Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Trabajo con el canal de entrega
Como registra AWS Config continuamente los cambios que se producen en sus AWS recursos, envía notificaciones y estados de configuración actualizados a través del *canal de entrega*. Puede administrar el canal de entrega para controlar dónde se AWS Config envían las actualizaciones de configuración.
**Topics**
+ [Consideraciones](#dc-considerations)
+ [Terminología](#dc-terminology)
+ [Components of a Configuration Item](config-item-table.md)
+ [Visualización del canal de entrega](dc-view.md)
+ [Actualización del canal de entrega](update-dc-console.md)
+ [Cambio de nombre del canal de entrega](update-dc-rename.md)
+ [Entrega de instantáneas de configuración](deliver-snapshot-cli.md)
+ [Verificación del estado de entrega](verify-delivery-status.md)
+ [Visualización de instantáneas de configuración](view-configuration-snapshot.md)
+ [Instantánea de configuración de ejemplo](example-s3-snapshot.md)
+ [Notificaciones de ejemplo](notifications-for-AWS-Config.md)
## Consideraciones
**Un canal de entrega por región y por cuenta**
Solo puede tener un canal de entrega por AWS región y región Cuenta de AWS, y es obligatorio utilizar el canal de entrega AWS Config.
**Las notificaciones de elementos de configuración sobredimensionados incluyen un breve resumen**
Cuando AWS Config detecta un cambio en la configuración de un recurso y la notificación supera el tamaño máximo permitido por Amazon SNS, la notificación incluye un breve resumen del elemento de configuración. Puede ver la notificación completa en la ubicación del bucket de Amazon S3 especificada en el campo `s3BucketLocation`. Para obtener más información, consulte [Example Oversized Configuration Item Change Notification](https://docs.aws.amazon.com/config/latest/developerguide/oversized-notification-example.html).
**AWS Config admite el AWS KMS cifrado de los buckets de Amazon S3 utilizados por AWS Config**
Puede proporcionar una clave AWS Key Management Service (AWS KMS) o un alias (Amazon Resource Name, ARN) para cifrar los datos que se envían a su bucket de Amazon Simple Storage Service (Amazon S3). De forma predeterminada, AWS Config entrega el historial de configuración y los archivos de instantáneas a su bucket de Amazon S3 y cifra los datos en reposo mediante el cifrado S3 AES-256 del lado del servidor, SSE-S3. Sin embargo, si AWS Config proporciona su clave de KMS o alias ARN, AWS Config utiliza esa clave de KMS en lugar del cifrado AES-256.
AWS Config no admite el canal de entrega a un bucket de Amazon S3 en el que el bloqueo de objetos está habilitado con la retención predeterminada habilitada. Para obtener más información, consulte [Cómo funciona el bloqueo de objetos de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-overview.html).
## Terminología
Un *elemento de configuración* representa una point-in-time vista de los distintos atributos de un AWS recurso compatible que existe en su cuenta. Los componentes de un elemento de configuración incluyen los metadatos, los atributos, las relaciones, la configuración actual y los eventos relacionados. AWS Config crea un elemento de configuración cada vez que detecta un cambio en un tipo de recurso que está registrando. Por ejemplo, si AWS Config está grabando buckets de Amazon S3, AWS Config crea un elemento de configuración cada vez que se crea, actualiza o elimina un bucket. También puede seleccionar AWS Config crear un elemento de configuración con la frecuencia de grabación que haya establecido.
Un *historial de configuración* es una colección de elementos de configuración de un recurso determinado durante cualquier periodo de tiempo. Un historial de configuración puede ayudarle a responder preguntas sobre, por ejemplo, cuándo se creó el recurso, cómo se ha configurado durante el último mes y qué cambios de configuración se introdujeron ayer a las 9 de la mañana. El historial de configuración está disponible en varios formatos. AWS Config entrega automáticamente un archivo de historial de configuración para cada tipo de recurso que se registre en un bucket de Amazon S3 que especifique. Puede seleccionar un recurso determinado en la AWS Config consola y navegar hasta todos los elementos de configuración anteriores de ese recurso utilizando la cronología. Asimismo, puede obtener acceso a los elementos de configuración históricos de un recurso desde la API.
Una *instantánea de configuración* es una colección de elementos de configuración de los recursos admitidos que existen en su cuenta. Esta instantánea de configuración es una imagen completa de los recursos que se registran y sus configuraciones. La instantánea de configuración puede ser una herramienta útil para validar la configuración. Por ejemplo, puede examinar la instantánea de configuración con regularidad para los recursos que se han configurado de forma incorrecta o que potencialmente no deban existir. La instantánea de configuración está disponible en varios formatos. Puede hacer que la instantánea de configuración se entregue al bucket de Amazon Simple Storage Service (Amazon S3) que especifique. Además, puede seleccionar un punto en el tiempo en la AWS Config consola y navegar por la instantánea de los elementos de configuración utilizando las relaciones entre los recursos.
Un *flujo de configuración* es una lista que se actualiza automáticamente de todos los elementos de configuración de los recursos que AWS Config se están registrando. Cada vez que se crea, se modifica o se elimina un recurso, AWS Config crea un elemento de configuración y lo añade al flujo de configuración. El flujo de configuración utiliza el tema de Amazon Simple Notification Service (Amazon SNS) de su elección. El flujo de configuración es útil para observar los cambios de configuración a medida que se producen y detectar posibles problemas, generar notificaciones si se modifican determinados recursos o actualizar los sistemas externos que deben reflejar la configuración de AWS los recursos.
# Componentes de un elemento de configuración
Un *elemento de configuración* representa una vista en un punto en el tiempo de los diversos atributos de un recurso de AWS admitido que existe en su cuenta. Los componentes de un elemento de configuración incluyen metadatos, atributos, relaciones, la configuración actual y eventos relacionados. AWS Config crea un elemento de configuración cuando se detecta un cambio en un tipo de recurso que se está registrando. Por ejemplo, si AWS Config está registrando buckets de Amazon S3, AWS Config crea un elemento de configuración siempre que se crea, actualiza o elimina un bucket. También puede seleccionar que AWS Config cree un elemento de configuración con la frecuencia de registro que haya establecido.
Un elemento de configuración consta de los siguientes componentes.
****
| Componente | Descripción | Contiene |
| --- | --- | --- |
| Metadatos | Información sobre este elemento de configuración. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/config/latest/developerguide/config-item-table.html) |
| Atributos | Atributos de recursos | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/config/latest/developerguide/config-item-table.html) |
| Relaciones | Cómo se relaciona el recurso con otros recursos asociados a la cuenta | Descripción de la relación, por ejemplo, el volumen de Amazon EBS vol-1234567 vinculado a una instancia i-a1b2c3d4 de Amazon EC2 |
| Configuración actual | La información que se devuelve a través de una llamada a las API Describe o List del recurso | Por ejemplo, la API DescribeVolumes devuelve la siguiente información sobre el volumen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/config/latest/developerguide/config-item-table.html) |
**Notas**
1. La relación de un elemento de configuración no incluye el flujo de red o las dependencias de flujo de datos. Los elementos de configuración no se puede personalizar para representar la arquitectura de su aplicación.
1. A partir de la versión 1.3, el campo relatedEvents está vacío. Puede acceder a la [API LookupEvents](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) en la *Referencia de la API de AWS CloudTrail* para obtener los eventos para el recurso.
1. A partir de la versión 1.3, el campo configurationItemMD5Hash está vacío. Puede utilizar el campo configurationStateId para asegurarse de que dispone del elemento de configuración más reciente.
1. Si un tipo de recurso no admite etiquetado o no incluye información sobre etiquetas en la respuesta de descripción de la API, AWS Config no capturará datos de las etiquetas en los elementos de configuración (CI) para ese tipo de recurso. AWS Config seguirá registrando estos recursos. Sin embargo, cualquier funcionalidad que dependa de los datos de las etiquetas no funcionará. Esto afecta al filtrado, la agrupación o la evaluación del cumplimiento que se basan en los datos de las etiquetas.
# Visualización del canal de entrega
Debe utilizar el AWS CLI para ver los detalles del canal de entrega.
Los siguientes ejemplos de código muestran cómo utilizar `DescribeDeliveryChannels`.
------
#### [ CLI ]
**AWS CLI**
**Información sobre el canal de entrega**
El comando siguiente devuelve información detallada sobre el canal de entrega:
```
aws configservice describe-delivery-channels
```
Salida:
```
{
"DeliveryChannels": [
{
"snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
"name": "default",
"s3BucketName": "config-bucket-123456789012"
}
]
}
```
+ Para obtener más información sobre la API, consulte [DescribeDeliveryChannels](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/describe-delivery-channels.html)la *Referencia de AWS CLI comandos*.
------
#### [ PowerShell ]
**Herramientas para la PowerShell versión 4**
**Ejemplo 1: En este ejemplo, se recupera el canal de entrega de la región y se muestran los detalles.**
```
Get-CFGDeliveryChannel -Region eu-west-1 | Select-Object Name, S3BucketName, S3KeyPrefix, @{N="DeliveryFrequency";E={$_.ConfigSnapshotDeliveryProperties.DeliveryFrequency}}
```
**Salida:**
```
Name S3BucketName S3KeyPrefix DeliveryFrequency
---- ------------ ----------- -----------------
default config-bucket-NA my TwentyFour_Hours
```
+ Para obtener más información sobre la API, consulte [DescribeDeliveryChannels Herramientas de AWS para PowerShell](https://docs.aws.amazon.com/powershell/v4/reference)*Cmdlet Reference (V4)*.
