AWS ConfigTerminologia e conceitos do
Para ajudá-lo a começar a entender o AWS Config, este tópico explica alguns dos conceitos-chave.
Sumário
Interfaces do AWS Config
AWS ConfigConsole do
É possível gerenciar o serviço usando o console do AWS Config. Para obter mais informações sobre o Console de gerenciamento da AWS, consulte Console de gerenciamento da AWS.
AWS Config CLI
O AWS Command Line Interface é uma ferramenta unificada que você pode usar para interagir com o AWS Config a partir da linha de comando. Para obter mais informações, consulte o Guia do usuário do AWS Command Line Interface. Para obter uma lista completa dos comandos da CLI do AWS Config, consulte Comandos disponíveis.
AWS ConfigAPIs do
Além do console e da CLI, você também pode usar as APIs RESTful do AWS Config para programar o AWS Config diretamente. Para obter mais informações, consulte a Referência da API do AWS Config.
AWS ConfigSDKs da
Como alternativa ao uso da API do AWS Config, você pode usar um dos AWS SDKs. Cada SDK consiste em bibliotecas e código de exemplo para várias plataformas e linguagens de programação. Os SDKs são uma forma conveniente de criar acesso programático ao AWS Config. Por exemplo, você pode usar os SDKs para assinar solicitações de maneira criptográfica, gerenciar erros e realizar automaticamente novas tentativas de solicitações. Para obter mais informações, consulte a página Ferramentas para o Amazon Web Services
Gerenciamento de recursos
Entender os componentes básicos do AWS Config ajudará você a rastrear o inventário de recursos e alterações e avaliar as configurações de seus recursos da AWS.
Recursos do AWS
Recursos da AWS são entidades que você cria e gerencia usando o Console de gerenciamento da AWS, a AWS Command Line Interface (CLI), os SDKs da AWS ou as ferramentas de parceiros da AWS. Exemplos de recursos da AWS incluem instâncias do Amazon EC2, grupos de segurança, Amazon VPCs e Amazon Elastic Block Store. O AWS Config refere-se a cada recurso usando seu identificador exclusivo, como o ID do recurso ou um nome do recurso da Amazon (ARN). Para obter uma lista de tipos de recurso suportados no AWS Config, consulte Tipos de recurso compatíveis para o AWS Config.
Relacionamento de recursos
O AWS Config descobre recursos da AWS em sua conta e cria um mapa de relacionamentos entre os recursos da AWS. Por exemplo, um relacionamento pode incluir um volume vol-123ab45d do Amazon EBS anexado a uma instância i-a1b2c3d4 do Amazon EC2, que esteja associada ao grupo de segurança sg-ef678hk.
Para obter mais informações, consulte Tipos de recurso compatíveis para o AWS Config.
Gravador de configuração
O gravador de configuração armazena as alterações de configuração nos tipos de recurso no escopo como itens de configuração. Para obter mais informações, consulte Como trabalhar com o gravador de configuração.
Há dois tipos de gravador de configuração.
| Tipo | Descrição |
|---|---|
| Gravador de configuração gerenciado pelo cliente | Um gravador de configuração gerenciado por você. Os tipos de recursos no escopo são definidos por você. Por padrão, o gravador de configuração gerenciado pelo cliente registra todos os recursos com suporte na Região da AWS em que o AWS Config estiver em execução. |
| Gravador de configuração vinculado ao serviço | Um gravador de configuração vinculado a um AWS service (Serviço da AWS) específico. Os tipos de recurso no escopo são definidos pelo serviço vinculado. |
Canal de entrega
Como o AWS Config registra continuamente as alterações que ocorrem em seus recursos da AWS, ele envia notificações e estados de configuração atualizados por meio do canal de entrega. Você pode gerenciar o canal de entrega para controlar para onde o AWS Config envia atualizações de configurações.
Itens de configuração
Um item de configuração representa uma exibição point-in-time dos vários atributos de um recurso da AWS com suporte existente em sua conta. Os componentes de um item de configuração incluem metadados, atributos, relacionamentos, configuração atual e eventos relacionados. O AWS Config cria um item de configuração sempre que detecta uma alteração em um tipo de recurso que ele esteja registrando. Por exemplo, se o AWS Config estiver registrando buckets do Amazon S3, o AWS Config cria um item de configuração sempre que um bucket é criado, atualizado ou excluído. Também é possível optar que o AWS Config crie um item de configuração na frequência de gravação definida.
Para obter mais informações, consulte Components of a Configuration Item e Frequência de gravação.
