Gravar recursos da AWS com o AWS Config - AWS Config
ConsideraçõesRecursos regionais e globaisRegras e tipos de recurso globais do AWS ConfigFrequência de gravaçãoRecursos não gravados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gravar recursos da AWS com o AWS Config

O AWS Config detecta de forma contínua quando quaisquer tipos de recursos compatíveis são criados, alterados ou excluídos. O AWS Config registra esses eventos como itens de configuração (CIs).

Você pode personalizar o AWS Config para registrar as alterações para todos os tipos de recursos compatíveis ou apenas para os tipos que são relevantes para você. Para obter uma lista de tipos de recursos compatíveis que o AWS Config pode registrar, consulte Tipos de recursos suportados para AWS Config.

Tópicos

Considerações

Alto número de avaliações do AWS Config

Você pode notar um aumento na atividade da sua conta durante o registro do mês inicial com o AWS Config em comparação com os meses subsequentes. Durante o processo inicial de inicialização, o AWS Config executa avaliações em todos os recursos presentes na sua conta que você escolheu para que o AWS Config registrasse.

Se você estiver executando workloads efêmeros, poderá observar um aumento na atividade do AWS Config conforme ele registra as alterações de configuração associadas à criação e exclusão desses recursos temporários. Um workload efêmero é um uso temporário de recursos de computação que são carregados e executados quando necessário. Exemplos incluem Instâncias Spot do Amazon Elastic Compute Cloud (Amazon EC2), trabalhos do Amazon EMR e o AWS Auto Scaling.

Se quiser evitar o aumento da atividade decorrente da execução de workloads efêmeras, é possível configurar o gravador de configuração gerenciado pelo cliente para excluir esses tipos de recurso da gravação ou executar esses tipos de workload em uma conta separada, com o AWS Config desativado, para evitar aumento na gravação de configurações e avaliações de regra.

Disponibilidade de regiões

Antes de especificar um tipo de recurso para o AWS Config rastrear, confira a Cobertura de recursos por região e disponibilidade para ver se o tipo de recurso é compatível na região da AWS em que você configurou o AWS Config.

Se um tipo de recurso for compatível com o AWS Config em pelo menos uma região, você poderá habilitar o registro desse tipo de recurso em todas as regiões compatíveis com o AWS Config, mesmo que o tipo de recurso especificado não tenha suporte na região da AWS em que você configurou o AWS Config.

Quais são as diferenças entre recursos regionais e globais?

Recursos regionais

Os recursos regionais estão vinculados a uma região e somente podem ser usados naquela região. Você os cria em uma Região da AWS especificada, e eles existem nessa região. Para ver ou interagir com esses recursos, você deve direcionar suas operações para essa região. Por exemplo, para criar uma instância do Amazon EC2 com o Console de gerenciamento da AWS, você escolhe a Região da AWS aquela na qual deseja criar a instância. Se você usar o AWS Command Line Interface (AWS CLI) para criar a instância, inclua o parâmetro --region. Os SDKs da AWS tem o próprio mecanismo equivalente para especificar a região que a operação usa.

Há vários motivos para usar recursos regionais. Um dos motivos é garantir que os recursos e os endpoints de serviço que você usa para acessá-los estejam o mais próximos possível do cliente. Isso melhora a performance ao minimizar a latência. Outro motivo é fornecer um limite de isolamento. Isso permite criar cópias independentes de recursos em várias regiões para distribuir a carga e melhorar a escalabilidade. Ao mesmo tempo, ele isola os recursos uns dos outros para melhorar a disponibilidade.

Se especificar uma Região da AWS diferente no console ou em um comando da AWS CLI, você não poderá mais ver ou interagir com os recursos que podia ver na região anterior.

Quando você analisa o nome do recurso da Amazon (ARN) de um recurso regional, a região que contém o recurso é especificada como o quarto campo no ARN. Por exemplo, uma instância do Amazon EC2 é um recurso regional. Este é um exemplo de um ARN para uma instância do Amazon EC2 que existe na região us-east-1.