**Herramientas para la versión 5 PowerShell **
**Ejemplo 1: En este ejemplo, se recupera el canal de entrega de la región y se muestran los detalles.**
```
Get-CFGDeliveryChannel -Region eu-west-1 | Select-Object Name, S3BucketName, S3KeyPrefix, @{N="DeliveryFrequency";E={$_.ConfigSnapshotDeliveryProperties.DeliveryFrequency}}
```
**Salida:**
```
Name S3BucketName S3KeyPrefix DeliveryFrequency
---- ------------ ----------- -----------------
default config-bucket-NA my TwentyFour_Hours
```
+ Para obtener más información sobre la API, consulte [DescribeDeliveryChannels](https://docs.aws.amazon.com/powershell/v5/reference)la *referencia de Herramientas de AWS para PowerShell cmdlets (*V5).
------
# Actualización del canal de entrega
Al actualizar el canal de entrega, puede ajustar las siguientes opciones:
+ El bucket de Amazon S3 desde el que se AWS Config envían las instantáneas de la configuración y los archivos del historial de configuración.
+ Con qué frecuencia AWS Config entrega instantáneas de configuración a su bucket de Amazon S3.
+ El tema de Amazon SNS al que se AWS Config envían notificaciones sobre los cambios de configuración.
## Actualización del canal de entrega (consola)
Puede usar la AWS Config consola para configurar el bucket de Amazon S3 y el tema Amazon SNS para su canal de entrega. Para conocer los pasos para administrar estos ajustes, consulte [Configuración de AWS Config con la consola](gs-console.md).
La consola no proporciona opciones para cambiar el nombre del canal de entrega, ajustar la frecuencia de las instantáneas de configuración o eliminar el canal de entrega. Para realizar estas tareas, debe utilizar la AWS CLI, la AWS Config API o una de las AWS SDKs.
## Para actualizar el canal de entrega (AWS SDKs)
Los siguientes ejemplos de código muestran cómo utilizar `PutDeliveryChannel`.
------
#### [ CLI ]
**AWS CLI**
**Creación de un canal de entrega**
El siguiente comando proporciona la configuración del canal de entrega en forma de código JSON:
```
aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json
```
El archivo `deliveryChannel.json` especifica los atributos del canal de entrega:
```
{
"name": "default",
"s3BucketName": "config-bucket-123456789012",
"snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
"configSnapshotDeliveryProperties": {
"deliveryFrequency": "Twelve_Hours"
}
}
```
Este ejemplo establece los siguientes atributos:
`name`: El nombre del canal de entrega. De forma predeterminada, AWS Config asigna el nombre `default` a un nuevo canal de entrega. No puede actualizar el nombre del canal de entrega con el comando. `put-delivery-channel` Si desea saber cuáles son los pasos para cambiar el nombre, consulte Renaming the Delivery Channel. `s3BucketName`: - El nombre del bucket de Amazon S3 al que AWS Config entrega las instantáneas de configuración y los archivos del historial de configuración. Si especifica un bucket que pertenece a otra AWS cuenta, ese bucket debe tener políticas que concedan permisos de acceso a Config. AWS Para obtener más información, consulte Permisos para el bucket de Amazon S3.
`snsTopicARN`- El nombre del recurso de Amazon (ARN) del tema de Amazon SNS al que AWS Config envía notificaciones sobre los cambios de configuración. Si elige un tema de otra cuenta, el tema debe tener políticas que concedan permisos de acceso a Config. AWS Para obtener más información, consulte Permissions for the Amazon SNS Topic.
`configSnapshotDeliveryProperties`- Contiene el `deliveryFrequency` atributo, que establece la frecuencia con la que AWS Config entrega instantáneas de la configuración y la frecuencia con la que invoca las evaluaciones de las reglas de Config periódicas.
Si el comando se ejecuta correctamente, AWS Config no devuelve ningún resultado. Para verificar la configuración de su canal de entrega, ejecute el describe-delivery-channels comando.
+ Para obtener más información sobre la API, consulte [PutDeliveryChannel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/put-delivery-channel.html)la *Referencia de AWS CLI comandos*.
------
#### [ PowerShell ]
**Herramientas para la PowerShell versión 4**
**Ejemplo 1: En este ejemplo, se cambia la propiedad deliveryFrequency de un canal de entrega existente.**
```
Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName amzn-s3-demo-bucket -DeliveryChannel_S3KeyPrefix my
```
+ Para obtener más información sobre la API, consulte [PutDeliveryChannel Herramientas de AWS para PowerShell](https://docs.aws.amazon.com/powershell/v4/reference)*Cmdlet Reference (V4)*.
**Herramientas para la versión 5 PowerShell **
**Ejemplo 1: En este ejemplo, se cambia la propiedad deliveryFrequency de un canal de entrega existente.**
```
Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName amzn-s3-demo-bucket -DeliveryChannel_S3KeyPrefix my
```
+ Para obtener más información sobre la API, consulte [PutDeliveryChannel](https://docs.aws.amazon.com/powershell/v5/reference)la *referencia de Herramientas de AWS para PowerShell cmdlets (*V5).
------
(Opcional) Puede utilizar el comando [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-delivery-channels.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-delivery-channels.html) para verificar que se han actualizado los ajustes del canal de entrega:
```
$ aws configservice describe-delivery-channels
{
"DeliveryChannels": [
{
"configSnapshotDeliveryProperties": {
"deliveryFrequency": "Twelve_Hours"
},
"snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
"name": "default",
"s3BucketName": "config-bucket-123456789012"
}
]
}
```
Los siguientes ejemplos de código muestran cómo utilizar `DescribeDeliveryChannels`.
------
#### [ CLI ]
**AWS CLI**
**Información sobre el canal de entrega**
El comando siguiente devuelve información detallada sobre el canal de entrega:
```
aws configservice describe-delivery-channels
```
Salida:
```
{
"DeliveryChannels": [
{
"snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
"name": "default",
"s3BucketName": "config-bucket-123456789012"
}
]
}
```
+ *Para obtener más información sobre la API, consulte la Referencia de [DescribeDeliveryChannels](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/describe-delivery-channels.html)comandos AWS CLI .*
------
#### [ PowerShell ]
**Herramientas para la PowerShell versión 4**
**Ejemplo 1: En este ejemplo, se recupera el canal de entrega de la región y se muestran los detalles.**
```
Get-CFGDeliveryChannel -Region eu-west-1 | Select-Object Name, S3BucketName, S3KeyPrefix, @{N="DeliveryFrequency";E={$_.ConfigSnapshotDeliveryProperties.DeliveryFrequency}}
```
**Salida:**
```
Name S3BucketName S3KeyPrefix DeliveryFrequency
---- ------------ ----------- -----------------
default config-bucket-NA my TwentyFour_Hours
```
+ Para obtener más información sobre la API, consulte [DescribeDeliveryChannels Herramientas de AWS para PowerShell](https://docs.aws.amazon.com/powershell/v4/reference)*Cmdlet Reference (V4)*.
**Herramientas para la versión 5 PowerShell **
**Ejemplo 1: En este ejemplo, se recupera el canal de entrega de la región y se muestran los detalles.**
```
Get-CFGDeliveryChannel -Region eu-west-1 | Select-Object Name, S3BucketName, S3KeyPrefix, @{N="DeliveryFrequency";E={$_.ConfigSnapshotDeliveryProperties.DeliveryFrequency}}
```
**Salida:**
```
Name S3BucketName S3KeyPrefix DeliveryFrequency
---- ------------ ----------- -----------------
default config-bucket-NA my TwentyFour_Hours
```
+ Para obtener más información sobre la API, consulte [DescribeDeliveryChannels](https://docs.aws.amazon.com/powershell/v5/reference)la *referencia de Herramientas de AWS para PowerShell cmdlets (*V5).
------
# Cambio de nombre del canal de entrega
Para cambiar el nombre del canal de entrega, debe eliminarlo y crear un nuevo canal de entrega con el nombre que desee. Antes de poder eliminar el canal de entrega, debe detener temporalmente el registrador de configuración. La AWS Config consola no ofrece la opción de eliminar el canal de entrega. Debe usar la AWS CLI, la AWS Config API o una de las AWS SDKs.
**Cambiar el nombre del canal de entrega mediante AWS CLI**
1. Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/configservice/stop-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/stop-configuration-recorder.html) para detener el registrador de configuración:
```
$ aws configservice stop-configuration-recorder --configuration-recorder-name configRecorderName
```
1. Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-delivery-channels.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-delivery-channels.html) y anote los atributos de su canal de entrega:
```
$ aws configservice describe-delivery-channels
{
"DeliveryChannels": [
{
"configSnapshotDeliveryProperties": {
"deliveryFrequency": "Twelve_Hours"
},
"snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
"name": "default",
"s3BucketName": "config-bucket-123456789012"
}
]
}
```
1. Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/configservice/delete-delivery-channel.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/delete-delivery-channel.html) para eliminar el canal de entrega:
```
$ aws configservice delete-delivery-channel --delivery-channel-name default
```
1. Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-delivery-channel.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-delivery-channel.html) para crear un canal de entrega con el nombre que desee:
```
$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json
```
El archivo deliveryChannel.json especifica los atributos del canal de entrega:
```
{
"name": "myCustomDeliveryChannelName",
"s3BucketName": "config-bucket-123456789012",
"snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
"configSnapshotDeliveryProperties": {
"deliveryFrequency": "Twelve_Hours"
}
}
```
1. Utilice el comando `start-configuration-recorder` para reanudar el registro:
```
$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName
```
# Entrega de instantáneas de configuración a un bucket de Amazon S3
Una *instantánea de configuración* es una colección de elementos de configuración de los recursos admitidos que existen en su cuenta. Esta instantánea de configuración es una imagen completa de los recursos que se registran y sus configuraciones. La instantánea de configuración puede ser una herramienta útil para validar la configuración. Por ejemplo, puede examinar la instantánea de configuración con regularidad para los recursos que se han configurado de forma incorrecta o que potencialmente no deban existir. La instantánea de configuración está disponible en varios formatos. Puede hacer que la instantánea de configuración se entregue al bucket de Amazon Simple Storage Service (Amazon S3) que especifique. Además, puede seleccionar un punto en el tiempo en la AWS Config consola y navegar por la instantánea de los elementos de configuración utilizando las relaciones entre los recursos.
## Entrega de instantáneas de configuración
AWS Config genera instantáneas de configuración cuando se invoca la [DeliverConfigSnapshot](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html)acción o se ejecuta el AWS CLI `deliver-config-snapshot` comando. AWS Config almacena las instantáneas de configuración en el bucket de Amazon S3 que especificó al AWS Config habilitarlo.
Introduzca el [https://docs.aws.amazon.com/cli/latest/reference/configservice/deliver-config-snapshot.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/deliver-config-snapshot.html)comando especificando el nombre asignado AWS Config al configurar el canal de entrega, por ejemplo:
```
$ aws configservice deliver-config-snapshot --delivery-channel-name default
{
"configSnapshotId": "94ccff53-83be-42d9-996f-b4624b3c1a55"
}
```
# Verificación del estado de entrega
Introduzca el [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-delivery-channel-status.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-delivery-channel-status.html)comando para comprobar que AWS Config ha empezado a entregar las configuraciones al canal de entrega especificado:
```
aws configservice describe-delivery-channel-status
```
La respuesta muestra el estado de los tres formatos de entrega que se AWS Config utilizan para entregar las configuraciones al segmento y al tema.
```
{
"DeliveryChannelsStatus": [
{
"configStreamDeliveryInfo": {
"lastStatusChangeTime": 1415138614.125,
"lastStatus": "SUCCESS"
},
"configHistoryDeliveryInfo": {
"lastSuccessfulTime": 1415148744.267,
"lastStatus": "SUCCESS",
"lastAttemptTime": 1415148744.267
},
"configSnapshotDeliveryInfo": {
"lastSuccessfulTime": 1415333113.4159999,
"lastStatus": "SUCCESS",
"lastAttemptTime": 1415333113.4159999
},
"name": "default"
}
]
}
```
Vea el campo `lastSuccessfulTime` en `configSnapshotDeliveryInfo`. La hora debe coincidir con la hora a la que solicitó por última vez la entrega de la instantánea de la configuración.
**nota**
AWS Config utiliza el formato UTC (hora universal coordinada) para registrar la hora.
# Visualización de las instantáneas de la configuración en el bucket de Amazon S3
Una *instantánea de configuración* es una colección de elementos de configuración de los recursos admitidos que existen en su cuenta. Esta instantánea de configuración es una imagen completa de los recursos que se registran y sus configuraciones. La instantánea de configuración puede ser una herramienta útil para validar la configuración. Por ejemplo, puede examinar la instantánea de configuración con regularidad para los recursos que se han configurado de forma incorrecta o que potencialmente no deban existir. La instantánea de configuración está disponible en varios formatos. Puede hacer que la instantánea de configuración se entregue al bucket de Amazon Simple Storage Service (Amazon S3) que especifique. Además, puede seleccionar un punto en el tiempo en la AWS Config consola y navegar por la instantánea de los elementos de configuración utilizando las relaciones entre los recursos.
## Visualización de instantáneas de configuración
1. Inicie sesión en la consola de Amazon S3 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En la lista **Todos los buckets** de la consola de Amazon S3, seleccione el nombre de su bucket de Amazon S3.
1. Navegue por las carpetas anidadas del bucket hasta que vea el objeto `ConfigSnapshot` con un ID de instantánea que coincida con el ID devuelto por el comando. Descargue y abra el objeto para ver la instantánea de la configuración. El bucket de S3 también contiene un archivo vacío llamado`ConfigWritabilityCheckFile`. AWS Config crea este archivo para comprobar que el servicio puede escribir correctamente en el bucket de S3.
# Ejemplo de instantánea de configuración de AWS Config
A continuación, se muestra un ejemplo de la información que se AWS Config incluye en una instantánea de configuración. La instantánea describe la configuración de los recursos que AWS Config se están grabando en su Cuenta de AWS región actual y describe las relaciones entre estos recursos.
**nota**
La instantánea de configuración puede incluir referencias a los tipos de recursos y a los recursos IDs que no son compatibles.
```
{
"fileVersion": "1.0",
"requestId": "asudf8ow-4e34-4f32-afeb-0ace5bf3trye",
"configurationItems": [
{
"configurationItemVersion": "1.0",
"resourceId": "vol-ce676ccc",
"arn": "arn:aws:us-west-2b:123456789012:volume/vol-ce676ccc",
"accountId": "12345678910",
"configurationItemCaptureTime": "2014-03-07T23:47:08.918Z",
"configurationStateID": "3e660fdf-4e34-4f32-afeb-0ace5bf3d63a",
"configurationItemStatus": "OK",
"relatedEvents": [
"06c12a39-eb35-11de-ae07-adb69edbb1e4",
"c376e30d-71a2-4694-89b7-a5a04ad92281"
],
"availibilityZone": "us-west-2b",
"resourceType": "AWS::EC2::Volume",
"resourceCreationTime": "2014-02-27T21:43:53.885Z",
"tags": {},
"relationships": [
{
"resourceId": "i-344c463d",
"resourceType": "AWS::EC2::Instance",
"name": "Attached to Instance"
}
],
"configuration": {
"volumeId": "vol-ce676ccc",
"size": 1,
"snapshotId": "",
"availabilityZone": "us-west-2b",
"state": "in-use",
"createTime": "2014-02-27T21:43:53.0885+0000",
"attachments": [
{
"volumeId": "vol-ce676ccc",
"instanceId": "i-344c463d",
"device": "/dev/sdf",
"state": "attached",
"attachTime": "2014-03-07T23:46:28.0000+0000",
"deleteOnTermination": false
}
],
"tags": [
{
"tagName": "environment",
"tagValue": "PROD"
},
{
"tagName": "name",
"tagValue": "DataVolume1"
}
],
"volumeType": "standard"
}
},
{
"configurationItemVersion": "1.0",
"resourceId": "i-344c463d",
"accountId": "12345678910",
"arn": "arn:aws:ec2:us-west-2b:123456789012:instance/i-344c463d",
"configurationItemCaptureTime": "2014-03-07T23:47:09.523Z",
"configurationStateID": "cdb571fa-ce7a-4ec5-8914-0320466a355e",
"configurationItemStatus": "OK",
"relatedEvents": [
"06c12a39-eb35-11de-ae07-adb69edbb1e4",
"c376e30d-71a2-4694-89b7-a5a04ad92281"
],
"availibilityZone": "us-west-2b",
"resourceType": "AWS::EC2::Instance",
"resourceCreationTime": "2014-02-26T22:56:35.000Z",
"tags": {
"Name": "integ-test-1",
"examplename": "examplevalue"
},
"relationships": [
{
"resourceId": "vol-ce676ccc",
"resourceType": "AWS::EC2::Volume",
"name": "Attached Volume"
},
{
"resourceId": "vol-ef0e06ed",
"resourceType": "AWS::EC2::Volume",
"name": "Attached Volume",
"direction": "OUT"
},
{
"resourceId": "subnet-47b4cf2c",
"resourceType": "AWS::EC2::SUBNET",
"name": "Is contained in Subnet",
"direction": "IN"
}
],
"configuration": {
"instanceId": "i-344c463d",
"imageId": "ami-ccf297fc",
"state": {
"code": 16,
"name": "running"
},
"privateDnsName": "ip-172-31-21-63.us-west-2.compute.internal",
"publicDnsName": "ec2-54-218-4-189.us-west-2.compute.amazonaws.com",
"stateTransitionReason": "",
"keyName": "configDemo",
"amiLaunchIndex": 0,
"productCodes": [],
"instanceType": "t1.micro",
"launchTime": "2014-02-26T22:56:35.0000+0000",
"placement": {
"availabilityZone": "us-west-2b",
"groupName": "",
"tenancy": "default"
},
"kernelId": "aki-fc8f11cc",
"monitoring": {
"state": "disabled"
},
"subnetId": "subnet-47b4cf2c",
"vpcId": "vpc-41b4cf2a",
"privateIpAddress": "172.31.21.63",
"publicIpAddress": "54.218.4.189",
"architecture": "x86_64",
"rootDeviceType": "ebs",
"rootDeviceName": "/dev/sda1",
"blockDeviceMappings": [
{
"deviceName": "/dev/sda1",
"ebs": {
"volumeId": "vol-ef0e06ed",
"status": "attached",
"attachTime": "2014-02-26T22:56:38.0000+0000",
"deleteOnTermination": true
}
},
{
"deviceName": "/dev/sdf",
"ebs": {
"volumeId": "vol-ce676ccc",
"status": "attached",
"attachTime": "2014-03-07T23:46:28.0000+0000",
"deleteOnTermination": false
}
}
],
"virtualizationType": "paravirtual",
"clientToken": "aBCDe123456",
"tags": [
{
"key": "Name",
"value": "integ-test-1"
},
{
"key": "examplekey",
"value": "examplevalue"
}
],
"securityGroups": [
{
"groupName": "launch-wizard-2",
"groupId": "sg-892adfec"
}
],
"sourceDestCheck": true,
"hypervisor": "xen",
"networkInterfaces": [
{
"networkInterfaceId": "eni-55c03d22",
"subnetId": "subnet-47b4cf2c",
"vpcId": "vpc-41b4cf2a",
"description": "",
"ownerId": "12345678910",
"status": "in-use",
"privateIpAddress": "172.31.21.63",
"privateDnsName": "ip-172-31-21-63.us-west-2.compute.internal",
"sourceDestCheck": true,
"groups": [
{
"groupName": "launch-wizard-2",
"groupId": "sg-892adfec"
}
],
"attachment": {
"attachmentId": "eni-attach-bf90c489",
"deviceIndex": 0,
"status": "attached",
"attachTime": "2014-02-26T22:56:35.0000+0000",
"deleteOnTermination": true
},
"association": {
"publicIp": "54.218.4.189",
"publicDnsName": "ec2-54-218-4-189.us-west-2.compute.amazonaws.com",
"ipOwnerId": "amazon"
},
"privateIpAddresses": [
{
"privateIpAddress": "172.31.21.63",
"privateDnsName": "ip-172-31-21-63.us-west-2.compute.internal",
"primary": true,
"association": {
"publicIp": "54.218.4.189",
"publicDnsName": "ec2-54-218-4-189.us-west-2.compute.amazonaws.com",
"ipOwnerId": "amazon"
}
}
]
}
],
"ebsOptimized": false
}
}
]
}
```
El siguiente paso consiste en verificar que la instantánea de la configuración se ha entregado correctamente en el canal de entrega.
# Notificaciones que se AWS Config envían a un tema de Amazon SNS
**nota**
Antes de AWS Config poder enviar notificaciones a un tema de Amazon SNS, primero debe configurar la grabadora de configuración y el canal de entrega. Para obtener más información, consulte [Administración del registro de configuración](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) y [Administrar el canal de entrega](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html).
Puede configurarlo AWS Config para transmitir los cambios de configuración y las notificaciones a un tema de Amazon SNS. Por ejemplo, cuando se actualiza un recurso, puede obtener una notificación enviada a su correo electrónico, para que pueda ver los cambios. También puede recibir una notificación cuando AWS Config evalúe sus reglas personalizadas o administradas en relación con sus recursos. Para obtener más información, consulte [Inicio de sesión y supervisión](https://docs.aws.amazon.com/config/latest/developerguide/security-logging-and-monitoring.html). AWS Config
AWS Config envía notificaciones sobre los siguientes eventos:
+ Cambio de elemento de configuración de un recurso.
+ Se ha entregado el historial de configuración de un recurso a su cuenta.
+ Se ha iniciado una instantánea de configuración de los recursos registrados y se ha entregado a su cuenta.
+ Estado de conformidad de los recursos y si son conformes a sus reglas.
+ Se ha iniciado la evaluación de una regla con respecto a los recursos.
+ AWS Config no se pudo entregar la notificación a tu cuenta.
**Topics**
+ [Ejemplo de notificaciones de cambio de elemento de configuración](example-sns-notification.md)
+ [Ejemplo de notificación de entrega de historial de configuración](example-configuration-history-notification.md)
+ [Ejemplo de notificación de inicio de entrega de instantánea de configuración](example-configuration-snapshot-notification-started.md)
+ [Ejemplo de notificación de entrega de instantánea de configuración](example-configuration-snapshot-notification.md)
+ [Ejemplo de notificación de cambio de conformidad](example-config-rule-compliance-notification.md)
+ [Ejemplo de notificación de inicio de evaluación de reglas](config-rules-evaluation-started.md)
+ [Ejemplo de notificación de cambio de elemento de configuración sobredimensionado](oversized-notification-example.md)
+ [Ejemplo de notificación de entrega fallida](notification-delivery-failed.md)
# Ejemplo de notificaciones de cambio de elemento de configuración
AWS Config utiliza Amazon SNS para enviar notificaciones a los puntos de conexión de las suscripciones. Estas notificaciones proporcionan el estado de entrega de las instantáneas de configuración y los historiales de configuración, y proporcionan cada elemento de configuración que se AWS Config crea cuando cambian las configuraciones de los recursos registrados. AWS AWS Config también envía notificaciones que muestran si sus recursos cumplen con sus reglas. Si opta por que las notificaciones se envíen por correo electrónico, puede utilizar filtros en su aplicación cliente de correo electrónico basados en la línea de asunto y el cuerpo del mensaje del correo electrónico.
A continuación se muestra un ejemplo de carga de una notificación de Amazon SNS que se genera cuando AWS Config detecta que el volumen de Amazon Elastic Block Store `vol-ce676ccc` está asociado a la instancia con un ID de `i-344c463d`. La notificación contiene el cambio del elemento de configuración del recurso.
```
{
"Type": "Notification",
"MessageId": "8b945cb0-db34-5b72-b032-1724878af488",
"TopicArn": "arn:aws:sns:us-west-2:123456789012:example",
"Message": {
"MessageVersion": "1.0",
"NotificationCreateTime": "2014-03-18T10:11:00Z",
"messageType": "ConfigurationItemChangeNotification",
"configurationItem": [
{
"configurationItemVersion": "1.0",
"configurationItemCaptureTime": "2014-03-07T23:47:08.918Z",
"arn": "arn:aws:us-west-2b:123456789012:volume/vol-ce676ccc",
"resourceId": "vol-ce676ccc",
"awsAccountId": "123456789012",
"configurationStateID": "3e660fdf-4e34-4f32-afeb-0ace5bf3d63a",
"configurationItemStatus": "OK",
"relatedEvents": [],
"availabilityZone": "us-west-2b",
"resourceType": "AWS::EC2::VOLUME",
"resourceCreationTime": "2014-02-27T21:43:53.885Z",
"tags": {},
"relationships": [
{
"resourceId": "i-344c463d",
"resourceType": "AWS::EC2::INSTANCE",
"name": "Attached to Instance"
}
],
"configuration": {
"volumeId": "vol-ce676ccc",
"size": 1,
"snapshotId": "",
"availabilityZone": "us-west-2b",
"state": "in-use",
"createTime": "2014-02-27T21:43:53.0885+0000",
"attachments": [
{
"volumeId": "vol-ce676ccc",
"instanceId": "i-344c463d",
"device": "/dev/sdf",
"state": "attached",
"attachTime": "2014-03-07T23:46:28.0000+0000",
"deleteOnTermination": false
}
],
"tags": [],
"volumeType": "standard"
}
}
],
"configurationItemDiff": {
"changeType": "UPDATE",
"changedProperties": {
"Configuration.State": {
"previousValue": "available",
"updatedValue": "in-use",
"changeType": "UPDATE"
},
"Configuration.Attachments.0": {
"updatedValue": {
"VolumeId": "vol-ce676ccc",
"InstanceId": "i-344c463d",
"Device": "/dev/sdf",
"State": "attached",
"AttachTime": "FriMar0723: 46: 28UTC2014",
"DeleteOnTermination": "false"
},
"changeType": "CREATE"
}
}
}
},
"Timestamp": "2014-03-07T23:47:10.001Z",
"SignatureVersion": "1",
"Signature": "LgfJNB5aOk/w3omqsYrv5cUFY8yvIJvO5ZZh46/KGPApk6HXRTBRlkhjacnxIXJEWsGI9mxvMmoWPLJGYEAR5FF/+/Ro9QTmiTNcEjQ5kB8wGsRWVrk/whAzT2lVtofc365En2T1Ncd9iSFFXfJchgBmI7EACZ28t+n2mWFgo57n6eGDvHTedslzC6KxkfWTfXsR6zHXzkB3XuZImktflg3iPKtvBb3Zc9iVbNsBEI4FITFWktSqqomYDjc5h0kgapIo4CtCHGKpALW9JDmP+qZhMzEbHWpzFlEzvFl55KaZXxDbznBD1ZkqPgno/WufuxszCiMrsmV8pUNUnkU1TA==",
"SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-e372f8ca30337fdb084e8ac449342c77.pem",
"UnsubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456789012:example:a6859fee-3638-407c-907e-879651c9d143"
}
```
## Elementos de configuración para recursos con relaciones
Si un recurso está relacionado con otros recursos, un cambio en dicho recurso puede generar varios elementos de configuración. En el siguiente ejemplo, se muestra cómo AWS Config crea elementos de configuración para los recursos con relaciones.
1. Cuenta con una instancia de Amazon EC2 con un ID de `i-007d374c8912e3e90` y la instancia se asocia a un grupo de seguridad de Amazon EC2, `sg-c8b141b4`.
