As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Avaliação de recursos com regras AWS Config
Use AWS Config para avaliar as configurações dos seus AWS recursos. Você faz isso criando AWS Config regras, que representam suas configurações ideais. AWS Config fornece regras personalizáveis e predefinidas, chamadas de regras gerenciadas, para ajudar você a começar.
Tópicos
- Considerações
- Suporte regional
- Componentes de uma regra
- Regras gerenciadas
- Regras personalizadas
- Regras vinculadas ao serviço
- Regras organizacionais
- Adicionar regras
- Atualizar regras
- Como excluir regras
- Como visualizar regras
- Como ativar a avaliação proativa
- Enviar avaliações para o Security Hub
- Avaliar recursos com regras
- Exclusão de resultados de avaliação
- Solução de problemas
Considerações
Considerações sobre custos
Para obter detalhes sobre os custos associados à gravação de recursos, consulte Preços do AWS Config
Recomendação: considere excluir o tipo de AWS::Config::ResourceCompliance
recurso da gravação antes de excluir as regras
A exclusão de regras cria itens de configuração (CIs) AWS::Config::ResourceCompliance
que podem afetar seus custos com o gravador de configuração. Se você estiver excluindo regras que avaliam um grande número de tipos de recursos, isso pode levar a um aumento no número de CIs registros.
Para evitar os custos associados, você pode optar por desativar a gravação do tipo de AWS::Config::ResourceCompliance
recurso antes de excluir as regras e reativar a gravação após a exclusão das regras.
No entanto, como a exclusão de regras é um processo assíncrono, pode levar uma hora ou mais para ser concluída. Durante o período em que a gravação estiver desativadaAWS::Config::ResourceCompliance
, as avaliações das regras não serão registradas no histórico do recurso associado.
AWS Config recomenda que você pondere esses fatores antes de case-by-case decidir como proceder com a exclusão das regras.
Recomendação: adicione lógica para lidar com a avaliação dos recursos excluídos para regras lambda personalizadas
Ao criar regras lambda AWS Config personalizadas, é altamente recomendável que você adicione lógica para lidar com a avaliação dos recursos excluídos.
Quando os resultados da avaliação forem marcados como NOT_APPLICABLE
, eles serão marcados para exclusão e limpos. Se NÃO estiverem marcados comoNOT_APPLICABLE
, os resultados da avaliação permanecerão inalterados até que a regra seja excluída, o que pode causar um aumento inesperado na criação de CIs for AWS::Config::ResourceCompliance
após a exclusão da regra.
Para obter informações sobre como definir regras lambda AWS Config personalizadas para retornar NOT_APPLICABLE
para recursos excluídos, consulte Gerenciamento de recursos excluídos com regras lambda AWS Config personalizadas.
Recomendação: forneça os recursos no escopo das regras lambda personalizadas
AWS Config As regras personalizadas do Lambda podem causar um grande número de invocações de funções do Lambda se a regra não tiver como escopo um ou mais tipos de recursos. Para evitar o aumento da atividade associada é altamente recomendável fornecer recursos no escopo de suas regras personalizadas do Lambda. Se nenhum tipo de recurso for selecionado, a regra invocará a função do Lambda para todos os recursos na conta.
Outras considerações
Valores padrão para regras gerenciadas
Os valores padrão especificados para regras gerenciadas são pré-preenchidos somente ao usar o AWS console. Os valores padrão não são fornecidos para a API, a CLI ou o SDK.
Atrasos na gravação do item de configuração
AWS Config geralmente registra as alterações de configuração em seus recursos logo após a detecção de uma alteração ou na frequência especificada por você. No entanto, isso é feito com base no melhor esforço e às vezes pode levar mais tempo. Alguns tipos de recursos com atrasos conhecidos incluem: AWS::SecretsManager::Secret
e. AWS::SQS::Queue
Esses tipos de recursos são exemplos e essa lista não é exaustiva.
