSnapshotDeliveryProperties- Contiene el deliveryFrequency atributo, que establece la frecuencia con la que AWS Config entrega instantáneas de la configuración y la frecuencia con la que invoca las evaluaciones de las reglas de Config periódicas.

Si el comando se ejecuta correctamente, AWS Config no devuelve ningún resultado. Para verificar la configuración de su canal de entrega, ejecute el describe-delivery-channels comando.

  • Para API obtener más información, consulte PutDeliveryChannella Referencia de AWS CLI comandos.

PowerShell
Herramientas para PowerShell

Ejemplo 1: En este ejemplo se cambia la deliveryFrequency propiedad de un canal de entrega existente.

Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName amzn-s3-demo-bucket -DeliveryChannel_S3KeyPrefix my

Paso 3: ejecuta el comando start-configuration-recorder

Para terminar de encenderlo AWS Config, usa el start-configuration-recordercomando.

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName