Configuración manual para AWS Config - AWS Config
Paso 1: configuraciónPaso 2: reglasPaso 3: revisiónPara obtener más información

Configuración manual para AWS Config

Con el flujo de trabajo de Introducción, puede realizar todas las selecciones manuales del proceso de configuración para empezar a utilizar la consola de AWS Config. Si dese informarse sobre un proceso de inicio simplificado, consulte Configuración en un clic.

Para configurar AWS Config con la consola mediante Introducción

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://console.aws.amazon.com/config/home.

  2. Elija Primeros pasos.

La página de configuración incluye tres pasos. A continuación, se proporciona un desglose del procedimiento después de seleccionar Introducción.

  • Configuración: para seleccionar la forma en que la consola de AWS Config registra los recursos y los roles, además de para elegir el lugar donde se envían el historial de configuración y los archivos de instantáneas de la configuración.

  • Reglas: para las Regiones de AWS compatibles con reglas de AWS Config, este paso está disponible para configurar las reglas administradas iniciales que puede añadir a su cuenta. Tras la configuración, AWS Config evalúa los recursos de AWS con respecto a las reglas que haya elegido. Después de configurar, podrá crear reglas adicionales y actualizar las existentes en su cuenta.

  • Revisión: para verificar los detalles de configuración.

Paso 1: configuración

Estrategia de registro

En la sección Método de grabación, elija una estrategia de registro. Puede especificar los tipos de recursos de AWS que desea que registre AWS Config.

All resource types with customizable overrides

Configure AWS Config para registrar los cambios de configuración de todos los tipos de recursos compatibles actuales y futuros en esta región. Puede anular la frecuencia de registro para tipos de recursos específicos o excluir tipos de recursos específicos del registro. Para obtener más información, consulte Tipos de recursos admitidos.

  • Configuración predeterminada

    Configure la frecuencia de registro predeterminada para todos los tipos de recursos compatibles actuales y futuros. Para obtener más información, consulte Frecuencia de registro.

    • Registro continuo: AWS Config registrará los cambios de configuración de forma continua siempre que se produzca un cambio.

    • Registro diario: recibirá un elemento de configuración (CI) que representa el estado más reciente de sus recursos durante el último período de 24 horas, solo si es diferente del CI anterior registrado.

    nota

    AWS Firewall Manager depende del registro continuo para supervisar los recursos. Si utiliza Firewall Manager, se recomienda configurar la frecuencia de registro en Continua.

  • Anular la configuración

    Puede anular la frecuencia de registro para tipos de recursos específicos o excluir tipos de recursos específicos del registro. Si cambia la frecuencia de registro de un tipo de recurso, o deja de registrar un tipo de recurso, los elementos de configuración que ya estaban registrados permanecerán sin cambios.

Specific resource types

Configure AWS Config para que registre los cambios de configuración solo de los tipos de recursos que especifique.

  • Tipos de recurso específicos

    Elija un tipo de recurso que desee registrar y su frecuencia. Para obtener más información, consulte Frecuencia de registro.

    • Registro continuo: AWS Config registrará los cambios de configuración de forma continua siempre que se produzca un cambio.

    • Registro diario: recibirá un elemento de configuración (CI) que representa el estado más reciente de sus recursos durante el último período de 24 horas, solo si es diferente del CI anterior registrado.

    nota

    AWS Firewall Manager depende del registro continuo para supervisar los recursos. Si utiliza Firewall Manager, se recomienda configurar la frecuencia de registro en Continua.

    Si cambia la frecuencia de registro de un tipo de recurso, o deja de registrar un tipo de recurso, los elementos de configuración que ya estaban registrados permanecerán sin cambios.

Consideraciones al registrar los recursos

Elevado número de evaluaciones de AWS Config

Es posible que advierta un aumento de la actividad en su cuenta durante el primer mes de registro de AWS Config en comparación con los meses siguientes. Durante el proceso de arranque inicial, AWS Config realiza evaluaciones de todos los recursos de la cuenta seleccionados para que AWS Config los registre.