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
Recursos globais

Alguns recursos de serviços da AWS são recursos globais, o que significa que você pode usar o recurso de qualquer lugar. Você não especifica uma Região da AWS no console de um serviço global. Para acessar um recurso global, você não especifica um parâmetro de --region ao usar as operações do serviço da AWS CLI e do AWS SDK.

Os recursos globais oferecem suporte a casos em que é fundamental que somente uma instância de um recurso específico possa existir por vez. Nesses cenários, a replicação ou sincronização entre cópias em diferentes regiões não é adequada. Ter que acessar um único endpoint global, com o possível aumento na latência, é considerado aceitável para garantir que quaisquer alterações sejam instantaneamente visíveis para os consumidores do recurso.

Por exemplo, os clusters globais do Amazon Aurora (AWS::RDS::GlobalCluster) são recursos globais e, portanto, não estão vinculados a uma região. Isso significa que você pode criar um cluster global sem depender de um endpoint regional. A vantagem é que, embora o Amazon Relational Database Service (Amazon RDS) em si seja organizado por regiões, a região específica de origem de um cluster global não afeta o cluster global. Ele aparece como um cluster global único e contínuo em todas as regiões.

O nome do recurso da Amazon (ARN) de um recurso global não inclui uma região. O quarto campo está vazio, como no exemplo a seguir de um ARN para um cluster global.

arn:aws:rds::123456789012:global-cluster:test-global-cluster
Importante

Os tipos globais de recursos integrados ao AWS Config após fevereiro de 2022 só serão gravados na região de origem do serviço para a partição comercial e AWS GovCloud (Oeste dos EUA) para a partição GovCloud. É possível visualizar os itens de configuração (CIs) desses novos tipos de recursos globais somente na região de origem e em AWS GovCloud (Oeste do EUA).

Os tipos de recursos globais integrados antes de fevereiro de 2022 (AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role e AWS::IAM::User) permanecem inalterados. É possível habilitar a gravação desses recursos globais do IAM em todas as regiões onde o AWS Config era aceito antes de fevereiro de 2022. Esses recursos globais do IAM não podem ser gravados em regiões compatíveis com o AWS Config após fevereiro de 2022.

Tipos de recursos globais | Recursos do IAM

Os seguintes tipos de recursos do IAM também são recursos globais: usuários, grupos, perfis do IAM e políticas gerenciadas pelo cliente. Esses tipos de recursos podem ser gravados pelo AWS Config em regiões onde o AWS Config estava disponível antes de fevereiro de 2022. Esta lista na qual não é possível gravar os tipos de recurso globais do IAM inclui as seguintes regiões: Ásia-Pacífico (Hyderabad), Ásia-Pacífico (Malásia), Ásia-Pacífico (Melbourne), Ásia-Pacífico (Tailândia), Oeste do Canadá (Calgary), Europa (Espanha), Europa (Zurique), Israel (Tel Aviv), México (Centro) e Oriente Médio (EAU).

Para evitar itens de configuração (CIs) duplicados, você deve pensar em gravar apenas uma vez os tipos globais de recursos do IAM em uma das regiões compatíveis. Isso também pode ajudar a evitar avaliações desnecessárias e controle de utilização da API.

Tipos de recursos globais | Somente na região de origem

Os recursos globais para os seguintes serviços são gravados pelo AWS Config somente na região de origem do tipo de recurso global: Amazon Elastic Container Registry Public, AWS Global Accelerator, Amazon Route 53, Amazon CloudFront e AWS WAF. Para esses recursos globais, a mesma instância do tipo de recurso pode ser usada em várias regiões da AWS, mas os itens de configuração (CIs) são registrados somente na região de origem da partição comercial ou no AWS GovCloud (Oeste dos EUA) da partição AWS GovCloud (US).

