Avaliação de recursos com regras AWS Config - AWS Config

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Avaliação de recursos com regras AWS Config

Use AWS Config para avaliar as configurações dos seus AWS recursos. Você faz isso criando AWS Config regras, que representam suas configurações ideais. AWS Config fornece regras personalizáveis e predefinidas, chamadas de regras gerenciadas, para ajudar você a começar.

Considerações

Considerações sobre custos

Para obter detalhes sobre os custos associados à gravação de recursos, consulte Preços do AWS Config.

Recomendação: considere excluir o tipo de AWS::Config::ResourceCompliance recurso da gravação antes de excluir as regras

A exclusão de regras cria itens de configuração (CIs) AWS::Config::ResourceCompliance que podem afetar seus custos com o gravador de configuração. Se você estiver excluindo regras que avaliam um grande número de tipos de recursos, isso pode levar a um aumento no número de CIs registros.

Para evitar os custos associados, você pode optar por desativar a gravação do tipo de AWS::Config::ResourceCompliance recurso antes de excluir as regras e reativar a gravação após a exclusão das regras.

No entanto, como a exclusão de regras é um processo assíncrono, pode levar uma hora ou mais para ser concluída. Durante o período em que a gravação estiver desativadaAWS::Config::ResourceCompliance, as avaliações das regras não serão registradas no histórico do recurso associado.

AWS Config recomenda que você pondere esses fatores antes de case-by-case decidir como proceder com a exclusão das regras.

Recomendação: adicione lógica para lidar com a avaliação dos recursos excluídos para regras lambda personalizadas

Ao criar regras lambda AWS Config personalizadas, é altamente recomendável que você adicione lógica para lidar com a avaliação dos recursos excluídos.

Quando os resultados da avaliação forem marcados como NOT_APPLICABLE, eles serão marcados para exclusão e limpos. Se NÃO estiverem marcados comoNOT_APPLICABLE, os resultados da avaliação permanecerão inalterados até que a regra seja excluída, o que pode causar um aumento inesperado na criação de CIs for AWS::Config::ResourceCompliance após a exclusão da regra.

Para obter informações sobre como definir regras lambda AWS Config personalizadas para retornar NOT_APPLICABLE para recursos excluídos, consulte Gerenciamento de recursos excluídos com regras lambda AWS Config personalizadas.

Recomendação: forneça os recursos no escopo das regras lambda personalizadas

AWS Config As regras personalizadas do Lambda podem causar um grande número de invocações de funções do Lambda se a regra não tiver como escopo um ou mais tipos de recursos. Para evitar o aumento da atividade associada é altamente recomendável fornecer recursos no escopo de suas regras personalizadas do Lambda. Se nenhum tipo de recurso for selecionado, a regra invocará a função do Lambda para todos os recursos na conta.

Outras considerações

Valores padrão para regras gerenciadas

Os valores padrão especificados para regras gerenciadas são pré-preenchidos somente ao usar o AWS console. Os valores padrão não são fornecidos para a API, a CLI ou o SDK.

Atrasos na gravação do item de configuração

AWS Config geralmente registra as alterações de configuração em seus recursos logo após a detecção de uma alteração ou na frequência especificada por você. No entanto, isso é feito com base no melhor esforço e às vezes pode levar mais tempo. Alguns tipos de recursos com atrasos conhecidos incluem: AWS::SecretsManager::Secret e. AWS::SQS::Queue Esses tipos de recursos são exemplos e essa lista não é exaustiva.

Políticas e resultados de conformidade

As políticas do IAM e outras políticas gerenciadas em AWS Organizations podem afetar se você AWS Config tem permissões para registrar alterações na configuração de seus recursos. Além disso, as regras avaliam diretamente a configuração de um recurso e as regras não levam em conta essas políticas ao executar avaliações. Certifique-se de que as políticas em vigor estejam alinhadas com a forma como você pretende usar AWS Config.

Não há suporte para buckets de diretório

As regras gerenciadas só oferecem suporte a buckets de uso geral ao avaliar os recursos do Amazon Simple Storage Service (Amazon S3). Para obter mais informações sobre buckets de uso geral e buckets de diretório, consulte Visão geral dos buckets e Buckets de diretório no Guia do usuário do Amazon S3.

Regras gerenciadas e tipos de recursos globais do IAM

Os tipos de recursos globais do IAM integrados antes de fevereiro de 2022 (AWS::IAM::Group,, AWS::IAM::PolicyAWS::IAM::Role, eAWS::IAM::User) só podem ser registrados AWS nas regiões AWS Config em que AWS Config estavam disponíveis antes de fevereiro de 2022. Esses tipos de recursos não podem ser registrados nas regiões com suporte AWS Config após fevereiro de 2022. Para obter uma lista dessas regiões, consulte AWS Recursos de gravação | Recursos globais.

