As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como AWS Config funciona
AWS Config fornece uma visão detalhada da configuração dos AWS recursos em sua AWS conta. Isso inclui como os recursos estão relacionados um com o outro e como eles foram configurados no passado, de modo que você possa ver como os relacionamentos e as configurações foram alterados ao longo do tempo.
Um AWS recurso é uma entidade com a qual você pode trabalhar AWS, como uma instância do Amazon Elastic Compute Cloud (EC2), um volume do Amazon Elastic Block Store (EBS), um grupo de segurança ou uma Amazon Virtual Private Cloud (VPC). Para obter uma lista completa dos AWS recursos suportados pelo AWS Config, consulteTipos de recursos compatíveis.
Descoberta de recursos
Quando você ativa AWS Config, ele primeiro descobre os AWS recursos compatíveis que existem na sua conta e gera um item de configuração para cada recurso.
AWS Config também gera itens de configuração quando a configuração de um recurso é alterada e mantém registros históricos dos itens de configuração de seus recursos a partir do momento em que você inicia o gravador de configuração. Por padrão, AWS Config cria itens de configuração para cada recurso suportado na região. Se você não quiser AWS Config criar itens de configuração para todos os recursos compatíveis, você pode especificar os tipos de recursos que você deseja monitorar.
Antes de especificar um tipo de recurso AWS Config para rastrear, verifique a disponibilidade da cobertura de recursos por região para ver se o tipo de recurso é suportado na AWS região em que você está AWS Config configurando. Se um tipo de recurso for suportado AWS Config em pelo menos uma região, você poderá habilitar o registro desse tipo de recurso em todas as regiões suportadas pelo AWS Config, mesmo que o tipo de recurso especificado não seja compatível com a AWS região em que você está configurando AWS Config.
Acompanhamento de recursos
AWS Config acompanha todas as alterações em seus recursos invocando a chamada da API Describe ou List para cada recurso em sua conta. O serviço usa essas mesmas chamadas de API para capturar detalhes de configuração para todos os recursos relacionados.
Por exemplo, remover uma regra de saída de um grupo de segurança da VPC AWS Config faz com que uma chamada da API Descreve seja invocada no grupo de segurança. AWS Config em seguida, invoca uma chamada da API Describe em todas as instâncias associadas ao grupo de segurança. As configurações atualizadas do grupo de segurança (o recurso) e de cada instância (os recursos relacionados) são registradas como itens de configuração e entregues em um fluxo de configuração para um bucket do Amazon Simple Storage Service (Amazon S3).
AWS Config também rastreia as alterações de configuração que não foram iniciadas pela API. AWS Config examina as configurações dos recursos periodicamente e gera itens de configuração para as configurações que foram alteradas.
Se você estiver usando AWS Config regras, avalia AWS Config continuamente suas configurações de AWS recursos para as configurações desejadas. Dependendo da regra, AWS Config avaliará seus recursos em resposta às alterações de configuração ou periodicamente. Cada regra é associada a uma função AWS Lambda , que contém a lógica de avaliação para a regra. Quando AWS Config avalia seus recursos, ele invoca a função da regra. AWS Lambda A função retorna o status de compatibilidade dos recursos avaliados. Se um recurso violar as condições de uma regra, AWS Config sinaliza o recurso e a regra como não compatíveis. Quando o status de conformidade de um recurso muda, AWS Config envia uma notificação para seu tópico do Amazon SNS.
Entrega de itens de configuração
AWS Config pode fornecer itens de configuração por meio de um dos seguintes canais:
Bucket do Amazon S3
AWS Config rastreia alterações na configuração de seus AWS recursos e envia regularmente detalhes de configuração atualizados para um bucket do Amazon S3 que você especificar. Para cada tipo de recurso que AWS Config registra, ele envia um arquivo de histórico de configuração a cada seis horas. Cada arquivo de histórico de configuração contém detalhes sobre os recursos alterados naquele período de seis horas. Cada arquivo inclui recursos de um tipo, como instâncias do Amazon EC2 ou volumes do Amazon EBS. Se nenhuma alteração na configuração ocorrer, AWS Config não envia um arquivo.