Histórico de configuração
Histórico de configuração é uma coleção de itens de configuração para um recurso específico durante um período. Um histórico de configuração pode ajudar a responder perguntas sobre, por exemplo, quando o recurso foi criado, como o recurso foi configurado no decorrer do último mês, e que alterações de configuração foram feitas ontem, às 9h. O histórico de configuração está disponível em vários formatos. O AWS Config fornece automaticamente um arquivo de histórico de configuração para cada tipo de recurso que está sendo registrado em um bucket do Amazon S3 que você especificar. Você pode selecionar um recurso específico no console AWS Config e navegar para todos os itens de configuração anteriores para aquele recurso usando o cronograma. Além disso, você pode acessar o histórico de itens de configuração para um recurso a partir da API.
Para obter mais informações, consulte Exibição do histórico de conformidade e Consulta ao histórico de conformidade.
Snapshot de configuração
Snapshot de configuração é uma coleção de itens de configuração dos recursos compatíveis existentes na conta. Esse instantâneo de configuração é uma imagem completa dos recursos que estão sendo registrados e suas configurações. O instantâneo de configuração pode ser uma ferramenta útil para validar sua configuração. Por exemplo, talvez você queira examinar o instantâneo de configuração regularmente para recursos que são configurados incorretamente ou que potencialmente não devem existir. O instantâneo de configuração está disponível em vários formatos. O instantâneo de configuração pode ser enviado a um bucket do Amazon Simple Storage Service (Amazon S3) que você especificar. Além disso, você pode selecionar um point-in-time no console AWS Config e navegar pelos itens de instantâneo de configuração usando os relacionamentos entre os recursos.
Para obter mais informações, consulte Como entregar instantâneos de configuração, Visualização de instantâneos de configuração e Exemplo de instantâneo de configuração.
Stream de configuração
Fluxo de configuração é uma lista atualizada automaticamente de todos os itens de configuração dos recursos que o AWS Config está gravando. Toda vez que um recurso é criado, modificados ou excluídos, o AWS Config cria um item de configuração e o adiciona ao stream de configuração. O fluxo de configuração funciona usando um tópico do Amazon Simple Notification Service (Amazon SNS) de sua escolha. O stream de configuração é útil para observar alterações de configuração no momento em que elas ocorrem, de modo que você possa identificar problemas em potencial, gerar notificações se determinados recursos são alterados, ou atualizar sistemas externos que precisem refletir a configuração de seus recursos da AWS.
AWS ConfigRegras do
Uma regra do AWS Config é uma verificação de conformidade que ajuda você a gerenciar suas configurações ideais para recursos da AWS específicos. O AWS Config avalia se as configurações de recursos são compatíveis com as regras relevantes e exibe os resultados de conformidade.
Resultados da avaliação
Há quatro resultados de avaliação possíveis de uma regra do AWS Config.
| Resultado da avaliação | Descrição |
|---|---|
COMPLIANT |
A regra cumpre as condições da verificação de conformidade. |
NON_COMPLIANT |
A regra não cumpre as condições da verificação de conformidade. |
ERROR |
Um dos parâmetros obrigatórios/opcionais não é válido, não é do tipo correto ou está formatado incorretamente. |
NOT_APPLICABLE |
Usado para filtrar recursos aos quais a lógica da regra não pode ser aplicada. Por exemplo, a regra alb-desync-mode-check verifica somente os Application Load Balancers e ignora os Network Load Balancers e os Gateway Load Balancers. |
Tipos de regra
Há dois tipos de regra. Para obter mais informações sobre a estrutura de definições de regras e metadados de regras, consulte Components of an AWS Config Rule.
| Tipo | Descrição | Mais informações |
|---|---|---|
| Regras gerenciadas | Regras predefinidas e personalizáveis criadas pelo AWS Config. | Para obter uma lista das regras gerenciadas, consulte List of AWS Config Managed Rules. |
| Regras personalizadas | Regras que você cria do zero. Há duas maneiras de criar regras do AWS Config personalizadas: com as funções do Lambda (Guia do desenvolvedor do AWS Lambda) e com o Guard (repositório do Guard no GitHub |
Para ter mais informações, consulte Criar regras de política personalizadas do AWS Config e Criar regras personalizadas do Lambda do AWS Config. |
Tipos de gatilho
Após a adição de uma regra em sua conta, o AWS Config compara os recursos em relação às condições da regra. Após essa avaliação inicial, o AWS Config continua a executar avaliações a cada vez que uma é acionada. Os gatilhos de avaliação são definidos como parte da regra e podem incluir os tipos a seguir.
