Consideraciones Recursos regionales y globales AWS Config Reglas y tipos de recursos globales Recursos no registrados

Registro AWS Recursos

AWS Config detecta continuamente cuándo se crean, modifican o eliminan los tipos de recursos compatibles. AWS Config registra estos eventos como elementos de configuración (CIs). Se puede personalizar AWS Config para registrar los cambios de configuración de todos los tipos de recursos compatibles o solo de los tipos de recursos compatibles que sean relevantes para usted. Para obtener una lista de los tipos de recursos compatibles que AWS Config puede grabar, consulteTipos de recursos admitidos.

Temas

Consideraciones

Número alto de AWS Config Evaluaciones

Es posible que notes un aumento de la actividad en tu cuenta durante el primer mes de grabación con AWS Config en comparación con los meses siguientes. Durante el proceso de arranque inicial, AWS Config realiza evaluaciones de todos los recursos de su cuenta que haya seleccionado AWS Config para grabar.

Si ejecuta cargas de trabajo efímeras, es posible que vea un aumento de la actividad de AWS Config ya que registra los cambios de configuración asociados a la creación y eliminación de estos recursos temporales. Una carga de trabajo efímera es el uso temporal de recursos informáticos que se cargan y ejecutan cuando es necesario. Algunos ejemplos son las instancias puntuales de Amazon Elastic Compute Cloud (AmazonEC2), Amazon EMR Jobs y AWS Auto Scaling. Si quiere evitar el aumento de actividad derivado de la ejecución de cargas de trabajo efímeras, puede configurar el grabador de configuración para impedir que se registren estos tipos de recursos o ejecutar estos tipos de cargas de trabajo en una cuenta independiente con AWS Config desactivado para evitar aumentar el registro de la configuración y la evaluación de las reglas.

Disponibilidad por región

Antes de especificar un tipo de recurso para AWS Config para realizar un seguimiento, compruebe la disponibilidad de la cobertura de recursos por región para comprobar si el tipo de recurso es compatible con el AWS Región en la que lo configuraste AWS Config. Si un tipo de recurso es compatible con AWS Config en al menos una región, puede habilitar el registro de ese tipo de recurso en todas las regiones compatibles con AWS Config, incluso si el tipo de recurso especificado no es compatible con el AWS Región en la que se ha configurado AWS Config.

¿En qué se diferencian los recursos regionales y globales?

Recursos regionales

Los recursos regionales están vinculados a una región y solo se pueden utilizar en esa región. Los creas en un lugar específico Región de AWS, y entonces existen en esa región. Para ver esos recursos o interactuar con ellos, debe dirigir sus operaciones hacia esa región. Por ejemplo, para crear una EC2 instancia de Amazon con AWS Management Console, eliges el Región de AWSen el que quieres crear la instancia. Si utiliza el AWS Command Line Interface (AWS CLI) para crear la instancia y, a continuación, incluye el --region parámetro. La AWS SDKscada uno tiene su propio mecanismo equivalente para especificar la región que utiliza la operación.

Existen varios motivos para utilizar los recursos regionales. Una razón es asegurarse de que los recursos y los puntos de conexión de servicio que se utilizan para acceder a ellos estén lo más cerca posible del cliente. Esto mejora el rendimiento al minimizar la latencia. Otra razón es proporcionar un límite de aislamiento. Esto permite crear copias independientes de los recursos en varias regiones para distribuir la carga y mejorar la escalabilidad. Al mismo tiempo, aísla los recursos unos de otros para mejorar la disponibilidad.

Si especifica una diferente Región de AWS en la consola o en un AWS CLI comando, entonces ya no podrás ver ni interactuar con los recursos que podías ver en la región anterior.

Al buscar el nombre del recurso de Amazon (ARN) de un recurso regional, la región que contiene el recurso se especifica como el cuarto campo delARN. Por ejemplo, una EC2 instancia de Amazon es un recurso regional. El siguiente es un ejemplo de una ARN EC2 instancia de Amazon que existe en la us-east-1 región.


arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee

Recursos globales

Alguno AWS los recursos de servicios son recursos globales, lo que significa que puede utilizar el recurso desde cualquier lugar. No especificas un Región de AWS en la consola de un servicio global. Para acceder a un recurso global, no se especifica ningún --region parámetro al utilizar el servicio AWS CLI y AWS SDKoperaciones.

