Registro de recursos de AWS - AWS Config
ConsideracionesRecursos regionales y globalesReglas y tipos de recursos globales de AWS ConfigRecursos no registrados

Registro de recursos de AWS

AWS Config detecta continuamente cuándo se crean, cambian o eliminan los tipos de recursos admitidos. AWS Config registra estos eventos como elementos de configuración (CI). Puede personalizar AWS Config para que registre los cambios de configuración de todos los tipos de recurso admitidos o únicamente de aquellos tipos que sean relevantes para usted. Para obtener una lista de los tipos de recursos admitidos que puede registrar AWS Config, consulte Tipos de recursos admitidos.

Temas

Consideraciones

Elevado número de evaluaciones de AWS Config

Es posible que advierta un aumento de la actividad en su cuenta durante el primer mes de registro de AWS Config en comparación con los meses siguientes. Durante el proceso de arranque inicial, AWS Config realiza evaluaciones de todos los recursos de la cuenta seleccionados para que AWS Config los registre.

Si ejecuta cargas de trabajo efímeras, es posible que vea un aumento de la actividad de AWS Config debido a que registra los cambios de configuración asociados con la creación y la eliminación de estos recursos temporales. Una carga de trabajo efímera es el uso temporal de recursos informáticos que se cargan y ejecutan cuando es necesario. Los ejemplos incluyen instancias de spot de Amazon Elastic Compute Cloud (Amazon EC2), trabajos de Amazon EMR y AWS Auto Scaling. Si quiere evitar el aumento de actividad derivado de la ejecución de cargas de trabajo efímeras, puede configurar el registrador de configuraciones de modo que excluya estos tipos de recursos de la grabación, o puede ejecutar estos tipos de cargas de trabajo en una cuenta independiente con la opción AWS Config desactivada para evitar aumentar el registro de la configuración y las evaluaciones de las reglas.

Disponibilidad por región

Antes de especificar el tipo de recurso del que AWS Config va a realizar el seguimiento, consulte Cobertura de recursos según la disponibilidad por región para comprobar si el tipo de recurso es compatible con la región de AWS en la que ha configurado AWS Config. Si AWS Config admite un tipo de recurso en como mínimo una región, puede habilitar el registro de ese tipo de recurso en todas las regiones admitidas por AWS Config, incluso si el tipo de recurso especificado no es compatible con la región de AWS en la que ha configurado AWS Config.

¿En qué se diferencian los recursos regionales y globales?

Recursos regionales

Los recursos regionales están vinculados a una región y solo se pueden utilizar en esa región. Los puede crear en una Región de AWS específica y, a continuación, existen en esa región. Para ver esos recursos o interactuar con ellos, debe dirigir sus operaciones hacia esa región. Por ejemplo, para crear una instancia de Amazon EC2 con la AWS Management Console, elige la Región de AWS en la que desea crear la instancia. Si usa AWS Command Line Interface (AWS CLI) para crear la instancia, incluye el parámetro --region. Cada uno de los SDK de AWS tiene su propio mecanismo equivalente para especificar la región que utiliza la operación.

Existen varios motivos para utilizar los recursos regionales. Una razón es asegurarse de que los recursos y los puntos de conexión de servicio que se utilizan para acceder a ellos estén lo más cerca posible del cliente. Esto mejora el rendimiento al minimizar la latencia. Otra razón es proporcionar un límite de aislamiento. Esto permite crear copias independientes de los recursos en varias regiones para distribuir la carga y mejorar la escalabilidad. Al mismo tiempo, aísla los recursos unos de otros para mejorar la disponibilidad.

Si especifica una Región de AWS diferente en la consola o en un comando de AWS CLI, ya no podrá ver ni interactuar con los recursos que vería en la región anterior.

Cuando consulta el nombre de recurso de Amazon (ARN) de un recurso regional, la región que contiene el recurso se especifica como el cuarto campo del ARN. Por ejemplo, una instancia de Amazon EC2 es un recurso regional. A continuación, se muestra un ejemplo de un ARN para una instancia de Amazon EC2 en la región de us-east-1.

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
Recursos globales

Algunos recursos de servicios de AWS son recursos globales, lo que significa que puede utilizar el recurso desde cualquier lugar. No se especifica ninguna Región de AWS en la consola de un servicio global. Para acceder a un recurso global, no se especifica un parámetro --region cuando se utiliza la AWS CLI y las operaciones del SDK de AWS del servicio.

