Consideraciones Recursos regionales y globales AWS Config Reglas y tipos de recursos globales Recursos no registrados

AWS Recursos de grabación

AWS Config detecta continuamente cuándo se crean, modifican o eliminan los tipos de recursos compatibles. AWS Config registra estos eventos como elementos de configuración (CIs). Puede personalizar AWS Config para que registre los cambios de configuración de todos los tipos de recurso admitidos o únicamente de aquellos tipos que sean relevantes para usted. Para obtener una lista de los tipos de recursos compatibles que AWS Config se pueden registrar, consulteTipos de recursos admitidos.

Temas

Consideraciones

Número elevado de AWS Config evaluaciones

Es posible que notes un aumento de la actividad en tu cuenta durante el primer mes de grabación con AWS Config en comparación con los meses siguientes. Durante el proceso de arranque inicial, AWS Config realiza evaluaciones de todos los recursos de tu cuenta que hayas seleccionado para AWS Config registrarlos.

Si ejecuta cargas de trabajo efímeras, es posible que vea un aumento de la actividad debido a que registra los cambios de AWS Config configuración asociados con la creación y la eliminación de estos recursos temporales. Una carga de trabajo efímera es el uso temporal de recursos informáticos que se cargan y ejecutan cuando es necesario. Los ejemplos incluyen Amazon Elastic Compute Cloud (AmazonEC2) Spot Instances, Amazon EMR Jobs y AWS Auto Scaling. Si quiere evitar el aumento de actividad derivado de la ejecución de cargas de trabajo efímeras, puede configurar el registrador de configuración para que no se registren estos tipos de recursos o ejecutar estos tipos de cargas de trabajo en una cuenta independiente con la opción AWS Config desactivada para evitar aumentar el registro de la configuración y las evaluaciones de las reglas.

Disponibilidad por región

Antes de especificar el tipo de recurso del que se AWS Config va a realizar el seguimiento, compruebe la disponibilidad de los recursos por región para comprobar si el tipo de recurso es compatible con la AWS región en la que lo configuró. AWS Config Si al menos una región admite un tipo de recurso, puede habilitar el registro de ese tipo de recurso en todas las regiones admitidas AWS Config, incluso si el tipo de recurso especificado no es compatible con la AWS región en la que lo configuró AWS Config. AWS Config

¿En qué se diferencian los recursos regionales y globales?

Recursos regionales

Los recursos regionales están vinculados a una región y solo se pueden utilizar en esa región. Los crea en una región específica y Región de AWS, después, existen en esa región. Para ver esos recursos o interactuar con ellos, debe dirigir sus operaciones hacia esa región. Por ejemplo, para crear una EC2 instancia de Amazon con AWS Management Console, eliges en qué quieres crear la instancia. Región de AWS Si utilizas el AWS Command Line Interface (AWS CLI) para crear la instancia, incluyes el --region parámetro. AWS SDKsCada uno tiene su propio mecanismo equivalente para especificar la región que utiliza la operación.

Existen varios motivos para utilizar los recursos regionales. Una razón es asegurarse de que los recursos y los puntos de conexión de servicio que se utilizan para acceder a ellos estén lo más cerca posible del cliente. Esto mejora el rendimiento al minimizar la latencia. Otra razón es proporcionar un límite de aislamiento. Esto permite crear copias independientes de los recursos en varias regiones para distribuir la carga y mejorar la escalabilidad. Al mismo tiempo, aísla los recursos unos de otros para mejorar la disponibilidad.

Si especificas otro Región de AWS en la consola o en un AWS CLI comando, ya no podrás ver ni interactuar con los recursos que veías en la región anterior.

Al buscar el nombre del recurso de Amazon (ARN) de un recurso regional, la región que contiene el recurso se especifica como el cuarto campo delARN. Por ejemplo, una EC2 instancia de Amazon es un recurso regional. El siguiente es un ejemplo de una ARN EC2 instancia de Amazon que existe en la us-east-1 región.


arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee

Recursos globales

Algunos recursos de AWS servicios son recursos globales, lo que significa que puede utilizar el recurso desde cualquier lugar. No se especifica ninguna Región de AWS en la consola de un servicio global. Para acceder a un recurso global, no se especifica ningún --region parámetro al utilizar las AWS SDK operaciones AWS CLI y del servicio.

Los recursos globales admiten casos en los que es fundamental que solo pueda existir una instancia de un recurso concreto a la vez. En estos escenarios, la replicación o la sincronización entre copias en diferentes regiones no son adecuadas. Tener que acceder a un único punto de conexión global, con el posible aumento de la latencia, se considera aceptable para garantizar que cualquier cambio sea visible de forma instantánea para los consumidores del recurso.

