Uso de las reglas de activación de la telemetría - Amazon CloudWatch
Integración de las reglas de activación con AWS ConfigDescripción del comportamiento de las reglas de activaciónCreación de reglas de activación de la telemetríaAdministración de reglas de telemetríaSolución de problemas de configuración de telemetría

Uso de las reglas de activación de la telemetría

Puede crear reglas de activación de telemetría para configurar automáticamente la recopilación de telemetría para sus recursos de AWS. Las reglas le ayudan a estandarizar la recopilación de telemetría en toda su organización o sus cuentas y a garantizar una cobertura de supervisión coherente.

Integración de las reglas de activación con AWS Config

La auditoría y la configuración de telemetría de CloudWatch se integran con AWS Config para detectar automáticamente los recursos que cumplen con su regla de activación y aplicarlos a la recopilación de datos de telemetría. Al crear una regla de activación, la configuración de telemetría crea el registrador de AWS Config correspondiente. Este registrador incluye elementos de configuración para los tipos de recursos específicos que defina en la regla de activación.

Puede activar la configuración de telemetría sin costo adicional. Cuando utiliza las reglas de activación para administrar automáticamente la telemetría, se aplican cargos a su AWS Config en función del número de elementos de configuración registrados para los tipos de recursos que especifique en la regla de activación. Para más información, consulte Precios de AWS Config.

nota

Si ya ha activado AWS Config para el registro de elementos de configuración para el tipo de recurso específico, no se le volverá a cobrar.

La configuración de telemetría utiliza AWS Config para lo siguiente:

  • Detección de recursos en su organización o sus cuentas

  • Seguimiento de los cambios de configuración de telemetría

Descripción del comportamiento de las reglas de activación

La configuración de telemetría sigue patrones específicos al evaluar y aplicar las reglas:

Las reglas de activación se evalúan según un patrón jerárquico. Primero se evalúan las reglas organizativas, seguidas de las reglas que se aplican a las unidades organizativas (OU) y, por último, las reglas que se aplican a las cuentas individuales. Las reglas por organización proporcionan la telemetría básica requerida para la organización. Las reglas por unidad organizativa y cuenta pueden recopilar datos de telemetría adicionales, pero no pueden recopilar menos datos de telemetría. Si se crea una regla de este tipo, se generará un conflicto de reglas.

Dentro de cada ámbito (organización, unidad organizativa o cuenta), las reglas deben mantener la exclusividad en función del tipo de recurso, el tipo de telemetría y la configuración de destino. Las reglas duplicadas generan una excepción de conflicto. Si la misma regla existe en ámbitos diferentes, como una regla de nivel de organización para los registros de flujos de VPC en CloudWatch y una regla por unidad organizativa para los registros de flujos de VPC, se aplica la regla más alta de la jerarquía. Sin embargo, si hay varias reglas en conflicto, no se aplica ninguna de ellas.

Para los registros de flujos de VPC, la configuración de telemetría solo crea nuevos registros de flujo para los recursos que coinciden con el ámbito de la regla. No elimina ni afecta a los registros de flujos de VPC previamente establecidos, incluso si difieren de los parámetros de la regla actual. En el caso de los Registros de CloudWatch, los grupos de registros existentes se mantienen siempre que coincidan con el patrón de recursos.

Si actualiza una regla de activación, solo los recursos nuevos que coincidan con la regla adoptarán la configuración actualizada; los ajustes de telemetría existentes permanecerán inalterados para los recursos existentes. Si un recurso deja de cumplir una regla existente debido a la eliminación manual de los datos de telemetría, la nueva regla de activación se adopta una vez que el recurso vuelve a ser conforme.

Creación de reglas de activación de la telemetría

Al crear la regla de activación de la telemetría, especifica lo siguiente:

  • El ámbito de la regla (organización, unidad organizativa o cuenta)

  • Los tipos de recurso a los que se aplica la regla

  • Los tipos de telemetría que se activarán (métricas, registros o seguimientos)

  • Etiquetas opcionales para filtrar los recursos a los que afecta la regla

Creación de una regla de activación de la telemetría

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Configuración de la telemetría.

  3. Elija la pestaña Reglas de activación.

  4. Seleccione Agregar regla.

  5. En Nombre de la regla, ingrese un nombre para la regla.

  6. En Ámbito de la regla, elija una de las siguientes opciones:

    • Organización: la regla se aplica a toda su AWS Organizations

    • Unidad organizativa: la regla se aplica a una unidad organizativa específica

    • Cuenta: la regla se aplica a una sola cuenta

  7. En Origen de datos, seleccione el servicio de AWS que desee configurar.

  8. En Tipo de telemetría, seleccione los tipos de telemetría que desee activar.

  9. Opcional: agregue etiquetas para filtrar los recursos a los que afecta la regla.

  10. Seleccione Creación de regla.

Administración de reglas de telemetría

Tras crear las reglas, puede editarlas o eliminarlas. También puede ver a qué recursos afecta cada regla y supervisar el cumplimiento de las reglas.

Administración de una regla existente

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Configuración de la telemetría.

  3. Elija la pestaña Reglas de activación.

  4. Seleccione una regla para ver sus detalles o elija una de estas acciones:

    • Editar: modifique la configuración de la regla

    • Eliminar: elimine la regla

Solución de problemas de configuración de telemetría

En esta sección se describen los problemas comunes que podría encontrar cuando usa la configuración de telemetría y cómo resolverlos.

Resolución y conflictos de reglas

Cuando se aplican varias reglas al mismo recurso, la configuración de telemetría resuelve los conflictos según estas prioridades:

  1. Las reglas por organización tienen prioridad sobre las reglas por cuenta

  2. Las coincidencias de etiquetas más específicas tienen prioridad sobre las reglas generales

  3. Si hay varias reglas en conflicto, no se aplica ninguna de ellas; debe resolver antes los conflictos.

Problemas comunes

Los recursos no aparecen en la detección

Verifique lo siguiente:

  • Se admite el tipo de recurso

  • El Registrador de configuración de AWS está activado

  • Cuenta con los permisos de IAM adecuados

Las reglas no se aplican automáticamente

Compruebe lo siguiente:

  • Configuración del ámbito de la regla

  • Filtros de etiqueta

Consideraciones específicas del servicio

Registros de flujo de Amazon VPC

Al crear registros de flujo:

  • Se utiliza el patrón predeterminado /aws/vpc/vpc-id si no se especifica ninguno

  • Se conservan los registros de flujo existentes creados por el cliente

  • Las actualizaciones de las reglas solo afectan a los nuevos registros de flujo