Políticas e resultados de conformidade
As políticas do IAM e outras políticas gerenciadas em AWS Organizations podem afetar se você AWS Config tem permissões para registrar alterações na configuração de seus recursos. Além disso, as regras avaliam diretamente a configuração de um recurso e as regras não levam em conta essas políticas ao executar avaliações. Certifique-se de que as políticas em vigor estejam alinhadas com a forma como você pretende usar AWS Config.
Não há suporte para buckets de diretório
As regras gerenciadas só oferecem suporte a buckets de uso geral ao avaliar os recursos do Amazon Simple Storage Service (Amazon S3). Para obter mais informações sobre buckets de uso geral e buckets de diretório, consulte Visão geral dos buckets e Buckets de diretório no Guia do usuário do Amazon S3.
Regras gerenciadas e tipos de recursos globais do IAM
Os tipos de recursos globais do IAM integrados antes de fevereiro de 2022 (AWS::IAM::Group
,, AWS::IAM::Policy
AWS::IAM::Role
, eAWS::IAM::User
) só podem ser registrados AWS nas regiões AWS Config em que AWS Config estavam disponíveis antes de fevereiro de 2022. Esses tipos de recursos não podem ser registrados nas regiões com suporte AWS Config após fevereiro de 2022. Para obter uma lista dessas regiões, consulte AWS Recursos de gravação | Recursos globais.
Se você gravar um tipo de recurso global do IAM em pelo menos uma Região, as regras periódicas que relatam conformidade no tipo de recurso global do IAM executarão avaliações em todas as Regiões onde a regra periódica é adicionada, mesmo que você não tenha habilitado a gravação do tipo de recurso global do IAM na Região onde a regra periódica foi adicionada.
Para evitar avaliações desnecessárias, você só deve implantar regras periódicas que informem a conformidade do tipo global de recursos do IAM em uma das regiões compatíveis. Para obter uma lista de quais regras gerenciadas são suportadas em quais regiões, consulte Lista de regras AWS Config gerenciadas por disponibilidade regional.
Suporte regional
Atualmente, o recurso de AWS Config regra é suportado nas seguintes AWS regiões. Para obter uma lista de quais AWS Config regras individuais são suportadas em quais regiões, consulte Lista de regras AWS Config gerenciadas por disponibilidade regional.
Nome da região | Região | Endpoint | Protocolo |
---|---|---|---|
Leste dos EUA (Ohio) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
Leste dos EUA (Norte da Virgínia) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
Oeste dos EUA (N. da Califórnia) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
Oeste dos EUA (Oregon) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
África (Cidade do Cabo) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Jacarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
Ásia-Pacífico (Malásia) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
Ásia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
Ásia-Pacífico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
Ásia-Pacífico (Seul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Singapura) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Tailândia) | ap-southeast-7 | config.ap-southeast-7.amazonaws.com | HTTPS |
Ásia-Pacífico (Tóquio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
Canadá (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
Oeste do Canadá (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
Europa (Milão) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
Europa (Espanha) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
Europa (Zurique) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
Israel (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
México (Central) | mx-central-1 | config.mx-central-1.amazonaws.com | HTTPS |
Oriente Médio (Barém) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
Oriente Médio (Emirados Árabes Unidos) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
América do Sul (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Leste dos EUA) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
A implantação de AWS Config regras em contas de membros em uma AWS organização é suportada nas seguintes regiões.
Nome da região | Região | Endpoint | Protocolo |
---|---|---|---|
Leste dos EUA (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
Leste dos EUA (Norte da Virgínia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
Oeste dos EUA (N. da Califórnia) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
Oeste dos EUA (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
África (Cidade do Cabo) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Jacarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
Ásia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
Ásia-Pacífico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
Ásia-Pacífico (Seul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Singapura) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Tóquio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
Canadá (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
Oeste do Canadá (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
Europa (Milão) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
Europa (Espanha) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
Europa (Zurique) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
Israel (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
Oriente Médio (Barém) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
Oriente Médio (Emirados Árabes Unidos) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
América do Sul (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Leste dos EUA) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |