Uso del registrador de configuración
El registrador de configuración almacena los cambios de configuración en los tipos de recursos incluidos en el ámbito como elementos de configuración (CI).
Existen dos tipos de registradores de configuración.
| Tipo | Descripción |
|---|---|
| Registrador de configuración administrado por el cliente | Un registrador de configuración que administra usted. Usted establece los tipos de recursos incluidos en el ámbito. De forma predeterminada, un registrador de configuración administrado por el cliente registra todos los recursos admitidos en la Región de AWS donde se ejecuta AWS Config. |
| Registrador de configuración vinculado a servicios | Un registrador de configuración que está vinculado a un Servicio de AWS específico. Los tipos de recursos incluidos en el ámbito los establece el servicio vinculado. |
Temas
Consideraciones sobre el registrador de configuración administrado por el cliente
Consideraciones sobre los registradores de configuración vinculados a servicios
Detección de desviaciones para el registrador de configuración
Inicio del registrador de configuración administrado por el cliente
Detención del registrador de configuración administrado por el cliente
Cambio de la frecuencia de registro del registrador de configuración administrado por el cliente
Cambio del nombre del registrador de configuración administrado por el cliente
Consideraciones sobre el registrador de configuración administrado por el cliente
Un registrador de configuración administrado por el cliente por cuenta y región
Solo puede tener un registrador de configuración administrado por el cliente para cada Cuenta de AWS y cada Región de AWS.
El valor predeterminado es registrar todos los tipos de recursos admitidos, excepto los tipos de recursos de IAM globales
El valor predeterminado de un registrador de configuración administrado por el cliente es registrar todos los tipos de recursos admitidos, excepto los siguientes tipos de recursos de IAM globales: AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role y AWS::IAM::User. Puede especificar qué tipos de recursos desea incluir o excluir del registro.
Para obtener más información, consulte Registro de recursos de AWS con AWS Config.
Se le cobrarán las tarifas de uso del servicio del registrador de configuración administrado por el cliente
Se le cobrarán las tarifas de uso del servicio cuando AWS Config comience a registrar configuraciones con el registrador administrado por el cliente.
Para obtener información acerca de los precios, consulte Precios de AWS Config
Utilice AWS Systems Manager para crear un registrador de configuración administrado por el cliente en toda la organización
Puede usar la Configuración Rápida de AWS Systems Manager para crear un registrador de configuración administrado por el cliente en varias unidades organizativas (UO) y Regiones de AWS, siguiendo las prácticas recomendadas de AWS.
Para obtener más información, consulte Cree un registrador de configuración de AWS Config mediante Quick Setup en la Guía del usuario de Systems Manager.
importante
Políticas y resultados de cumplimiento
Las políticas de IAM y otras políticas administradas en AWS Organizations pueden afectar a los permisos de AWS Config para registrar cambios de configuración para los recursos. Además, las reglas evalúan directamente la configuración de un recurso y no tienen en cuenta estas políticas al ejecutar las evaluaciones. Asegúrese de que las políticas en vigor se ajusten a la forma en que piensa utilizar AWS Config.
Los resultados de la evaluación de los recursos obsoletos pueden persistir si el registrador de configuración está desactivado
Si el registrador de configuración administrado por el cliente está desactivado, se deshabilita la posibilidad de que AWS Config Config realice un seguimiento de los cambios en la configuración de los recursos, incluida su eliminación. Esto significa que es posible que vea resultados de evaluación obsoletos para los recursos que se eliminan al desactivar el registrador de configuración administrado por el cliente, ya que AWS Config no puede capturar los eventos de eliminación si el registro no está activado.
Consideraciones sobre los registradores de configuración vinculados a servicios
Debe utilizar el rol vinculado a servicios de AWS Config
El rol vinculado a servicios de AWS Config es necesario para los registradores de configuración vinculados a servicios.
Para obtener más información, consulte Uso de roles vinculados a servicios para AWS Config.
Los registradores de configuración vinculados a servicios siempre registran
Los registradores vinculados a servicios son fijos. No puede cambiar directamente la configuración de un registrador vinculado a servicios. Para modificar los ajustes del registrador, como iniciar, detener o actualizar el registrador, realice estos cambios a través del servicio de AWS asociado que utilice el registrador vinculado a servicios.
Para obtener más información, consulte Eliminación del registrador de configuración.
El ámbito de registro determina si recibe elementos de configuración
El ámbito de registro lo establece el Servicio de AWS que está vinculado al registrador de configuración y determina si se reciben elementos de configuración (CI) en el canal de entrega. Si el ámbito de registro es INTERNO, no se recibirán CI en el canal de entrega.