1. Puede actualizar la instancia EC2 para cambiar el grupo de seguridad a otro grupo de seguridad, `sg-3f1fef43`.
1. Como la instancia EC2 está relacionada con otro recurso, AWS Config crea varios elementos de configuración, como en los ejemplos siguientes:
Esta notificación contiene el cambio del elemento de configuración para la instancia EC2 cuando se sustituye el grupo de seguridad.
```
{
"Type": "Notification",
"MessageId": "faeba85e-ef46-570a-b01c-f8b0faae8d5d",
"TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio",
"Subject": "[AWS Config:us-east-2] AWS::EC2::Instance i-007d374c8912e3e90 Updated in Account 123456789012",
"Message": {
"configurationItemDiff": {
"changedProperties": {
"Configuration.NetworkInterfaces.0": {
"previousValue": {
"networkInterfaceId": "eni-fde9493f",
"subnetId": "subnet-2372be7b",
"vpcId": "vpc-14400670",
"description": "",
"ownerId": "123456789012",
"status": "in-use",
"macAddress": "0e:36:a2:2d:c5:e0",
"privateIpAddress": "172.31.16.84",
"privateDnsName": "ip-172-31-16-84.ec2.internal",
"sourceDestCheck": true,
"groups": [{
"groupName": "example-security-group-1",
"groupId": "sg-c8b141b4"
}],
"attachment": {
"attachmentId": "eni-attach-85bd89d9",
"deviceIndex": 0,
"status": "attached",
"attachTime": "2017-01-09T19:36:02.000Z",
"deleteOnTermination": true
},
"association": {
"publicIp": "54.175.43.43",
"publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com",
"ipOwnerId": "amazon"
},
"privateIpAddresses": [{
"privateIpAddress": "172.31.16.84",
"privateDnsName": "ip-172-31-16-84.ec2.internal",
"primary": true,
"association": {
"publicIp": "54.175.43.43",
"publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com",
"ipOwnerId": "amazon"
}
}]
},
"updatedValue": null,
"changeType": "DELETE"
},
"Relationships.0": {
"previousValue": {
"resourceId": "sg-c8b141b4",
"resourceName": null,
"resourceType": "AWS::EC2::SecurityGroup",
"name": "Is associated with SecurityGroup"
},
"updatedValue": null,
"changeType": "DELETE"
},
"Configuration.NetworkInterfaces.1": {
"previousValue": null,
"updatedValue": {
"networkInterfaceId": "eni-fde9493f",
"subnetId": "subnet-2372be7b",
"vpcId": "vpc-14400670",
"description": "",
"ownerId": "123456789012",
"status": "in-use",
"macAddress": "0e:36:a2:2d:c5:e0",
"privateIpAddress": "172.31.16.84",
"privateDnsName": "ip-172-31-16-84.ec2.internal",
"sourceDestCheck": true,
"groups": [{
"groupName": "example-security-group-2",
"groupId": "sg-3f1fef43"
}],
"attachment": {
"attachmentId": "eni-attach-85bd89d9",
"deviceIndex": 0,
"status": "attached",
"attachTime": "2017-01-09T19:36:02.000Z",
"deleteOnTermination": true
},
"association": {
"publicIp": "54.175.43.43",
"publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com",
"ipOwnerId": "amazon"
},
"privateIpAddresses": [{
"privateIpAddress": "172.31.16.84",
"privateDnsName": "ip-172-31-16-84.ec2.internal",
"primary": true,
"association": {
"publicIp": "54.175.43.43",
"publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com",
"ipOwnerId": "amazon"
}
}]
},
"changeType": "CREATE"
},
"Relationships.1": {
"previousValue": null,
"updatedValue": {
"resourceId": "sg-3f1fef43",
"resourceName": null,
"resourceType": "AWS::EC2::SecurityGroup",
"name": "Is associated with SecurityGroup"
},
"changeType": "CREATE"
},
"Configuration.SecurityGroups.1": {
"previousValue": null,
"updatedValue": {
"groupName": "example-security-group-2",
"groupId": "sg-3f1fef43"
},
"changeType": "CREATE"
},
"Configuration.SecurityGroups.0": {
"previousValue": {
"groupName": "example-security-group-1",
"groupId": "sg-c8b141b4"
},
"updatedValue": null,
"changeType": "DELETE"
}
},
"changeType": "UPDATE"
},
"configurationItem": {
"relatedEvents": [],
"relationships": [
{
"resourceId": "eni-fde9493f",
"resourceName": null,
"resourceType": "AWS::EC2::NetworkInterface",
"name": "Contains NetworkInterface"
},
{
"resourceId": "sg-3f1fef43",
"resourceName": null,
"resourceType": "AWS::EC2::SecurityGroup",
"name": "Is associated with SecurityGroup"
},
{
"resourceId": "subnet-2372be7b",
"resourceName": null,
"resourceType": "AWS::EC2::Subnet",
"name": "Is contained in Subnet"
},
{
"resourceId": "vol-0a2d63a256bce35c5",
"resourceName": null,
"resourceType": "AWS::EC2::Volume",
"name": "Is attached to Volume"
},
{
"resourceId": "vpc-14400670",
"resourceName": null,
"resourceType": "AWS::EC2::VPC",
"name": "Is contained in Vpc"
}
],
"configuration": {
"instanceId": "i-007d374c8912e3e90",
"imageId": "ami-9be6f38c",
"state": {
"code": 16,
"name": "running"
},
"privateDnsName": "ip-172-31-16-84.ec2.internal",
"publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com",
"stateTransitionReason": "",
"keyName": "ec2-micro",
"amiLaunchIndex": 0,
"productCodes": [],
"instanceType": "t2.micro",
"launchTime": "2017-01-09T20:13:28.000Z",
"placement": {
"availabilityZone": "us-east-2c",
"groupName": "",
"tenancy": "default",
"hostId": null,
"affinity": null
},
"kernelId": null,
"ramdiskId": null,
"platform": null,
"monitoring": {"state": "disabled"},
"subnetId": "subnet-2372be7b",
"vpcId": "vpc-14400670",
"privateIpAddress": "172.31.16.84",
"publicIpAddress": "54.175.43.43",
"stateReason": null,
"architecture": "x86_64",
"rootDeviceType": "ebs",
"rootDeviceName": "/dev/xvda",
"blockDeviceMappings": [{
"deviceName": "/dev/xvda",
"ebs": {
"volumeId": "vol-0a2d63a256bce35c5",
"status": "attached",
"attachTime": "2017-01-09T19:36:03.000Z",
"deleteOnTermination": true
}
}],
"virtualizationType": "hvm",
"instanceLifecycle": null,
"spotInstanceRequestId": null,
"clientToken": "bIYqA1483990561516",
"tags": [{
"key": "Name",
"value": "value"
}],
"securityGroups": [{
"groupName": "example-security-group-2",
"groupId": "sg-3f1fef43"
}],
"sourceDestCheck": true,
"hypervisor": "xen",
"networkInterfaces": [{
"networkInterfaceId": "eni-fde9493f",
"subnetId": "subnet-2372be7b",
"vpcId": "vpc-14400670",
"description": "",
"ownerId": "123456789012",
"status": "in-use",
"macAddress": "0e:36:a2:2d:c5:e0",
"privateIpAddress": "172.31.16.84",
"privateDnsName": "ip-172-31-16-84.ec2.internal",
"sourceDestCheck": true,
"groups": [{
"groupName": "example-security-group-2",
"groupId": "sg-3f1fef43"
}],
"attachment": {
"attachmentId": "eni-attach-85bd89d9",
"deviceIndex": 0,
"status": "attached",
"attachTime": "2017-01-09T19:36:02.000Z",
"deleteOnTermination": true
},
"association": {
"publicIp": "54.175.43.43",
"publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com",
"ipOwnerId": "amazon"
},
"privateIpAddresses": [{
"privateIpAddress": "172.31.16.84",
"privateDnsName": "ip-172-31-16-84.ec2.internal",
"primary": true,
"association": {
"publicIp": "54.175.43.43",
"publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com",
"ipOwnerId": "amazon"
}
}]
}],
"iamInstanceProfile": null,
"ebsOptimized": false,
"sriovNetSupport": null,
"enaSupport": true
},
"supplementaryConfiguration": {},
"tags": {"Name": "value"},
"configurationItemVersion": "1.2",
"configurationItemCaptureTime": "2017-01-09T22:50:14.328Z",
"configurationStateId": 1484002214328,
"awsAccountId": "123456789012",
"configurationItemStatus": "OK",
"resourceType": "AWS::EC2::Instance",
"resourceId": "i-007d374c8912e3e90",
"resourceName": null,
"ARN": "arn:aws:ec2:us-east-2:123456789012:instance/i-007d374c8912e3e90",
"awsRegion": "us-east-2",
"availabilityZone": "us-east-2c",
"configurationStateMd5Hash": "8d0f41750f5965e0071ae9be063ba306",
"resourceCreationTime": "2017-01-09T20:13:28.000Z"
},
"notificationCreationTime": "2017-01-09T22:50:15.928Z",
"messageType": "ConfigurationItemChangeNotification",
"recordVersion": "1.2"
},
"Timestamp": "2017-01-09T22:50:16.358Z",
"SignatureVersion": "1",
"Signature": "lpJTEYOSr8fUbiaaRNw1ECawJFVoD7I67mIeEkfAWJkqvvpak1ULHLlC+I0sS/01A4P1Yci8GSK/cOEC/O2XBntlw4CAtbMUgTQvb345Z2YZwcpK0kPNi6v6N51DuZ/6DZA8EC+gVTNTO09xtNIH8aMlvqyvUSXuh278xayExC5yTRXEg+ikdZRd4QzS7obSK1kgRZWI6ipxPNL6rd56/VvPxyhcbS7Vm40/2+e0nVb3bjNHBxjQTXSs1Xhuc9eP2gEsC4Sl32bGqdeDU1Y4dFGukuzPYoHuEtDPh+GkLUq3KeiDAQshxAZLmOIRcQ7iJ/bELDJTN9AcX6lqlDZ79w==",
"SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem",
"UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"
}
```
Esta notificación contiene el cambio del elemento de configuración para el grupo de seguridad de EC2, `sg-3f1fef43`, que está asociado a la instancia.
