Registro de recursos con la AWS CLI - AWS Config

Registro de recursos con la AWS CLI

Puede utilizar la CLI de AWS para seleccionar los tipos de recursos que desea que registre AWS Config. Para ello, se crea un registrador de configuración, que registra los tipos de recursos que especifique en un grupo de registro. En el grupo de registro, debe especificar si quiere registrar todos los tipos de recurso admitidos o incluir o excluir determinados tipos de recursos.

Record all current and future supported resource types

Configure AWS Config para registrar los cambios de configuración de todos los tipos de recursos compatibles actuales y futuros en esta región. Para obtener más información, consulte Tipos de recursos admitidos.

  1. Use el siguiente comando: put-configuration-recorder

    $ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

    Este comando usa los campos --configuration-recorder y ---recording-group.

    nota

    Grupo de registro y registrador de la configuración

    El campo --recording-group especifica los tipos de recursos que se registran.

    El campo --configuration-recorder especifica el name y el roleArn, además de la frecuencia de registro predeterminada para el registro de la configuración (recordingMode). También puede usar este campo para anular la frecuencia de registro de tipos de recursos específicos.

    1. put-configuration-recorder utiliza los siguientes campos para el parámetro --recording-group:

      • allSupported=true: AWS Config registra los cambios de configuración de todos los tipos de recursos admitidos, excepto los tipos de recursos de IAM globales. Cuando AWS Config añade compatibilidad de un nuevo tipo de recurso, AWS Config empieza a registrar los recursos de ese tipo automáticamente.

      • includeGlobalResourceTypes=true: esta opción es una agrupación que solo se aplica a los tipos de recursos de IAM globales: usuarios, grupos, roles y políticas administradas por el cliente de IAM. AWS Config solo puede registrar estos tipos de recursos de IAM globales en las regiones en las que AWS Config estaba disponible antes de febrero de 2022. Estos tipos de recursos de IAM globales no se pueden registrar en las regiones admitidas por AWS Config después de febrero de 2022. Para obtener una lista de esas regiones, consulte Recording AWS Resources | Global Resources.

        importante

        Los clústeres globales de Aurora se registran en todas las regiones habilitadas

        El tipo de recurso AWS::RDS::GlobalCluster se registrará en todas las regiones de AWS Config admitidas en las que el registro de configuración está activado, aunque includeGlobalResourceTypes no sea true. La opción includeGlobalResourceTypes es una agrupación que solo se aplica a los usuarios, grupos, roles y políticas administradas por el cliente de IAM.

        Si no desea grabar AWS::RDS::GlobalCluster en todas las regiones habilitadas, utilice una de las siguientes estrategias de registro:

        1. Registrar todos los tipos de recursos actuales y futuros excluyendo los tipos que especifique (EXCLUSION_BY_RESOURCE_TYPES) o

        2. Registrar los tipos de recursos específicos (INCLUSION_BY_RESOURCE_TYPES).

        Para obtener más información, consulte Selección de los recursos que se registran | Recursos regionales y Recursos globales.

        importante

        includeGlobalResourceTypes y la estrategia de registro de exclusiones

        El campo includeGlobalResourceTypes no tiene ningún impacto en la estrategia de registro de EXCLUSION_BY_RESOURCE_TYPES. Esto significa que los tipos de recursos de IAM globales (grupos, roles, políticas administradas por el cliente y usuarios de IAM) no se añadirán automáticamente como exclusiones para exclusionByResourceTypes cuando includeGlobalResourceTypes esté configurado como false.

        El campo includeGlobalResourceTypes solo debe usarse para modificar el campo AllSupported, ya que, de forma predeterminada, el campo AllSupported registra los cambios de configuración de todos los tipos de recursos compatibles excepto los tipos de recursos de IAM globales. Para incluir los tipos de recursos de IAM globales cuando AllSupported esté configurado como true, debe poner includeGlobalResourceTypes en true.

        Para excluir los tipos de recursos de IAM globales de la estrategia de registro de EXCLUSION_BY_RESOURCE_TYPES, debe añadirlos manualmente en el campo resourceTypes de exclusionByResourceTypes.

        nota

        Campos obligatorios y opcionales

        Para poder establecer includeGlobalResourceTypes como true, defina antes el campo allSupported como true.