Por ejemplo, los clústeres globales de Amazon Aurora (AWS::RDS::GlobalCluster) son recursos globales y, por lo tanto, no están vinculados a una región. Esto significa que puede crear un clúster global sin depender de un punto de conexión regional. La ventaja es que, si bien el propio Amazon Relational Database Service (RDSAmazon) está organizado por regiones, la región específica en la que se origina un clúster global no afecta al clúster global. Aparece como un clúster global único y continuo en todas las regiones.

El nombre del recurso de Amazon (ARN) de un recurso global no incluye una región. El cuarto campo está vacío, como en el siguiente ejemplo de un ARN clúster global.


arn:aws:rds::123456789012:global-cluster:test-global-cluster

importante

Los tipos de recursos globales incorporados AWS Config después de febrero de 2022 solo se registrarán en la región de origen del servicio en el caso de la partición comercial y AWS GovCloud (EE. UU. al oeste) en el caso de la partición. GovCloud Puede ver los elementos de configuración (CIs) de estos nuevos tipos de recursos globales solo en su región de origen y AWS GovCloud (EE. UU. al oeste).

Los tipos de recursos globales incorporados antes de febrero de 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role yAWS::IAM::User) permanecen sin cambios. Puede habilitar el registro de estos IAM recursos globales en todas las regiones en las que AWS Config se admitía antes de febrero de 2022. Estos IAM recursos globales no se pueden registrar en las regiones admitidas AWS Config después de febrero de 2022.

Tipos de recursos globales | IAM recursos

Los siguientes tipos de IAM recursos son recursos globales: IAM usuarios, grupos, roles y políticas administradas por el cliente. Estos tipos de recursos se pueden registrar AWS Config en las regiones en las que AWS Config estaban disponibles antes de febrero de 2022. Esta lista en la que no se pueden registrar los tipos de IAM recursos globales incluye las siguientes regiones: Asia Pacífico (Hyderabad), Asia Pacífico (Malasia), Asia Pacífico (Melbourne), Canadá occidental (Calgary), Europa (España), Europa (Zúrich), Israel (Tel Aviv) y Oriente Medio (). UAE

Para evitar la duplicación de los elementos de configuración (CIs), debería considerar registrar solo los tipos de IAM recursos globales una vez en una de las regiones compatibles. Esto también puede ayudarle a evitar evaluaciones y limitaciones innecesarias. API

Tipos de recursos globales | Solo en la región de origen

Los recursos globales para los siguientes servicios solo se registran AWS Config en la región de origen del tipo de recurso global: Amazon Elastic Container Registry Public AWS Global Accelerator, Amazon Route 53 CloudFront, Amazon y AWS WAF. Para estos recursos globales, se puede usar la misma instancia del tipo de recurso en varias AWS regiones, pero los elementos de configuración (CIs) solo se registran en la región de origen de la partición comercial o AWS GovCloud (EE. UU. al oeste) para la AWS GovCloud (US) partición.

Regiones de origen para los tipos de recurso globales
AWS Servicio	Valor de tipo de recurso	Región de origen
Amazon Elastic Container Registry Public	`AWS::ECR::PublicRepository`	Región del este de EE. UU. (Norte de Virginia)
AWS Global Accelerator	`AWS::GlobalAccelerator::Listener`	Región del oeste de EE. UU (Oregón)
	`AWS::GlobalAccelerator::EndpointGroup`	Región del oeste de EE. UU (Oregón)
	`AWS::GlobalAccelerator::Accelerator`	Región del oeste de EE. UU (Oregón)
Amazon Route 53	`AWS::Route53::HostedZone`	Región del este de EE. UU. (Norte de Virginia)
Amazon Route 53	`AWS::Route53::HealthCheck`	Región del este de EE. UU. (Norte de Virginia)
Amazon CloudFront	`AWS::CloudFront::Distribution`	Región del este de EE. UU. (Norte de Virginia)
AWS WAF	`AWS::WAFv2::WebACL`	Región del este de EE. UU. (Norte de Virginia)

Tipos de recursos globales | clústeres globales de Aurora

AWS::RDS::GlobalClusteres un recurso global que se registra en todas AWS Config las regiones compatibles en las que está activado el registrador de configuración. Este tipo de recurso global es único, ya que si habilita el registro de este recurso en una región, AWS Config registrará los elementos de configuración (CIs) de este tipo de recurso en todas las regiones habilitadas.

