Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo AWS Config funciona
AWS Config proporciona una vista detallada de la configuración de AWS los recursos de su AWS cuenta. Esto incluye cómo se relacionan los recursos entre sí y cómo se han configurado en el pasado, para que pueda ver cómo las configuraciones y las relaciones cambian a lo largo del tiempo.
Un AWS recurso es una entidad con la que puede trabajar AWS, como una instancia de Amazon Elastic Compute Cloud (EC2), un volumen de Amazon Elastic Block Store (EBS), un grupo de seguridad o una Amazon Virtual Private Cloud (VPC). Para obtener una lista completa de AWS los recursos compatibles AWS Config, consulte. Tipos de recursos admitidos
Descubrimiento de recursos
Al activarla AWS Config, primero descubre los AWS recursos compatibles que existen en tu cuenta y genera un elemento de configuración para cada recurso.
AWS Config también genera elementos de configuración cuando cambia la configuración de un recurso y mantiene registros históricos de los elementos de configuración de los recursos desde el momento en que se inicia el registrador de configuración. De forma predeterminada, AWS Config crea elementos de configuración para todos los recursos compatibles de la región. Si no desea AWS Config crear elementos de configuración para todos los recursos compatibles, puede especificar los tipos de recursos de los que quiere que haga un seguimiento.
Antes de especificar el tipo de recurso del que se AWS Config va a realizar el seguimiento, compruebe la cobertura de los recursos por región y la disponibilidad para comprobar si el tipo de recurso es compatible con la AWS región en la que va a realizar la configuración AWS Config. Si al menos una región admite un tipo de recurso, puede habilitar el registro de ese tipo de recurso en todas las regiones compatibles AWS Config, incluso si el tipo de recurso especificado no es compatible con la AWS región en la que está configurando AWS Config. AWS Config
Seguimiento de recursos
AWS Config realiza un seguimiento de todos los cambios en tus recursos mediante la llamada a la API Describe o List para cada recurso de tu cuenta. El servicio utiliza las mismas llamadas al API para capturar los detalles de la configuración de todos los recursos relacionados.
Por ejemplo, al eliminar una regla de salida de un grupo de seguridad de VPC, se invoca una AWS Config llamada a la API Describe en el grupo de seguridad. AWS Config a continuación, invoca una llamada a la API Describe en todas las instancias asociadas al grupo de seguridad. Las configuraciones actualizadas del grupo de seguridad (el recurso) y de cada instancia (los recursos relacionados) se registran como elementos de configuración y se entregan en un flujo de configuración en un bucket de Amazon Simple Storage Service (Amazon S3).
AWS Config también realiza un seguimiento de los cambios de configuración que no fueron iniciados por la API. AWS Config examina las configuraciones de los recursos periódicamente y genera elementos de configuración para las configuraciones que han cambiado.
Si utiliza AWS Config reglas, evalúa AWS Config continuamente las configuraciones de los AWS recursos para determinar la configuración deseada. Según la regla, AWS Config evaluará sus recursos en respuesta a los cambios de configuración o de forma periódica. Cada regla está asociada a una función AWS Lambda que contiene la lógica de evaluación de la regla. Al AWS Config evaluar los recursos, invoca la función de la AWS Lambda regla. La función devuelve el estado de conformidad de los recursos evaluados. Si un recurso infringe las condiciones de una regla, AWS Config marca el recurso y la regla como no conformes. Cuando el estado de conformidad de un recurso cambia, AWS Config envía una notificación a tu tema de Amazon SNS.
Entrega de elementos de configuración
AWS Config puede entregar los elementos de configuración a través de uno de los siguientes canales:
Bucket de Amazon S3
AWS Config realiza un seguimiento de los cambios en la configuración de sus AWS recursos y envía periódicamente los detalles de configuración actualizados a un bucket de Amazon S3 que especifique. Para cada tipo de recurso que AWS Config registra, envía un archivo de historial de configuración cada seis horas. Cada archivo de historial de configuración contiene información sobre los recursos que han cambiado en ese periodo de seis horas. Cada archivo incluye recursos de un tipo, como instancias de Amazon EC2 o volúmenes de Amazon EBS. Si no se produce ningún cambio en la configuración, AWS Config no envía ningún archivo.