        Si lo desea, también puede establecer el campo useOnly de RecordingStrategy como ALL_SUPPORTED_RESOURCE_TYPES.

        nota

        Anulación de campos

        Si establece includeGlobalResourceTypes como false pero enumera los tipos de recursos de IAM globales en el campo resourceTypes de RecordingGroup, AWS Config seguirá registrando los cambios de configuración de esos tipos de recursos especificados, independientemente de si se establece el campo includeGlobalResourceTypes como false.

        Si no desea registrar los cambios de configuración en los tipos de recursos de IAM globales (usuarios, grupos, roles y políticas gestionadas por el cliente de IAM), asegúrese de no incluirlos en el campo resourceTypes además de establecer el campo includeGlobalResourceTypes como false.

      El archivo recordingGroup.json especifica qué tipos de recursos registrará AWS Config.

      {
    "allSupported": true,
    "recordingStrategy": {
        "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": true
}

    2. put-configuration-recorder utiliza los siguientes campos para el parámetro --configuration-recorder:

      • name: el nombre del registrador de la configuración; AWS Config asigna automáticamente el nombre predeterminado al crear el registrador de configuración.

      • roleARN: nombre de recurso de Amazon (ARN) del rol de IAM asumido por AWS Config y utilizado por el registrador de configuración.

      • recordingMode: la frecuencia de registro predeterminada que AWS Config utiliza para registrar los cambios de configuración; AWS Config admite el Registro continuo y el Registro diario. El registro continuo permite registrar los cambios de configuración de forma continua siempre que se produzca un cambio. El registro diario permite recibir un elemento de configuración (CI) que representa el estado más reciente de sus recursos durante el último período de 24 horas, solo si es diferente del CI anterior registrado.

        • recordingFrequency: la frecuencia de registro predeterminada que AWS Config utiliza para registrar los cambios de configuración.

          nota

          AWS Firewall Manager depende del registro continuo para supervisar los recursos. Si utiliza Firewall Manager, se recomienda configurar la frecuencia de registro en Continua.

        • recordingModeOverrides: este campo le permite especificar las anulaciones para el modo de registro. Es una matriz de objetos de recordingModeOverride. Cada objeto recordingModeOverride de la matriz recordingModeOverrides consta de tres campos:

          • description: la descripción que proporcione para la anulación.

          • recordingFrequency: la frecuencia de registro que se aplicará a todos los tipos de recursos especificados en la anulación.

          • resourceTypes: una lista separada por comas que especifica qué tipos de recursos incluye AWS Config en la anulación.

      nota

      Campos obligatorios y opcionales

      El campo recordingMode de put-configuration-recorder es opcional. De forma predeterminada, la frecuencia de registro del registro de configuración está definida como Registro continuo.

      nota

      Límites

      No se admite la grabación diaria para los siguientes tipos de recursos:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      Para la estrategia de registro Registrar todos los tipos de recursos compatibles actuales y futuros (ALL_SUPPORTED_RESOURCE_TYPES), estos tipos de recursos se definirán con Registro continuo.

      El archivo configurationRecorder.json especifica el name y el roleArn, además de la frecuencia de registro predeterminada para el registro de la configuración (recordingMode). También puede usar este campo para anular la frecuencia de registro de tipos de recursos específicos.

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (Opcional) Para verificar que el registrador de configuración tiene la configuración que quiere, utilice el siguiente comando describe-configuration-recorders.

    $ aws configservice describe-configuration-recorders

    A continuación, se muestra un ejemplo de respuesta.

    {
    "ConfigurationRecorders": [
        {
            "name": "default"
            "recordingGroup": {
                "allSupported": true,
                "exclusionByResourceTypes": { 
                     "resourceTypes": []
                },
                "includeGlobalResourceTypes": true,
                "recordingStrategy": {
                    "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record all current and future supported resources types excluding the types you specify

Defina AWS Config para registrar los cambios de configuración de todos los tipos de recursos compatibles actuales y futuros, excepto los tipos de recursos que especifique que se excluyan del registro. Si decide dejar de registrar un tipo de recurso, los elementos de configuración que ya estaban registrados permanecerán sin cambios. Para obtener más información, consulte Tipos de recursos admitidos.

