Cómo funciona AWS Config
AWS Config proporciona una vista detallada de la configuración de los recursos de AWS de su cuenta de AWS. Esto incluye cómo se relacionan los recursos entre sí y cómo se han configurado en el pasado, para que pueda ver cómo las configuraciones y las relaciones cambian a lo largo del tiempo.
Un recurso de AWS es una entidad con la que se puede trabajar en AWS, como una instancia de Amazon Elastic Compute Cloud (EC2), un volumen de Amazon Elastic Block Store (EBS), un grupo de seguridad o una Amazon Virtual Private Cloud (Amazon VPC). Para obtener una lista completa de los recursos de AWS admitidos por AWS Config, consulte Tipos de recursos admitidos para AWS Config.
Detección de recursos
Al activar AWS Config, primero descubre los recursos de AWS admitidos que existen en su cuenta y genera un elemento de configuración para cada recurso.
AWS Config genera también elementos de configuración cuando cambia la configuración de un recurso y mantiene los registros históricos de los elementos de configuración de los recursos desde el momento en que inicie el registrador de configuración. De forma predeterminada, AWS Config crea los elementos de configuración para cada recurso admitido en la región. Si no desea que AWS Config cree elementos de configuración para todos los recursos admitidos, puede especificar los tipos de recursos de los que desee realizar el seguimiento.
Antes de especificar el tipo de recurso del que AWS Config va a realizar el seguimiento, consulte Cobertura de recursos según la disponibilidad por región para comprobar si el tipo de recurso es compatible con la región de AWS en la que esté configurando AWS Config. Si AWS Config admite un tipo de recurso en como mínimo una región, puede habilitar el registro de ese tipo de recurso en todas las regiones admitidas por AWS Config, incluso si el tipo de recurso especificado no es compatible con la región de AWS en la que esté configurando AWS Config.
Seguimiento de recursos
AWS Config realiza un seguimiento de todos los cambios en los recursos, invocando las llamadas Describe o List a la API para cada recurso en su cuenta. El servicio utiliza las mismas llamadas al API para capturar los detalles de la configuración de todos los recursos relacionados.
Por ejemplo, eliminar una regla de salida a partir de un grupo de seguridad de VPC hace que AWS Config invoque una llamada Describe a la API en el grupo de seguridad. A continuación, AWS Config invoca una llamada Describe a la API en todas las instancias asociadas al grupo de seguridad. Las configuraciones actualizadas del grupo de seguridad (el recurso) y de cada instancia (los recursos relacionados) se registran como elementos de configuración y se entregan en un flujo de configuración en un bucket de Amazon Simple Storage Service (Amazon S3).
AWS Config también realiza un seguimiento de los cambios de configuración que no se han iniciado mediante la API. AWS Config examina las configuraciones de recursos periódicamente y genera elementos de configuración para las configuraciones que se han modificado.
Si utiliza reglas de AWS Config, AWS Config evalúa continuamente las configuraciones de los recursos de AWS según la configuración deseada. Dependiendo de la regla, AWS Config evaluará sus recursos en respuesta a los cambios de configuración, o bien de forma periódica. Cada regla está asociada a una función AWS Lambda que contiene la lógica de evaluación de la regla. Cuando AWS Config evalúa sus recursos, invoca la función AWS Lambda de la regla. La función devuelve el estado de conformidad de los recursos evaluados. Si un recurso infringe las condiciones de una regla, AWS Config marca el recurso y la regla como no conformes. Cuando el estado de conformidad de un recurso cambia, AWS Config envía una notificación a su tema de Amazon SNS.
Entrega de elementos de configuración
AWS Config pueden entregar elementos de configuración a través de uno de los siguientes canales:
Bucket de Amazon S3
AWS Config realiza un seguimiento de los cambios en la configuración de los recursos de AWS y envía periódicamente los detalles de la configuración actualizada a un bucket de Amazon S3 que especifique. Para cada tipo de recurso que registra AWS Config, envía un archivo de historial de configuración cada seis horas. Cada archivo de historial de configuración contiene información sobre los recursos que han cambiado en ese periodo de seis horas. Cada archivo incluye recursos de un tipo, como instancias de Amazon EC2 o volúmenes de Amazon EBS. Si no se producen cambios de configuración, AWS Config no envía ningún archivo.
