AWS Recursos de gravação com AWS Config - AWS Config
ConsideraçõesRecursos regionais e globaisAWS Config Regras e tipos de recursos globaisFrequência de gravaçãoRecursos não registrados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Recursos de gravação com AWS Config

AWS Config detecta continuamente quando os tipos de recursos compatíveis são criados, alterados ou excluídos. AWS Config registra esses eventos como itens de configuração (CIs).

Você pode personalizar AWS Config para registrar as alterações de configuração de todos os tipos de recursos compatíveis ou somente dos tipos de recursos compatíveis que sejam relevantes para você. Para obter uma lista dos tipos de recursos compatíveis que AWS Config podem gravar, consulteTipos de recursos suportados para AWS Config.

Tópicos

Considerações

Alto número de AWS Config avaliações

Você pode notar um aumento na atividade em sua conta durante a gravação do mês inicial com o AWS Config em comparação com os meses subsequentes. Durante o processo inicial de inicialização, AWS Config executa avaliações em todos os recursos da sua conta que você selecionou para serem registrados. AWS Config

Se você estiver executando cargas de trabalho efêmeras, poderá observar um aumento na atividade ao registrar AWS Config as alterações de configuração associadas à criação e exclusão desses recursos temporários. Um workload efêmero é um uso temporário de recursos de computação que são carregados e executados quando necessário. Os exemplos incluem instâncias spot do Amazon Elastic Compute Cloud (Amazon EC2), trabalhos do Amazon EMR e. AWS Auto Scaling

Se quiser evitar o aumento da atividade decorrente da execução de cargas de trabalho efêmeras, você pode configurar o gravador de configuração gerenciado pelo cliente para excluir esses tipos de recursos do registro ou executar esses tipos de cargas de trabalho em uma conta separada, AWS Config desativada, para evitar maiores registros de configuração e avaliações de regras.

Disponibilidade de regiões

Antes de especificar um tipo de recurso AWS Config para rastrear, verifique a disponibilidade da cobertura de recursos por região para ver se o tipo de recurso é suportado na AWS região em que você AWS Config configurou.

Se um tipo de recurso for suportado AWS Config em pelo menos uma região, você poderá habilitar o registro desse tipo de recurso em todas as regiões suportadas pelo AWS Config, mesmo que o tipo de recurso especificado não seja suportado na AWS região em que você configurou AWS Config.

Quais são as diferenças entre recursos regionais e globais?

Recursos regionais

Os recursos regionais estão vinculados a uma região e somente podem ser usados naquela região. Você os cria em um determinado local e Região da AWS, em seguida, eles existem nessa região. Para ver ou interagir com esses recursos, você deve direcionar suas operações para essa região. Por exemplo, para criar uma EC2 instância da Amazon com o AWS Management Console, você escolhe Região da AWS aquela na qual deseja criar a instância. Se você usar o AWS Command Line Interface (AWS CLI) para criar a instância, inclua o --region parâmetro. AWS SDKs Cada um tem seu próprio mecanismo equivalente para especificar a região que a operação usa.

Há vários motivos para usar recursos regionais. Um dos motivos é garantir que os recursos e os endpoints de serviço que você usa para acessá-los estejam o mais próximos possível do cliente. Isso melhora a performance ao minimizar a latência. Outro motivo é fornecer um limite de isolamento. Isso permite criar cópias independentes de recursos em várias regiões para distribuir a carga e melhorar a escalabilidade. Ao mesmo tempo, ele isola os recursos uns dos outros para melhorar a disponibilidade.

Se você especificar um diferente Região da AWS no console ou em um AWS CLI comando, não poderá mais ver ou interagir com os recursos que podia ver na região anterior.

Quando você analisa o nome do recurso da Amazon (ARN) de um recurso regional, a região que contém o recurso é especificada como o quarto campo no ARN. Por exemplo, uma EC2 instância da Amazon é um recurso regional. Veja a seguir um exemplo de um ARN para uma EC2 instância da Amazon que existe na us-east-1 região.

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
Recursos globais

Alguns recursos de AWS serviços são recursos globais, o que significa que você pode usar o recurso de qualquer lugar. Você não especifica uma Região da AWS no console de um serviço global. Para acessar um recurso global, você não especifica um --region parâmetro ao usar as operações do serviço AWS CLI e do AWS SDK.

Os recursos globais oferecem suporte a casos em que é fundamental que somente uma instância de um recurso específico possa existir por vez. Nesses cenários, a replicação ou sincronização entre cópias em diferentes regiões não é adequada. Ter que acessar um único endpoint global, com o possível aumento na latência, é considerado aceitável para garantir que quaisquer alterações sejam instantaneamente visíveis para os consumidores do recurso.

Por exemplo, os clusters globais do Amazon Aurora (AWS::RDS::GlobalCluster) são recursos globais e, portanto, não estão vinculados a uma região. Isso significa que você pode criar um cluster global sem depender de um endpoint regional. A vantagem é que, embora o Amazon Relational Database Service (Amazon RDS) em si seja organizado por regiões, a região específica de origem de um cluster global não afeta o cluster global. Ele aparece como um cluster global único e contínuo em todas as regiões.

