Monitorar as alterações de configuração com o AWS Config - Amazon CloudFront
Configurar o AWS Config com o CloudFrontVisualizar o histórico de configuração do CloudFrontAvaliar as configurações do CloudFront com o AWS Config Rules

Monitorar as alterações de configuração com o AWS Config

Para registrar e avaliar as configurações dos recursos da AWS, é possível usar o AWS Config, que oferece uma visão detalhada da configuração das distribuições. Isso inclui como os recursos estão relacionados entre si e como eles foram configurados no passado, para que você possa analisar as alterações no decorrer do tempo.

Também é possível usar o AWS Config para registrar alterações nas configurações de distribuição do CloudFront. É possível capturar alterações em estados de distribuição, classes de preço, origens, configurações de restrição geográfica e configurações do Lambda@Edge.

nota

O AWS Config não registra tags de chave-valor para distribuições de streaming do CloudFront.

Configurar o AWS Config com o CloudFront

Ao configurar o AWS Config, é possível optar por gravar todos os recursos da AWS compatíveis ou somente os recursos especificados, como gravar apenas as alterações do CloudFront. Consulte uma lista de recursos compatíveis do CloudFront na seção Amazon CloudFront do tópico “Supported Resource Types” no Guia do desenvolvedor do AWS Config.

Observações

  • Para monitorar as alterações de configuração na distribuição do CloudFront, faça login no console do CloudFront na Região da AWS Leste dos EUA (Norte da Virgínia).

  • Pode haver um atraso na gravação de recursos com o AWS Config. O AWS Config registra recursos somente depois que descobre os recursos.

Console
Como configurar o AWS Config com o CloudFront

  1. Faça login no AWS Management Console e abra o console do AWS Config.

  2. Escolha Get Started Now.

  3. Na página Settings, para Resource types to record, especifique os tipos de recursos da AWS que você deseja que o AWS Config registre. Para registrar somente mudanças do CloudFront, escolha Specific types (Tipos específicos) e, em CloudFront, escolha a distribuição ou a distribuição em streaming da qual você quer acompanhar as alterações.

    Para adicionar ou alterar as distribuições a serem acompanhadas, escolha Settings à esquerda, depois de concluir sua configuração inicial.

  4. Especifique as opções adicionais necessárias para o AWS Config. Configure uma notificação, especifique um local para as informações de configuração e adicione regras para avaliar os tipos de recursos.

Para obter mais informações, consulte Configuração do AWS Config com o console no Guia do desenvolvedor do AWS Config.

AWS CLI

Para configurar o AWS Config com o CloudFront usando a AWS CLI, consulte Setting up AWS Config with the AWS CLI no Guia do desenvolvedor do AWS Config.

AWS Config API

Para configurar o AWS Config com o CloudFront usando a API do AWS Config consulte a operação de API StartConfigurationRecorder na Referência de API do AWS Config.

Visualizar o histórico de configuração do CloudFront

Depois que o AWS Config começa a gravar as alterações de configuração nas suas distribuições, é possível exibir o histórico de configuração de qualquer distribuição que você tenha configurado para o CloudFront.

É possível visualizar os históricos de configuração das maneiras indicadas a seguir.

Console

Para cada recurso gravado, é possível visualizar uma página de linha do tempo que fornece o histórico com detalhes da configuração. Para visualizar essa página, escolha o ícone cinza na coluna Config Timeline (Configurar linha de tempo) da página Hosts dedicados.

Para obter mais informações, consulte Visualização de detalhes de configuração do console do AWS Config no Guia do desenvolvedor do AWS Config.

AWS CLI

Consulte uma lista de todas as distribuições executando o comando list-discovered-resources, conforme mostrado no exemplo a seguir.

aws configservice list-discovered-resources --resource-type AWS::CloudFront::Distribution

Para ver os detalhes da configuração da distribuição de um intervalo de tempo específico, execute o comando get-resource-config-history.

Para obter mais informações, consulte Visualização de detalhes de configuração usando a CLI no Guia do desenvolvedor do AWS Config.

AWS Config API

Para consultar uma lista de todas as suas distribuições, use a operação de API ListDiscoveredResources.

Para consultar os detalhes de configuração de uma distribuição para um intervalo de tempo específico, use a operação de API GetResourceConfigHistory. Para obter mais informações, consulte a Referência da API do AWS Config.

Avaliar as configurações do CloudFront com o AWS Config Rules

É possível avaliar as configurações em relação às configurações desejadas com o AWS Config Rules. Por exemplo, o AWS Config Rules ajuda você a avaliar se os recursos do CloudFront estão em conformidade com as práticas recomendadas comuns de segurança. É possível escolher regras gerenciadas, como política do visualizador HTTPS, SNI habilitada, OAC habilitado, failover de origem habilitado, ACL da web do AWS WAF ou políticas de recursos do AWS Shield Advanced a serem acionadas quando a configuração é alterada.

As regras gerenciadas podem realizar avaliações periodicamente, na frequência escolhida. O AWS Firewall Manager depende do AWS Config para alertas e correções automáticas. Para ter mais informações, consulte Evaluating Resources with AWS Config Rules e List of AWS Config Managed Rules no Guia do desenvolvedor do AWS Config.