Consideraciones Recursos regionales y globales AWS Config Reglas y tipos de recursos globales Frecuencia de grabación recursos no registrados

Grabación de AWS recursos con AWS Config

AWS Config detecta continuamente cuándo se crean, modifican o eliminan los tipos de recursos compatibles. AWS Config registra estos eventos como elementos de configuración (CIs).

Puede personalizarlos AWS Config para registrar los cambios de configuración de todos los tipos de recursos compatibles o solo de los tipos de recursos compatibles que sean relevantes para usted. Para obtener una lista de los tipos de recursos compatibles que AWS Config se pueden registrar, consulteTipos de recursos compatibles para AWS Config.

Temas

Consideraciones

Número elevado de AWS Config evaluaciones

Es posible que notes un aumento de la actividad en tu cuenta durante el primer mes de grabación con AWS Config en comparación con los meses siguientes. Durante el proceso de arranque inicial, AWS Config realiza evaluaciones de todos los recursos de tu cuenta que hayas seleccionado para AWS Config registrarlos.

Si ejecuta cargas de trabajo efímeras, es posible que vea un aumento de la actividad debido a que registra los cambios de AWS Config configuración asociados con la creación y la eliminación de estos recursos temporales. Una carga de trabajo efímera es el uso temporal de recursos informáticos que se cargan y ejecutan cuando es necesario. Los ejemplos incluyen las instancias puntuales de Amazon Elastic Compute Cloud (Amazon EC2), los trabajos de Amazon EMR y. AWS Auto Scaling

Si quiere evitar el aumento de actividad derivado de la ejecución de cargas de trabajo efímeras, puede configurar el registrador de configuración administrado por el cliente para que excluya estos tipos de recursos del registro, o ejecutar estos tipos de cargas de trabajo en una cuenta independiente con la opción de AWS Config desactivarla para evitar aumentar el registro de la configuración y la evaluación de las reglas.

Disponibilidad por región

Antes de especificar el tipo de recurso del que se va AWS Config a realizar el seguimiento, compruebe la disponibilidad de la cobertura de los recursos por región para comprobar si el tipo de recurso es compatible con la AWS región en la que lo configuró. AWS Config

Si al menos una región admite un tipo de recurso, puede habilitar el registro de ese tipo de recurso en todas las regiones admitidas AWS Config, incluso si el tipo de recurso especificado no es compatible con la AWS región en la que lo configuró AWS Config. AWS Config

¿En qué se diferencian los recursos regionales y globales?

Recursos regionales

Los recursos regionales están vinculados a una región y solo se pueden utilizar en esa región. Los creas en una región específica y Región de AWS, después, existen en esa región. Para ver esos recursos o interactuar con ellos, debe dirigir sus operaciones hacia esa región. Por ejemplo, para crear una EC2 instancia de Amazon con AWS Management Console, eliges en qué quieres crear la instancia. Región de AWS Si usas AWS Command Line Interface (AWS CLI) para crear la instancia, incluyes el --region parámetro. AWS SDKs Cada uno tiene su propio mecanismo equivalente para especificar la región que utiliza la operación.

Existen varios motivos para utilizar los recursos regionales. Una razón es asegurarse de que los recursos y los puntos de conexión de servicio que se utilizan para acceder a ellos estén lo más cerca posible del cliente. Esto mejora el rendimiento al minimizar la latencia. Otra razón es proporcionar un límite de aislamiento. Esto permite crear copias independientes de los recursos en varias regiones para distribuir la carga y mejorar la escalabilidad. Al mismo tiempo, aísla los recursos unos de otros para mejorar la disponibilidad.

Si especificas otro Región de AWS en la consola o en un AWS CLI comando, ya no podrás ver ni interactuar con los recursos que veías en la región anterior.