Los recursos globales admiten casos en los que es fundamental que solo pueda existir una instancia de un recurso concreto a la vez. En estos escenarios, la replicación o la sincronización entre copias en diferentes regiones no son adecuadas. Tener que acceder a un único punto de conexión global, con el posible aumento de la latencia, se considera aceptable para garantizar que cualquier cambio sea visible de forma instantánea para los consumidores del recurso.

Por ejemplo, los clústeres globales de Amazon Aurora (AWS::RDS::GlobalCluster) son recursos globales y, por lo tanto, no están vinculados a una región. Esto significa que puede crear un clúster global sin depender de un punto de conexión regional. La ventaja es que, si bien el propio Amazon Relational Database Service (RDSAmazon) está organizado por regiones, la región específica en la que se origina un clúster global no afecta al clúster global. Aparece como un clúster global único y continuo en todas las regiones.

El nombre del recurso de Amazon (ARN) de un recurso global no incluye una región. El cuarto campo está vacío, como en el siguiente ejemplo de un ARN clúster global.


arn:aws:rds::123456789012:global-cluster:test-global-cluster

importante

Tipos de recursos globales integrados en AWS Config después de febrero de 2022 solo se registrarán en la región de origen del servicio para la partición comercial y AWS GovCloud (EE.UU.-Oeste) para la GovCloud partición. Puede ver los elementos de configuración (CIs) de estos nuevos tipos de recursos globales solo en su región de origen y AWS GovCloud (EE. UU. al oeste).

Los tipos de recursos globales incorporados antes de febrero de 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role yAWS::IAM::User) permanecen sin cambios. Puede habilitar el registro de estos IAM recursos globales en todas las regiones donde AWS Config estaba disponible antes de febrero de 2022. Estos IAM recursos globales no se pueden registrar en las regiones compatibles con AWS Config después de febrero de 2022.

Tipos de recursos globales | IAM recursos

Los siguientes tipos de IAM recursos son recursos globales: IAM usuarios, grupos, roles y políticas administradas por el cliente. Estos tipos de recursos se pueden registrar mediante AWS Config en las regiones donde AWS Config estaba disponible antes de febrero de 2022. Esta lista, en la que no se pueden registrar los tipos de IAM recursos globales, incluye las siguientes regiones: Asia Pacífico (Hyderabad), Asia Pacífico (Malasia), Asia Pacífico (Melbourne), Canadá occidental (Calgary), Europa (España), Europa (Zúrich), Israel (Tel Aviv) y Oriente Medio (). UAE

Para evitar la duplicación de los elementos de configuración (CIs), debería considerar registrar solo los tipos de IAM recursos globales una vez en una de las regiones compatibles. Esto también puede ayudarle a evitar evaluaciones y limitaciones innecesarias. API

Tipos de recursos globales | Solo en la región de origen

Los recursos globales para los siguientes servicios solo los registran AWS Config en la región de origen del tipo de recurso global: Amazon Elastic Container Registry Public, AWS Global Accelerator, Amazon Route 53 CloudFront, Amazon y AWS WAF. Para estos recursos globales, se puede usar la misma instancia del tipo de recurso en varios AWS Regiones, pero los elementos de configuración (CIs) solo se registran en la región de origen para la partición comercial o AWS GovCloud (EE. UU. Oeste) para AWS GovCloud (US) partición.

Regiones de origen para los tipos de recurso globales
AWS Servicio	Valor de tipo de recurso	Región de origen
Amazon Elastic Container Registry Public	`AWS::ECR::PublicRepository`	Región del este de EE. UU. (Norte de Virginia)
AWS Global Accelerator	`AWS::GlobalAccelerator::Listener`	Región del oeste de EE. UU (Oregón)
	`AWS::GlobalAccelerator::EndpointGroup`	Región del oeste de EE. UU (Oregón)
	`AWS::GlobalAccelerator::Accelerator`	Región del oeste de EE. UU (Oregón)
Amazon Route 53	`AWS::Route53::HostedZone`	Región del este de EE. UU. (Norte de Virginia)
Amazon Route 53	`AWS::Route53::HealthCheck`	Región del este de EE. UU. (Norte de Virginia)
Amazon CloudFront	`AWS::CloudFront::Distribution`	Región del este de EE. UU. (Norte de Virginia)
AWS WAF	`AWS::WAFv2::WebACL`	Región del este de EE. UU. (Norte de Virginia)

Tipos de recursos globales | clústeres globales de Aurora

AWS::RDS::GlobalClusteres un recurso global que se registra en todos los compatibles AWS Config Regiones en las que la grabadora de configuración está habilitada. Este tipo de recurso global es único en el sentido de que si se habilita el registro de este recurso en una región, AWS Config registrará los elementos de configuración (CIs) para este tipo de recurso en todas las regiones habilitadas.