| Tipo de gatilho | Descrição |
|---|---|
| Alterações de configuração | O AWS Config executa avaliações para a regra quando há um recurso que corresponde ao escopo da regra e há uma alteração na configuração do recurso. A avaliação é executada depois que o AWS Config envia uma notificação de alteração de item de configuração. Você escolhe quais recursos acionam a avaliação, definindo o escopo da regra. O escopo pode incluir o seguinte:
AWS ConfigO executa a avaliação ao detectar uma alteração em um recurso, que corresponda ao escopo da regra. Você pode usar o escopo para restringir quais recursos iniciam as avaliações. |
| Periódico | O AWS Config executa avaliações para a regra a uma frequência escolhida por você, por exemplo, a cada 24 horas. |
| Híbrida | Algumas regras têm alterações na configuração e gatilhos periódicos. Para essas regras, o AWS Config avalia seus recursos ao detectar uma alteração na configuração e também na frequência especificada. |
Modos de avaliação
Há dois modos de avaliação das regras do AWS Config.
| Modo de avaliação | Descrição |
|---|---|
| Proativo | Use a avaliação proativa para avaliar os recursos antes de serem implantados. Isso permite avaliar se um conjunto de propriedades de recursos, se usado para definir um recurso da AWS, seria COMPLIANT ou NON_COMPLIANT, considerando o conjunto de regras proativas que você tem em sua conta e região. Para obter mais informações, consulte Modos de avaliação. Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras gerenciadas do AWS Config por modo de avaliação. |
| Detecção | Use a avaliação de detecção para avaliar os recursos que já foram implantados. Isso permite avaliar as definições de configuração de seus recursos existentes. |
nota
As regras proativas não corrigem os recursos marcados como NON_COMPLIANT nem impedem que eles sejam implantados.
Pacotes de conformidade
Um pacote de conformidade é uma coleção de regras do AWS Config e ações de correção que podem ser facilmente implantadas como uma única entidade em uma conta e em uma região, ou em uma organização no AWS Organizations.
Os pacotes de conformidade são criados usando um modelo YAML criado por você que contenha a lista de regras gerenciadas ou personalizadas do AWS Config e as ações de correção. É possível implantar o modelo usando o console do AWS Config ou a AWS CLI.
Para começar rapidamente e avaliar o ambiente da AWS, use um dos modelos do pacote de conformidade de exemplo. Você também pode criar um arquivo YAML do pacote de conformidade do zero com base no Pacote de conformidade personalizado. Um pacote de conformidade é uma coleção exclusiva de regras e ações de correção do AWS Config que podem ser facilmente implantadas juntas em uma única conta e em uma região da AWS, ou em uma organização no AWS Organizations.
As Verificações de processo são um tipo de regra do AWS Config que permite rastrear suas tarefas externas e internas que exigem verificação como parte dos pacotes de conformidade. Essas verificações podem ser adicionadas a um pacote de conformidade existente ou a um novo pacote de conformidade. Você pode monitorar toda a conformidade, incluindo prazos e verificações manuais do AWS Config, em um único local.
Agregação de dados de várias regiões e várias contas
A agregação de dados de várias regiões e várias contas no AWS Config permite agregar dados de configuração e compatibilidade do AWS Config de várias contas e regiões em uma única conta. A agregação de dados de várias regiões e várias contas é útil para os administradores da TI central monitorarem a conformidade das várias Contas da AWS da empresa. O uso de agregadores não incorre em custos adicionais.
Conta de origem
Uma conta de origem é a Conta da AWS da qual você quer agregar a configuração de recursos e os dados de conformidade do . Uma conta de origem pode ser uma conta individual ou uma organização no AWS Organizations. Você pode fornecer contas de origem individualmente ou recuperá-las por meio do AWS Organizations.
Região de origem
A região de origem é a região da AWS a partir da qual você quer agregar dados de configuração e conformidade do AWS Config.
Agregador
Um agregador coleta dados de configuração e compatibilidade do AWS Config de várias contas e regiões de origem. Crie um agregador na região onde você deseja ver os dados agregados de configuração e compatibilidade do AWS Config.
nota
Os agregadores fornecem uma visualização somente leitura das contas e regiões de origem que o agregador está autorizado a exibir replicando dados das contas de origem para a conta de agregador. Os agregadores não fornecem acesso mutável a uma conta ou região de origem. Por exemplo, isso significa que você não pode implantar regras por meio de um agregador ou extrair arquivos de instantâneo da conta ou da região de origem por meio de um agregador.
Agregador vinculado ao serviço
Um agregador vinculado ao serviço está vinculado a um AWS service (Serviço da AWS) específico. Os dados de configuração e conformidade no escopo são definidos pelo serviço vinculado.
Conta de agregador
Uma conta de agregador é uma conta na qual você cria um agregador.
Autorização
Como proprietário de uma conta de origem, a autorização se refere às permissões que você concede a uma conta de agregador e à região para coletar dados de configuração e compatibilidade do AWS Config. A autorização não será necessária se você estiver agregando contas de origem que fazem parte do AWS Organizations.
