Como o AWS Config funciona
O AWS Config fornece uma visão detalhada da configuração dos recursos da AWS em sua conta da AWS. Isso inclui como os recursos estão relacionados um com o outro e como eles foram configurados no passado, de modo que você possa ver como os relacionamentos e as configurações foram alterados ao longo do tempo.
Um recurso da AWS é uma entidade com a qual você pode trabalhar na AWS, como uma instância do Amazon Elastic Compute Cloud (EC2), um volume do Amazon Elastic Block Store (EBS), um grupo de segurança ou um Amazon Virtual Private Cloud (VPC). Para obter uma lista completa de recursos da AWS com suporte no AWS Config, consulte Tipos de recurso compatíveis para o AWS Config.
Descoberta de recursos
Quando você ativa o AWS Config, primeiro ele descobre os recursos da AWS compatíveis que existem na sua conta e gera um item de configuração para cada recurso.
AWS ConfigO também gera itens de configuração quando a configuração de um recurso muda, e mantém registros históricos dos itens de configuração dos seus recursos a partir do momento que você inicia o gravador de configuração. Por padrão, o AWS Config cria itens de configuração para todos os recursos com suporte na região. Se não quiser que o AWS Config crie itens de configuração para todos os recursos suportados, você pode especificar os tipos de recursos que deseja rastrear.
Antes de especificar um tipo de recurso para o AWS Config rastrear, verifique a Cobertura de recursos por região e disponibilidade para ver se o tipo de recurso é compatível na região da AWS na qual você está configurando o AWS Config. Se um tipo de recurso for compatível com o AWS Config em pelo menos uma região, você poderá habilitar o registro desse tipo de recurso em todas as regiões compatíveis com o AWS Config, mesmo que o tipo de recurso especificado não seja compatível com a região da AWS em que você está configurando o AWS Config.
Acompanhamento de recursos
AWS ConfigO controla todas as alterações em seus recursos chamando o Describe ou a chamada List API para cada recurso em sua conta. O serviço usa essas mesmas chamadas de API para capturar detalhes de configuração para todos os recursos relacionados.
Por exemplo, remover uma regra de saída de um grupo de segurança VPC faz com que o AWS Config efetue uma chamada Describe API no grupo de segurança. Em seguida, o AWS Config efetua uma chamada Describe API em todas as instâncias associadas ao grupo de segurança. As configurações atualizadas do grupo de segurança (o recurso) e de cada instância (os recursos relacionados) são registradas como itens de configuração e entregues em um fluxo de configuração para um bucket do Amazon Simple Storage Service (Amazon S3).
O AWS Config também monitora as alterações de configuração que não foram iniciadas pela API. O AWS Config examina as configurações de recursos periodicamente e gera itens de configuração para as configurações que foram alteradas.
Se você estiver usando regras do AWS Config, ele avaliará continuamente AWS Configas configurações de recursos da AWS para as configurações desejadas. Dependendo da regra, o AWS Config avaliará seus recursos ou em resposta a alterações de configuração ou periodicamente. Cada regra é associada a uma função AWS Lambda, que contém a lógica de avaliação para a regra. Quando o AWS Config avalia seus recursos, ele chama a função do AWS Lambda da regra. A função retorna o status de compatibilidade dos recursos avaliados. Se um recurso viola as condições de uma regra, o AWS Config sinaliza o recurso e a regra como não compatíveis. Quando o status de conformidade de um recurso é alterado, o AWS Config envia uma notificação para o seu tópico do Amazon SNS.
Entrega de itens de configuração
AWS ConfigO pode entregar itens de configuração através de um dos seguintes canais:
Bucket do Amazon S3
O AWS Config rastreia as alterações na configuração dos seus recursos da AWS e envia regularmente detalhes atualizados da configuração para um bucket do Amazon S3 que você especificar. Para cada tipo de recurso que o AWS Config registre, ele envia um arquivo de histórico de configurações a cada seis horas. Cada arquivo de histórico de configuração contém detalhes sobre os recursos alterados naquele período de seis horas. Cada arquivo inclui recursos de um tipo, como instâncias do Amazon EC2 ou volumes do Amazon EBS. Se não houver alterações de configuração, o AWS Config não envia um arquivo.