AWS Config envía una instantánea de la configuración a su bucket de Amazon S3 cuando se utiliza el comando deliver-config-snapshot con la AWS CLI o cuando se utiliza la acción DeliverConfigSnapshot con la API de AWS Config. Una instantánea de configuración contiene los detalles de la configuración de todos los recursos que AWS Config registra en la cuenta de Cuenta de AWS. El archivo de historial de configuración y la instantánea de configuración están en formato JSON.
nota
AWS Config únicamente entrega los archivos de historial de configuración y las instantáneas de configuración al bucket de S3 especificado; AWS Config no modifica las políticas del ciclo de vida de los objetos en el bucket de S3. Puede usar políticas de ciclo de vida para especificar si desea eliminar o archivar objetos en Amazon Glacier. Para obtener más información, consulte Administración de la configuración del ciclo de vida en la Guía del usuario de Amazon Simple Storage Service. También puede consultar la publicación del blog Archiving Amazon S3 Data to Amazon Glacier
Tema de Amazon SNS
Un tema de Amazon Simple Notification Service (Amazon SNS) es un canal de comunicación que utiliza para entregar mensajes (o notificaciones) a puntos de enlace de suscripción, como una dirección de correo electrónico o un cliente. Entre otros tipos de notificaciones de Amazon SNS se incluyen mensajes de notificación de inserción para aplicaciones en teléfonos móviles, notificaciones por SMS (servicio de mensajes cortos) a teléfonos y smartphones habilitados para SMS y solicitudes HTTP POST. Para obtener los mejores resultados, utilice Amazon SQS como punto de conexión de notificación para el tema de SNS y, a continuación, procese la información en la notificación de forma programada.
AWS Config utiliza el tema de Amazon SNS que especifique para enviarle notificaciones. El tipo de notificación que está recibiendo se indica por el valor de la clave messageType en el cuerpo del mensaje, como en el siguiente ejemplo:
"messageType": "ConfigurationHistoryDeliveryCompleted"
Las notificaciones pueden ser cualquiera de los siguientes tipos de mensajes.
| Tipo de mensaje | Descripción |
|---|---|
| ComplianceChangeNotification | El tipo de conformidad de un recurso que AWS Config evalúa ha cambiado. El tipo de conformidad indica si el recurso cumple con una regla AWS Config específica y se representa por la clave ComplianceType en el mensaje. El mensaje incluye objetos newEvaluationResult y oldEvaluationResult de comparación. |
| ConfigRulesEvaluationStarted | AWS Config ha empezado a evaluar la regla con respecto a los recursos especificados. |
| ConfigurationSnapshotDeliveryStarted | AWS Config ha empezado a entregar la instantánea de configuración en el bucket de Amazon S3. Se proporciona el nombre del bucket de Amazon S3 para la clave s3Bucket en el mensaje. |
| ConfigurationSnapshotDeliveryCompleted | AWS Config ha enviado correctamente la instantánea de configuración al bucket de Amazon S3. |
| ConfigurationSnapshotDeliveryFailed | AWS Config no ha logrado entregar la instantánea de configuración al bucket de Amazon S3. |
| ConfigurationHistoryDeliveryCompleted | AWS Config ha entregado correctamente el historial de configuración al bucket de Amazon S3. |
| ConfigurationItemChangeNotification | Un recurso se ha creado, eliminado o cambiado en la configuración. Este mensaje incluye los detalles del elemento de configuración que AWS Config crea para este cambio e incluye el tipo de cambio. Estas notificaciones se entregan en cuestión de minutos tras el cambio y se conocen colectivamente como el flujo de configuración. |
| OversizedConfigurationItemChangeNotification | Este tipo de mensaje se entrega cuando una notificación de cambio de elemento de configuración supera el tamaño máximo permitido por Amazon SNS. El mensaje incluye un resumen del elemento de configuración. A excepción de los mensajes SMS, los mensajes de Amazon SNS pueden contener hasta 256 KB de datos de texto, incluidos XML, JSON y texto sin formato. Puede ver la notificación completa en el bucket de Amazon S3 especificado. |
| OversizedConfigurationItemChangeDeliveryFailed | AWS Config no ha logrado entregar la notificación de cambio de elemento de configuración sobredimensionada a su bucket de Amazon S3. |
Para obtener ejemplos de notificaciones, consulte Notificaciones que AWS Config envía a un tema de Amazon SNS. Para obtener más información sobre Amazon SNS, consulte la Guía para desarrolladores de Amazon Simple Notification Service.
nota
¿Por qué no puedo ver los cambios de configuración más recientes?
Normalmente, AWS Config registra los cambios de configuración en los recursos justo después de detectar el cambio, o con la frecuencia que usted especifique. Aunque el sistema hace todo lo posible porque sea así, a veces puede tardar más tiempo. Si sigue habiendo problemas después de algún tiempo, póngase en contacto con Soporte
Cómo controlar el acceso a AWS Config
AWS Identity and Access Management es un servicio web que permite a los clientes de Amazon Web Services (AWS) administrar usuarios y permisos de usuario.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
-
Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center.
-
Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.
-
Usuarios de IAM:
-
Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
-
(No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.
-
