AWS ConfigTerminología y conceptos de
En este tema se explican algunos conceptos clave para ayudarle a entender AWS Config.
Contenido
Interfaces de AWS Config
AWS ConfigConsola de
Puede administrar el servicio a través de la consola de AWS Config. Para obtener más información sobre Consola de administración de AWS, consulte Consola de administración de AWS.
AWS Config CLI
AWS Command Line Interface es una herramienta unificada que puede usar para interactuar con AWS Config desde la línea de comandos. Para obtener más información, consulte la Guía del usuario de AWS Command Line Interface. Para obtener una lista completa de los comandos para la CLI de AWS Config, consulte la sección sobre comandos disponibles.
AWS ConfigLas API de
Además de la consola y la CLI, también puede utilizar las API RESTful de AWS Config para programar AWS Config directamente. Para obtener más información, consulte la Referencia de la API de AWS Config.
AWS Config SDK
Además de la API de AWS Config, puede utilizar uno de los AWS SDK. Cada SDK se compone de bibliotecas y código de muestra para diversos lenguajes de programación y plataformas. Los SDK permiten crear cómodamente acceso mediante programación a AWS Config. Por ejemplo, puede usar los SDK para firmar solicitudes criptográficamente, gestionar los errores y reintentar las solicitudes de forma automática. A fin de obtener más información, consulte la página de Herramientas para Amazon Web Services
Administración de recursos
Entender los componentes básicos de AWS Config le ayudará a realizar el seguimiento de inventario de los recursos y los cambios y evaluar configuraciones de sus recursos de AWS.
AWSRecursos
Los recursos de AWS son entidades que crea y administra usando la Consola de administración de AWS, AWS Command Line Interface (CLI), los SDK de AWS o herramientas de socios de AWS. Algunos ejemplos de recursos de AWS incluyen instancias de Amazon EC2, grupos de seguridad, Amazon VPC y Amazon Elastic Block Store. AWS Config hace referencia a cada recurso utilizando su identificador único, como el ID de recurso o un Nombre de recurso de Amazon (ARN). Para obtener una lista de los tipos de recursos compatibles en AWS Config, consulte Tipos de recursos admitidos para AWS Config.
Relación de recursos
AWS Config detecta recursos de AWS en su cuenta y, a continuación, crea un mapa de las relaciones entre los recursos de AWS. Por ejemplo, una relación podría incluir un volumen de Amazon EBS vol-123ab45d adjunto a una instancia de Amazon EC2 i-a1b2c3d4 que está asociada al grupo de seguridad sg-ef678hk.
Para obtener más información, consulte Tipos de recursos admitidos para AWS Config.
Registro de configuración
El registrador de configuración almacena los cambios de configuración en los tipos de recursos incluidos en el ámbito como elementos de configuración (CI). Para obtener más información, consulte Uso del registrador de configuración.
Existen dos tipos de registradores de configuración.
| Tipo | Descripción |
|---|---|
| Registrador de configuración administrado por el cliente | Un registrador de configuración que administra usted. Usted establece los tipos de recursos incluidos en el ámbito. De forma predeterminada, un registrador de configuración administrado por el cliente registra todos los recursos admitidos en la Región de AWS donde se ejecuta AWS Config. |
| Registrador de configuración vinculado a servicios | Un registrador de configuración que está vinculado a un Servicio de AWS específico. Los tipos de recursos incluidos en el ámbito los establece el servicio vinculado. |
Canal de entrega
Como AWS Config registra continuamente los cambios que se producen en sus recursos de AWS, envía notificaciones y estados de configuración actualizados a través del canal de entrega. Puede administrar el canal de entrega para controlar dónde envía AWS Config las actualizaciones de configuración.
Elementos de configuración
Un elemento de configuración representa una vista en un punto en el tiempo de los diversos atributos de un recurso de AWS admitido que existe en su cuenta. Los componentes de un elemento de configuración incluyen metadatos, atributos, relaciones, la configuración actual y eventos relacionados. AWS Config crea un elemento de configuración cuando se detecta un cambio en un tipo de recurso que se está registrando. Por ejemplo, si AWS Config está registrando buckets de Amazon S3, AWS Config crea un elemento de configuración siempre que se crea, actualiza o elimina un bucket. También puede seleccionar que AWS Config cree un elemento de configuración con la frecuencia de registro que haya establecido.
Para obtener más información, consulte Components of a Configuration Item y Recording Frequency.
