Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Inventario automático de AWS los recursos en varias cuentas y regiones
<a name="automate-aws-resource-inventory"></a>

*Matej Macek, Amazon Web Services*

## Resumen
<a name="automate-aws-resource-inventory-summary"></a>

Este patrón describe un enfoque automatizado para mantener un inventario integral de AWS recursos en varias cuentas y Regiones de AWS. Está diseñado para ayudar a los ingenieros de infraestructura y seguridad a mejorar sus prácticas de administración de recursos. Se utiliza AWS Config para realizar un seguimiento de los cambios en los recursos, Amazon Athena para realizar consultas y Amazon Quick Sight para paneles interactivos. Para implementar esta solución, debe implementar una pila. AWS CloudFormation 

Esta solución es similar a la presentada en [Visualización de AWS Config datos con Amazon Athena y Amazon Quick](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/) Sight AWS (entrada del blog). Este patrón amplía esa solución para abordar los siguientes requisitos comunes y ofrecer los siguientes beneficios clave:
+ **Fundamentado en la conformidad**: este enfoque puede ayudarlo a cumplir requisitos normativos como [PCI DSS](https://www.pcisecuritystandards.org/), [NIST SP 800-53](https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final), [ISO/IEC 27001](https://www.iso.org/standard/27001), [HIPAA](https://www.hhs.gov/programs/hipaa/index.html) y [GDPR](https://gdpr.eu/), entre otros, que exigen inventarios precisos de recursos.
+ **Marco de personalización**: proporciona una base para crear paneles de Quick Sight para varios AWS recursos, de modo que pueda personalizar la solución según sus requisitos específicos.
+ **Mejoras impulsadas por los usuarios**: este enfoque incorpora comentarios de casos de uso reales y responde a las solicitudes de una solución más completa.

Los equipos de infraestructura, seguridad y finanzas suelen enfrentarse a desafíos de visibilidad y colaboración en entornos dinámicos que cuentan con varias cuentas o regiones. Esta solución está diseñada para abordar esos desafíos y reducir significativamente el tiempo y el esfuerzo necesarios para crear y mantener un inventario de recursos. El resultado es una visión centralizada de los recursos que lo ayuda a mejorar las decisiones de asignación de recursos, identificar y mitigar los riesgos, optimizar los costos y mejorar la visibilidad y la colaboración en general. Este enfoque cierra la brecha entre las soluciones conceptuales y las necesidades de implementación reales para fines operativos, de seguridad y de conformidad.

## Requisitos previos y limitaciones
<a name="automate-aws-resource-inventory-prereqs"></a>

**Requisitos previos **
+ La siguiente Cuentas de AWS activa:
  + *Cuenta de administración*: cuenta centralizada para facturar, crear cuentas y controlar el acceso en toda la organización
  + *Cuenta de auditoría*: centro unificado para la supervisión de la seguridad, controles de conformidad y notificaciones de desviaciones
  + *Cuenta de archivo de registros*: cuenta centralizada para almacenar y analizar los datos recopilados
+ En la cuenta de auditoría, un AWS Config [agregador](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) que recopila y agrega datos de configuración de las cuentas y regiones de destino
+ En la cuenta de archivo de registros, configure lo siguiente:
  + Un depósito de Amazon Simple Storage Service (Amazon [S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) en el que se almacenan los datos del agregador AWS Config 
  + Una [suscripción](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html) a Amazon Quick
  + Una [conexión autorizada](https://docs.aws.amazon.com/quicksight/latest/user/athena.html) entre Quick Sight y Amazon Athena
  + [Permisos](https://docs.aws.amazon.com/athena/latest/ug/s3-permissions.html) para acceder al bucket de Amazon S3 mediante una consulta de Athena
+ AWS Command Line Interface [(AWS CLI), [instalado](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) y configurado](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ Permisos para implementar una CloudFormation pila que aprovisione los siguientes recursos:
  + Una AWS Lambda función
  + Una configuración de notificaciones de Amazon S3
  + Base de datos, tablas y vistas de Athena
  + Conjuntos de datos y fuentes de datos de Quick Sight
+ Permisos para ejecutar automatizaciones en AWS Systems Manager
+ Permisos para acceder a Quick

**Limitaciones**
+ La solución se basa en AWS Config. AWS Config por lo general, registra los cambios de configuración de los recursos inmediatamente después de que se detecta un cambio o con la frecuencia que usted especifique. Aunque el sistema hace todo lo posible porque sea así, a veces puede tardar más tiempo.
+ Esta solución solo rastrea [los tipos de recursos AWS Config compatibles](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html).
+ La solución no realiza un seguimiento del inventario de recursos de otros proveedores de nube o en entornos en las instalaciones.
+ Algunos Servicios de AWS no están disponibles en todos Regiones de AWS. Para conocer la disponibilidad regional, consulta la página [de límites y cuotas del servicio](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) en la AWS documentación y elige el enlace correspondiente al servicio.