Regiões de origem para tipos de recursos globais
Serviço da AWS Valor de tipo de recurso Região inicial
Amazon Elastic Container Registry AWS::ECR::PublicRepository Região Leste dos EUA (Norte da Virgínia)
AWS Global Accelerator AWS::GlobalAccelerator::Listener Região Oeste dos EUA (Oregon)
AWS::GlobalAccelerator::EndpointGroup Região Oeste dos EUA (Oregon)
AWS::GlobalAccelerator::Accelerator Região Oeste dos EUA (Oregon)
Amazon Route 53 AWS::Route53::HostedZone Região Leste dos EUA (Norte da Virgínia)
AWS::Route53::HealthCheck Região Leste dos EUA (Norte da Virgínia)
Amazon CloudFront AWS::CloudFront::Distribution Região Leste dos EUA (Norte da Virgínia)
AWS WAF AWS::WAFv2::WebACL Região Leste dos EUA (Norte da Virgínia)
Tipos de recursos globais | Clusters globais do Aurora

AWS::RDS::GlobalCluster é um recurso global que é gravado em todas as regiões do AWS Config compatíveis nas quais o gravador de configuração gerenciado pelo cliente está habilitado. Esse tipo de recurso global é exclusivo, pois se você habilitar a gravação desse recurso em uma região, o AWS Config gravará os itens de configuração (CIs) desse tipo de recurso em todas as regiões habilitadas.

Se você não quiser gravar o AWS::RDS::GlobalCluster em todas as regiões habilitadas, use uma das seguintes estratégias de gravação do console do AWS Config:

  • Gravar todos os tipos de recursos com substituições personalizáveis, selecione “AWS RDS GlobalCluster” e escolha a substituição “Excluir da gravação”.

  • Registrar tipos de recursos específicos.

Se você não quiser gravar o AWS::RDS::GlobalCluster em todas as regiões habilitadas, use uma das seguintes estratégias de gravação para a API/CLI:

  • Gravar todos os tipos de recursos atuais e futuros com exclusões (EXCLUSION_BY_RESOURCE_TYPES)

  • Registrar tipos de recursos específicos (INCLUSION_BY_RESOURCE_TYPES).

Regras e tipos de recurso globais do AWS Config

Os tipos de recurso global do IAM de fevereiro de 2022 (AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role e AWS::IAM::User) só podem ser gravados pelo AWS Config em Regiões onde o AWS Config estava disponível antes de fevereiro de 2022. Esses tipos globais de recursos do IAM não podem ser gravados em regiões compatíveis com o AWS Config após fevereiro de 2022. Para obter uma lista dessas Regiões, consulte Gravação de recursos da AWS | Recursos globais.

Se você gravar um tipo de recurso global do IAM em pelo menos uma Região, as regras periódicas que relatam conformidade no tipo de recurso global do IAM executarão avaliações em todas as Regiões onde a regra periódica é adicionada, mesmo que você não tenha habilitado a gravação do tipo de recurso global do IAM na Região onde a regra periódica foi adicionada.

Práticas recomendadas para relatar conformidade em recursos globais integrados antes de fevereiro de 2022

Para evitar avaliações desnecessárias, implante regras e pacotes de conformidade do AWS Config com esses recursos globais no escopo de uma das Regiões com suporte. Para obter uma lista de quais regras gerenciadas são suportadas em quais Regiões, consulte Lista de regras gerenciadas do AWS Config por disponibilidade de região. Isso se aplica a regras do AWS Config, regras organizacionais do AWS Config e também regras criadas por outros serviços da AWS, como AWS Security Hub CSPM e AWS Control Tower.

Se você não estiver gravando os tipos de recursos globais integrados antes de fevereiro de 2022, é recomendável não habilitar as seguintes regras periódicas para evitar avaliações desnecessárias:

Práticas recomendadas para relatar conformidade em recursos globais integrados depois de fevereiro de 2022

Os tipos de recursos globais integrados para gravação AWS Config após fevereiro de 2022 só serão registrados na região de origem do serviço para a partição comercial e AWS GovCloud (Oeste dos EUA) para a partição AWS GovCloud (US). Você deve implantar regras e pacotes de conformidade do AWS Config que tenham esses recursos globais somente no escopo da Região de origem do tipo de recurso. Para obter mais informações, consulte Regiões iniciais para os tipos de recurso global.