Si ejecuta cargas de trabajo efímeras, es posible que vea un aumento de la actividad de AWS Config debido a que registra los cambios de configuración asociados con la creación y la eliminación de estos recursos temporales. Una carga de trabajo efímera es el uso temporal de recursos informáticos que se cargan y ejecutan cuando es necesario. Los ejemplos incluyen instancias de spot de Amazon Elastic Compute Cloud (Amazon EC2), trabajos de Amazon EMR y AWS Auto Scaling. Si quiere evitar el aumento de actividad derivado de la ejecución de cargas de trabajo efímeras, puede configurar el registrador de configuraciones de modo que excluya estos tipos de recursos de la grabación, o puede ejecutar estos tipos de cargas de trabajo en una cuenta independiente con la opción AWS Config desactivada para evitar aumentar el registro de la configuración y las evaluaciones de las reglas.

Considerations: All resource types with customizable overrides

Tipos de recursos registrados de forma global | Los clústeres globales de Aurora se incluyen inicialmente en el registro

El tipo de recurso AWS::RDS::GlobalCluster se registrará en todas las regiones de AWS Config admitidas en las que el registro de configuración está activado.

Si no desea registrar AWS::RDS::GlobalCluster en todas las regiones habilitadas, elija «AWS RDS GlobalCluster» y «Excluir del registro».

Tipos de recursos globales | Los tipos de recursos de IAM se excluyen inicialmente del registro

Inicialmente, se excluyen del registro los tipos de recursos de IAM globales, para ayudarle a reducir los costos. Esta agrupación incluye usuarios, grupos, roles y políticas administradas por el cliente de de IAM. Seleccione Eliminar para eliminar la anulación e incluir estos recursos en el registro.

Además, estos tipos de recursos de IAM globales (AWS::IAM::User, AWS::IAM::Group, AWS::IAM::Role y AWS::IAM::Policy) no se pueden registrar en las regiones admitidas por AWS Config después de febrero de 2022. Para obtener una lista de esas regiones, consulte Recording AWS Resources | Global Resources.

Límites de

Puede añadir hasta 100 anulaciones de frecuencia y 600 anulaciones de exclusión.

No se puede especificar el registro diario para los siguientes tipos de recursos:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Considerations: Specific resource types

Disponibilidad por región

Antes de especificar el tipo de recurso del que AWS Config va a realizar el seguimiento, consulte Cobertura de recursos según la disponibilidad por región para comprobar si el tipo de recurso es compatible con la región de AWS en la que ha configurado AWS Config. Si AWS Config admite un tipo de recurso en como mínimo una región, puede habilitar el registro de ese tipo de recurso en todas las regiones admitidas por AWS Config, incluso si el tipo de recurso especificado no es compatible con la región de AWS en la que ha configurado AWS Config.

Límites de

No hay límites si todos los tipos de recursos tienen la misma frecuencia. Puede agregar hasta 100 tipos de recursos con la frecuencia diaria si al menos un tipo de recursos está configurado como Continuo.

No se admite el registro diario para los siguientes tipos de recursos:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Gobernanza de datos

  • Para el período de retención de datos, elija el período de retención predeterminado para conservar los datos de AWS Config durante 7 años (2557) o establezca un período de retención personalizado para los elementos registrados por AWS Config.

    AWS Config le permite eliminar los datos al especificar un periodo de retención para su ConfigurationItems. Cuando se especifica un periodo de retención, AWS Config conserva su ConfigurationItems para ese periodo especificado. Puede elegir un periodo entre un mínimo de 30 días y un máximo de 7 años (2557 días). AWS Config elimina los datos de más antigüedad de su periodo de retención especificado.

  • Para el rol de IAM de AWS Config, elija un rol vinculado al servicio existente de AWS Config o un rol de IAM de su cuenta.

    • Los roles vinculados a servicios están predefinidos por AWS Config e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS.

      nota

      Recomendación: Utilice el rol vinculado al servicio

      Es recomendable que utilice el rol vinculado al servicio. Un rol vinculado a un servicio añade todos los permisos necesarios para que AWS Config se ejecute según lo esperado.

