Visualizar os dados do gravador do AWS Config nas contas inscritas Solução de problemas do AWS Config no AWS Control Tower

Monitorar as mudanças de recursos com o AWS Config

O AWS Control Tower habilita o AWS Config em todas as contas inscritas, para que ele possa monitorar a conformidade por meio de controles de detecção, registrar alterações de recursos e entregar logs de alteração de recursos à conta de arquivamento de logs.

Se a sua versão da zona de pouso for anterior à 3.0: para as contas inscritas, o AWS Config registra todas as alterações nos recursos, para todas as regiões nas quais a conta opera. Cada alteração é modelada como um item de configuração (IC), que contém informações como o identificador do recurso, a região, a data em que cada alteração foi registrada e se a alteração está relacionada a um recurso conhecido ou a um recém-descoberto.

Se a versão da zona de pouso for 3.0 ou posterior: o AWS Control Tower limita a gravação de recursos globais, como políticas gerenciadas pelo cliente, perfis, grupos e usuários do IAM somente à sua região de origem. As cópias das alterações de recursos globais não são armazenadas em todas as regiões. Essa limitação do registro de recursos está em conformidade com as práticas recomendadas do AWS Config. Uma lista completa dos recursos globais está disponível na documentação do AWS Config.

Para saber mais sobre o AWS Config, consulte How AWS Config works.
Consulte uma lista de recursos compatíveis com o AWS Config em Supported resource types.
Para saber como personalizar o rastreamento de recursos no ambiente do AWS Control Tower, consulte a publicação do blog intitulada Customize AWS Config resource tracking in AWS Control Tower.

O AWS Control Tower configura um canal de entrega do AWS Config em todas as contas inscritas. Por meio desse canal de entrega, ele registra em log todas as alterações registradas pelo AWS Config na conta de arquivamento de logs, onde elas são armazenadas em uma pasta em um bucket do Amazon Simple Storage Service.

Visualizar os dados do gravador do AWS Config nas contas inscritas

O AWS Config é integrado ao CloudWatch para que você possa visualizar as ICs do AWS Config em um painel. Consulte mais informações nesta publicação do blog intitulada AWS Config supports Amazon CloudWatch metrics.

Programaticamente, para visualizar dados do AWS Config, é possível trabalhar com a AWS CLI ou utilizar outras ferramentas da AWS.

Consultar os dados do gravador do AWS Config sobre um recurso específico

É possível usar a AWS CLI para recuperar uma lista das alterações mais recentes de um recurso.

Comando de histórico de recursos:

aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION

Para saber mais, consulte a documentação da API get-config-history.

Visualizar dados do AWS Config com o Amazon QuickSight

É possível visualizar e consultar recursos registrados pelo AWS Config em toda a organização. Consulte mais informações em Visualizing AWS Config data using Amazon Athena and Amazon QuickSight.

Solução de problemas do AWS Config no AWS Control Tower

Esta seção fornece informações sobre alguns problemas que você pode encontrar ao usar o AWS Config com o AWS Control Tower.

Custos elevados do AWS Config

Se o seu fluxo de trabalho incluir processos que criam, atualizam ou excluem recursos com frequência, ou se ele manipula recursos em grande número, esse fluxo de trabalho pode gerar um grande número de ICs. Se você executar esses processos em uma conta que não seja de produção, considere cancelar o registro da conta. Talvez seja necessário desativar o gravador do AWS Config dessa conta manualmente.

nota

Depois de cancelar a inscrição da conta, o AWS Control Tower não poderá aplicar controles de detecção nem registrar em log eventos da conta, como atividades do AWS Config, para os recursos nessa conta.

Consulte mais informações em Unmanage an enrolled account. Para saber como desativar o gravador do AWS Config, consulte Managing the configuration recorder.

O mesmo recurso é registrado várias vezes

Verifique se é um recurso global. Para zonas de pouso do AWS Control Tower anteriores à versão 3.0, o AWS Config pode registrar determinados recursos globais uma vez para cada região em que o AWS Config está operando. Por exemplo, se o AWS Config estiver habilitado em oito regiões, cada perfil será registrado oito vezes.

Os seguintes recursos são registrados uma vez para cada região em que o AWS Config está operando:

AWS::IAM::Group
AWS::IAM::Policy
AWS::IAM::Role
AWS::IAM::User

Outros recursos globais são registrados somente uma vez. Estes são alguns exemplos de recursos que são registrados uma vez:

AWS::Route53::HostedZone
AWS::Route53::HealthCheck
AWS::ECR::PublicRepository
AWS::GlobalAccelerator::Listener
AWS::GlobalAccelerator::EndpointGroup
AWS::GlobalAccelerator::Accelerator

O AWS Config não registrou um recurso

Certos recursos têm relações de dependência com outros recursos. Essas relações podem ser diretas ou indiretas. É possível encontrar uma lista de relações indiretas obsoletas em AWS Config FAQ.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Registrar ações do AWS Control Tower com o AWS CloudTrail

Gerenciar os custos do Config