Historial de configuración
Un historial de configuración es una colección de elementos de configuración de un recurso determinado durante cualquier periodo de tiempo. Un historial de configuración puede ayudarle a responder preguntas sobre, por ejemplo, cuándo se creó el recurso, cómo se ha configurado durante el último mes y qué cambios de configuración se introdujeron ayer a las 9 de la mañana. El historial de configuración está disponible en varios formatos. AWS Config proporciona automáticamente un archivo del historial de configuración para cada tipo de recurso que se registra en un bucket de Amazon S3 que especifique. Puede seleccionar un recurso determinado en la consola de AWS Config e ir a todos los elementos de configuración anteriores de dicho recurso utilizando la línea temporal. Asimismo, puede obtener acceso a los elementos de configuración históricos de un recurso desde la API.
Para obtener más información, consulte Viewing Compliance History y Querying Compliance History.
Instantánea de configuración
Una instantánea de configuración es una colección de elementos de configuración de los recursos admitidos que existen en su cuenta. Esta instantánea de configuración es una imagen completa de los recursos que se registran y sus configuraciones. La instantánea de configuración puede ser una herramienta útil para validar la configuración. Por ejemplo, puede examinar la instantánea de configuración con regularidad para los recursos que se han configurado de forma incorrecta o que potencialmente no deban existir. La instantánea de configuración está disponible en varios formatos. Puede hacer que la instantánea de configuración se entregue al bucket de Amazon Simple Storage Service (Amazon S3) que especifique. Además, puede seleccionar un punto en el tiempo en la consola AWS Config y recorrer la instantánea de los elementos de configuración utilizando las relaciones entre los recursos.
Para obtener más información, consulte Delivering Configuration Snapshots, Viewing Configuration Snapshots y Example Configuration Snapshot.
Flujo de configuración
Un flujo de configuración es una lista actualizada automáticamente de todos los elementos de configuración de los recursos que registra AWS Config. Cada vez que se crea, se modifica o se elimina un recurso, AWS Config crea un elemento de configuración y lo añade al flujo de configuración. El flujo de configuración utiliza el tema de Amazon Simple Notification Service (Amazon SNS) de su elección. El flujo de configuración es útil para observar los cambios de configuración que se producen para poder identificar posibles problemas, generar notificaciones si se cambian determinados recursos o actualizar los sistemas externos que tengan que reflejar la configuración de sus recursos de AWS.
AWS ConfigReglas de
Una regla de AWS Config es una comprobación de cumplimiento que le ayuda a administrar los ajustes de configuración ideales para recursos específicos de AWS. AWS Config evalúa si las configuraciones de recursos cumplen las normas pertinentes y muestra los resultados del cumplimiento.
Resultados de la evaluación
Hay cuatro resultados posibles de la evaluación de una regla de AWS Config.
| Resultado de la evaluación | Descripción |
|---|---|
COMPLIANT |
La regla cumple las condiciones de la comprobación de cumplimiento. |
NON_COMPLIANT |
La regla no cumple las condiciones de la comprobación de cumplimiento. |
ERROR |
Uno de los parámetros obligatorios u opcionales no es válido, no es del tipo correcto o tiene un formato incorrecto. |
NOT_APPLICABLE |
Se utiliza para filtrar los recursos a los que no se puede aplicar la lógica de la regla. Por ejemplo, la regla alb-desync-mode-check solo comprueba los equilibradores de carga de aplicación e ignora los equilibradores de carga de red y de puerta de enlace. |
Tipos de regla
Hay dos tipos de reglas: Para obtener más información sobre la estructura de las definiciones y los metadatos de las reglas, consulte Componentes de una regla de AWS Config.
| Tipo | Descripción | Más información |
|---|---|---|
| Reglas administradas | Reglas predefinidas y personalizables creadas por AWS Config. | Para obtener una lista de las reglas administradas, consulte List of AWS Config Managed Rules. |
| Reglas personalizadas | Reglas que usted crea desde cero. Hay dos formas de crear reglas personalizadas de AWS Config: con funciones de Lambda (Guía para desarrolladores de AWS Lambda) y con Guard (Guard GitHub Repository |
Para obtener más información, consulte Creación de reglas de políticas personalizadas de AWS Config y Creación de reglas de Lambda personalizadas de AWS Config. |
Tipos de desencadenadores
Después de agregar una regla a la cuenta, AWS Config compara sus recursos con las condiciones de la regla. Después de esta evaluación inicial, AWS Config continúa realizando evaluaciones cada vez que se activa una. Los desencadenadores de evaluaciones están definidos como parte de la regla, y pueden incluir los siguientes tipos.