    • También puede elegir un rol de IAM entre uno de sus roles y políticas de permisos preexistentes

      nota

      Políticas y resultados de cumplimiento

      Las políticas de IAM y otras políticas administradas en AWS Organizations pueden afectar a los permisos de AWS Config para registrar cambios de configuración para los recursos. Además, las reglas evalúan directamente la configuración de un recurso y no tienen en cuenta estas políticas al ejecutar las evaluaciones. Asegúrese de que las políticas en vigor se ajusten a la forma en que piensa utilizar AWS Config.

      Mantenga el nivel de los permisos al mínimo al reutilizar un rol de IAM

      Si ha empleado un servicio de AWS que utiliza AWS Config, como AWS Security Hub CSPM o AWS Control Tower, y ya se ha creado un rol de IAM, asegúrese de que el rol de IAM que utilice al configurar AWS Config mantenga los mismos permisos mínimos que el rol de IAM ya creado. Esto garantizará que el otro servicio de AWS siga ejecutándose según lo previsto.

      Por ejemplo, si AWS Control Tower tiene un rol de IAM que permite a AWS Config leer objetos de S3, asegúrese de que se concedan los mismos permisos en el rol de IAM que utilice al configurar AWS Config. De lo contrario, podría interferir con el funcionamiento de AWS Control Tower.

Modo de entrega

  • Para Método de entrega, elija el bucket de S3 al que AWS Config envía archivos de historial de configuración y de instantáneas de configuración:

    • Crear un bucket: en Nombre del bucket de S3, escriba un nombre para el bucket de S3.

      El nombre que escriba debe ser único entre todos los nombres de buckets existentes en Amazon S3. Una forma de garantizar la exclusividad consiste en incluir un prefijo; por ejemplo, el nombre de su organización. No se puede cambiar el nombre del bucket después de crearlo. Para obtener más información, consulte Restricciones y limitaciones de los buckets en la Guía del usuario de Amazon Simple Storage Service.

    • Elegir un bucket de su cuenta: en Nombre del bucket de S3, elija el bucket que prefiera.

    • Elegir un bucket de otra cuenta: en Nombre del bucket de S3, escriba el nombre del bucket.

      nota

      Permisos de buckets

      Si elige un bucket de otra cuenta, ese bucket debe tener políticas que concedan permisos de acceso a AWS Config. Para obtener más información, consulte Permisos para el bucket de Amazon S3 para el canal de entrega de AWS Config.

  • Para Tema de Amazon SNS, elija Transmitir los cambios de configuración y las notificaciones a un tema de Amazon SNS para que AWS Config envíe notificaciones como la entrega del historial de configuración, la entrega de instantáneas de configuración y el cumplimiento.

  • Si ha seleccionado que AWS Config transmita a un tema de Amazon SNS, elija el tema objetivo:

    • Crear un tema: en Nombre del tema, escriba un nombre para el tema de SNS.

    • Elegir un tema de su cuenta: en Nombre del tema, seleccione el tema que prefiera.

    • Elegir un tema de otra cuenta: en Nombre del tema, escriba el nombre de recurso de Amazon (ARN) del tema. Si elige un tema de otra cuenta, el tema deben tener políticas que concedan permisos de acceso a AWS Config. Para obtener más información, consulte Permisos para el tema de Amazon SNS.

      nota

      Región para el tema de Amazon SNS

      El tema de Amazon SNS debe existir en la misma región en la que se ha configurado AWS Config.

Paso 2: reglas

Si está configurando AWS Config en una región compatible con las normas, seleccione Siguiente.

Paso 3: revisión

Revise los detalles de la configuración de AWS Config. Puede volver a editar los cambios de cada sección. Elija Confirmar para finalizar la configuración de AWS Config.

Para obtener más información

Para obtener más información sobre cómo buscar los recursos existentes en su cuenta y comprender las configuraciones de sus recursos, consulte Looking up Resources, Viewing Compliance Informance y Viewing Compliance History.

También puede utilizar Amazon Simple Queue Service para monitorear los recursos de AWS de forma programada. Para obtener más información, consulte Monitoreo de los cambios en los recursos de AWS con Amazon SQS.