As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Avaliação de recursos com regras AWS Config
Use AWS Config para avaliar as configurações dos seus AWS recursos. Você faz isso criando AWS Config regras, que representam suas configurações ideais. AWS Config fornece regras personalizáveis e predefinidas, chamadas de regras gerenciadas, para ajudar você a começar.
Como AWS Config as regras funcionam
Enquanto o AWS Config monitora continuamente as alterações de configuração que ocorrem entre seus recursos, ele verifica se essas alterações violam alguma das condições em suas regras. Se um recurso não estiver em conformidade com a regra, AWS Config sinaliza o recurso e a regra como não compatíveis. A seguir estão os possíveis resultados da avaliação de uma AWS Config regra:
-
COMPLIANT: a regra passa pelas condições da verificação de conformidade. -
NON_COMPLIANT: a regra não cumpre as condições da verificação de conformidade. -
ERROR: um dos parâmetros obrigatórios/opcionais não é válido, não é do tipo correto ou está formatado incorretamente. -
NOT_APPLICABLE: usado para filtrar recursos aos quais a lógica da regra não pode ser aplicada. Por exemplo, a alb-desync-mode-checkregra verifica somente os balanceadores de carga de aplicativos e ignora balanceadores de carga de rede e balanceadores de carga de gateway.
Por exemplo, quando um EC2 volume é criado, AWS Config pode avaliar o volume em relação a uma regra que exige que os volumes sejam criptografados. Se o volume não estiver criptografado, AWS Config sinaliza o volume e a regra como não compatíveis. AWS Config também pode verificar todos os seus recursos para atender aos requisitos de toda a conta. Por exemplo, AWS Config pode verificar se o número de EC2 volumes em uma conta permanece dentro do total desejado ou se uma conta usa AWS CloudTrail para registro.
Regras vinculadas a serviços
As regras vinculadas a serviços são um tipo exclusivo de regra gerenciada que permite que outros AWS serviços criem AWS Config regras em sua conta. Essas regras são predefinidas para incluir todas as permissões necessárias para ligar para outros AWS serviços em seu nome. Essas regras são semelhantes aos padrões que um AWS serviço recomenda em você Conta da AWS para verificação de conformidade. Para obter mais informações, consulte Regras vinculadas ao serviço AWS Config.
Regras personalizadas
Você também pode criar regras personalizadas para avaliar recursos adicionais que ainda AWS Config não foram registrados. Para ter mais informações, consulte AWS Config Regras personalizadas e Avaliar tipos de recursos adicionais.
Visualizando a conformidade
O AWS Config console mostra o status de conformidade de suas regras e recursos. Você pode ver como seus AWS recursos estão em conformidade geral com as configurações desejadas e saber quais recursos específicos não estão em conformidade. Você também pode usar o AWS CLI AWS Config API, o e AWS SDKs para fazer solicitações ao AWS Config serviço para obter informações de conformidade.
Ao usar AWS Config para avaliar suas configurações de recursos, você pode avaliar se suas configurações de recursos estão em conformidade com as práticas internas, as diretrizes do setor e os regulamentos.
Limitações
Para ver o número máximo de AWS Config regras para cada região para cada conta e outros limites de serviço, consulte Limites AWS Config de serviço.
Considerações sobre custos
Para obter detalhes sobre os custos associados ao registro de recursos, consulte AWS Config preços
Recomendação: pare de registrar a conformidade dos recursos antes de excluir as regras
É altamente recomendável que você interrompa a gravação do tipo de AWS::Config::ResourceCompliance recurso antes de excluir as regras da sua conta. A exclusão de regras cria itens de configuração (CIs) para AWS::Config::ResourceCompliance e pode afetar os custos AWS Config do gravador de configuração. Se você estiver excluindo regras que avaliam um grande número de tipos de recursos, isso pode levar a um aumento no número de CIs registros.
Melhor prática:
Pare de gravar
AWS::Config::ResourceComplianceExcluir regra (s)
Ativar a gravação para
AWS::Config::ResourceCompliance
Recomendação: adicione lógica para lidar com a avaliação de recursos excluídos para regras lambda personalizadas
Ao criar regras lambda AWS Config personalizadas, é altamente recomendável que você adicione lógica para lidar com a avaliação dos recursos excluídos.
Quando os resultados da avaliação forem marcados como NOT_APPLICABLE, eles serão marcados para exclusão e limpos. Se estiverem NOT marcados comoNOT_APPLICABLE, os resultados da avaliação permanecerão inalterados até que a regra seja excluída, o que pode causar um aumento inesperado na criação de CIs for AWS::Config::ResourceCompliance após a exclusão da regra.
Para obter informações sobre como definir regras lambda AWS Config personalizadas para retornar NOT_APPLICABLE para recursos excluídos, consulte Gerenciamento de recursos excluídos com regras lambda AWS Config personalizadas.
Recomendação: forneça os recursos no escopo das regras lambda personalizadas
AWS Config As regras personalizadas do Lambda podem causar um grande número de invocações de funções do Lambda se a regra não tiver como escopo um ou mais tipos de recursos. Para evitar o aumento da atividade associada à sua conta, é altamente recomendável fornecer recursos no escopo de suas regras personalizadas do Lambda. Se nenhum tipo de recurso for selecionado, a regra invocará a função do Lambda para todos os recursos na conta.
Suporte regional
Atualmente, o recurso de AWS Config regra é suportado nas seguintes AWS regiões. Para obter uma lista de quais AWS Config regras individuais são suportadas em quais regiões, consulte Lista de regras AWS Config gerenciadas por disponibilidade regional.
| Nome da região | Região | Endpoint | Protocolo |
|---|---|---|---|
| Leste dos EUA (Ohio) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
| Leste dos EUA (Norte da Virgínia) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
| Oeste dos EUA (N. da Califórnia) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
| Oeste dos EUA (Oregon) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
| África (Cidade do Cabo) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Ásia-Pacífico (Malásia) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
| Ásia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Ásia-Pacífico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| Ásia-Pacífico (Seul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canadá (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Oeste do Canadá (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (Milão) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Espanha) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Europa (Zurique) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| Israel (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| Oriente Médio (Barém) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| Oriente Médio (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| América do Sul (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
A implantação de AWS Config regras em contas de membros em uma AWS organização é suportada nas seguintes regiões.
| Nome da região | Região | Endpoint | Protocolo |
|---|---|---|---|
| Leste dos EUA (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| Leste dos EUA (Norte da Virgínia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| Oeste dos EUA (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| África (Cidade do Cabo) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Ásia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Ásia-Pacífico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| Ásia-Pacífico (Seul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canadá (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Oeste do Canadá (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (Milão) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Espanha) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Europa (Zurique) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| Israel (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| Oriente Médio (Barém) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| Oriente Médio (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| América do Sul (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