Si no desea grabar AWS::RDS::GlobalCluster en todas las regiones habilitadas, utilice una de las siguientes estrategias de grabación para la AWS Config consola:

Graba todos los tipos de recursos con anulaciones personalizables, selecciona «AWS RDS GlobalCluster«y selecciona la anulación «Excluir de la grabación»
Registrar los tipos de recurso específicos.

Si no desea grabar AWS::RDS::GlobalCluster en todas las regiones habilitadas, utilice una de las siguientes estrategias de grabación para/: API CLI

Registrar todos los tipos de recursos actuales y futuros con exclusiones (EXCLUSION_BY_RESOURCE_TYPES)
Registrar los tipos de recursos específicos (INCLUSION_BY_RESOURCE_TYPES).

AWS Config Reglas y tipos de recursos globales

Los tipos de IAM recursos globales incorporados antes de febrero de 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role, yAWS::IAM::User) solo se pueden registrar AWS Config en las regiones en las que AWS Config estaban disponibles antes de febrero de 2022. Estos tipos de IAM recursos globales no se pueden registrar en las regiones admitidas AWS Config después de febrero de 2022. Para ver una lista de esas regiones, consulta AWS Recursos de grabación | Recursos globales.

Si registra un tipo de IAM recurso global en al menos una región, las normas periódicas que notifican el cumplimiento del tipo de IAM recurso global realizarán evaluaciones en todas las regiones en las que se añada la regla periódica, incluso si no ha activado el registro del tipo de IAM recurso global en la región en la que se agregó la regla periódica.

Las mejores prácticas para informar sobre el cumplimiento de los recursos globales incorporados antes de febrero de 2022

Para evitar evaluaciones innecesarias, solo debes implementar AWS Config reglas y paquetes de conformidad que incluyan estos recursos globales en una de las regiones compatibles. Para ver una lista de las reglas gestionadas que se admiten en cada región, consulte la lista de reglas AWS Config gestionadas por disponibilidad regional. Esto se aplica a AWS Config las reglas, a AWS Config las reglas organizativas y también a las reglas creadas por otros AWS servicios, como AWS Security Hub y AWS Control Tower.

Si no va a registrar los tipos de recursos globales incorporados antes de febrero de 2022, se recomienda no activar las siguientes reglas periódicas para evitar evaluaciones innecesarias:

Las mejores prácticas para informar sobre el cumplimiento de los recursos globales incorporados después de febrero de 2022

Los tipos de recursos globales incorporados a la AWS Config grabación después de febrero de 2022 se registrarán únicamente en la región de origen del servicio en el caso de la partición comercial y AWS GovCloud (EE. UU. al oeste) en el caso de la partición. AWS GovCloud (US) Debe implementar AWS Config reglas y paquetes de conformidad que incluyan estos recursos globales solo en la región de origen del tipo de recurso. Para obtener más información, consulte las regiones de origen para ver los tipos de recursos globales.

Recursos no registrados

Si un recurso no está registrado, AWS Config captura solo la creación y eliminación de ese recurso, sin ningún otro detalle, sin coste alguno para usted. Cuando se crea o elimina un recurso no registrado, AWS Config envía una notificación y muestra el evento en la página de detalles del recurso. La página de detalles de un recurso no registrado proporciona valores nulos para la mayoría de los detalles de la configuración y no proporciona información acerca de las relaciones y los cambios de configuración.

nota

Los tipos de recurso AWS::IAM::User, AWS::IAM::Policy, AWS::IAM::Group y AWS::IAM::Role solo capturarán los estados de creación (ResourceNotRecorded) y eliminación (ResourceDeletedNotRecorded) si el recurso se ha seleccionado (o se seleccionó anteriormente) como recurso para registrarlo en el registrador de configuración.

nota

Los elementos de configuración (CIs) ResourceDeletedNotRecorded corresponden ResourceNotRecorded y no siguen el tiempo de registro habitual para los tipos de recursos. Estos tipos de recursos solo se registran durante el proceso periódico de referencia del grabador de configuración, que tiene un ritmo menos frecuente que el de los demás tipos de recursos.

La información de relación que AWS Config proporciona los recursos registrados no está limitada debido a la falta de datos en los recursos no registrados. Si un recurso registrado está relacionado con un recurso no registrado, esa relación se proporciona en la página de detalles del recurso registrado.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cobertura de los recursos según la disponibilidad por región

Registro de recursos (consola)