## Arquitectura
<a name="automate-aws-resource-inventory-architecture"></a>

El siguiente diagrama muestra un proceso simplificado para recopilar, organizar, analizar y visualizar los datos de configuración y conformidad de varias cuentas de una organización. AWS 

![\[Recopilación y visualización de los datos de configuración y conformidad en toda la organización.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/67a9667a-da19-4dcb-a2fe-62bc94a0541b/images/c9245de1-ac85-4a9e-a0c0-dbcc27a8bb5d.png)


En el diagrama, se muestra el siguiente flujo de trabajo:

1. De forma periódica, el AWS Config agregador recopila datos de configuración y conformidad sobre los recursos de las cuentas y regiones de destino y, a continuación, entrega los datos al depósito de Amazon S3 de la cuenta de archivo de registros.

1. Al añadir nuevos AWS Config datos al bucket de Amazon S3, se invoca una AWS Lambda función.

1. La función de Lambda divide los datos configurando claves con valores que corresponden a la región y la fecha de cada archivo de la instantánea. Esto ayuda a consultar y procesar de AWS Glue manera eficiente los datos de configuración y conformidad.

1. Amazon Athena utiliza un AWS Glue [esquema](https://docs.aws.amazon.com/glue/latest/dg/schema-registry.html) para ejecutar consultas SQL en los datos almacenados en el bucket de Amazon S3. Utiliza los metadatos del esquema AWS Glue para comprender la estructura de los datos.

1. Las [vistas](https://docs.aws.amazon.com/athena/latest/ug/views.html) de Athena definen y extraen los conjuntos de datos de destino.

1. [Los paneles de](https://docs.aws.amazon.com/quicksight/latest/user/using-dashboards.html) Quick Sight le ayudan a visualizar y analizar los conjuntos de datos.

## Tools (Herramientas)
<a name="automate-aws-resource-inventory-tools"></a>

**Servicios de AWS**
+ [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html) es un servicio de consultas interactivo que facilita el análisis de datos en Amazon S3 con SQL estándar.
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)le ayuda a configurar AWS los recursos, aprovisionarlos de forma rápida y coherente y gestionarlos a lo largo de su ciclo de vida en Cuentas de AWS todo el mundo. Regiones de AWS
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)proporciona una vista detallada de los recursos que tiene Cuenta de AWS y de cómo están configurados. Le ayuda a identificar cómo se relacionan los recursos entre sí y cómo han cambiado sus configuraciones a lo largo del tiempo. Un AWS Config [agregador](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) recopila datos AWS Config de configuración y conformidad de varias Cuentas de AWS regiones.
+ [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html) es un servicio de extracción, transformación y carga (ETL) completamente administrado. Ayuda a clasificar, limpiar, enriquecer y mover datos de forma fiable entre almacenes de datos y flujos de datos. Este patrón utiliza un [catálogo de AWS Glue datos](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) y un [registro de esquemas](https://docs.aws.amazon.com/glue/latest/dg/schema-registry.html).
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)es un servicio de administración de cuentas que le ayuda a consolidar múltiples cuentas Cuentas de AWS en una organización que puede crear y administrar de forma centralizada.
+ [Amazon Quick Sight](https://docs.aws.amazon.com/quicksuite/latest/userguide/quick-bi.html) es un servicio de inteligencia empresarial (BI) que le ayuda a transformar los datos sin procesar en información significativa mediante visualizaciones, paneles e informes interactivos. Quick Sight es un componente fundamental de Amazon Quick.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) es un servicio de almacenamiento de objetos basado en la nube que lo ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) lo ayuda a administrar las aplicaciones y la infraestructura que se ejecutan en la Nube de AWS. Simplifica la administración de aplicaciones y recursos, reduce el tiempo necesario para detectar y resolver problemas operativos y le ayuda a administrar sus AWS recursos de forma segura y a escala. [AWS Systems Manager La automatización](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) simplifica las tareas habituales de mantenimiento, implementación y corrección para muchas personas. Servicios de AWS

**Repositorio de código**

La AWS CloudFormation plantilla para este patrón está disponible en el repositorio de [AWS Config visualización](https://github.com/aws-samples/aws-management-and-governance-samples/blob/master/AWSConfig/AWS-Config-Visualization/README.md) GitHub . Esta CloudFormation plantilla implementa un manual de AWS Systems Manager automatización que se configura AWS Config para su uso con Amazon Athena. Esta automatización se prepara AWS Glue para conectarse con el bucket de Amazon S3 designado, crea vistas en Amazon Athena y configura Quick Sight para la visualización del panel.

## Prácticas recomendadas
<a name="automate-aws-resource-inventory-best-practices"></a>
+ Le recomendamos que siga las prácticas recomendadas que se indican en la sección AWS Control Tower sobre [AWS cómo configurar y administrar un AWS entorno seguro y con múltiples cuentas,](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/welcome.html) siguiendo la guía prescriptiva.
+ Le recomendamos que cree un AWS Config agregador que recopile los datos de configuración y conformidad de toda la organización. AWS Para obtener más información, consulte [Agregación de datos multirregional y multicuenta](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) en la documentación. AWS Config 
+ [Antes de implementar esta solución, le recomendamos que revise la información de precios actual de [Amazon S3 [AWS Config](https://aws.amazon.com/config/pricing/)](https://aws.amazon.com/s3/pricing/), [Athena](https://aws.amazon.com/athena/pricing/) y Quick.](https://aws.amazon.com/quicksight/pricing/)