```
{
"Type": "Notification",
"MessageId": "564d873e-711e-51a3-b48c-d7d064f65bf4",
"TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio",
"Subject": "[AWS Config:us-east-2] AWS::EC2::SecurityGroup sg-3f1fef43 Created in Account 123456789012",
"Message": {
"configurationItemDiff": {
"changedProperties": {},
"changeType": "CREATE"
},
"configurationItem": {
"relatedEvents": [],
"relationships": [{
"resourceId": "vpc-14400670",
"resourceName": null,
"resourceType": "AWS::EC2::VPC",
"name": "Is contained in Vpc"
}],
"configuration": {
"ownerId": "123456789012",
"groupName": "example-security-group-2",
"groupId": "sg-3f1fef43",
"description": "This is an example security group.",
"ipPermissions": [],
"ipPermissionsEgress": [{
"ipProtocol": "-1",
"fromPort": null,
"toPort": null,
"userIdGroupPairs": [],
"ipRanges": ["0.0.0.0/0"],
"prefixListIds": []
}],
"vpcId": "vpc-14400670",
"tags": []
},
"supplementaryConfiguration": {},
"tags": {},
"configurationItemVersion": "1.2",
"configurationItemCaptureTime": "2017-01-09T22:50:15.156Z",
"configurationStateId": 1484002215156,
"awsAccountId": "123456789012",
"configurationItemStatus": "ResourceDiscovered",
"resourceType": "AWS::EC2::SecurityGroup",
"resourceId": "sg-3f1fef43",
"resourceName": null,
"ARN": "arn:aws:ec2:us-east-2:123456789012:security-group/sg-3f1fef43",
"awsRegion": "us-east-2",
"availabilityZone": "Not Applicable",
"configurationStateMd5Hash": "7399608745296f67f7fe1c9ca56d5205",
"resourceCreationTime": null
},
"notificationCreationTime": "2017-01-09T22:50:16.021Z",
"messageType": "ConfigurationItemChangeNotification",
"recordVersion": "1.2"
},
"Timestamp": "2017-01-09T22:50:16.413Z",
"SignatureVersion": "1",
"Signature": "GocX31Uu/zNFo85hZqzsNy30skwmLnjPjj+UjaJzkih+dCP6gXYGQ0bK7uMzaLL2C/ibYOOsT7I/XY4NW6Amc5T46ydyHDjFRtQi8UfUQTqLXYRTnpOO/hyK9lMFfhUNs4NwQpmx3n3mYEMpLuMs8DCgeBmB3AQ+hXPhNuNuR3mJVgo25S8AqphN9O0okZ2MKNUQy8iJm/CVAx70TdnYsfUMZ24n88bUzAfiHGzc8QTthMdrFVUwXxa1h/7Zl8+A7BwoGmjo7W8CfLDVwaIQv1Uplgk3qd95Z0AXOzXVxNBQEi4k8axcknwjzpyO1g3rKzByiQttLUQwkgF33op9wg==",
"SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem",
"UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"
}
```
## Comprensión del campo `configurationItemDiff` en las notificaciones `ConfigurationItemChangeNotification` de Amazon SNS
AWS Config crea un elemento de configuración cada vez que cambia la configuración de un recurso (create/update/delete). Para obtener una lista de los tipos de recursos compatibles que AWS Config se pueden registrar, consulte[Tipos de recursos compatibles para AWS Config](resource-config-reference.md). AWS Config utiliza Amazon SNS para enviar una notificación a medida que se producen los cambios. La carga útil de notificaciones de Amazon SNS incluye campos que le ayudan a realizar un seguimiento de los cambios en los recursos en una región de AWS determinada.
Para entender por qué recibe una notificación `ConfigurationItemChangeNotification`, revise los detalles de `configurationItemDiff`. Los campos varían según el tipo de cambio y pueden formar diferentes combinaciones, como UPDATE-UPDATE, UPDATE-CREATE y DELETE-DELETE. A continuación se explican algunas combinaciones comunes.
### UPDATE-CREATE y UPDATE-UPDATE
El siguiente ejemplo incluye cambios en las relaciones directas de los recursos y en las configuraciones de los recursos. Los detalles de `configurationItemDiff` muestran la siguiente información:
**Acción realizada**: una política administrada presente en la cuenta se asoció a un rol AWS Identity and Access Management (IAM).
**Operación básica realizada**: UPDATE (actualización del número de asociaciones del tipo de recurso `AWS::IAM::Policy` en una cuenta).
**Combinaciones de tipos de cambio**:
1. Cambio de relación directa entre recursos UPDATE-CREATE. Se creó un nuevo adjunto o asociación entre una política de IAM y un rol de IAM.
1. Cambio de configuración de recursos UPDATE-UPDATE. El número de asociaciones de políticas de IAM aumentó de 2 a 3 cuando la política se asoció al rol de IAM.
Ejemplo de notificación `configurationItemDiff` UPDATE-CREATE y UPDATE-UPDATE:
```
{
"configurationItemDiff": {
"changedProperties": {
"Relationships.0": {
"previousValue": null,
"updatedValue": {
"resourceId": "AROA6D3M4S53*********",
"resourceName": "Test1",
"resourceType": "AWS::IAM::Role",
"name": "Is attached to Role"
},
"changeType": "CREATE" >>>>>>>>>>>>>>>>>>>> 1
},
"Configuration.AttachmentCount": {
"previousValue": 2,
"updatedValue": 3,
"changeType": "UPDATE" >>>>>>>>>>>>>>>>>>>> 2
}
},
"changeType": "UPDATE"
}
}
```
### UPDATE-DELETE
El siguiente ejemplo incluye cambios en las relaciones directas de los recursos y en las configuraciones de los recursos. Los detalles de `configurationItemDiff` muestran la siguiente información:
**Acción realizada**: una política administrada presente en la cuenta se desasoció de un usuario de IAM.
**Operación básica realizada**: UPDATE (actualización de la política de permisos asociada al tipo de recurso `AWS::IAM::User`).
**Combinaciones de tipos de cambio**: cambio de relación directa entre recursos (UPDATE-DELETE). Se eliminó la asociación entre un usuario de IAM y una política de IAM en una cuenta.
### DELETE-DELETE
El siguiente ejemplo incluye cambios en las relaciones directas de los recursos y en las configuraciones de los recursos. Los detalles de `configurationItemDiff` muestran la siguiente información:
**Acción realizada**: se eliminó un rol de IAM presente en una cuenta.
**Operación básica realizada**: DELETE (se eliminó un recurso del tipo de recurso `AWS::IAM::Role`).
**Combinaciones de tipos de cambio**: cambio de relación directa del recurso y cambio de configuración del recurso DELETE-DELETE. La eliminación del rol de IAM también eliminó la asociación de la política de IAM con el rol de IAM.
# Ejemplo de notificación de entrega de historial de configuración
El historial de configuración es una recopilación de elementos de configuración de un tipo de recurso a lo largo de un periodo de tiempo. El siguiente es un ejemplo de notificación que se AWS Config envía cuando se entrega el historial de configuración CloudTrail de un recurso de seguimiento a tu cuenta.
```
{
"Type": "Notification",
"MessageId": "ce49bf2c-d03a-51b0-8b6a-ef480a8b39fe",
"TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio",
"Subject": "[AWS Config:us-east-2] Configuration History Delivery Completed for Account 123456789012",
"Message": {
"s3ObjectKey": "AWSLogs/123456789012/Config/us-east-2/2016/9/27/ConfigHistory/123456789012_Config_us-east-2_ConfigHistory_AWS::CloudTrail::Trail_20160927T195818Z_20160927T195818Z_1.json.gz",
"s3Bucket": "config-bucket-123456789012-ohio",
"notificationCreationTime": "2016-09-27T20:37:05.217Z",
"messageType": "ConfigurationHistoryDeliveryCompleted",
"recordVersion": "1.1"
},
"Timestamp": "2016-09-27T20:37:05.315Z",
"SignatureVersion": "1",
"Signature": "OuIcS5RAKXTR6chQEJp3if4KJQVlBz2kmXh7QE1/RJQiCPsCNfG0J0rUZ1rqfKMqpps/Ka+zF0kg4dUCWV9PF0dliuwnjfbtYmDZpP4EBOoGmxcTliUn1AIe/yeGFDuc6P3EotP3zt02rhmxjezjf3c11urstFZ8rTLVXp0z0xeyk4da0UetLsWZxUFEG0Z5uhk09mBo5dg/4mryIOovidhrbCBgX5marot8TjzNPS9UrKhi2YGUoSQGr4E85EzWqqXdn33GO8dy0DqDfdWBaEr3IWVGtHy3w7oJDMIqW7ENkfML0bJMQjin4P5tYeilNF5XQzhtCkFvFx7JHR97vw==",
"SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem",
"UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"
}
```
# Ejemplo de notificación de inicio de entrega de instantánea de configuración
El siguiente es un ejemplo de notificación que se AWS Config envía cuando se AWS Config empieza a entregar la instantánea de configuración de su cuenta.