| Tipo de desencadenador | Descripción |
|---|---|
| Cambios de configuración | AWS Config ejecuta evaluaciones de la regla cuando hay un recurso que coincide con el alcance de la regla y hay un cambio en la configuración del recurso. La evaluación se realiza después de que AWS Config envía una notificación sobre un cambio de elementos de configuración. Usted elige qué recursos activan la evaluación al definir el ámbito de la regla. El ámbito puede incluir lo siguiente:
AWS Config ejecuta la evaluación cuando detecta un cambio en un recurso que coincide con el ámbito de la regla. Puede utilizar el ámbito para definir los recursos que activan evaluaciones. |
| Periódico | AWS Config ejecuta evaluaciones de la regla con la frecuencia que elija (por ejemplo, cada 24 horas). |
| Híbrido | Algunas reglas tienen cambios de configuración y desencadenadores periódicos. En el caso de estas reglas, AWS Config evalúa los recursos cuando detecta un cambio de configuración y también con la frecuencia que especifique. |
Modos de evaluación
Hay dos modos de evaluación para las reglas de AWS Config.
| Modo de evaluación | Descripción |
|---|---|
| Proactiva | Utilice una evaluación proactiva para evaluar los recursos antes de que se implementen. De este modo, podrá evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un recurso de AWS, es COMPLIANT o NON_COMPLIANT dado el conjunto de reglas proactivas que tiene en su cuenta en su región. Para obtener más información, consulte Modos de evaluación. Para obtener una lista de las reglas administradas que admiten la evaluación proactiva, consulte Lista de reglas de AWS Config administradas por modo de evaluación. |
| Detective | Utilice la evaluación de detectives para evaluar los recursos que ya se han implementado. Esto le permite evaluar los ajustes de configuración de los recursos existentes. |
nota
Las reglas proactivas no corrigen los recursos que están marcados como NON_COMPLIANT ni impiden su implementación.
Paquetes de conformidad
Un paquete de conformidad es un conjunto de reglas y acciones de corrección de AWS Config que se puede implementar fácilmente como una entidad en una cuenta y una región o en toda una organización de AWS Organizations.
Los paquetes de conformidad se crean generando una plantilla YAML que contiene la lista de reglas administradas o personalizadas y las acciones de corrección de AWS Config. Puede implementar la plantilla utilizando la consola de AWS Config o la AWS CLI.
Para ponerse en marcha rápidamente y evaluar el entorno de AWS, utilice una de las plantillas de paquetes de conformidad de muestra. También puede crear un archivo YAML del paquete de conformidad desde cero basándose en el paquete de conformidad personalizado. Un paquete de conformidad personalizado es un conjunto de reglas y acciones de corrección de AWS Config que se puede implementar en conjunto en una cuenta y una región de AWS o en toda una organización de AWS Organizations.
Las comprobaciones de procesos son un tipo de regla de AWS Config que le permite realizar un seguimiento de las tareas externas e internas que requieren verificación como parte de los paquetes de conformidad. Estas comprobaciones se pueden agregar a un paquete de conformidad existente o a un paquete de conformidad nuevo. Puede realizar un seguimiento de toda la conformidad, incluidas las configuraciones de AWS Config y las comprobaciones manuales, en un solo lugar.
Acumulación de datos de varias cuentas y regiones
La acumulación de datos de varias cuentas y regiones de AWS Config permite agregar dichos datos de configuración y conformidad de AWS Config en una misma cuenta. La acumulación de datos de varias cuentas y regiones permite a los administradores centrales de TI supervisar la conformidad de varias Cuentas de AWS en la empresa. El uso de agregadores no implica ningún costo adicional.
Cuenta de origen
Una cuenta de origen es la Cuenta de AWS cuyos datos de conformidad y configuración de recursos de AWS Config desea agregar. Una cuenta de origen puede ser una cuenta individual o una organización de AWS Organizations. Puede proporcionar cuentas de origen individuales o puede recuperarlas mediante AWS Organizations.
Región de origen
Una región de origen es la región de AWS cuyos datos de configuración y conformidad de AWS Config se desean agregar.
Agregador
Un agregador recopila datos de configuración y conformidad de AWS Config de varias cuentas y regiones de origen. Los agregadores se crean en la región en la que desee ver los datos de configuración y conformidad de AWS Config agregados.
nota
Los agregadores proporcionan una vista de solo lectura de las cuentas y regiones de origen que el agregador está autorizado a ver; para ello, replican los datos de las cuentas de origen en la cuenta del agregador. Los agregadores no proporcionan acceso mutante ni a la cuenta ni a la región de origen. Por ejemplo, esto significa que no puede implementar reglas a través de un agregador ni enviar archivos de instantáneas a una cuenta o región de origen a través de un agregador.
Agregador vinculado a servicios
Un agregador vinculado a servicios está vinculado a un Servicio de AWS específico. El servicio vinculado establece los datos de configuración y cumplimiento en el ámbito.
Cuenta de agregador
Una cuenta de agregador es la cuenta en la que se crea un agregador.
Autorización
Para el propietario de una cuenta de origen, la autorización se refiere a los permisos que concede a una cuenta y una región de agregador para recopilar datos de configuración y conformidad de AWS Config. La autorización no es necesaria si se agregan cuentas de origen que forman parte de AWS Organizations.