O nome do recurso da Amazon (ARN) de um recurso global não inclui uma região. O quarto campo está vazio, como no exemplo a seguir de um ARN para um cluster global.

arn:aws:rds::123456789012:global-cluster:test-global-cluster
Importante

Os tipos de recursos globais integrados AWS Config após fevereiro de 2022 serão registrados somente na região de origem do serviço para a partição comercial e AWS GovCloud (Oeste dos EUA) para a partição. GovCloud Você pode visualizar os itens de configuração (CIs) desses novos tipos de recursos globais somente em sua região de origem e AWS GovCloud (Oeste dos EUA).

Os tipos de recursos globais integrados antes de fevereiro de 2022 (AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role e AWS::IAM::User) permanecem inalterados. Você pode ativar o registro desses recursos globais do IAM em todas as regiões em que AWS Config havia suporte antes de fevereiro de 2022. Esses recursos globais do IAM não podem ser registrados em regiões com suporte AWS Config após fevereiro de 2022.

Tipos de recursos globais | Recursos do IAM

Os seguintes tipos de recursos do IAM também são recursos globais: usuários, grupos, perfis do IAM e políticas gerenciadas pelo cliente. Esses tipos de recursos podem ser registrados nas regiões AWS Config em que AWS Config estavam disponíveis antes de fevereiro de 2022. Essa lista em que você não pode registrar os tipos globais de recursos do IAM inclui as seguintes regiões: Ásia-Pacífico (Hyderabad), Ásia-Pacífico (Malásia), Ásia-Pacífico (Melbourne), Ásia-Pacífico (Tailândia), Oeste do Canadá (Calgary), Europa (Espanha), Europa (Zurique), Israel (Tel Aviv), México (Central) e Oriente Médio (EAU).

Para evitar itens de configuração duplicados (CIs), considere registrar somente os tipos de recursos globais do IAM uma vez em uma das regiões compatíveis. Isso também pode ajudar a evitar avaliações desnecessárias e controle de utilização da API.

Tipos de recursos globais | Somente na região de origem

Os recursos globais para os seguintes serviços são registrados somente AWS Config na região de origem do tipo de recurso global: Amazon Elastic Container Registry Public AWS Global Accelerator, Amazon Route 53 CloudFront, Amazon AWS WAF e. Para esses recursos globais, a mesma instância do tipo de recurso pode ser usada em várias AWS regiões, mas os itens de configuração (CIs) são registrados somente na região de origem da partição comercial ou AWS GovCloud (Oeste dos EUA) da AWS GovCloud (US) partição.

Regiões de origem para tipos de recursos globais
AWS Serviço Valor de tipo de recurso Região inicial
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository Região Leste dos EUA (Norte da Virgínia)
AWS Global Accelerator AWS::GlobalAccelerator::Listener Região Oeste dos EUA (Oregon)
AWS::GlobalAccelerator::EndpointGroup Região Oeste dos EUA (Oregon)
AWS::GlobalAccelerator::Accelerator Região Oeste dos EUA (Oregon)
Amazon Route 53 AWS::Route53::HostedZone Região Leste dos EUA (Norte da Virgínia)
AWS::Route53::HealthCheck Região Leste dos EUA (Norte da Virgínia)
Amazon CloudFront AWS::CloudFront::Distribution Região Leste dos EUA (Norte da Virgínia)
AWS WAF AWS::WAFv2::WebACL Região Leste dos EUA (Norte da Virgínia)
Tipos de recursos globais | Clusters globais do Aurora

AWS::RDS::GlobalClusteré um recurso global registrado em todas as AWS Config regiões suportadas nas quais o gravador de configuração gerenciado pelo cliente está ativado. Esse tipo de recurso global é exclusivo, pois se você ativar a gravação desse recurso em uma região, AWS Config gravará os itens de configuração (CIs) desse tipo de recurso em todas as regiões habilitadas.

Se você não quiser gravar o AWS::RDS::GlobalCluster em todas as regiões habilitadas, use uma das seguintes estratégias de gravação do console do AWS Config :

  • Grave todos os tipos de recursos com substituições personalizáveis, escolha "AWS RDS GlobalCluster “e escolha a substituição “Excluir da gravação”

  • Registrar tipos de recursos específicos

Se você não quiser gravar o AWS::RDS::GlobalCluster em todas as regiões habilitadas, use uma das seguintes estratégias de gravação para a API/CLI:

  • Gravar todos os tipos de recursos atuais e futuros com exclusões (EXCLUSION_BY_RESOURCE_TYPES)

  • Registrar tipos de recursos específicos (INCLUSION_BY_RESOURCE_TYPES)

AWS Config Regras e tipos de recursos globais

Os tipos de recursos globais do IAM integrados antes de fevereiro de 2022 (AWS::IAM::Group,, AWS::IAM::PolicyAWS::IAM::Role, eAWS::IAM::User) só podem ser registrados nas regiões AWS Config em que AWS Config estavam disponíveis antes de fevereiro de 2022. Esses tipos de recursos globais do IAM não podem ser registrados em regiões com suporte AWS Config após fevereiro de 2022. Para obter uma lista dessas Regiões, consulte Gravação de recursos da AWS | Recursos globais.