Cuando consulta el nombre de recurso de Amazon (ARN) de un recurso regional, la región que contiene el recurso se especifica como el cuarto campo del ARN. Por ejemplo, una EC2 instancia de Amazon es un recurso regional. El siguiente es un ejemplo de un ARN para una EC2 instancia de Amazon que existe en la us-east-1 región.


arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee

Recursos globales

Algunos recursos de AWS servicios son recursos globales, lo que significa que puede utilizar el recurso desde cualquier lugar. No se especifica ninguna Región de AWS en la consola de un servicio global. Para acceder a un recurso global, no se especifica ningún --region parámetro al utilizar las operaciones del servicio AWS CLI y del AWS SDK.

Los recursos globales admiten casos en los que es fundamental que solo pueda existir una instancia de un recurso concreto a la vez. En estos escenarios, la replicación o la sincronización entre copias en diferentes regiones no son adecuadas. Tener que acceder a un único punto de conexión global, con el posible aumento de la latencia, se considera aceptable para garantizar que cualquier cambio sea visible de forma instantánea para los consumidores del recurso.

Por ejemplo, los clústeres globales de Amazon Aurora (AWS::RDS::GlobalCluster) son recursos globales y, por lo tanto, no están vinculados a una región. Esto significa que puede crear un clúster global sin depender de un punto de conexión regional. La ventaja es que, si bien el propio Amazon Relational Database Service (Amazon RDS) está organizado por regiones, la región específica en la que se origina un clúster global no afecta al clúster global. Aparece como un clúster global único y continuo en todas las regiones.

El nombre de recurso de Amazon (ARN) de un recurso global no incluye una región. El cuarto campo está vacío, como en el siguiente ejemplo de un ARN para un clúster global.


arn:aws:rds::123456789012:global-cluster:test-global-cluster

importante

Los tipos de recursos globales incorporados AWS Config después de febrero de 2022 solo se registrarán en la región de origen del servicio en el caso de la partición comercial y AWS GovCloud (EE. UU. al oeste) en el caso de la partición. GovCloud Puede ver los elementos de configuración (CIs) de estos nuevos tipos de recursos globales solo en su región de origen y AWS GovCloud (EE. UU. al oeste).

Los tipos de recursos globales incorporados antes de febrero de 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role yAWS::IAM::User) permanecen sin cambios. Puede habilitar el registro de estos recursos de IAM globales en todas las regiones en las que AWS Config se admitía antes de febrero de 2022. Estos recursos de IAM globales no se pueden registrar en las regiones admitidas AWS Config después de febrero de 2022.

Tipos de recursos globales | Recursos de IAM

Los siguientes tipos de recursos de IAM son recursos globales: usuarios, grupos, roles y políticas administradas por el cliente de IAM. Estos tipos de recursos se pueden registrar AWS Config en las regiones en las que AWS Config estaban disponibles antes de febrero de 2022. Esta lista en la que no se pueden registrar los tipos de recursos de IAM globales incluye las siguientes regiones: Asia Pacífico (Hyderabad), Asia Pacífico (Malasia), Asia Pacífico (Melbourne), Asia Pacífico (Tailandia), Canadá oeste (Calgary), Europa (España), Europa (Zúrich), Israel (Tel Aviv), México (Central) y Oriente Medio (Emiratos Árabes Unidos).

Para evitar la duplicación de elementos de configuración (CIs), debería considerar registrar solo los tipos de recursos de IAM globales una vez en una de las regiones compatibles. Esto también puede ayudarle a evitar las evaluaciones innecesarias y la limitación de las API.

Tipos de recursos globales | Solo en la región de origen

Los recursos globales para los siguientes servicios solo se registran AWS Config en la región de origen del tipo de recurso global: Amazon Elastic Container Registry Public AWS Global Accelerator, Amazon Route 53 CloudFront, Amazon y AWS WAF. Para estos recursos globales, se puede usar la misma instancia del tipo de recurso en varias AWS regiones, pero los elementos de configuración (CIs) solo se registran en la región de origen de la partición comercial o AWS GovCloud (EE. UU. al oeste) para la AWS GovCloud (US) partición.