Este comando usa los campos --configuration-recorder y ---recording-group.

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
nota

Grupo de registro y registrador de la configuración

El campo --recording-group especifica los tipos de recursos que se registran.

El campo --configuration-recorder especifica el name y el roleArn, además de la frecuencia de registro predeterminada para el registro de la configuración (recordingMode). También puede usar este campo para anular la frecuencia de registro de tipos de recursos específicos.

  1. Utilice el comando put-configuration-recorder y pase uno o más tipos de recursos a excluir en el campo resourceTypes de exclusionByResourceTypes, tal y como se muestra en el siguiente ejemplo.

    1. El archivo recordingGroup.json especifica qué tipos de recursos registrará AWS Config.

      {
    "allSupported": false,
    "exclusionByResourceTypes": { 
        "resourceTypes": [
            "AWS::Redshift::ClusterSnapshot",
            "AWS::RDS::DBClusterSnapshot",
            "AWS::CloudFront::StreamingDistribution"
        ]
    },
   "includeGlobalResourceTypes": false,
   "recordingStrategy": {
       "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
    },
  
}

      Antes de especificar los tipos de recursos para excluirlos del registrador:

      • Debe establecer los campos allSupported y includeGlobalResourceTypes del parámetro --recording-group en false u omitirlos.

      • Debe establecer el campo useOnly de RecordingStrategy en EXCLUSION_BY_RESOURCE_TYPES.

      nota

      Anulación de campos

      Si elige EXCLUSION_BY_RESOURCE_TYPES para la estrategia de registro, el campo exclusionByResourceTypes anulará las demás propiedades de la solicitud.

      Por ejemplo, aunque se establezca includeGlobalResourceTypes como false, los tipos de recursos de IAM globales se seguirán registrando automáticamente en esta opción, a menos que esos tipos de recursos se indiquen específicamente como exclusiones en el campo resourceTypes de exclusionByResourceTypes.

      nota

      Los tipos de recurso globales y la estrategia de registro de la exclusión de recursos

      De forma predeterminada, si elige la estrategia de registro EXCLUSION_BY_RESOURCE_TYPES, cuando AWS Config añade soporte para un nuevo tipo de recurso en la región en la que ha configurado el registrador de configuración, incluidos los tipos de recursos globales, AWS Config comienza a grabar los recursos de ese tipo automáticamente.

      A menos que se indiquen específicamente como exclusiones, AWS::RDS::GlobalCluster se registrará automáticamente en todas las regiones de AWS Config compatibles en las que el registrador de configuración esté habilitado.

      Los usuarios, los grupos, las funciones y las políticas gestionadas por los clientes de IAM se registrarán en la región en la que haya configurado el registro de configuración, si es una región en la que AWS Config estaba disponible antes de febrero de 2022. Estos tipos de recursos de IAM globales no se pueden registrar en las regiones admitidas por AWS Config después de febrero de 2022. Para obtener una lista de esas regiones, consulte Recording AWS Resources | Global Resources.

    2. put-configuration-recorder utiliza los siguientes campos para el parámetro --configuration-recorder:

      • name: el nombre del registrador de la configuración; AWS Config asigna automáticamente el nombre predeterminado al crear el registrador de configuración.

      • roleARN: nombre de recurso de Amazon (ARN) del rol de IAM asumido por AWS Config y utilizado por el registrador de configuración.

      • recordingMode: la frecuencia de registro predeterminada que AWS Config utiliza para registrar los cambios de configuración; AWS Config admite el Registro continuo y el Registro diario. El registro continuo permite registrar los cambios de configuración de forma continua siempre que se produzca un cambio. El registro diario permite recibir un elemento de configuración (CI) que representa el estado más reciente de sus recursos durante el último período de 24 horas, solo si es diferente del CI anterior registrado.

