Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración manual para AWS Config
Con el flujo de trabajo de introducción, puede realizar todas las selecciones manuales del proceso de configuración para empezar a utilizar la AWS Config consola. Si dese informarse sobre un proceso de inicio simplificado, consulte Configuración en un clic.
Para configurarla AWS Config con la consola mediante Get Started
Inicie sesión en AWS Management Console y abra la AWS Config consola en https://console.aws.amazon.com/config/
. -
Elija Comenzar.
La página de configuración incluye tres pasos. A continuación, se proporciona un desglose del procedimiento después de seleccionar Introducción.
-
Configuración: para seleccionar la forma en que la AWS Config consola registra los recursos y las funciones, y elegir dónde se envían el historial de configuración y los archivos de instantáneas de la configuración.
-
Reglas: Para Regiones de AWS que AWS Config las reglas sean compatibles, este paso le permite configurar las reglas administradas iniciales que puede agregar a su cuenta. Tras la configuración, AWS Config evaluará sus AWS recursos en función de las reglas que haya elegido. Después de configurar, podrá crear reglas adicionales y actualizar las existentes en su cuenta.
-
Revisión: para verificar los detalles de configuración.
Paso 1: configuración
Estrategia de registro
En la sección Método de grabación, elija una estrategia de registro. Puede especificar los AWS recursos que AWS Config desea registrar.
Consideraciones al registrar los recursos
Alto número de AWS Config evaluaciones
Es posible que notes un aumento de la actividad en tu cuenta durante el primer mes de grabación con AWS Config en comparación con los meses siguientes. Durante el proceso de arranque inicial, AWS Config realiza evaluaciones de todos los recursos de tu cuenta que hayas seleccionado para AWS Config registrarlos.
Si ejecuta cargas de trabajo efímeras, es posible que vea un aumento de la actividad de AWS Config debido a que registra los cambios de configuración asociados con la creación y la eliminación de estos recursos temporales. Una carga de trabajo efímera es el uso temporal de recursos informáticos que se cargan y ejecutan cuando es necesario. Los ejemplos incluyen las instancias puntuales de Amazon Elastic Compute Cloud (Amazon EC2), los trabajos de Amazon EMR y AWS Auto Scaling. Si quiere evitar el aumento de actividad derivado de la ejecución de cargas de trabajo efímeras, puede configurar el registrador de configuraciones de modo que excluya estos tipos de recursos de la grabación, o puede ejecutar estos tipos de cargas de trabajo en una cuenta independiente con la opción AWS Config desactivada para evitar aumentar el registro de la configuración y las evaluaciones de las reglas.
Gobernanza de datos
-
Para el período de retención de datos, elija el período de retención predeterminado para conservar AWS Config los datos durante 7 años (2557) o establezca un período de retención personalizado para los artículos registrados por. AWS Config
AWS Config le permite eliminar sus datos especificando un período de retención para usted.
ConfigurationItems
Cuando se especifica un periodo de retención, AWS Config conserva suConfigurationItems
para ese periodo especificado. Puede elegir un período entre un mínimo de 30 días y un máximo de 7 años (2557 días). AWS Config elimina los datos que tengan una antigüedad superior al período de retención especificado. -
Para el rol de IAM AWS Config, elige un rol AWS Config vinculado a un servicio existente o un rol de IAM de tu cuenta.
-
Los roles vinculados al servicio están predefinidos AWS Config e incluyen todos los permisos que el servicio requiere para llamar a otros servicios. AWS
nota
Recomendación: Utilice el rol vinculado al servicio
Es recomendable que utilice el rol vinculado al servicio. Un rol vinculado a un servicio añade todos los permisos necesarios para que AWS Config se ejecute según lo esperado.
