Integração de regras de habilitação com o AWS Config Compreensão do comportamento das regras de habilitação Criação de regras de habilitação de telemetria Gerenciamento de regras de telemetria Solução de problemas de configuração de telemetria

Trabalho com regras de habilitação de telemetria

Você pode criar regras de habilitação de telemetria para configurar automaticamente a coleta de telemetria para seus recursos da AWS. As regras ajudam você a padronizar a coleta de telemetria em sua organização ou contas e a garantir uma cobertura de monitoramento consistente.

Tópicos

Integração de regras de habilitação com o AWS Config
Compreensão do comportamento das regras de habilitação
Criação de regras de habilitação de telemetria
Gerenciamento de regras de telemetria
Solução de problemas de configuração de telemetria

Integração de regras de habilitação com o AWS Config

A auditoria e a configuração de telemetria do CloudWatch se integram com o AWS Config para descobrir automaticamente os recursos que correspondem à sua regra de habilitação e aplicá-los à sua coleta de dados de telemetria. Quando você cria uma regra de habilitação, a configuração de telemetria cria um gravador do AWS Config correspondente. Esse gravador inclui itens de configuração para os tipos de recursos específicos que você define na regra de habilitação.

Você pode habilitar a Configuração de telemetria sem custo adicional. Quando você usa regras de habilitação para gerenciar automaticamente a telemetria, as cobranças do AWS Config se aplicam com base no número de itens de configuração registrados para os tipos de recursos que você especifica na regra de habilitação. Para obter mais informações, consulte Preços do AWS Config.

nota

Se você já tem o AWS Config habilitado para a gravação dos itens de configuração do tipo de recurso específico, você não será cobrado novamente.

A configuração de telemetria usa o AWS Config para:

Descobrir recursos em toda a sua organização ou contas
Rastrear as alterações de configuração de telemetria

Compreensão do comportamento das regras de habilitação

A configuração da telemetria segue padrões específicos ao avaliar e aplicar regras:

As regras de habilitação são avaliadas de acordo com um padrão hierárquico. As regras organizacionais são avaliadas primeiro, depois as regras que se aplicam às unidades organizacionais (UOs) e, finalmente, as regras que se aplicam às contas individuais. As regras no nível organizacional fornecem a telemetria básica necessária para sua organização. As regras no nível da UO e da conta podem coletar dados adicionais de telemetria, mas não podem coletar menos dados de telemetria. Se essa regra for criada, ela criará um conflito de regras.

Dentro de cada escopo (organização, UO ou conta), as regras devem manter a exclusividade com base em seu tipo de recurso, tipo de telemetria e configuração de destino. Regras duplicadas acionam uma exceção de conflito. Se a mesma regra existir em escopos diferentes, como uma regra de nível organizacional de logs de fluxo da VPC para o CloudWatch, e uma regra de nível de UO para logs de fluxo da VPC, a regra mais alta na hierarquia será aplicada. No entanto, se houver várias regras em conflito, nenhuma delas será aplicada.

Para logs de fluxo da VPC, a configuração de telemetria cria somente novos logs de fluxo para recursos que correspondam ao escopo da regra. Isso não exclui nem afeta os registros de fluxo da VPC previamente estabelecidos, mesmo que sejam diferentes dos parâmetros de regras atuais. Para o CloudWatch Logs, os grupos de logs existentes são mantidos, desde que correspondam ao padrão do recurso.

Se você atualizar uma regra de habilitação, somente novos recursos que correspondam à regra adotarão a configuração atualizada. As configurações de telemetria existentes permanecerão inalteradas para os recursos existentes. Se um recurso não estiver em conformidade com uma regra existente devido à exclusão manual dos dados de telemetria, a nova regra de habilitação será adotada quando o recurso voltar à conformidade.

Criação de regras de habilitação de telemetria

Ao criar uma regra de habilitação de telemetria, especifique:

O escopo da regra (organização, unidade organizacional ou conta)
Os tipos de recurso aos quais a regra se aplica
Os tipos de telemetria a serem habilitados (métricas, logs ou rastreamentos)
Tags opcionais para filtrar quais recursos a regra afeta

Para criar uma regra de habilitação de telemetria

Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.
No painel de navegação, escolha Configuração de telemetria.
Escolha a guia Regras de habilitação.
Escolha Adicionar regra.
Em Nome da regra, insira um nome para a regra.
Em Escopo da regra, escolha uma das seguintes opções:
- Organização: a regra se aplica a todo o AWS Organizations
- Unidade organizacional: a regra se aplica a uma UO específica
- Conta: a regra se aplica a uma única conta
Em Fonte de dados, selecione o serviço da AWS a ser configurado.
Em Tipo de telemetria, selecione os tipos de telemetria a serem habilitados.
Opcional: adicione tags para filtrar quais recursos a regra afeta.
Escolha Criar regra.

Gerenciamento de regras de telemetria

Depois de criar regras, você pode editá-las ou excluí-las. Você também pode ver quais recursos cada regra afeta e monitorar a conformidade com as regras.

Para gerenciar uma regra existente

Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.
No painel de navegação, escolha Configuração de telemetria.
Escolha a guia Regras de habilitação.
Selecione uma regra para ver seus detalhes ou escolha uma das seguintes ações:
- Editar: modificar as configurações da regra
- Excluir: remover a regra

Solução de problemas de configuração de telemetria

Esta seção descreve problemas comuns que você pode encontrar ao usar a configuração de telemetria e como resolvê-los.

Resolução e conflitos de regras

Quando várias regras se aplicam ao mesmo recurso, a configuração de telemetria resolve os conflitos usando estas prioridades:

As regras em nível organizacional têm precedência sobre as regras em nível de conta
Correspondências de tags mais específicas têm precedência sobre as regras gerais
Se houver várias regras conflitantes, nenhuma delas será aplicada. Primeiro, você deverá resolver os conflitos.

Problemas comuns

Recursos que não aparecem na descoberta

Verificar se:

O tipo de recurso é compatível
O gravador do AWS Config está habilitado
Você tem as permissões apropriadas do IAM

Regras que não se aplicam automaticamente

Verificar:

Configuração de escopo de regra
Filtros de tag

Considerações específicas do serviço

Logs de fluxo do Amazon VPC

Ao criar logs de fluxo:

Usa o padrão /aws/vpc/vpc-id se nenhum for especificado
Os logs de fluxo existentes criados pelo cliente são preservados
As atualizações de regras afetam somente os novos logs de fluxo

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Visualizar recursos

Desativação da configuração de telemetria