Se você gravar um tipo de recurso global do IAM em pelo menos uma Região, as regras periódicas que relatam conformidade no tipo de recurso global do IAM executarão avaliações em todas as Regiões onde a regra periódica é adicionada, mesmo que você não tenha habilitado a gravação do tipo de recurso global do IAM na Região onde a regra periódica foi adicionada.

Para evitar avaliações desnecessárias, você só deve implantar regras periódicas que informem a conformidade do tipo global de recursos do IAM em uma das regiões compatíveis. Para obter uma lista de quais regras gerenciadas são suportadas em quais regiões, consulte Lista de regras AWS Config gerenciadas por disponibilidade regional.

Suporte regional

Atualmente, o recurso de AWS Config regra é suportado nas seguintes AWS regiões. Para obter uma lista de quais AWS Config regras individuais são suportadas em quais regiões, consulte Lista de regras AWS Config gerenciadas por disponibilidade regional.

Nome da região Região Endpoint Protocolo
Leste dos EUA (Ohio) us-east-2

config.us-east-2.amazonaws.com

config-fips.us-east-2.amazonaws.com

HTTPS

HTTPS

Leste dos EUA (Norte da Virgínia) us-east-1

config.us-east-1.amazonaws.com

config-fips.us-east-1.amazonaws.com

HTTPS

HTTPS

Oeste dos EUA (N. da Califórnia) us-west-1

config.us-west-1.amazonaws.com

config-fips.us-west-1.amazonaws.com

HTTPS

HTTPS

Oeste dos EUA (Oregon) us-west-2

config.us-west-2.amazonaws.com

config-fips.us-west-2.amazonaws.com

HTTPS

HTTPS

África (Cidade do Cabo) af-south-1 config.af-south-1.amazonaws.com HTTPS
Ásia-Pacífico (Hong Kong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Ásia-Pacífico (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Ásia-Pacífico (Jacarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Ásia-Pacífico (Malásia) ap-southeast-5 config.ap-southeast-5.amazonaws.com HTTPS
Ásia-Pacífico (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Ásia-Pacífico (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Ásia-Pacífico (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Ásia-Pacífico (Seul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Ásia-Pacífico (Singapura) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Ásia-Pacífico (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Ásia-Pacífico (Tailândia) ap-southeast-7 config.ap-southeast-7.amazonaws.com HTTPS
Ásia-Pacífico (Tóquio) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Canadá (Central) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Oeste do Canadá (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europa (Frankfurt) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europa (Irlanda) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europa (Londres) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europa (Milão) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europa (Paris) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europa (Espanha) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europa (Estocolmo) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europa (Zurique) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israel (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
México (Central) mx-central-1 config.mx-central-1.amazonaws.com HTTPS
Oriente Médio (Barém) me-south-1 config.me-south-1.amazonaws.com HTTPS
Oriente Médio (Emirados Árabes Unidos) me-central-1 config.me-central-1.amazonaws.com HTTPS
América do Sul (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (Leste dos EUA) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (Oeste dos EUA) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS

A implantação de AWS Config regras em contas de membros em uma AWS organização é suportada nas seguintes regiões.

Nome da região Região Endpoint Protocolo
Leste dos EUA (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
Leste dos EUA (Norte da Virgínia) us-east-1 config.us-east-1.amazonaws.com HTTPS
Oeste dos EUA (N. da Califórnia) us-west-1 config.us-west-1.amazonaws.com HTTPS
Oeste dos EUA (Oregon) us-west-2 config.us-west-2.amazonaws.com HTTPS
África (Cidade do Cabo) af-south-1 config.af-south-1.amazonaws.com HTTPS
Ásia-Pacífico (Hong Kong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Ásia-Pacífico (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Ásia-Pacífico (Jacarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Ásia-Pacífico (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Ásia-Pacífico (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Ásia-Pacífico (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Ásia-Pacífico (Seul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Ásia-Pacífico (Singapura) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Ásia-Pacífico (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Ásia-Pacífico (Tóquio) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Canadá (Central) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Oeste do Canadá (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europa (Frankfurt) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europa (Irlanda) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europa (Londres) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europa (Milão) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europa (Paris) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europa (Espanha) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europa (Estocolmo) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europa (Zurique) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israel (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Oriente Médio (Barém) me-south-1 config.me-south-1.amazonaws.com HTTPS
Oriente Médio (Emirados Árabes Unidos) me-central-1 config.me-central-1.amazonaws.com HTTPS
América do Sul (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (Leste dos EUA) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (Oeste dos EUA) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS