Etapa 1: Configurações Etapa 2: regras Etapa 3: revisar Para obter mais informações

Configuração manual para o AWS Config

Com o fluxo de trabalho Comece a usar, você pode passar por todas as seleções manuais do processo de configuração para começar a usar o console do AWS Config. Para um processo simplificado de introdução, consulte Configuração com 1 clique.

Como configurar o AWS Config com o console usando a opção Comece a usar

Faça login no Console de gerenciamento da AWS e abra o console do AWS Config em https://console.aws.amazon.com/config/home.
Escolha Começar.

A página de configuração inclui três etapas. As informações abaixo apresentam um detalhamento desse processo depois de escolher a opção Comece a usar.

Configurações: para selecionar a maneira pela qual o console do AWS Config registra recursos e perfis e escolher para onde os arquivos de histórico de configuração e instantâneo de configuração são enviados.
Regras: para Regiões da AWS que oferecem suporte a regras do AWS Config, esta etapa está disponível para você configurar as regras gerenciadas iniciais que você pode adicionar à sua conta. Depois da configuração, o AWS Config avaliará os recursos da AWS em relação às regras escolhidas. É possível criar regras adicionais e atualizar as existentes em sua conta após a configuração.
Revisão: para verificar os detalhes da configuração.

Etapa 1: Configurações

Estratégia de gravação

Na seção Método de gravação, selecione uma estratégia de gravação. É possível especificar os recursos da AWS a serem gravados pelo AWS Config.

All resource types with customizable overrides

Configure o AWS Config para gravar as alterações de configuração de todos os tipos de recursos com suporte atuais e futuros nessa região. É possível substituir a frequência de gravação ou excluir tipos de recursos específicos da gravação. Para obter mais informações, consulte Tipos de recursos compatíveis.

Configurações padrão

Configure a frequência de gravação padrão para todos os tipos de recursos com suporte atuais e futuros. Para obter mais informações, consulte Frequência de gravação.
- Gravação contínua: o AWS Config gravará as alterações de configuração de modo contínuo sempre que ocorrer uma alteração.
- Gravação contínua: você vai receber um item de configuração (CI) que representa o estado mais recente dos recursos no último período de 24 horas, somente se for diferente do CI anterior registrado.
nota
O AWS Firewall Manager depende da gravação contínua para monitorar os recursos. Se você estiver usando o Firewall Manager, é recomendável definir a frequência de gravação como Contínua.
Configurações de substituição

Substitua a frequência de gravação ou exclua tipos de recursos específicos da gravação. Se você selecionar a frequência de gravação ou interromper a gravação de um tipo de recurso, os itens de configuração já gravados permanecerão inalterados.

Specific resource types

Defina AWS Config para gravar alterações na configuração somente para os tipos de recursos especificados.

Tipos de recursos específicos

Selecione um tipo de recurso a ser gravado e a frequência. Para obter mais informações, consulte Frequência de gravação.
- Gravação contínua: o AWS Config gravará as alterações de configuração de modo contínuo sempre que ocorrer uma alteração.
- Gravação contínua: você vai receber um item de configuração (CI) que representa o estado mais recente dos recursos no último período de 24 horas, somente se for diferente do CI anterior registrado.
nota
O AWS Firewall Manager depende da gravação contínua para monitorar os recursos. Se você estiver usando o Firewall Manager, é recomendável definir a frequência de gravação como Contínua.

Se você selecionar a frequência de gravação ou interromper a gravação de um tipo de recurso, os itens de configuração já gravados permanecerão inalterados.

Considerações ao gravar recursos

Alto número de avaliações do AWS Config

Você pode notar um aumento na atividade da sua conta durante o registro do mês inicial com o AWS Config em comparação com os meses subsequentes. Durante o processo inicial de inicialização, o AWS Config executa avaliações em todos os recursos presentes na sua conta que você escolheu para que o AWS Config registrasse.

Se você estiver executando workloads efêmeros, poderá observar um aumento na atividade do AWS Config conforme ele registra as alterações de configuração associadas à criação e exclusão desses recursos temporários. Um workload efêmero é um uso temporário de recursos de computação que são carregados e executados quando necessário. Exemplos incluem instâncias spot do Amazon Elastic Compute Cloud (Amazon EC2), trabalhos do Amazon EMR e o AWS Auto Scaling. Se quiser evitar o aumento da atividade decorrente da execução de workloads efêmeros, você pode configurar o gravador para excluir esses tipos de recurso da gravação ou executar esses tipos de workloads em uma conta separada, com o AWS Config desativado, para evitar aumento nos registros de configurações e avaliações de regras.

Considerations: All resource types with customizable overrides

Tipos de recursos gravados globalmente | Os clusters globais do Aurora são inicialmente incluídos na gravação

O tipo de recurso AWS::RDS::GlobalCluster será gravado em todas as regiões do AWS Config compatíveis nas quais o gravador de configuração estiver habilitado.

Se você não quiser gravar o AWS::RDS::GlobalCluster em todas as regiões habilitadas, selecione “AWS RDS GlobalCluster” e escolha a substituição “Excluir da gravação”.

Tipos de recursos globais | Os tipos de recursos do IAM são inicialmente excluídos da gravação

Os tipos de recursos globais do IAM são inicialmente excluídos da gravação para ajudar a reduzir custos. Esse pacote inclui usuários, grupos e perfis do IAM e políticas gerenciadas pelo cliente. Selecione Remover para remover a substituição e incluir esses recursos na gravação.

Além disso, os tipos de recursos globais do IAM (AWS::IAM::User, AWS::IAM::Group, AWS::IAM::Role e AWS::IAM::Policy) não podem ser gravados nas regiões com suporte com o AWS Config após fevereiro de 2022. Para obter uma lista dessas Regiões, consulte Gravação de recursos da AWS | Recursos globais.

Limites

É possível adicionar até cem substituições de frequência e seiscentas substituições de exclusão.

A gravação diária não pode ser especificada para os seguintes tipos de recurso:

AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder

Considerations: Specific resource types

Disponibilidade de regiões

Antes de especificar um tipo de recurso para o AWS Config rastrear, verifique a Cobertura de recursos por região e disponibilidade para ver se o tipo de recurso é compatível na região da AWS em que você configurou o AWS Config. Se um tipo de recurso for compatível com o AWS Config em pelo menos uma região, você poderá habilitar o registro desse tipo de recurso em todas as regiões compatíveis com o AWS Config, mesmo que o tipo de recurso especificado não tenha suporte na região da AWS em que você configurou o AWS Config.

Limites

Não haverá limites se todos os tipos de recursos tiverem a mesma frequência. Será possível adicionar até cem tipos de recursos com frequência diária se pelo menos um tipo de recurso estiver definido como Contínua.

A frequência diária não é compatível com os seguintes tipos de recursos:

AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder

Governança de dados

Em Período de retenção de dados, selecione o período de retenção padrão para reter dados do AWS Config por sete anos (2.557) ou defina um período de retenção personalizado para itens gravados pelo AWS Config.

AWS Config O permite que você exclua seus dados especificando um período de retenção para ConfigurationItems. Quando você especifica um período de retenção, o AWS Config retém o ConfigurationItems durante esse período especificado. Você pode escolher um período de, no mínimo, 30 dias e, no máximo, 7 anos (2.557 dias). O AWS Config exclui os dados mais antigos do que o seu período de retenção especificado.
Em Perfil do IAM para o AWS Config, selecione um perfil vinculado ao serviço do AWS Config ou um perfil do IAM da conta.
- Os perfis vinculados ao serviço são predefinidos pelo AWS Config e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS.
  
  nota
  Recomendado: use a função vinculada ao serviço
  É recomendável usar a função vinculada ao serviço. Uma função vinculada ao serviço adiciona todas as permissões necessárias para o AWS Config ser executado conforme o esperado.
- Caso contrário, selecione um perfil do IAM de um dos perfis e políticas de permissão preexistentes.
  
  nota
  Políticas e resultados de conformidade
  As políticas do IAM e outras políticas gerenciadas no AWS Organizations podem determinar se o AWS Config tem permissões para registrar alterações na configuração de seus recursos. Além disso, as regras avaliam diretamente a configuração de um recurso e não levam em conta essas políticas ao executar avaliações. As políticas em vigor devem estar alinhadas com a forma como você pretende usar o AWS Config.
  Mantenha as permissões mínimas ao reutilizar um perfil do IAM
  Se você usa um serviço da AWS que utiliza o AWS Config, como o AWS Security Hub CSPM ou o AWS Control Tower, e um perfil do IAM já foi criado, o perfil do IAM usado durante a configuração do AWS Config deve manter as mesmas permissões mínimas do perfil do IAM preexistente. Você deve fazer isso para garantir que o outro serviço da AWS continue funcionando conforme o esperado.
  Por exemplo, se o AWS Control Tower tiver um perfil do IAM que permite que o AWS Config leia objetos do S3, garanta que as mesmas permissões sejam concedidas ao perfil do IAM que você usa ao configurar o AWS Config. Caso contrário, pode haver interferência na forma como o AWS Control Tower opera.

Método de entrega

Para o Método de entrega, escolha o bucket do S3 para o qual o AWS Config envia arquivos de histórico de configuração e de snapshot de configuração:
- Criar um bucket: para definir o nome do bucket do S3, digite um nome para o seu bucket do S3.
  
  O nome digitado deve ser exclusivo para todos os nomes de bucket existentes no Amazon S3. Uma forma de ajudar a garantir a exclusividade é incluir um prefixo; por exemplo, o nome de sua organização. Você não pode alterar o nome do bucket após sua criação. Para obter mais informações, consulte Restrições e limitações de bucket no Manual do usuário do Amazon Simple Storage Service.
- Selecionar um bucket de sua conta: em Nome do bucket do S3, escolha seu bucket de preferência.
- Selecionar um bucket de outra conta: em Nome do bucket do S3, digite o nome do bucket.
  
  nota
  Permissões do bucket
  Se você escolher um bucket de outra conta, esse bucket deve ter políticas que concedam permissões de acesso para o AWS Config. Para obter mais informações, consulte Permissões para o bucket do Amazon S3 para o canal de entrega do AWS Config.
Em Tópico do Amazon SNS, escolha Alterações na configuração de streaming e notificações para um tópico do SNS para que o AWS Config envie notificações, como entrega do histórico de configuração, entrega do snapshot de configuração e conformidade.
Se você definiu que o AWS Config faça streaming para um tópico do SNS, selecione o tópico de destino:
- Criar um tópico: em Nome do tópico, digite um nome para o tópico do SNS.
- Escolher um tópico da sua conta: em Nome do tópico, selecione seu tópico de preferência.
- Escolher um tópico de outra conta: em ARN do tópico, digite o nome do recurso da Amazon (ARN) do tópico. Se você escolher um tópico de outra conta, esse tópico deve ter políticas que concedam permissões de acesso para o AWS Config. Para obter mais informações, consulte Permissões para o tópico do Amazon SNS.
  
  nota
  Região do tópico do Amazon SNS
  O tópico do Amazon SNS deve existir na mesma região onde o AWS Config foi configurado.

Etapa 2: regras

Se você estiver configurando o AWS Config em uma região que aceite regras, selecione Próximo.

Etapa 3: revisar

Analise os detalhes de configuração do AWS Config. Você pode voltar para editar as alterações em cada seção. Selecione Confirmar para concluir a configuração do AWS Config.

Para obter mais informações

Para obter informações sobre como pesquisar os recursos existentes na conta e compreender as configurações dos recursos, consulte Pesquisa de recursos, Visualização de informações de conformidade e Visualização do histórico de conformidade.

Você também pode usar o Amazon Simple Queue para monitorar recursos da AWS de forma programática. Para obter mais informações, consulte Monitorar mudanças de recursos da AWS com o Amazon SQS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configuração com um clique

Configuração (AWS CLI)