Regiones de origen para los tipos de recurso globales
AWS Servicio	Valor de tipo de recurso	Región de origen
Amazon Elastic Container Registry Public	`AWS::ECR::PublicRepository`	Región Este de EE. UU. (Norte de Virginia)
AWS Global Accelerator	`AWS::GlobalAccelerator::Listener`	Región del Oeste de EE. UU (Oregón)
	`AWS::GlobalAccelerator::EndpointGroup`	Región del Oeste de EE. UU (Oregón)
	`AWS::GlobalAccelerator::Accelerator`	Región del Oeste de EE. UU (Oregón)
Amazon Route 53	`AWS::Route53::HostedZone`	Región Este de EE. UU. (Norte de Virginia)
Amazon Route 53	`AWS::Route53::HealthCheck`	Región Este de EE. UU. (Norte de Virginia)
Amazon CloudFront	`AWS::CloudFront::Distribution`	Región Este de EE. UU. (Norte de Virginia)
AWS WAF	`AWS::WAFv2::WebACL`	Región Este de EE. UU. (Norte de Virginia)

Tipos de recursos globales | clústeres globales de Aurora

AWS::RDS::GlobalClusteres un recurso global que se registra en todas AWS Config las regiones compatibles en las que está activado el registrador de configuración gestionado por el cliente. Este tipo de recurso global es único, ya que si habilita el registro de este recurso en una región, AWS Config registrará los elementos de configuración (CIs) de este tipo de recurso en todas las regiones habilitadas.

Si no desea registrar AWS::RDS::GlobalCluster en todas las regiones habilitadas, utilice una de las siguientes estrategias de registro para la consola de AWS Config :

Registre todos los tipos de recursos con anulaciones personalizables, elija GlobalCluster «AWS RDS» y elija la anulación «Excluir de la grabación»
Registrar los tipos de recurso específicos.

Si no desea registrar AWS::RDS::GlobalCluster en todas las regiones habilitadas, utilice una de las siguientes estrategias de registro para API/CLI:

Registrar todos los tipos de recursos actuales y futuros con exclusiones (EXCLUSION_BY_RESOURCE_TYPES)
Registrar los tipos de recursos específicos (INCLUSION_BY_RESOURCE_TYPES).

AWS Config Reglas y tipos de recursos globales

Los tipos de recursos de IAM globales incorporados antes de febrero de 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role, yAWS::IAM::User) solo se pueden registrar AWS Config en las regiones en las que AWS Config estaban disponibles antes de febrero de 2022. Estos tipos de recursos de IAM globales no se pueden registrar en las regiones admitidas después de febrero de AWS Config 2022. Para obtener una lista de esas regiones, consulte Recording AWS Resources | Global Resources.

Si registra los tipos de recursos de IAM globales en al menos una región, las reglas periódicas que informan del cumplimiento de los tipos de recursos de IAM globales realizarán evaluaciones en todas las regiones en las que se añada la regla periódica, aunque no haya activado el registro de tipos de recursos de IAM globales en la región en la que se ha añadido la regla periódica.

Prácticas recomendadas para informar sobre el cumplimiento de los recursos globales incorporados antes de febrero de 2022

Para evitar evaluaciones innecesarias, solo debes implementar AWS Config reglas y paquetes de conformidad que incluyan estos recursos globales en una de las regiones compatibles. Para saber qué reglas administradas son compatibles en cada región, consulte la lista List of AWS Config Managed Rules by Region Availability. Esto se aplica a AWS Config las reglas, a AWS Config las reglas organizativas y también a las reglas creadas por otros AWS servicios, como AWS Security Hub y AWS Control Tower.

