Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Rastreo de los cambios en la configuración de cifrado de X-Ray con AWS Config
AWS X-Ray se integra en AWS Config para registrar cambios de configuración realizados en los recursos de cifrado de X-Ray. Puede utilizar AWS Config para realizar un inventario de recursos de cifrado de X-Ray, auditar el historial de configuración de X-Ray y enviar notificaciones basadas en los cambios de recursos.
AWS Config admite el registro de los siguientes cambios de recursos de cifrado de X-Ray como eventos:
+ **Cambios de configuración**: cambiar o añadir una clave de cifrado o volver a la configuración de cifrado de X-Ray predeterminada.
Utilice las siguientes instrucciones para obtener información sobre cómo crear una conexión básica entre X-Ray y AWS Config.
## Creación de un disparador de función de Lambda
Debe tener el ARN de una función de AWS Lambda personalizada antes de poder generar una regla de AWS Config personalizada. Siga estas instrucciones para crear una función básica con Node.js que devuelve un valor conforme o no conforme de vuelta a AWS Config en función del estado del recurso `XrayEncryptionConfig`.
**Para crear una función de Lambda con un disparador de cambio AWS::XrayEncryptionConfig**
1. Abra la [consola de Lambda](https://console.aws.amazon.com/lambda/home). Seleccione **Creación de función**.
1. Elija **Blueprints (Proyectos)** y, a continuación, filtre la biblioteca de proyectos para el proyecto **config-rule-change-triggered**. Haga clic en el nombre del proyecto o bien elija **Configure (Configurar)** para continuar.
1. Defina los siguientes campos para configurar el proyecto:
+ En **Name (Nombre)**, escriba un nombre.
+ Para **Role (Rol)**, elija **Create new role from template(s) (Crear un rol nuevo a partir de las plantillas)**.
+ Para **Role name (Nombre del rol)**, escriba un nombre.
+ Para **Policy templates (Plantillas de política)**, elija **AWS Config Rules permissions (Permisos de reglas de &CC;)**.
1. Elija **Create function (Crear función)** para crear y visualizar su función en la consola de AWS Lambda.
1. Edite el código de la función para reemplazar `AWS::EC2::Instance` por `AWS::XrayEncryptionConfig`. También puede actualizar el campo de descripción para reflejar este cambio.
**Código predeterminado**
```
if (configurationItem.resourceType !== 'AWS::EC2::Instance') {
return 'NOT_APPLICABLE';
} else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
return 'COMPLIANT';
}
return 'NON_COMPLIANT';
```
**Código actualizado**
```
if (configurationItem.resourceType !== 'AWS::XRay::EncryptionConfig') {
return 'NOT_APPLICABLE';
} else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
return 'COMPLIANT';
}
return 'NON_COMPLIANT';
```
1. Añada lo siguiente a su rol de ejecución en IAM para acceso a X-Ray. Estos permisos permiten acceso de solo lectura a sus recursos de X-Ray. Si no se proporciona acceso a los recursos apropiados se producirá un mensaje de fuera de ámbito desde AWS Config cuando se evalúa la función de Lambda asociada a la regla.
```
{
"Sid": "Stmt1529350291539",
"Action": [
"xray:GetEncryptionConfig"
],
"Effect": "Allow",
"Resource": "*"
}
```
## Creación de una regla de AWS Config personalizada para X-Ray
Cuando se crea la función de Lambda, anote el ARN de la función y vaya a la consola de AWS Config para crear la regla personalizada.
**Para crear una regla de AWS Config para X-Ray**
1. Abra la página [**Reglas** de la consola de AWS Config](https://console.aws.amazon.com/config/home#/rules/view).
1. Elija **Add rule (Añadir una regla)** y, a continuación, elija **Add custom rule (Añadir una regla personalizada)**.
1. En **ARN de la función de AWS Lambda**, inserte el ARN asociado a la función de Lambda que desea utilizar.
1. Elija el tipo de disparador que desea establecer:
+ **Cambios de configuración**: AWS Config dispara la evaluación cuando cambia la configuración de un recurso que coincida con el ámbito de regla. La evaluación se realiza después de que AWS Config envía una notificación sobre un cambio de elementos de configuración.
+ **Periódica**: AWS Config ejecuta las evaluaciones de la regla con la frecuencia que se elija (por ejemplo, cada 24 horas).
1. Para **Tipo de recurso**, elija **EncryptionConfig** en la sección X-Ray.
1. Elija ****Guardar****.
La consola de AWS Config comienza a evaluar la conformidad de la regla de forma inmediata. La evaluación puede tardar varios minutos en completarse.
Ahora que esta regla es compatible, AWS Config puede empezar a compilar un historial de auditoría. AWS Config registra los cambios de recursos en forma de escala de tiempo. Para cada cambio en la escala de tiempo de eventos, AWS Config genera una tabla en formato de/a para mostrar lo que ha cambiado en la representación JSON de la clave de cifrado. Los dos cambios de campo asociados a EncryptionConfig son `Configuration.type` y `Configuration.keyID`.
## Resultados de ejemplo
A continuación, se muestra un ejemplo de una escala de tiempo de AWS Config que muestra los cambios realizados en fechas y horas concretas.
![\[Escala de tiempo de AWS Config\]](http://docs.aws.amazon.com/es_es/xray/latest/devguide/images/ConfigTimeline.png)
A continuación, se muestra un ejemplo de una entrada de cambio de AWS Config. El formato de/a ilustra lo que ha cambiado. En este ejemplo se muestra que la configuración de cifrado de X-Ray predeterminada se cambió a una clave de cifrado definida.
![\[Entrada de cambio de configuración de cifrado de X-Ray\]](http://docs.aws.amazon.com/es_es/xray/latest/devguide/images/ConfigChanges.png)
## Notificaciones de Amazon SNS
Para recibir una notificación de los cambios de configuración, establezca que AWS Config publique las notificaciones de Amazon SNS. Para obtener más información, consulte [Monitorización de cambios de recursos de AWS Config por correo electrónico](https://docs.aws.amazon.com/config/latest/developerguide/monitoring-resource-changes-by-email.html).