-
También puede elegir un rol de IAM entre uno de sus roles y políticas de permisos preexistentes
nota
Políticas y resultados de cumplimiento
Las políticas de IAM y otras políticas gestionadas AWS Organizations pueden afectar a la disponibilidad AWS Config de permisos para registrar los cambios de configuración de sus recursos. Además, las reglas evalúan directamente la configuración de un recurso y no tienen en cuenta estas políticas al ejecutar las evaluaciones. Asegúrese de que las políticas en vigor se ajusten a la forma en que piensa utilizarlas AWS Config.
Mantenga el nivel de los permisos al mínimo al reutilizar un rol de IAM
Si utiliza un AWS servicio que utiliza AWS Config, como AWS Security Hub o AWS Control Tower, y ya se ha creado un rol de IAM, asegúrese de que el rol de IAM que utilice al configurar AWS Config mantenga los mismos permisos mínimos que el rol de IAM preexistente. Debe hacerlo para asegurarse de que el otro AWS servicio siga ejecutándose según lo previsto.
Por ejemplo, si AWS Control Tower tiene una función de IAM que AWS Config permite leer objetos de S3, asegúrese de que se conceden los mismos permisos a la función de IAM que utilizó al configurar. AWS Config De lo contrario, podría interferir con el funcionamiento de AWS Control Tower .
-
Modo de entrega
-
Para Método de entrega, elija el bucket de S3 al que AWS Config envía archivos de historial de configuración y de instantáneas de configuración:
-
Crear un bucket: en Nombre del bucket de S3, escriba un nombre para el bucket de S3.
El nombre que escriba debe ser único entre todos los nombres de buckets existentes en Amazon S3. Una forma de garantizar la exclusividad consiste en incluir un prefijo; por ejemplo, el nombre de su organización. No se puede cambiar el nombre del bucket después de crearlo. Para obtener más información, consulte Restricciones y limitaciones de los buckets en la Guía del usuario de Amazon Simple Storage Service.
-
Elegir un bucket de su cuenta: en Nombre del bucket de S3, elija el bucket que prefiera.
-
Elegir un bucket de otra cuenta: en Nombre del bucket de S3, escriba el nombre del bucket.
nota
Permisos de buckets
Si eliges un bucket de otra cuenta, ese bucket debe tener políticas que le concedan permisos de acceso. AWS Config Para obtener más información, consulte Permisos del bucket de Amazon S3 para el canal AWS Config de entrega.
-
-
Para el tema Amazon SNS, elija Transmitir los cambios de configuración y las notificaciones a un tema de Amazon SNS para AWS Config enviar notificaciones como la entrega del historial de configuración, la entrega de instantáneas de la configuración y el cumplimiento.
-
Si ha elegido que la AWS Config transmisión se dirija a un tema de Amazon SNS, elija el tema de destino:
-
Crear un tema: en Nombre del tema, escriba un nombre para el tema de SNS.
-
Elegir un tema de su cuenta: en Nombre del tema, seleccione el tema que prefiera.
-
Elegir un tema de otra cuenta: en Nombre del tema, escriba el nombre de recurso de Amazon (ARN) del tema. Si eliges un tema de otra cuenta, el tema debe tener políticas que concedan permisos de acceso. AWS Config Para obtener más información, consulte Permisos para el tema de Amazon SNS.
nota
Región para el tema de Amazon SNS
El tema Amazon SNS debe existir en la misma región que la región en la que lo configuró. AWS Config
-
Paso 2: reglas
Si se está configurando AWS Config en una región que admite reglas, seleccione Siguiente.
Paso 3: Revisar
Revisa los detalles de la AWS Config configuración. Puede volver a editar los cambios de cada sección. Selecciona Confirmar para finalizar la configuración AWS Config.
Para obtener más información
Para obtener más información sobre cómo buscar los recursos existentes en su cuenta y comprender las configuraciones de sus recursos, consulte Looking up Resources, Viewing Compliance Informance y Viewing Compliance History.
También puede utilizar Amazon Simple Queue Service para supervisar AWS los recursos mediante programación. Para obtener más información, consulte Supervisión de los cambios en los AWS recursos con Amazon SQS.