Se você gravar um tipo de recurso global do IAM em pelo menos uma Região, as regras periódicas que relatam conformidade no tipo de recurso global do IAM executarão avaliações em todas as Regiões onde a regra periódica é adicionada, mesmo que você não tenha habilitado a gravação do tipo de recurso global do IAM na Região onde a regra periódica foi adicionada.

Práticas recomendadas para relatar conformidade em recursos globais integrados antes de fevereiro de 2022

Para evitar avaliações desnecessárias, você só deve implantar AWS Config regras e pacotes de conformidade que tenham esses recursos globais no escopo de uma das regiões suportadas. Para obter uma lista de quais regras gerenciadas são compatíveis em quais Regiões, consulte Lista de regras gerenciadas do AWS Config por Disponibilidade de região. Isso se aplica a AWS Config regras, AWS Config regras organizacionais e também regras criadas por outros AWS serviços, como AWS Security Hub AWS Control Tower e.

Se você não estiver gravando os tipos de recursos globais integrados antes de fevereiro de 2022, é recomendável não habilitar as seguintes regras periódicas para evitar avaliações desnecessárias:

Práticas recomendadas para relatar conformidade em recursos globais integrados depois de fevereiro de 2022

Os tipos de recursos globais integrados à AWS Config gravação após fevereiro de 2022 serão registrados somente na região de origem do serviço para a partição comercial e AWS GovCloud (Oeste dos EUA) para a partição. AWS GovCloud (US) Você deve implantar AWS Config regras e pacotes de conformidade que tenham esses recursos globais no escopo somente na região de origem do tipo de recurso. Para obter mais informações, consulte Regiões iniciais para os tipos de recurso global.

Frequência de gravação para AWS Config

AWS Config suporta gravação contínua e gravação diária. A gravação contínua possibilita gravar as alterações na configuração de modo contínuo sempre que ocorre uma alteração. Gravação contínua: você vai receber um item de configuração (CI) que representa o estado mais recente dos recursos no último período de 24 horas, somente se for diferente do CI anterior gravado. Para ver as etapas sobre como alterar a frequência de gravação, consulte Alteração da frequência de gravação.

Gravação contínua

São alguns benefícios da gravação contínua:

  • Monitoramento em tempo real: a gravação contínua pode oferecer detecção imediata de alterações não autorizadas ou alterações inesperadas, o que pode aprimorar os esforços de segurança e conformidade.

  • Análise detalhada: a gravação contínua pode permitir que você realize uma análise aprofundada das alterações de configuração nos recursos à medida que elas ocorrem, o que permite identificar padrões e tendências no momento.

Gravação diária

São alguns benefícios da gravação diária:

  • Interrupção mínima: a gravação diária pode oferecer um fluxo de informações mais gerenciável, o que pode reduzir a frequência das notificações e a fadiga por alertas.

  • Economia: a gravação diária pode oferecer a flexibilidade de gravar alterações nos recursos com uma frequência menor, o que pode reduzir os custos relacionados ao número de alterações de configuração gravadas.

nota

AWS Firewall Manager depende da gravação contínua para monitorar seus recursos. Se você estiver usando o Firewall Manager, é recomendável definir a frequência de gravação como Contínua.

Recursos não registrados

Se um recurso não for registrado, AWS Config captura somente a criação e a exclusão desse recurso, e nenhum outro detalhe, sem nenhum custo para você. Quando um recurso não registrado é criado ou excluído, AWS Config envia uma notificação e exibe o evento na página de detalhes do recurso. A página de detalhes para um recurso não registrado fornece valores nulos para a maioria dos detalhes de configuração, e não fornece informações sobre relacionamentos e alterações de configuração.

nota

Os tipos de AWS::IAM::Role recursos AWS::IAM::User AWS::IAM::Policy AWS::IAM::Group,,, só capturarão os estados de criação (ResourceNotRecorded) e exclusão (ResourceDeletedNotRecorded) se o recurso for, ou tiver sido, selecionado anteriormente como um recurso a ser registrado no gravador de configuração gerenciado pelo cliente.

nota

Os itens de configuração (CIs) para ResourceNotRecorded e ResourceDeletedNotRecorded não seguem o tempo de gravação típico para tipos de recursos. Esses tipos de recursos são registrados somente durante o processo periódico de definição de base do gravador de configuração gerenciado pelo cliente, que ocorre em um ritmo menos frequente do que para os outros tipos de recursos.

nota

Para gravadores de configuração vinculados ao serviço, o escopo da gravação determina se você recebe itens de configuração (CIs) no canal de entrega. O escopo da gravação é definido pelo serviço vinculado ao gravador de configuração. Se o escopo da gravação for interno, você não receberá CIs no canal de entrega.

As informações de relacionamento que AWS Config fornecem recursos registrados não são limitadas devido à falta de dados para recursos não registrados. Se um recurso registrado está relacionado a um recurso não registrado, esse relacionamento é fornecido na página de detalhes do recurso registrado.