Los recursos globales admiten casos en los que es fundamental que solo pueda existir una instancia de un recurso concreto a la vez. En estos escenarios, la replicación o la sincronización entre copias en diferentes regiones no son adecuadas. Tener que acceder a un único punto de conexión global, con el posible aumento de la latencia, se considera aceptable para garantizar que cualquier cambio sea visible de forma instantánea para los consumidores del recurso.

Por ejemplo, los clústeres globales de Amazon Aurora (AWS::RDS::GlobalCluster) son recursos globales y, por lo tanto, no están vinculados a una región. Esto significa que puede crear un clúster global sin depender de un punto de conexión regional. La ventaja es que, si bien el propio Amazon Relational Database Service (Amazon RDS) está organizado por regiones, la región específica en la que se origina un clúster global no afecta al clúster global. Aparece como un clúster global único y continuo en todas las regiones.

El nombre de recurso de Amazon (ARN) de un recurso global no incluye una región. El cuarto campo está vacío, como en el siguiente ejemplo de un ARN para un clúster global.

arn:aws:rds::123456789012:global-cluster:test-global-cluster
importante

Los tipos de recursos globales incorporados a AWS Config después de febrero de 2022 solo se registrarán en la región de origen del servicio para la partición comercial y en AWS GovCloud (Oeste de EE. UU.) para la partición de GovCloud. Solo puede ver los elementos de configuración (CI) de estos nuevos tipos de recursos globales en la región de origen y en AWS GovCloud (Oeste de EE. UU.).

Los tipos de recursos globales incorporados antes de febrero de 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role yAWS::IAM::User) permanecen sin cambios. Puede habilitar el registro de estos recursos de IAM globales en todas las regiones en las que AWS Config se admitía antes de febrero de 2022. Estos recursos de IAM globales no se pueden registrar en las regiones admitidas por AWS Config después de febrero de 2022.

Tipos de recursos globales | Recursos de IAM

Los siguientes tipos de recursos de IAM son recursos globales: usuarios, grupos, roles y políticas administradas por el cliente de IAM. Estos tipos de recursos se pueden registrar por AWS Config en las regiones en las que AWS Config estaba disponible antes de febrero de 2022. Esta lista incluye las regiones donde no puede registrar los tipos de registros de IAM globales: Asia-Pacífico (Hyderabad), Asia-Pacífico (Malasia) Asia-Pacífico (Melbourne), Oeste de Canadá (Calgary) Europa (España), Europa (Zúrich), Israel (Tel Aviv) y Medio Oriente (EAU).

Para evitar que los elementos de configuración (CI) se dupliquen, es muy recomendable que solo registre una vez los tipos de recursos de IAM globales, en una de las regiones admitidas. Esto también puede ayudarle a evitar las evaluaciones innecesarias y la limitación de las API.

Tipos de recursos globales | Solo en la región de origen

AWS Config solo registra los recursos globales de los siguientes servicios en la región de origen del tipo de recurso global: Amazon Elastic Container Registry Public, AWS Global Accelerator, Amazon Route 53, Amazon CloudFront y AWS WAF. Para estos recursos globales, se puede usar la misma instancia del tipo de recurso en varias regiones de AWS, pero los elementos de configuración (CI) solo se registran en la región de origen de la partición comercial o en AWS GovCloud (US-West) para la partición de AWS GovCloud (US).

Regiones de origen para los tipos de recurso globales
Servicio de AWS Valor de tipo de recurso Región de origen
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository Región del este de EE. UU. (Norte de Virginia)
AWS Global Accelerator AWS::GlobalAccelerator::Listener Región del oeste de EE. UU (Oregón)
AWS::GlobalAccelerator::EndpointGroup Región del oeste de EE. UU (Oregón)
AWS::GlobalAccelerator::Accelerator Región del oeste de EE. UU (Oregón)
Amazon Route 53 AWS::Route53::HostedZone Región del este de EE. UU. (Norte de Virginia)
AWS::Route53::HealthCheck Región del este de EE. UU. (Norte de Virginia)
Amazon CloudFront AWS::CloudFront::Distribution Región del este de EE. UU. (Norte de Virginia)
AWS WAF AWS::WAFv2::WebACL Región del este de EE. UU. (Norte de Virginia)
Tipos de recursos globales | clústeres globales de Aurora

AWS::RDS::GlobalCluster es un recurso global que se registra en todas las regiones de AWS Config admitidas en las que el registro de configuración está activado. Este tipo de recurso global es único, ya que si habilita el registro de este recurso en una región, AWS Config registrará los elementos de configuración (CI) de este tipo de recurso en todas las regiones habilitadas.