Frequência de gravação do AWS Config

O AWS Config é compatível com Gravação contínua e Gravação diária. A gravação contínua possibilita gravar as alterações na configuração de modo contínuo sempre que ocorre uma alteração. A gravação contínua permite que você receba um item de configuração (CI) que representa o estado mais recente dos recursos no último período de 24 horas, somente se for diferente do CI anterior gravado. Para ver as etapas sobre como alterar a frequência de gravação, consulte Alteração da frequência de gravação.

Gravação contínua

São alguns benefícios da gravação contínua:

  • Monitoramento em tempo real: a gravação contínua pode oferecer detecção imediata de alterações não autorizadas ou alterações inesperadas, o que pode aprimorar os esforços de segurança e conformidade.

  • Análise detalhada: a gravação contínua pode permitir que você realize uma análise aprofundada das alterações de configuração nos recursos à medida que elas ocorrem, o que permite identificar padrões e tendências no momento.

Gravação diária

São alguns benefícios da gravação diária:

  • Interrupção mínima: a gravação diária pode oferecer um fluxo de informações mais gerenciável, o que pode reduzir a frequência das notificações e a fadiga por alertas.

  • Economia: a gravação diária pode oferecer a flexibilidade de gravar alterações nos recursos com uma frequência menor, o que pode reduzir os custos relacionados ao número de alterações de configuração gravadas.

nota

O AWS Firewall Manager depende da gravação contínua para monitorar os recursos. Se você estiver usando o Firewall Manager, é recomendável definir a frequência de gravação como Contínua.

Recursos não gravados

Se um recurso não é registrado, o AWS Config captura apenas a criação e a exclusão daquele recurso, sem outros detalhes. Quando um recurso não registrado é criado ou excluído, o AWS Config envia uma notificação e exibe o evento na página de detalhes do recurso. A página de detalhes para um recurso não registrado fornece valores nulos para a maioria dos detalhes de configuração, e não fornece informações sobre relacionamentos e alterações de configuração.

As informações de relacionamento que o AWS Config fornece para recursos registrados não são limitadas por causa de dados ausentes para recursos não registrados. Se um recurso registrado está relacionado a um recurso não registrado, esse relacionamento é fornecido na página de detalhes do recurso registrado.

Considerações sobre o tipo de recurso do IAM

Os tipos de recurso AWS::IAM::User, AWS::IAM::Policy, AWS::IAM::Group e AWS::IAM::Role só capturarão os estados de criação (ResourceNotRecorded) e exclusão (ResourceDeletedNotRecorded), se o recurso for, ou tiver sido, selecionado anteriormente como um recurso a ser registrado no gravador de configuração gerenciado pelo cliente.

Cronograma de gravação de CI para recursos não registrados

Os itens de configuração (CIs) para ResourceNotRecorded e ResourceDeletedNotRecorded não seguem o tempo de gravação típico para tipos de recursos. Esses tipos de recurso são gravados somente durante o processo periódico de definição de linha de base para o gravador de configuração gerenciado pelo cliente, que ocorre em uma frequência menor do que para os outros tipos de recurso. Isso significa que as notificações de criação e exclusão não são enviadas após a criação ou exclusão, mas durante o processo de definição de linha de base.

Escopo de entrega de CI e gravador vinculado ao serviço

Para gravadores de configuração vinculados ao serviço, o escopo da gravação determina se você recebe itens de configuração (CIs) no canal de entrega. O escopo da gravação é definido pelo serviço vinculado ao gravador de configuração. Se o escopo de gravação for interno, você não receberá CIs no canal de entrega.