O AWS Config envia um snapshot de configuração para o seu bucket do Amazon S3 quando você usa o comando deliver-config-snapshot com a CLI da AWS ou quando você usa a ação DeliverConfigSnapshot com a API do AWS Config. Um instantâneo de configuração contém detalhes de configuração para todos os recursos que o AWS Config registra em sua Conta da AWS. O arquivo de histórico de configuração e o snapshot de configuração estão no formato JSON.
nota
O AWS Config entrega apenas os snapshots de configuração e os arquivos de histórico de configurações para o bucket do S3 especificado; o AWS Config não modifica as políticas de ciclo de vida para objetos no bucket do S3. Você pode usar políticas de ciclo de vida para especificar se deseja excluir ou arquivar objetos para o Amazon Glacier. Para obter mais informações, consulte Managing Lifecycle Configuration no Guia do usuário do Amazon Simple Storage Service. Você também pode consultar a publicação de blog Archiving Amazon S3 Data to Amazon Glacier
Tópico do Amazon SNS
Um tópico do Amazon Simple Notification Service (Amazon SNS) é um canal de comunicação usado pelo Amazon SNS para entregar mensagens (ou notificações) a endpoints inscritos, como um endereço de e-mail ou clientes. Outros tipos de notificações do Amazon SNS incluem as mensagens de notificação por push para aplicações em telefones celulares, notificações de SMS (Short Message Service) para celulares e smartphones habilitados por SMS e solicitações HTTP POST. Para obter melhores resultados, use o Amazon SQS como o endpoint da notificação para o tópico SNS e, em seguida, processe as informações da notificação de forma programática.
O AWS Config usa o tópico do Amazon SNS que você especifica para enviar as notificações. O tipo de notificação que você está recebendo é indicado pelo valor para a chave messageType no corpo da mensagem, como no exemplo a seguir:
"messageType": "ConfigurationHistoryDeliveryCompleted"
As notificações podem ser qualquer um dos tipos de mensagem a seguir.
| Tipo de mensagem | Descrição |
|---|---|
| ComplianceChangeNotification | O tipo de compatibilidade de um recurso que o AWS Config avalia foi alterado. O tipo de compatibilidade indica se o recurso está em compatibilidade com uma regra do AWS Config específica e é representado pela chave ComplianceType na mensagem. A mensagem inclui os objetos newEvaluationResult e oldEvaluationResult para comparação. |
| ConfigRulesEvaluationStarted | AWS ConfigO iniciou a avaliação de sua regra em relação aos recursos especificados. |
| ConfigurationSnapshotDeliveryStarted | O AWS Config começou a entregar o snapshot de configuração para o seu bucket do Amazon S3. O nome do bucket do Amazon S3 é fornecido para a chave s3Bucket na mensagem. |
| ConfigurationSnapshotDeliveryCompleted | O AWS Config entregou com sucesso o snapshot de configuração em seu bucket do Amazon S3. |
| ConfigurationSnapshotDeliveryFailed | O AWS Config falhou ao entregar o snapshot de configuração para o seu bucket do Amazon S3. |
| ConfigurationHistoryDeliveryCompleted | O AWS Config entregou com sucesso o histórico de configuração para o seu bucket do Amazon S3. |
| ConfigurationItemChangeNotification | Um recurso foi criado, excluído ou alterado na configuração. Esta mensagem inclui os detalhes do item de configuração que o AWS Config cria para essa mudança e inclui o tipo de alteração. Essas notificações são entregues minutos após uma alteração e são coletivamente conhecidas como stream de configuração. |
| OversizedConfigurationItemChangeNotification | Esse tipo de mensagem é entregue quando uma notificação de alteração de item de configuração excedeu o tamanho máximo permitido pelo Amazon SNS. A mensagem inclui um resumo do item de configuração. Com exceção das mensagens SMS, as mensagens do Amazon SNS podem conter até 256 KB de dados de texto, incluindo XML, JSON e texto não formatado. Você pode visualizar a notificação completa no local do bucket do Amazon S3 especificado. |
| OversizedConfigurationItemChangeDeliveryFailed | O AWS Config não conseguiu entregar a notificação de alteração de item de configuração para o seu bucket do Amazon S3. |
Por exemplos de notificação, consulte Notificações que o AWS Config envia para um tópico do Amazon SNS. Para obter mais informações sobre tópicos do Amazon SNS, consulte o Guia do desenvolvedor do Amazon Simple Notification Service.
nota
Por que não consigo ver minhas últimas alterações de configuração?
Geralmente, o AWS Config registra as alterações na configuração dos seus recursos logo após a detecção da alteração ou na frequência especificada. No entanto, isso é feito com base no melhor esforço e às vezes pode levar mais tempo. Se os problemas persistirem depois de algum tempo, entre em contato com o Suporte
Controlar o acesso ao AWS Config
O AWS Identity and Access Management é um serviço web que permite que os clientes da Amazon Web Services (AWS) gerenciem usuários e permissões de usuário.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
-
Usuários e grupos no AWS IAM Identity Center:
Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center.
-
Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em Criando um perfil para um provedor de identidades de terceiros (federação) no Guia do Usuário do IAM.
-
Usuários do IAM:
-
Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
-
(Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.
-