El ámbito de registro determina si se le cobra una tarifa de servicio
El ámbito de registro lo establece el Servicio de AWS que está vinculado al registrador de configuración y determina si los elementos de configuración (CI) incluidos en el ámbito se registran de forma gratuita (INTERNO) o si repercuten en los costos de la factura (DE PAGO).
Prioridad de frecuencia de registro entre registradores
Si tiene un registrador de configuración administrado por el cliente y un registrador de configuración vinculado a servicios con un ámbito de registro de “DE PAGO” que registra los mismos tipos de recursos, tiene prioridad el registrador con la frecuencia de registro más alta. Por ejemplo, si el registrador administrado por el cliente está configurado para registro diario, pero usted habilita un servicio de AWS que utiliza un registrador vinculado a servicios con un ámbito de registro “DE PAGO” y registro continuo, los tipos de recursos afectados se registrarán de forma continua.
Esto significa que, aunque la configuración del registrador administrado por el cliente siga mostrando “Registro diario”, se le cobrará por el registro continuo para los tipos de recursos disponibles para ambos registradores. Esto solo afecta a los tipos de recursos que registran ambos registradores.
nota
Solo se le cobrará una vez por elemento de configuración, independientemente del número de elementos de configuración generados por un registrador de configuración administrado por el cliente o por los registradores de configuración vinculados a servicios que pague.
ejemplo Ejemplo: prioridad de frecuencia de registro
Ha configurado su registrador administrado por el cliente para registrar instancias de Amazon EC2 con una frecuencia de registro diario. Más adelante, habilita una característica de servicio de AWS que utiliza un registrador vinculado a servicios con un ámbito de registro de “PAGADO” y un registro continuo que también registra instancias de Amazon EC2. En este escenario:
La configuración del registrador administrado por el cliente seguirá mostrando “Registro diario”
Las instancias de Amazon EC2 se registrarán de forma continua y proporcionan CI adicionales, ya que el registrador vinculado a servicios con un ámbito de registro de “PAGADO” tiene una frecuencia de registro más alta.
Se le cobrará por el registro continuo de las instancias de Amazon EC2
Otros tipos de recursos que solo administra su registrador administrado por el cliente seguirán registrándose con frecuencia diaria
Servicios admitidos
Los registradores de configuración vinculados a servicios son compatibles con los siguientes servicios:
| AWS Servicio de | Entidad principal de servicio | Beneficios de uso con AWS Config | Más información |
|---|---|---|---|
| Amazon CloudWatch | observabilityadmin.amazonaws.com,
telemetry-enablement.observabilityadmin.amazonaws.com |
Puede utilizar Amazon CloudWatch Observability Admin para descubrir y conocer el estado de la configuración de telemetría en CloudWatch de su organización o cuenta de AWS. | Para obtener más información, consulte Auditoría de las configuraciones de telemetría de CloudWatch en la Guía del usuario de CloudWatch. |
| AWS Security Hub CSPM | securityhub.amazonaws.com |
Puede utilizar AWS Security Hub CSPM para administrar de forma centralizada los resultados de seguridad y realizar evaluaciones de seguridad en todas sus cuentas de AWS. El registrador vinculado a servicios permite utilizar un enfoque basado en eventos para obtener los elementos de configuración de los recursos necesarios para la cobertura del análisis de la exposición. | Para obtener más información, consulte Habilitación de Security Hub en la Guía del usuario de Security Hub. |
Detección de desviaciones para el registrador de configuración
El tipo de recurso AWS::Config::ConfigurationRecorder es un elemento de configuración (CI, por sus siglas en inglés) para el registrador de configuración que realiza el seguimiento de todos los cambios del estado del registrador de configuración. Puede usar este CI para comprobar si el estado del registrador de configuración es diferente o se ha desviado del estado anterior.
Por ejemplo, este CI registra si hay actualizaciones en los tipos de recursos que ha permitido que siga AWS Config, si ha detenido o iniciado el registrador de configuración o si ha eliminado o desinstalado el registrador de configuración. Un registrador de configuración desviado indica que no está detectando con precisión los cambios en los tipos de recursos previstos. Si el registrador de configuración está desviado, es posible que los resultados de conformidad sean falsos negativos o falsos positivos.
El tipo de recurso AWS::Config::ConfigurationRecorder es un tipo de recurso del sistema AWS Config y el registro de este tipo de recurso está habilitado de forma predeterminada en todas las regiones compatibles. El registro de este tipo de recurso AWS::Config::ConfigurationRecorder no tiene costo adicional.
