Vea los datos del AWS Config registrador de las cuentas inscritas Solución de problemas AWS Config en la Torre AWS de Control

Supervise los cambios en los recursos con AWS Config

AWSControl Tower habilita todas AWS Config las cuentas inscritas, de modo que puede supervisar el cumplimiento mediante controles de detección, registrar los cambios en los recursos y entregar los registros de cambios de recursos a la cuenta de archivo de registros.

Si tu versión de landing zone es anterior a la 3.0: en el caso de las cuentas inscritas, AWS Config registra todos los cambios en los recursos de todas las regiones en las que opera la cuenta. Cada cambio se modela como un elemento de configuración (CI) que contiene información, como el identificador de recursos, la región, la fecha en que se registró cada cambio y si el cambio se refiere a un recurso conocido o a uno descubierto recientemente.

Si la versión de tu landing zone es 3.0 o posterior: AWS Control Tower limita el registro de los recursos globales, como IAM usuarios, grupos, funciones y políticas gestionadas por los clientes, únicamente a tu región de origen. Las copias de los cambios de recursos globales no se almacenan en todas las regiones. Esta limitación del registro de recursos se ajusta a las AWS Config mejores prácticas. La lista completa de los recursos globales está disponible en la AWS Config documentación.

Para obtener más información AWS Config, consulte Cómo AWS Config funciona.
Para ver una lista de los recursos compatibles AWS Config , consulta Tipos de recursos compatibles.
Para obtener información sobre cómo personalizar el seguimiento de recursos en el entorno de la Torre de AWS Control, consulta la entrada del blog titulada Personalizar el seguimiento de AWS Config recursos en la Torre de AWS Control.

AWSControl Tower establece un canal de AWS Config entrega en todas las cuentas inscritas. A través de este canal de entrega, registra todos los cambios registrados AWS Config en la cuenta del archivo de registros, donde se almacenan en una carpeta de un depósito de Amazon Simple Storage Service.

Vea los datos del AWS Config registrador de las cuentas inscritas

AWS Config está integrado CloudWatch para que pueda verlos AWS Config CIs en un panel de control. Para obtener más información, consulta la entrada del blog titulada AWS Config Compatible con CloudWatch las métricas de Amazon.

De forma programática, para ver AWS Config los datos, puedes trabajar con AWS CLI ellas o utilizar otras AWS herramientas.

Consulte los datos de la AWS Config grabadora en un recurso específico

Puede utilizar el AWS CLI para recuperar una lista de los cambios más recientes de un recurso.

Comando de historial de recursos:

aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION

Para obtener más información, consulte la API documentación de get-config-history.

Visualice AWS Config los datos con Amazon QuickSight

Puede visualizar y consultar los recursos registrados AWS Config en toda su organización. Para obtener más información, consulte Visualización de AWS Config datos con Amazon Athena y Amazon. QuickSight

Solución de problemas AWS Config en la Torre AWS de Control

En esta sección se proporciona información sobre algunos problemas que pueden surgir al utilizar AWS Config la Torre AWS de Control.

AWS Config Costes elevados

Si su flujo de trabajo incluye procesos que crean, actualizan o eliminan recursos con frecuencia, o si gestiona los recursos en grandes cantidades, ese flujo de trabajo puede generar un gran número deCIs. Si ejecuta estos procesos en una cuenta que no sea de producción, considere la posibilidad de anular la inscripción de la cuenta. Es posible que tengas que desactivar la AWS Config grabadora de esa cuenta manualmente.

nota

Tras anular la inscripción de la cuenta, AWS Control Tower no podrá aplicar controles de detección ni registrar los eventos de la cuenta, como AWS Config las actividades, para los recursos de esa cuenta.

Para obtener más información, consulte Unmanage an enrolled account. Para obtener información sobre cómo desactivar la AWS Config grabadora, consulte Administración de la grabadora de configuración.

El mismo recurso se registra varias veces

Compruebe si el recurso es un recurso global. Para las zonas de aterrizaje de la Torre de AWS Control anteriores a la versión 3.0, es AWS Config posible que se registren determinados recursos globales una vez por cada región en la AWS Config que opere. Por ejemplo, si AWS Config está activado en ocho regiones, cada rol se graba ocho veces.

Los siguientes recursos se registran una vez para cada región en la que AWS Config se opera:

AWS::IAM::Group
AWS::IAM::Policy
AWS::IAM::Role
AWS::IAM::User

Los demás recursos globales se registran solo una vez. A continuación, se muestran algunos ejemplos de recursos que se registran solo una vez:

AWS::Route53::HostedZone
AWS::Route53::HealthCheck
AWS::ECR::PublicRepository
AWS::GlobalAccelerator::Listener
AWS::GlobalAccelerator::EndpointGroup
AWS::GlobalAccelerator::Accelerator

AWS Config no registró un recurso

Determinados recursos tienen relaciones de dependencia con otros recursos. Estas relaciones pueden ser directas o indirectas. Puede encontrar una lista de relaciones indirectas obsoletas en. AWS Config FAQ

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Registrar las acciones AWS de la Torre de Control con AWS CloudTrail

Administración de los costos de Config