Si no desea grabar AWS::RDS::GlobalCluster en todas las regiones habilitadas, utilice una de las siguientes estrategias de grabación para AWS Config consola:

Registre todos los tipos de recursos con anulaciones personalizables, elija»AWS RDS GlobalCluster«, y selecciona la opción de anulación «Excluir de la grabación»
Registrar los tipos de recurso específicos.

Si no desea grabar AWS::RDS::GlobalCluster en todas las regiones habilitadas, utilice una de las siguientes estrategias de grabación paraAPI/CLI:

Registrar todos los tipos de recursos actuales y futuros con exclusiones (EXCLUSION_BY_RESOURCE_TYPES)
Registrar los tipos de recursos específicos (INCLUSION_BY_RESOURCE_TYPES).

AWS Config Reglas y tipos de recursos globales

Los tipos IAM de recursos globales incorporados antes de febrero de 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role, yAWS::IAM::User) solo pueden registrarse mediante AWS Config en las regiones donde AWS Config estaba disponible antes de febrero de 2022. Estos tipos IAM de recursos globales no se pueden registrar en las regiones compatibles con AWS Config después de febrero de 2022. Para obtener una lista de esas regiones, consulte Grabación AWS Recursos | Recursos globales.

Si registra un tipo de IAM recurso global en al menos una región, las reglas periódicas que informan del cumplimiento del tipo de IAM recurso global realizarán evaluaciones en todas las regiones en las que se agregue la regla periódica, incluso si no ha habilitado el registro del tipo de IAM recurso global en la región en la que se agregó la regla periódica.

Las mejores prácticas para informar sobre el cumplimiento de los recursos globales incorporados antes de febrero de 2022

Para evitar evaluaciones innecesarias, solo debe implementar AWS Config reglas y paquetes de conformidad que incluyan estos recursos globales en una de las regiones compatibles. Para ver una lista de las reglas gestionadas que se admiten en qué regiones, consulte la Lista de AWS Config Disponibilidad de las reglas administradas por región. Esto se aplica a AWS Config reglas, organizativas AWS Config reglas, y también reglas creadas por otros AWS servicios, como AWS Security Hub y AWS Control Tower.

Si no va a registrar los tipos de recursos globales incorporados antes de febrero de 2022, se recomienda no activar las siguientes reglas periódicas para evitar evaluaciones innecesarias:

Las mejores prácticas para informar sobre el cumplimiento de los recursos globales incorporados después de febrero de 2022

Tipos de recursos globales incorporados a AWS Config las grabaciones posteriores a febrero de 2022 se grabarán únicamente en la región de origen del servicio para la partición comercial y AWS GovCloud (US-West) para el AWS GovCloud (US) partición. Deberías desplegar AWS Config reglas y paquetes de conformidad que incluyan estos recursos globales solo en la región de origen del tipo de recurso. Para obtener más información, consulte las regiones de origen para ver los tipos de recursos globales.

Recursos no registrados

Si un recurso no está registrado, AWS Config captura únicamente la creación y eliminación de ese recurso, y no otros detalles, sin coste alguno para usted. Cuando se crea o elimina un recurso no registrado, AWS Config envía una notificación y muestra el evento en la página de detalles del recurso. La página de detalles de un recurso no registrado proporciona valores nulos para la mayoría de los detalles de la configuración y no proporciona información acerca de las relaciones y los cambios de configuración.

nota

Los tipos de recurso AWS::IAM::User, AWS::IAM::Policy, AWS::IAM::Group y AWS::IAM::Role solo capturarán los estados de creación (ResourceNotRecorded) y eliminación (ResourceDeletedNotRecorded) si el recurso se ha seleccionado (o se seleccionó anteriormente) como recurso para registrarlo en el registrador de configuración.

nota

Los elementos de configuración (CIs) ResourceDeletedNotRecorded corresponden ResourceNotRecorded y no siguen el tiempo de registro habitual para los tipos de recursos. Estos tipos de recursos solo se registran durante el proceso periódico de referencia del grabador de configuración, que tiene un ritmo menos frecuente que el de los demás tipos de recursos.

La información de relación que AWS Config proporciona recursos registrados y no está limitado debido a la falta de datos en los recursos no registrados. Si un recurso registrado está relacionado con un recurso no registrado, esa relación se proporciona en la página de detalles del recurso registrado.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cobertura de los recursos según la disponibilidad por región

Registro de recursos (consola)