        • recordingFrequency: la frecuencia de registro predeterminada que AWS Config utiliza para registrar los cambios de configuración.

          nota

          AWS Firewall Manager depende del registro continuo para supervisar los recursos. Si utiliza Firewall Manager, se recomienda configurar la frecuencia de registro en Continua.

        • recordingModeOverrides: este campo le permite especificar las anulaciones para el modo de registro. Es una matriz de objetos de recordingModeOverride. Cada objeto recordingModeOverride de la matriz recordingModeOverrides consta de tres campos:

          • description: la descripción que proporcione para la anulación.

          • recordingFrequency: la frecuencia de registro que se aplicará a todos los tipos de recursos especificados en la anulación.

          • resourceTypes: una lista separada por comas que especifica qué tipos de recursos incluye AWS Config en la anulación.

      nota

      Campos obligatorios y opcionales

      El campo recordingMode de put-configuration-recorder es opcional. De forma predeterminada, la frecuencia de registro del registro de configuración está definida como Registro continuo.

      nota

      Límites

      No se admite la grabación diaria para los siguientes tipos de recursos:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      Para la estrategia de registro Registrar todos los tipos de recursos compatibles actuales y futuros (ALL_SUPPORTED_RESOURCE_TYPES), estos tipos de recursos se definirán con Registro continuo.

      El archivo configurationRecorder.json especifica el name y el roleArn, además de la frecuencia de registro predeterminada para el registro de la configuración (recordingMode). También puede usar este campo para anular la frecuencia de registro de tipos de recursos específicos.

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (Opcional) Para verificar que el registrador de configuración tiene la configuración que quiere, utilice el siguiente comando describe-configuration-recorders.

    $ aws configservice describe-configuration-recorders

    A continuación, se muestra un ejemplo de respuesta.

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": [
                        "AWS::Redshift::ClusterSnapshot",
                        "AWS::RDS::DBClusterSnapshot",
                        "AWS::CloudFront::StreamingDistribution"
                    ]
                },
                "includeGlobalResourceTypes": false,
                "recordingStrategy": {
                    "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [],
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}
Record specific resource types

Defina AWS Config para registrar los cambios de configuración solo de los tipos de recursos que especifique. Si decide dejar de registrar un tipo de recurso, los elementos de configuración que ya estaban registrados permanecerán sin cambios.

Este comando usa los campos --configuration-recorder y ---recording-group.

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
nota

Grupo de registro y registrador de la configuración

El campo --recording-group especifica los tipos de recursos que se registran.

El campo --configuration-recorder especifica el name y el roleArn, además de la frecuencia de registro predeterminada para el registro de la configuración (recordingMode). También puede usar este campo para anular la frecuencia de registro de tipos de recursos específicos.

  1. Utilice el comando put-configuration-recorder y pase uno o más tipos de recursos del campo resourceTypes de recordingGroup, tal y como se muestra en el siguiente ejemplo.

    1. El archivo recordingGroup.json especifica qué tipos de recursos registrará AWS Config.

      {
    "allSupported": false,
    "recordingStrategy": {
        "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
    },
    "includeGlobalResourceTypes": false,
    "resourceTypes": [
        "AWS::EC2::EIP",
        "AWS::EC2::Instance",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::SecurityGroup",
        "AWS::CloudTrail::Trail",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC",
        "AWS::IAM::User",
        "AWS::IAM::Policy"
  ]
}
      nota

      Campos obligatorios y opcionales

      Antes de especificar los tipos de recursos que se van a incluir en la grabación, debe establecer los campos allSupported y includeGlobalResourceTypes en false u omitirlos.

      El campo recordingStrategy es opcional cuando se enumeran los tipos de recursos en el campo resourceTypes de --recording-group.

      nota

      Disponibilidad por región

      Antes de especificar el tipo de recurso del que AWS Config va a realizar el seguimiento, consulte Cobertura de recursos según la disponibilidad por región para comprobar si el tipo de recurso es compatible con la región de AWS en la que ha configurado AWS Config. Si AWS Config admite un tipo de recurso en como mínimo una región, puede habilitar el registro de ese tipo de recurso en todas las regiones admitidas por AWS Config, incluso si el tipo de recurso especificado no es compatible con la región de AWS en la que ha configurado AWS Config.