Si no desea registrar AWS::RDS::GlobalCluster en todas las regiones habilitadas, utilice una de las siguientes estrategias de registro para la consola de AWS Config:

  • Registrar todos los tipos de recursos con anulaciones personalizables, elija «AWS RDS GlobalCluster» y elija la opción de anulación «Excluir del registro»

  • Registrar los tipos de recurso específicos.

Si no desea registrar AWS::RDS::GlobalCluster en todas las regiones habilitadas, utilice una de las siguientes estrategias de registro para API/CLI:

  • Registrar todos los tipos de recursos actuales y futuros con exclusiones (EXCLUSION_BY_RESOURCE_TYPES)

  • Registrar los tipos de recursos específicos (INCLUSION_BY_RESOURCE_TYPES).

Reglas y tipos de recursos globales de AWS Config

Los tipos de recursos de IAM globales incorporados antes de febrero de 2022 (AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role y AWS::IAM::User) solo pueden ser registrados por AWS Config en todas las regiones donde AWS Config estuviera disponible antes de febrero de 2022. Estos tipos de recursos de IAM globales no se pueden registrar en las regiones admitidas por AWS Config después de febrero de 2022. Para obtener una lista de esas regiones, consulte Recording AWS Resources | Global Resources.

Si registra los tipos de recursos de IAM globales en al menos una región, las reglas periódicas que informan del cumplimiento de los tipos de recursos de IAM globales realizarán evaluaciones en todas las regiones en las que se añada la regla periódica, aunque no haya activado el registro de tipos de recursos de IAM globales en la región en la que se ha añadido la regla periódica.

Prácticas recomendadas para informar sobre el cumplimiento de los recursos globales incorporados antes de febrero de 2022

Para evitar evaluaciones innecesarias, solo debería implementar las reglas y los paquetes de conformidad de AWS Config que incluyan estos recursos globales en una de las regiones compatibles. Para saber qué reglas administradas son compatibles en cada región, consulte la lista List of AWS Config Managed Rules by Region Availability. Esto se aplica a las reglas de AWS Config, a las reglas de AWS Config organizativas y a las reglas creadas por otros servicios de AWS, como AWS Security Hub y AWS Control Tower.

Si no va a registrar los tipos de recursos globales incorporados antes de febrero de 2022, se recomienda no activar las siguientes reglas periódicas para evitar evaluaciones innecesarias:

Prácticas recomendadas para informar sobre el cumplimiento de los recursos globales incorporados después de febrero de 2022

Los tipos de recursos globales incorporados al registro de AWS Config después de febrero de 2022 solo se registrarán en la región de origen del servicio para la partición comercial y en AWS GovCloud (Oeste de EE. UU.) para la partición de AWS GovCloud (US). Solo debe implementar las reglas y los paquetes de conformidad de AWS Config que incluyan estos recursos globales en la región de origen del tipo de recurso. Para obtener más información, consulte Home Regions for Global Resource Types.

Recursos no registrados

Si un recurso no está registrado, AWS Config captura únicamente la creación y la eliminación de dicho recurso, pero ningún otro detalle, sin ningún costo para usted. Cuando se crea o se elimina un recurso no registrado, AWS Config envía una notificación y muestra el evento en la página de detalles de recursos. La página de detalles de un recurso no registrado proporciona valores nulos para la mayoría de los detalles de la configuración y no proporciona información acerca de las relaciones y los cambios de configuración.

nota

Los tipos de recurso AWS::IAM::User, AWS::IAM::Policy, AWS::IAM::Group y AWS::IAM::Role solo capturarán los estados de creación (ResourceNotRecorded) y eliminación (ResourceDeletedNotRecorded) si el recurso se ha seleccionado (o se seleccionó anteriormente) como recurso para registrarlo en el registrador de configuración.

nota

Los elementos de configuración (CI) para ResourceNotRecorded y ResourceDeletedNotRecorded no siguen el tiempo de registro típico para los tipos de recursos. Estos tipos de recursos solo se registran durante el proceso periódico de referencia del registrador de configuración, que tiene un ritmo menos frecuente que el de los demás tipos de recursos.

La información de relación que proporciona AWS Config para los recursos registrados no es limitada debido a los datos que faltan de los recursos no registrados. Si un recurso registrado está relacionado con un recurso no registrado, esa relación se proporciona en la página de detalles del recurso registrado.