AWS Config envia um snapshot de configuração para seu bucket do Amazon S3 quando você usa o comando deliver-config-snapshot com a CLI ou quando usa AWS a ação Snapshot com a API. DeliverConfig AWS Config Um instantâneo de configuração contém detalhes de configuração de todos os recursos que são AWS Config registrados em seu Conta da AWS. O arquivo de histórico de configuração e o snapshot de configuração estão no formato JSON.
nota
AWS Config entrega somente os arquivos de histórico de configuração e os instantâneos de configuração para o bucket do S3 especificado; AWS Config não modifica as políticas de ciclo de vida dos objetos no bucket do S3. Você pode usar políticas de ciclo de vida para especificar se deseja excluir ou arquivar objetos para o Amazon S3 Glacier. Para obter mais informações, consulte Managing Lifecycle Configuration no Guia do usuário do Amazon Simple Storage Service. Você também pode ver a publicação Archiving &S3; Data to ≷
Tópico do Amazon SNS
Um tópico do Amazon Simple Notification Service (Amazon SNS) é um canal de comunicação usado pelo Amazon SNS para entregar mensagens (ou notificações) a endpoints inscritos, como um endereço de e-mail ou clientes. Outros tipos de notificações do Amazon SNS incluem as mensagens de notificação por push para aplicações em telefones celulares, notificações de SMS (Short Message Service) para celulares e smartphones habilitados por SMS e solicitações HTTP POST. Para obter melhores resultados, use o Amazon SQS como o endpoint da notificação para o tópico SNS e, em seguida, processe as informações da notificação de forma programática.
AWS Config usa o tópico do Amazon SNS que você especifica para enviar notificações. O tipo de notificação que você está recebendo é indicado pelo valor para a chave messageType no corpo da mensagem, como no exemplo a seguir:
"messageType": "ConfigurationHistoryDeliveryCompleted"
As notificações podem ser de qualquer um dos seguintes tipos de mensagem.
| Tipo de mensagem | Descrição |
|---|---|
| ComplianceChangeNotificação | O tipo de conformidade de um recurso que AWS Config avalia mudou. O tipo de conformidade indica se o recurso está em conformidade com uma AWS Config regra específica e é representado pela ComplianceType chave na mensagem. A mensagem inclui os objetos newEvaluationResult e oldEvaluationResult para comparação. |
| ConfigRulesEvaluationStarted | AWS Config começou a avaliar sua regra em relação aos recursos especificados. |
| ConfigurationSnapshotDeliveryStarted | AWS Config começou a entregar o snapshot de configuração para seu bucket do Amazon S3. O nome do bucket do Amazon S3 é fornecido para a chave s3Bucket na mensagem. |
| ConfigurationSnapshotDeliveryCompleted | AWS Config entregou com sucesso o snapshot de configuração para seu bucket do Amazon S3. |
| ConfigurationSnapshotDeliveryFailed | AWS Config falha ao entregar o snapshot de configuração para seu bucket do Amazon S3. |
| ConfigurationHistoryDeliveryCompleted | AWS Config entregou com sucesso o histórico de configuração para seu bucket do Amazon S3. |
| ConfigurationItemChangeNotification | Um recurso foi criado, excluído ou alterado na configuração. Essa mensagem inclui os detalhes do item de configuração AWS Config criado para essa alteração e inclui o tipo de alteração. Essas notificações são entregues minutos após uma alteração e são coletivamente conhecidas como stream de configuração. |
| OversizedConfigurationItemChangeNotification | Esse tipo de mensagem é entregue quando uma notificação de alteração de item de configuração excedeu o tamanho máximo permitido pelo Amazon SNS. A mensagem inclui um resumo do item de configuração. Com exceção das mensagens SMS, as mensagens do Amazon SNS podem conter até 256 KB de dados de texto, incluindo XML, JSON e texto não formatado. Você pode visualizar a notificação completa no local do bucket do Amazon S3 especificado. |
| OversizedConfigurationItemChangeDeliveryFailed | AWS Config falhou em entregar a notificação de alteração de item de configuração de tamanho grande para seu bucket do Amazon S3. |
Por exemplos de notificação, consulte Notificações que AWS Config Envia para um SNS tópico da Amazon. Para obter mais informações sobre tópicos do Amazon SNS, consulte o Guia do desenvolvedor do Amazon Simple Notification Service.
nota
Por que não consigo ver minhas últimas alterações de configuração?
AWS Config geralmente registra as alterações de configuração em seus recursos logo após a detecção de uma alteração ou na frequência especificada por você. No entanto, isso é feito com base no melhor esforço e às vezes pode levar mais tempo. Se os problemas persistirem depois de algum tempo, entre em contato AWS Support
Controle o acesso ao AWS Config
AWS Identity and Access Management é um serviço web que permite que os clientes da Amazon Web Services (AWS) gerenciem usuários e permissões de usuários.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
-
Usuários e grupos em AWS IAM Identity Center:
Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center .
-
Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em Criando um perfil para um provedor de identidades de terceiros (federação) no Guia do Usuário do IAM.
-
Usuários do IAM:
-
Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
-
(Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.
-