Si no va a registrar los tipos de recursos globales incorporados antes de febrero de 2022, se recomienda no activar las siguientes reglas periódicas para evitar evaluaciones innecesarias:

Prácticas recomendadas para informar sobre el cumplimiento de los recursos globales incorporados después de febrero de 2022

Los tipos de recursos globales incorporados a la AWS Config grabación después de febrero de 2022 solo se registrarán en la región de origen del servicio en el caso de la partición comercial y AWS GovCloud (EE. UU. al oeste) en el caso de la partición. AWS GovCloud (US) Debe implementar AWS Config reglas y paquetes de conformidad que incluyan estos recursos globales solo en la región de origen del tipo de recurso. Para obtener más información, consulte Home Regions for Global Resource Types.

Frecuencia de grabación para AWS Config

AWS Config admite la grabación continua y la grabación diaria. El registro continuo permite registrar los cambios de configuración de forma continua siempre que se produzca un cambio. El registro diario permite recibir un elemento de configuración (CI) que representa el estado más reciente de sus recursos durante el último período de 24 horas, solo si es diferente del CI anterior registrado. Si desea saber cuáles son los pasos para cambiar la frecuencia de grabación, consulte Changing Recording Frequency.

Registro continuo

Algunos de los beneficios del registro continuo son:

Supervisión en tiempo real: el registro continuo puede proporcionar una detección inmediata de cambios no autorizados o alteraciones inesperadas, lo que puede mejorar sus esfuerzos de seguridad y cumplimiento.
Análisis detallado: el registro continuo le permite analizar en profundidad los cambios de configuración de sus recursos a medida que se producen, lo que le permite identificar patrones y tendencias en cualquier momento.

Registro diario

Algunos de los beneficios del registro diario son:

Interrupción mínima: el registro diario puede proporcionarle un flujo de información más manejable, lo que puede reducir la frecuencia de las notificaciones y la fatiga de las alertas.
Rentabilidad: el registro diario puede proporcionarle la flexibilidad de registrar los cambios en sus recursos con una frecuencia menor, lo que puede reducir los costes relacionados con la cantidad de cambios de configuración registrados.

nota

AWS Firewall Manager depende de la grabación continua para monitorear sus recursos. Si utiliza Firewall Manager, se recomienda configurar la frecuencia de registro en Continua.

recursos no registrados

Si un recurso no está registrado, AWS Config captura solo la creación y la eliminación de ese recurso, sin ningún otro detalle, sin coste alguno para usted. Cuando se crea o elimina un recurso no registrado, AWS Config envía una notificación y muestra el evento en la página de detalles del recurso. La página de detalles de un recurso no registrado proporciona valores nulos para la mayoría de los detalles de la configuración y no proporciona información acerca de las relaciones y los cambios de configuración.

nota

Los tipos de AWS::IAM::Role recursos AWS::IAM::User AWS::IAM::PolicyAWS::IAM::Group,,, solo capturarán los estados de creación (ResourceNotRecorded) y eliminación (ResourceDeletedNotRecorded) si el recurso se seleccionó o se seleccionó anteriormente como recurso para registrarlo en el registrador de configuración administrado por el cliente.

nota

Los elementos de configuración (CIs) para los tipos de recursos ResourceNotRecorded y ResourceDeletedNotRecorded no siguen el tiempo de registro típico para los tipos de recursos. Estos tipos de recursos solo se registran durante el proceso periódico de referencia del registrador de configuración gestionado por el cliente, que es menos frecuente que el de los demás tipos de recursos.

nota

En el caso de los grabadores de configuración vinculados a servicios, el alcance del registro determina si recibe los elementos de configuración () CIs en el canal de entrega. El alcance del registro lo establece el servicio que está vinculado al grabador de configuración. Si el alcance de grabación es interno, no lo recibirás CIs en el canal de entrega.

La información de relación que AWS Config proporciona los recursos registrados no está limitada debido a la falta de datos en los recursos no registrados. Si un recurso registrado está relacionado con un recurso no registrado, esa relación se proporciona en la página de detalles del recurso registrado.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cobertura de los recursos según la disponibilidad por región

Recursos de grabación (consola)