```
{
"Type": "Notification",
"MessageId": "a32d0487-94b1-53f6-b4e6-5407c9c00be6",
"TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio",
"Subject": "[AWS Config:us-east-2] Configuration Snapshot Delivery Started for Account 123456789012",
"Message": {
"configSnapshotId": "108e0794-84a7-4cca-a179-76a199ddd11a",
"notificationCreationTime": "2016-10-18T17:26:09.572Z",
"messageType": "ConfigurationSnapshotDeliveryStarted",
"recordVersion": "1.1"
},
"Timestamp": "2016-10-18T17:26:09.840Z",
"SignatureVersion": "1",
"Signature": "BBA0DeKsfteTpYyZH5HPANpOLmW/jumOMBsghRq/kimY9tjNlkF/V3BpLG1HVmDQdQzBh6oKE0h0rxcazbyGf5KF5W5r1zKKlEnS9xugFzALPUx//olSJ4neWalLBKNIq1xvAQgu9qHfDR7dS2aCwe4scQfqOjn1Ev7PlZqxmT+ux3SR/C54cbfcduDpDsPwdo868+TpZvMtaU30ySnX04fmOgxoiA8AJO/EnjduQ08/zd4SYXhm+H9wavcwXB9XECelHhRW70Y+wHQixfx40S1SaSRzvnJE+m9mHphFQs64YraRDRv6tMaenTk6CVPO+81ceAXIg2E1m7hZ7lz4PA==",
"SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem",
"UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"
}
```
# Ejemplo de notificación de entrega de instantánea de configuración
La instantánea de configuración es una recopilación de elementos de configuración de todos los recursos registrados y de sus configuraciones en su cuenta. El siguiente es un ejemplo de notificación que se AWS Config envía cuando se entrega la instantánea de configuración de su cuenta.
```
{
"Type": "Notification",
"MessageId": "9fc82f4b-397e-5b69-8f55-7f2f86527100",
"TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio",
"Subject": "[AWS Config:us-east-2] Configuration Snapshot Delivery Completed for Account 123456789012",
"Message": {
"configSnapshotId": "16da64e4-cb65-4846-b061-e6c3ba43cb96",
"s3ObjectKey": "AWSLogs/123456789012/Config/us-east-2/2016/9/27/ConfigSnapshot/123456789012_Config_us-east-2_ConfigSnapshot_20160927T183939Z_16da64e4-cb65-4846-b061-e6c3ba43cb96.json.gz",
"s3Bucket": "config-bucket-123456789012-ohio",
"notificationCreationTime": "2016-09-27T18:39:39.853Z",
"messageType": "ConfigurationSnapshotDeliveryCompleted",
"recordVersion": "1.1"
},
"Timestamp": "2016-09-27T18:39:40.062Z",
"SignatureVersion": "1",
"Signature": "PMkWfUuj/fKIEXA7s2wTDLbZoF/MDsUkPspYghOpwu9n6m+C+zrm0cEZXPxxJPvhnWozG7SVqkHYf9QgI/diW2twP/HPDn5GQs2rNDc+YlaByEXnKVtHV1Gd4r1kN57E/oOW5NVLNczk5ymxAW+WGdptZJkCgyVuhJ28s08m3Z3Kqz96PPSnXzYZoCfCn/yP6CqXoN7olr4YCbYxYwn8zOUYcPmc45yYNSUTKZi+RJQRnDJkL2qb+s4h9w2fjbBBj8xe830VbFJqbHp7UkSfpc64Y+tRvmMLY5CI1cYrnuPRhTLdUk+R0sshg5G+JMtSLVG/TvWbjz44CKXJprjIQg==",
"SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem",
"UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"
}
```
# Ejemplo de notificación de cambio de conformidad
Al AWS Config evaluar sus recursos con respecto a una regla personalizada o administrada, AWS Config envía una notificación que muestra si los recursos cumplen con la regla.
El siguiente es un ejemplo de notificación en el que CloudTrail el recurso de seguimiento cumple con la regla `cloudtrail-enabled ` administrada.
```
{
"Type": "Notification",
"MessageId": "11fd05dd-47e1-5523-bc01-55b988bb9478",
"TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio",
"Subject": "[AWS Config:us-east-2] AWS::::Account 123456789012 is COMPLIANT with cloudtrail-enabled in Accoun...",
"Message": {
"awsAccountId": "123456789012",
"configRuleName": "cloudtrail-enabled",
"configRuleARN": "arn:aws:config:us-east-2:123456789012:config-rule/config-rule-9rpvxc",
"resourceType": "AWS::::Account",
"resourceId": "123456789012",
"awsRegion": "us-east-2",
"newEvaluationResult": {
"evaluationResultIdentifier": {
"evaluationResultQualifier": {
"configRuleName": "cloudtrail-enabled",
"resourceType": "AWS::::Account",
"resourceId": "123456789012"
},
"orderingTimestamp": "2016-09-27T19:48:40.619Z"
},
"complianceType": "COMPLIANT",
"resultRecordedTime": "2016-09-27T19:48:41.405Z",
"configRuleInvokedTime": "2016-09-27T19:48:40.914Z",
"annotation": null,
"resultToken": null
},
"oldEvaluationResult": {
"evaluationResultIdentifier": {
"evaluationResultQualifier": {
"configRuleName": "cloudtrail-enabled",
"resourceType": "AWS::::Account",
"resourceId": "123456789012"
},
"orderingTimestamp": "2016-09-27T16:30:49.531Z"
},
"complianceType": "NON_COMPLIANT",
"resultRecordedTime": "2016-09-27T16:30:50.717Z",
"configRuleInvokedTime": "2016-09-27T16:30:50.105Z",
"annotation": null,
"resultToken": null
},
"notificationCreationTime": "2016-09-27T19:48:42.620Z",
"messageType": "ComplianceChangeNotification",
"recordVersion": "1.0"
},
"Timestamp": "2016-09-27T19:48:42.749Z",
"SignatureVersion": "1",
"Signature": "XZ9FfLb2ywkW9yj0yBkNtIP5q7Cry6JtCEyUiHmG9gpOZi3seQ41udhtAqCZoiNiizAEi+6gcttHCRV1hNemzp/YmBmTfO6azYXt0FJDaEvd86k68VCS9aqRlBBjYlNo7ILi4Pqd5rE4BX2YBQSzcQyERGkUfTZ2BIFyAmb1Q/y4/6ez8rDyi545FDSlgcGEb4LKLNR6eDi4FbKtMGZHA7Nz8obqs1dHbgWYnp3c80mVLl7ohP4hilcxdywAgXrbsN32ekYr15gdHozx8YzyjfRSo3SjH0c5PGSXEAGNuC3mZrKJip+BIZ21ZtkcUtY5B3ImgRlUO7Yhn3L3c6rZxQ==",
"SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem",
"UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"
}
```
**Ejemplo: cambio de elemento de configuración de Config \$1 Amazon EventBridge**
```
{
"version": "0",
"id": "00bdf13e-1111-b2f5-cef0-e9cbbe7cd533",
"detail-type": "Config Configuration Item Change",
"source": "aws.config",
"account": "123456789012",
"time": "2022-03-16T01:10:51Z",
"region": "us-east-1",
"resources": ["arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/fs-01f0d526165b57f95"],
"detail": {
"recordVersion": "1.3",
"messageType": "ConfigurationItemChangeNotification",
"configurationItemDiff": {
"changedProperties": {
"Configuration.FileSystemTags.0": {
"updatedValue": {
"Key": "test",
"Value": "me"
},
"changeType": "CREATE"
},
"Tags.2": {
"updatedValue": "me",
"changeType": "CREATE"
}
},
"changeType": "UPDATE"
},
"notificationCreationTime": "2022-03-16T01:10:51.976Z",
"configurationItem": {
"relatedEvents": [],
"relationships": [],
"configuration": {
"FileSystemId": "fs-01f0d526165b57f95",
"Arn": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/fs-01f0d526165b57f95",
"Encrypted": true,
"FileSystemTags": [{
"Key": "Name",
"Value": "myname"
}, {
"Key": "test",
"Value": "me"
}],
"PerformanceMode": "generalPurpose",
"ThroughputMode": "bursting",
"LifecyclePolicies": [{
"TransitionToIA": "AFTER_30_DAYS"
}, {
"TransitionToPrimaryStorageClass": "AFTER_1_ACCESS"
}],
"BackupPolicy": {
"Status": "ENABLED"
},
"FileSystemPolicy": {},
"KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/0e6c91d5-e23b-4ed3-bd36-1561fbbc0a2d"
},
"supplementaryConfiguration": {},
"tags": {
"aws:elasticfilesystem:default-backup": "enabled",
"test": "me",
"Name": "cloudcontroltest1"
},
"configurationItemVersion": "1.3",
"configurationItemCaptureTime": "2022-03-16T01:10:50.837Z",
"configurationStateId": 1647393050837,
"awsAccountId": "123456789012",
"configurationItemStatus": "OK",
"resourceType": "AWS::EFS::FileSystem",
"resourceId": "fs-01f0d526165b57f95",
"resourceName": "fs-01f0d526165b57f95",
"ARN": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/fs-01f0d526165b57f95",
"awsRegion": "us-east-1",
"availabilityZone": "Regional",
"configurationStateMd5Hash": ""
}
}
}
```
# Ejemplo de notificación de inicio de evaluación de reglas
AWS Config envía una notificación cuando comienza a evaluar la regla personalizada o administrada con respecto a sus recursos. El siguiente es un ejemplo de notificación cuando AWS Config comienza a evaluar la regla `iam-password-policy` administrada.