    2. put-configuration-recorder utiliza los siguientes campos para el parámetro --configuration-recorder:

      • name: el nombre del registrador de la configuración; AWS Config asigna automáticamente el nombre predeterminado al crear el registrador de configuración.

      • roleARN: nombre de recurso de Amazon (ARN) del rol de IAM asumido por AWS Config y utilizado por el registrador de configuración.

      • recordingMode: la frecuencia de registro predeterminada que AWS Config utiliza para registrar los cambios de configuración; AWS Config admite el Registro continuo y el Registro diario. El registro continuo permite registrar los cambios de configuración de forma continua siempre que se produzca un cambio. El registro diario permite recibir un elemento de configuración (CI) que representa el estado más reciente de sus recursos durante el último período de 24 horas, solo si es diferente del CI anterior registrado.

        • recordingFrequency: la frecuencia de registro predeterminada que AWS Config utiliza para registrar los cambios de configuración.

          nota

          AWS Firewall Manager depende del registro continuo para supervisar los recursos. Si utiliza Firewall Manager, se recomienda configurar la frecuencia de registro en Continua.

        • recordingModeOverrides: este campo le permite especificar las anulaciones para el modo de registro. Es una matriz de objetos de recordingModeOverride. Cada objeto recordingModeOverride de la matriz recordingModeOverrides consta de tres campos:

          • description: la descripción que proporcione para la anulación.

          • recordingFrequency: la frecuencia de registro que se aplicará a todos los tipos de recursos especificados en la anulación.

          • resourceTypes: una lista separada por comas que especifica qué tipos de recursos incluye AWS Config en la anulación.

      nota

      Campos obligatorios y opcionales

      El campo recordingMode de put-configuration-recorder es opcional. De forma predeterminada, la frecuencia de registro del registro de configuración está definida como Registro continuo.

      nota

      Límites

      No se admite la grabación diaria para los siguientes tipos de recursos:

      • AWS::Config::ResourceCompliance

      • AWS::Config::ConformancePackCompliance

      • AWS::Config::ConfigurationRecorder

      Para la estrategia de registro Registrar todos los tipos de recursos compatibles actuales y futuros (ALL_SUPPORTED_RESOURCE_TYPES), estos tipos de recursos se definirán con Registro continuo.

      El archivo configurationRecorder.json especifica el name y el roleArn, además de la frecuencia de registro predeterminada para el registro de la configuración (recordingMode). También puede usar este campo para anular la frecuencia de registro de tipos de recursos específicos.

      {
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

  2. (Opcional) Para verificar que el registrador de configuración tiene la configuración que quiere, utilice el siguiente comando describe-configuration-recorders.

    $ aws configservice describe-configuration-recorders

    A continuación, se muestra un ejemplo de respuesta.

    {
    "ConfigurationRecorders": [
        {
            "name": "default",
            "recordingGroup": {
                "allSupported": false,
                "exclusionByResourceTypes": { 
                    "resourceTypes": []
                },
                "includeGlobalResourceTypes": false
                "recordingStrategy": {
                    "useOnly": "INCLUSION_BY_RESOURCE_TYPES" 
                },
                "resourceTypes": [
                    "AWS::EC2::EIP",
                    "AWS::EC2::Instance",
                    "AWS::EC2::NetworkAcl",
                    "AWS::EC2::SecurityGroup",
                    "AWS::CloudTrail::Trail",
                    "AWS::EC2::Volume",
                    "AWS::EC2::VPC",
                    "AWS::IAM::User",
                    "AWS::IAM::Policy"
                ]
            },
            "recordingMode": { 
                "recordingFrequency": CONTINUOUS or DAILY,
                "recordingModeOverrides": [ 
                 { 
                     "description": "Description you provide for the override,
                     "recordingFrequency": CONTINUOUS or DAILY,
                     "resourceTypes": [ Comma-separated list of resource types to include in the override]
                }
              ]
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-role"
        }
    ]
}