Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Supervise los cambios en los recursos con AWS Config
<a name="monitoring-with-config"></a>

AWS Control Tower habilita todas AWS Config las cuentas inscritas, de modo que puede supervisar el cumplimiento mediante controles de detección, registrar los cambios en los recursos y entregar los registros de cambios de los recursos a la cuenta de archivo de registros.

**Si tu versión de landing zone es anterior a la 3.0**: en el caso de las cuentas inscritas, AWS Config registra todos los cambios en los recursos de todas las regiones en las que opera la cuenta. Cada cambio se modela como un elemento de configuración (CI) que contiene información, como el identificador de recursos, la región, la fecha en que se registró cada cambio y si el cambio se refiere a un recurso conocido o a uno descubierto recientemente.

**Si la versión de la zona de aterrizaje es la 3.0 o posterior**: AWS Control Tower limita el registro de recursos globales, como los usuarios de IAM, los grupos, los roles y las políticas administradas por el cliente únicamente a la región de origen. Las copias de los cambios de recursos globales no se almacenan en todas las regiones. Esta limitación del registro de recursos se ajusta a las [prácticas AWS Config recomendadas](https://aws.amazon.com//blogs/mt/aws-config-best-practices/). La [lista completa de los recursos globales](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html) está disponible en la AWS Config documentación.
+ Para obtener más información AWS Config, consulte [Cómo AWS Config funciona](https://docs.aws.amazon.com//config/latest/developerguide/how-does-config-work.html). 
+ Para ver una lista de los recursos compatibles AWS Config , consulta [Tipos de recursos compatibles](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html).
+ Para obtener información sobre cómo personalizar el seguimiento de recursos en el entorno de la Torre de Control de AWS, consulte la entrada del blog titulada [Personalizar el seguimiento de AWS Config recursos en la Torre de Control de AWS](https://aws.amazon.com/blogs//mt/customize-aws-config-resource-tracking-in-aws-control-tower-environment).

AWS Control Tower configura un canal de AWS Config entrega en todas las cuentas inscritas. A través de este canal de entrega, registra todos los cambios registrados AWS Config en la cuenta del archivo de registros, donde se almacenan en una carpeta de un depósito de Amazon Simple Storage Service.

# Administre AWS Config los costos en AWS Control Tower
<a name="config-costs"></a>

En esta sección se describe cómo se AWS Config registran y facturan los cambios en los recursos de sus cuentas de AWS Control Tower. Esta información puede ayudarlo a comprender cómo administrar los costos asociados AWS Config a la utilización de AWS Control Tower. AWS Control Tower no añade ningún coste adicional. 

**nota**  
 **Si su versión de landing zone es 3.0 o posterior**: AWS Control Tower limita el AWS Config registro de los recursos globales, como los usuarios de IAM, los grupos, las funciones y las políticas administradas por los clientes, únicamente a su región de origen. Por lo tanto, es posible que parte de la información de esta sección no se aplique a la zona de aterrizaje.

AWS Config está diseñado para registrar cada cambio en cada recurso, en cada región en la que opera una cuenta, como un elemento de configuración (CI). AWS Config le factura por cada elemento de configuración que genere.

**¿Cómo AWS Config funciona?**

AWS Config registra los recursos de cada región, por separado. Algunos recursos globales, como los roles de IAM, se registran una vez por región. Por ejemplo, si crea un nuevo rol de IAM en una cuenta inscrita que opera en cinco regiones, AWS Config generará cinco CIs, una para cada región. Otros recursos globales, como las zonas alojadas en Route 53, se registran una sola vez en todas las regiones. Por ejemplo, si crea una nueva zona alojada de Route 53 en una cuenta inscrita, AWS Config genera un CI, independientemente del número de regiones seleccionadas para dicha cuenta. Para obtener una lista que le ayude a distinguir estos tipos de recursos, consulte [El mismo recurso se registra varias veces](monitoring-with-config.md#duplicate-configuration-items).

**nota**  
Cuando AWS Control Tower trabaja con AWS Config, una región puede estar gobernada por AWS Control Tower o no estar gobernada y, AWS Config aun así, registra los cambios si la cuenta opera en esa región.

**AWS Config detecta dos tipos de relaciones en los recursos**

AWS Config hace una distinción entre las relaciones *directas* e *indirectas* entre los recursos. Si se devuelve un recurso en la llamada a la API **Describir** de otro recurso, dichos recursos se registran como una relación directa. Cuando se cambia un recurso en relación directa con otro recurso, AWS Config no se crea un CI para ambos recursos.

Por ejemplo, si crea una instancia de Amazon EC2 y la API requiere que cree una interfaz de red, AWS Config considera que la instancia de Amazon EC2 tiene una relación directa con la interfaz de red. Como resultado, AWS Config genera solo un CI.