```
{
"Type": "Notification",
"MessageId": "358c8e65-e27a-594e-82d0-de1fe77393d7",
"TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio",
"Subject": "[AWS Config:us-east-2] Config Rules Evaluation Started for Account 123456789012",
"Message": {
"awsAccountId": "123456789012",
"awsRegion": "us-east-2",
"configRuleNames": ["iam-password-policy"],
"notificationCreationTime": "2016-10-13T21:55:21.339Z",
"messageType": "ConfigRulesEvaluationStarted",
"recordVersion": "1.0"
},
"Timestamp": "2016-10-13T21:55:21.575Z",
"SignatureVersion": "1",
"Signature": "DE431D+24zzFRboyPY2bPTsznJWe8L6TjDC+ItYlLFkE9jACSBl3sQ1uSjYzEhEbN7Cs+wBoHnJ/DxOSpyCxt4giqgKd+H2I636BvrQwHDhJwJm7qI6P8IozEliRvRWbM38zDTvHqkmmXQbdDHRsK/MssMeVTBKuW0x8ivMrj+KpwuF57tE62eXeFhjBeJ0DKQV+aC+i3onsuT7HQvXQDBPdOM+cSuLrJaMQJ6TcMU5G76qg/gl494ilb4Vj4udboGWpHSgUvI3guFsc1SsTrlWXQKXabWtsCQPfdOhkKgmViCfMZrLRp8Pjnu+uspYQELkEfwBchDVVzd15iMrAzQ==",
"SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem",
"UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"
}
```
# Ejemplo de notificación de cambio de elemento de configuración sobredimensionado
Cuando AWS Config detecta un cambio en la configuración de un recurso, envía una notificación de elemento de configuración (CI). Si la notificación supera el tamaño máximo permitido por Amazon Simple Notification Service (Amazon SNS), la notificación incluye un breve resumen del elemento de configuración.
Puede ver la notificación completa en la ubicación del bucket de Amazon S3 especificada en el campo `s3BucketLocation`.
El siguiente ejemplo de notificación muestra un CI para una instancia de Amazon EC2. La notificación incluye un resumen de los cambios y la ubicación de la notificación en el bucket de Amazon S3.
```
View the Timeline for this Resource in the Console:
https://console.aws.amazon.com/config/home?region=us-west-2#/timeline/AWS::EC2::Instance/resourceId_14b76876-7969-4097-ab8e-a31942b02e80?time=2016-10-06T16:46:16.261Z
The full configuration item change notification for this resource exceeded the maximum size allowed by Amazon Simple Notification Service (SNS). A summary of the configuration item is provided here. You can view the complete notification in the specified Amazon S3 bucket location.
New State Record Summary:
----------------------------
{
"configurationItemSummary": {
"changeType": "UPDATE",
"configurationItemVersion": "1.2",
"configurationItemCaptureTime": "2016-10-06T16:46:16.261Z",
"configurationStateId": 0,
"awsAccountId": "123456789012",
"configurationItemStatus": "OK",
"resourceType": "AWS::EC2::Instance",
"resourceId": "resourceId_14b76876-7969-4097-ab8e-a31942b02e80",
"resourceName": null,
"ARN": "arn:aws:ec2:us-west-2:123456789012:instance/resourceId_14b76876-7969-4097-ab8e-a31942b02e80",
"awsRegion": "us-west-2",
"availabilityZone": null,
"configurationStateMd5Hash": "8f1ee69b287895a0f8bc5753eca68e96",
"resourceCreationTime": "2016-10-06T16:46:10.489Z"
},
"s3DeliverySummary": {
"s3BucketLocation": "amzn-s3-demo-bucket/AWSLogs/123456789012/Config/us-west-2/2016/10/6/OversizedChangeNotification/AWS::EC2::Instance/resourceId_14b76876-7969-4097-ab8e-a31942b02e80/123456789012_Config_us-west-2_ChangeNotification_AWS::EC2::Instance_resourceId_14b76876-7969-4097-ab8e-a31942b02e80_20161006T164616Z_0.json.gz",
"errorCode": null,
"errorMessage": null
},
"notificationCreationTime": "2016-10-06T16:46:16.261Z",
"messageType": "OversizedConfigurationItemChangeNotification",
"recordVersion": "1.0"
}
```
## Cómo acceder a elementos de configuración sobredimensionados
Cuando un elemento de configuración está sobredimensionado, solo se envía un resumen a Amazon SNS. El elemento de configuración (CI) completo se almacena en Amazon S3
El siguiente ejemplo de código muestra cómo acceder al CI completo.
```
import boto3
import json
def handle_oversized_configuration_item(event):
"""
Example of handling an oversized configuration item notification
When a configuration item is oversized:
1. AWS Config sends a summary notification through SNS
2. The complete configuration item is stored in S3
3. Use get_resource_config_history API to retrieve the complete configuration
"""
# Extract information from the summary notification
if event['messageType'] == 'OversizedConfigurationItemChangeNotification':
summary = event['configurationItemSummary']
resource_type = summary['resourceType']
resource_id = summary['resourceId']
# Initialize AWS Config client
config_client = boto3.client('config')
# Retrieve the complete configuration item
response = config_client.get_resource_config_history(
resourceType=resource_type,
resourceId=resource_id
)
if response['configurationItems']:
config_item = response['configurationItems'][0]
# For EC2 instances, the configuration contains instance details
configuration = json.loads(config_item['configuration'])
print(f"Instance Configuration: {configuration}")
# Handle supplementary configuration if present
if 'supplementaryConfiguration' in config_item:
for key, value in config_item['supplementaryConfiguration'].items():
if isinstance(value, str):
config_item['supplementaryConfiguration'][key] = json.loads(value)
print(f"Supplementary Configuration: {config_item['supplementaryConfiguration']}")
return config_item
# If needed, you can also access the complete notification from S3
s3_location = event['s3DeliverySummary']['s3BucketLocation']
print(f"Complete notification available in S3: {s3_location}")
return None
```
## Funcionamiento
1. La función acepta un parámetro de evento que contiene la AWS Config notificación.
1. Comprueba si el tipo de mensaje es una notificación de configuración sobredimensionada.
1. La función extrae el tipo de recurso y el ID del resumen.
1. Mediante el AWS Config cliente, recupera el historial de configuración completo.
1. La función procesa las configuraciones principales y complementarias.
1. Si es necesario, puede acceder a la notificación completa desde la ubicación de S3 proporcionada.
# Ejemplo de notificación de entrega fallida
AWS Config envía una notificación de entrega fallida si no AWS Config puede entregar la instantánea de configuración o una notificación de cambio de elemento de configuración sobredimensionado a su bucket de Amazon S3. Verifique que ha especificado un bucket de Amazon S3 válido.
```
View the Timeline for this Resource in the Console:
https://console.aws.amazon.com/config/home?region=us-west-2#/timeline/AWS::EC2::Instance/test_resourceId_014b953d-75e3-40ce-96b9-c7240b975457?time=2016-10-06T16:46:13.749Z
The full configuration item change notification for this resource exceeded the maximum size allowed by Amazon Simple Notification Service (SNS). A summary of the configuration item is provided here. You can view the complete notification in the specified Amazon S3 bucket location.
New State Record Summary:
----------------------------
{
"configurationItemSummary": {
"changeType": "UPDATE",
"configurationItemVersion": "1.2",
"configurationItemCaptureTime": "2016-10-06T16:46:13.749Z",
"configurationStateId": 0,
"awsAccountId": "123456789012",
"configurationItemStatus": "OK",
"resourceType": "AWS::EC2::Instance",
"resourceId": "test_resourceId_014b953d-75e3-40ce-96b9-c7240b975457",
"resourceName": null,
"ARN": "arn:aws:ec2:us-west-2:123456789012:instance/test_resourceId_014b953d-75e3-40ce-96b9-c7240b975457",
"awsRegion": "us-west-2",
"availabilityZone": null,
"configurationStateMd5Hash": "6de64b95eacd30e7b63d4bba7cd80814",
"resourceCreationTime": "2016-10-06T16:46:10.489Z"
},
"s3DeliverySummary": {
"s3BucketLocation": null,
"errorCode": "NoSuchBucket",
"errorMessage": "Failed to deliver notification to bucket: bucket-example for account 123456789012 in region us-west-2."
},
"notificationCreationTime": "2016-10-06T16:46:13.749Z",
"messageType": "OversizedConfigurationItemChangeDeliveryFailed",
"recordVersion": "1.0"
}
```