## Epics
<a name="automate-aws-resource-inventory-epics"></a>

### Implemente la pila CloudFormation
<a name="deploy-the-cfnshort-stack"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Descarga la CloudFormation plantilla. | Descarga la plantilla [Config- QuickSight CloudFormation -Visualization-SSM-Automation.yaml](https://github.com/aws-samples/aws-management-and-governance-samples/blob/master/AWSConfig/AWS-Config-Visualization/cft/Config-QuickSight-Visualization-SSM-Automation.yaml). | Administrador de AWS, administrador de la nube, DevOps ingeniero | 
| Modifique la CloudFormation plantilla. | Complete este paso solo si está utilizando [AWS Control Tower](https://aws.amazon.com/controltower/)y AWS Config está gestionado por AWS Control Tower. Debe modificar la CloudFormation plantilla.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | DevOps ingeniero, administrador de AWS | 
| Crea una CloudFormation pila. | Sigue las instrucciones de [Crear una pila desde la CloudFormation consola](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). Tenga en cuenta lo siguiente:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Administrador de AWS, administrador de la nube, DevOps ingeniero | 

### Ejecución de la automatización en Systems Manager
<a name="run-the-automation-in-sys"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Encuentre su nombre de usuario rápido. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Administrador de AWS, administrador de la nube, DevOps ingeniero | 
| Busque el nombre del canal de entrega y el nombre del bucket de Amazon S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Administrador de AWS, administrador de la nube, DevOps ingeniero | 
| Ejecute la automatización en Systems Manager. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Administrador de AWS, administrador de la nube, DevOps ingeniero | 

### Visualice los datos en Quick Sight
<a name="visualize-data-in-qsight"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Actualice los datos. | Para programar las actualizaciones de los conjuntos de datos de acuerdo con sus requisitos específicos, siga las instrucciones de la sección [Actualización de datos de SPICE](https://docs.aws.amazon.com/quicksight/latest/user/refreshing-imported-data.html). | Administrador, DevOps ingeniero y administrador de la nube de AWS | 
| Cree un análisis de . | Para crear un panel en Quick Sight que le ayude a visualizar los recursos, siga las instrucciones que se indican en Cómo [iniciar un análisis en Quick Sight](https://docs.aws.amazon.com/quicksuite/latest/userguide/creating-an-analysis.html). | Administrador de Quick Suite | 
| Cree un panel de control. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Administrador de Quick Suite | 

### (Opcional) Limpieza
<a name="optional-clean-up"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Elimine los recursos creados por la automatización de Systems Manager. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Administrador de AWS, administrador de la nube, DevOps ingeniero | 
| Elimine la CloudFormation pila. | Para eliminar los recursos de la `Config-QuickSight-Visualization-SSM-Automation` pila, sigue las instrucciones de [Eliminar una pila de la CloudFormation consola](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html). | Administrador de AWS, administrador de la nube, DevOps ingeniero | 

## Resolución de problemas
<a name="automate-aws-resource-inventory-troubleshooting"></a>


| Problema | Solución | 
| --- | --- | 
| Amazon Quick está intentando conectarse a esa región `us-east-1` Región de AWS, pero no está permitida la creación de recursos en esa región. | Una política de control de servicios restringe tu suscripción a Amazon Quick en esta región. En la política de control de servicios, especifique el objetivo manualmente Región de AWS. Sustituya `<REGION_ID>` por el identificador de región correspondiente:<pre>https://<REGION_ID>.quicksight.aws.amazon.com/sn/start/dashboards</pre>A continuación, se muestra un ejemplo:<pre>https://eu-central-1.quicksight.aws.amazon.com/sn/start/dashboards</pre> | 
| En Amazon Athena, aparece el siguiente mensaje:`Before you run your first query, you need to set up a query result location in Amazon S3.` | Asegúrese de haber preparado un bucket de Amazon S3 en el que almacenará los resultados de las consultas de Amazon Athena. A continuación, siga las instrucciones de [Especificación de una ubicación de resultados de consulta mediante la consola de Athena](https://docs.aws.amazon.com/athena/latest/ug/query-results-specify-location-console.html). | 

## Recursos relacionados
<a name="automate-aws-resource-inventory-resources"></a>

**AWS documentación**
+ [AWS Config documentación](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [Documentación de Amazon Quick](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html)

**AWS entrada de blog**
+ [Automatice la visualización de AWS Config datos con AWS Systems Manager](https://aws.amazon.com/blogs/mt/automate-aws-config-data-visualization-with-aws-systems-manager/)
+ [Cómo registrar periódicamente los cambios en la configuración de los recursos con AWS Config](https://aws.amazon.com/blogs/mt/how-to-record-resource-configuration-changes-periodically-with-aws-config/)

**Otros recursos**
+ [Centro de aprendizaje comunitario Amazon Quick](https://community.amazonquicksight.com/c/learning-center/10/none)
+ [Galería de la comunidad Amazon Quick](https://community.amazonquicksight.com/c/gallery/44)