AWS Config registra los cambios separados para las relaciones de recursos que son relaciones *indirectas*. Por ejemplo, AWS Config genera dos CI si crea un grupo de seguridad y agrega una instancia de Amazon EC2 asociada que forma parte del grupo de seguridad.

Para obtener más información sobre las relaciones directas e indirectas, consulte [What is a direct and an indirect relationship with respect to a resource?](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-0)

Puede encontrar [una lista de relaciones de recursos](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html) en la AWS Config documentación. 

## Vea los datos del AWS Config registrador de las cuentas inscritas
<a name="querying-config"></a>

AWS Config está integrado CloudWatch para que pueda verlos AWS Config CIs en un panel de control. Para obtener más información, consulta la entrada del blog titulada [AWS Config Compatible con CloudWatch las métricas de Amazon](https://aws.amazon.com/about-aws/whats-new/2022/05/aws-config-supports-amazon-cloudwatch-metrics).

Mediante programación, para ver AWS Config los datos, puede trabajar con la AWS CLI o utilizar otras AWS herramientas. 

### Consulte los datos de la AWS Config grabadora en un recurso específico
<a name="querying-resources-using-the-cli"></a>

Puede usar la AWS CLI para recuperar una lista de los cambios más recientes de un recurso.

**Comando de historial de recursos:**
+ `aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION`

Para obtener más información, consulte [la documentación de la API para `get-config-history`](https://docs.aws.amazon.com//cli/latest/reference/configservice/get-resource-config-history.html).

### Visualice AWS Config los datos con Quick
<a name="visualize-config-data-with-quicksight"></a>

Puede visualizar y consultar los recursos registrados AWS Config en toda la organización. Para obtener más información, consulte el [panel de cumplimiento de los recursos de Config](https://catalog.workshops.aws/awscid/en-US/dashboards/additional/config-resource-compliance-dashboard) y la [visualización de AWS Config datos con Amazon Athena](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/) y Quick.

## Solución de problemas AWS Config en AWS Control Tower
<a name="troubleshooting-config"></a>

En esta sección se proporciona información sobre algunos problemas que pueden surgir AWS Config al utilizar AWS Control Tower. 

### AWS Config Costos elevados
<a name="high-config-costs"></a>

Si su flujo de trabajo incluye procesos que crean, actualizan o eliminan recursos con frecuencia, o si gestiona los recursos en grandes cantidades, ese flujo de trabajo puede generar un gran número de CIs. Si ejecuta estos procesos en una cuenta que no sea de producción, considere la posibilidad de anular la inscripción de la cuenta. Es posible que tengas que desactivar la AWS Config grabadora de esa cuenta manualmente.

**nota**  
Tras anular la inscripción de la cuenta, AWS Control Tower no podrá aplicar controles de detección ni registrar los eventos de la cuenta, como AWS Config las actividades, para los recursos de esa cuenta.

Para obtener más información, consulte [Unmanage an enrolled account](https://docs.aws.amazon.com//controltower/latest/userguide/unmanage-account.html). Para obtener información sobre cómo desactivar la AWS Config grabadora, consulte [Administración de la grabadora de configuración](https://docs.aws.amazon.com//config/latest/developerguide/stop-start-recorder.html).

### El mismo recurso se registra varias veces
<a name="duplicate-configuration-items"></a>

Compruebe si el recurso es un [recurso global](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html). En el caso de las zonas de aterrizaje de la Torre de Control de AWS anteriores a la versión 3.0, AWS Config es AWS Config posible que se registren determinados recursos globales una vez por cada región en la que opere. Por ejemplo, si AWS Config está habilitado en ocho regiones, cada rol se graba ocho veces.

**Los siguientes recursos se registran una vez para cada región en la que AWS Config se opera:**
+ `AWS::IAM::Group` 
+ `AWS::IAM::Policy` 
+ `AWS::IAM::Role` 
+  `AWS::IAM::User`

**Los demás recursos globales se registran solo una vez. A continuación, se muestran algunos ejemplos de recursos que se registran solo una vez:**
+ `AWS::Route53::HostedZone`
+ `AWS::Route53::HealthCheck`
+ `AWS::ECR::PublicRepository`
+ `AWS::GlobalAccelerator::Listener`
+ `AWS::GlobalAccelerator::EndpointGroup`
+ `AWS::GlobalAccelerator::Accelerator`

### AWS Config no registró un recurso
<a name="resource-not-recorded"></a>

Determinados recursos tienen relaciones de dependencia con otros recursos. Estas relaciones pueden ser *directas* o *indirectas*. Puede encontrar una lista de relaciones indirectas obsoletas en [las AWS Config preguntas frecuentes.](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-2)