AWS Config envía una instantánea de configuración a su bucket de Amazon S3 cuando usa el comando deliver-config-snapshot con la AWS CLI o cuando usa la acción DeliverConfigSnapshot con la API. AWS Config Una instantánea de configuración contiene los detalles de configuración de todos los recursos que AWS Config se registran en su. Cuenta de AWS El archivo de historial de configuración y la instantánea de configuración están en formato JSON.
nota
AWS Config solo entrega los archivos del historial de configuración y las instantáneas de configuración al bucket de S3 especificado; AWS Config no modifica las políticas del ciclo de vida de los objetos del bucket de S3. Puede usar políticas sobre el ciclo de vida para especificar si desea eliminar o archivar objetos en Amazon S3 Glacier. Para obtener más información, consulte Administración de la configuración del ciclo de vida en la Guía del usuario de Amazon Simple Storage Service. También puede consultar la publicación del blog Archivado de datos de Amazon S3 en S3 Glacier
Tema de Amazon SNS
Un tema de Amazon Simple Notification Service (Amazon SNS) es un canal de comunicación que utiliza para entregar mensajes (o notificaciones) a puntos de enlace de suscripción, como una dirección de correo electrónico o un cliente. Entre otros tipos de notificaciones de Amazon SNS se incluyen mensajes de notificación de inserción para aplicaciones en teléfonos móviles, notificaciones por SMS (servicio de mensajes cortos) a teléfonos y smartphones habilitados para SMS y solicitudes HTTP POST. Para obtener los mejores resultados, utilice Amazon SQS como punto de conexión de notificación para el tema de SNS y, a continuación, procese la información en la notificación de forma programada.
AWS Config utiliza el tema Amazon SNS que especifiques para enviarte las notificaciones. El tipo de notificación que está recibiendo se indica por el valor de la clave messageType en el cuerpo del mensaje, como en el siguiente ejemplo:
"messageType": "ConfigurationHistoryDeliveryCompleted"
Las notificaciones pueden ser de cualquiera de los siguientes tipos de mensajes.
| Tipo de mensaje | Descripción |
|---|---|
| ComplianceChangeNotificación | El tipo de conformidad del recurso que AWS Config evalúa ha cambiado. El tipo de conformidad indica si el recurso cumple con una AWS Config regla específica y se representa mediante la ComplianceType clave del mensaje. El mensaje incluye objetos newEvaluationResult y oldEvaluationResult de comparación. |
| ConfigRulesEvaluationStarted | AWS Config comenzó a evaluar la regla en función de los recursos especificados. |
| ConfigurationSnapshotDeliveryStarted | AWS Config comenzó a entregar la instantánea de configuración a su bucket de Amazon S3. Se proporciona el nombre del bucket de Amazon S3 para la clave s3Bucket en el mensaje. |
| ConfigurationSnapshotDeliveryCompleted | AWS Config entregó correctamente la instantánea de configuración a su bucket de Amazon S3. |
| ConfigurationSnapshotDeliveryFailed | AWS Config no se pudo entregar la instantánea de configuración a su bucket de Amazon S3. |
| ConfigurationHistoryDeliveryCompleted | AWS Config entregó correctamente el historial de configuración a su bucket de Amazon S3. |
| ConfigurationItemChangeNotification | Un recurso se ha creado, eliminado o cambiado en la configuración. Este mensaje incluye los detalles del elemento de configuración que se AWS Config crea para este cambio e incluye el tipo de cambio. Estas notificaciones se entregan en cuestión de minutos tras el cambio y se conocen colectivamente como el flujo de configuración. |
| OversizedConfigurationItemChangeNotificación | Este tipo de mensaje se entrega cuando una notificación de cambio de elemento de configuración supera el tamaño máximo permitido por Amazon SNS. El mensaje incluye un resumen del elemento de configuración. A excepción de los mensajes SMS, los mensajes de Amazon SNS pueden contener hasta 256 KB de datos de texto, incluidos XML, JSON y texto sin formato. Puede ver la notificación completa en el bucket de Amazon S3 especificado. |
| OversizedConfigurationItemChangeDeliveryFailed | AWS Config no se pudo entregar la notificación de cambio del elemento de configuración sobredimensionado a su bucket de Amazon S3. |
Para obtener ejemplos de notificaciones, consulte Notificaciones que AWS Config envía a un tema de Amazon SNS. Para obtener más información sobre Amazon SNS, consulte la Guía para desarrolladores de Amazon Simple Notification Service.
nota
¿Por qué no puedo ver mis cambios de configuración más recientes?
AWS Config por lo general, registra los cambios de configuración en los recursos inmediatamente después de detectar un cambio o con la frecuencia que usted especifique. Sin embargo, esto se hace con el máximo esfuerzo y, en ocasiones, puede llevar más tiempo. Si los problemas persisten después de un tiempo, ponte en contacto con Amazon AWS Support
Controle el acceso a AWS Config
AWS Identity and Access Management es un servicio web que permite a los clientes de Amazon Web Services (AWS) gestionar los usuarios y los permisos de los usuarios.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
-
Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
-
Usuarios administrados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.
-
Usuarios de IAM:
-
Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
-
(No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.
-
