Como trabalhar com o gravador de configuração
O gravador de configuração armazena as alterações de configuração nos tipos de recurso no escopo como itens de configuração (CIs).
Há dois tipos de gravador de configuração.
| Tipo | Descrição |
|---|---|
| Gravador de configuração gerenciado pelo cliente | Um gravador de configuração gerenciado por você. Os tipos de recursos no escopo são definidos por você. Por padrão, o gravador de configuração gerenciado pelo cliente registra todos os recursos com suporte na Região da AWS em que o AWS Config estiver em execução. |
| Gravador de configuração vinculado ao serviço | Um gravador de configuração vinculado a um AWS service (Serviço da AWS) específico. Os tipos de recurso no escopo são definidos pelo serviço vinculado. |
Tópicos
Considerações sobre o gravador de configuração gerenciado pelo cliente
Um gravador de configuração gerenciado pelo cliente por conta por região
Só e possível ter um gravador de configuração gerenciado pelo cliente por Conta da AWS e por Região da AWS.
O padrão é gravar todos os tipos de recurso compatíveis, exceto os tipos de recurso globais do IAM
O padrão para um gravador de configuração gerenciado pelo cliente é gravar todos os tipos de recurso compatíveis, exceto os seguintes tipos de recurso globais do IAM: AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role e AWS::IAM::User. Você pode especificar quais tipos de recurso deseja incluir ou excluir da gravação.
Para obter mais informações, consulte Gravar recursos da AWS com o AWS Config.
São cobradas taxas de uso do serviço pelo uso do gravador de configuração gerenciado pelo cliente
Você receberá cobrança pelo uso do serviço quando o AWS Config começar a gravar as configurações.
Para obter informações sobre a definição de preço, consulte Definição de preço do AWS Config
Use o AWS Systems Manager para criar um gravador de configuração gerenciado pelo cliente em toda a organização
Você pode usar a Configuração Rápida do AWS Systems Manager para criar um gravador de configuração gerenciado pelo cliente em várias unidades organizacionais (UOs) e Regiões da AWS usando as práticas recomendadas da AWS.
Para obter mais informações, consulte Criar um gravador de AWS Config configuração usando a Configuração Rápida no Guia do usuário do Systems Manager.
Importante
Políticas e resultados de conformidade
As políticas do IAM e outras políticas gerenciadas no AWS Organizations podem determinar se o AWS Config tem permissões para registrar alterações na configuração de seus recursos. Além disso, as regras avaliam diretamente a configuração de um recurso e não levam em conta essas políticas ao executar avaliações. As políticas em vigor devem estar alinhadas com a forma como você pretende usar o AWS Config.
Resultados de avaliação obsoletos de recursos excluídos poderão ser mantidos se o gravador de configuração estiver desligado
Se o gravador de configuração gerenciado pelo cliente estiver desligado, isso impedirá que o AWS Config rastreie alterações na configuração dos recursos especificados por você, inclusive exclusões. Isso significa que você pode ver resultados de avaliação obsoletos de recursos que são excluídos quando o gravador de configuração gerenciado pelo cliente está desligado, pois o AWS Config não consegue capturar eventos de exclusão se a gravação não estiver ativada.
Considerações sobre gravadores de configuração vinculados ao serviço
O perfil vinculado ao serviço do AWS Config deve ser usado
O perfil vinculado ao serviço do AWS Config é necessário para gravadores de configuração vinculados ao serviço.
Para obter mais informações, consulte Uso de funções vinculadas ao serviço para o AWS Config.
Os gravadores de configuração vinculados ao serviço estão sempre gravando
Os gravadores vinculados ao serviço são fixos. Não é possível alterar diretamente as configurações em um gravador vinculado ao serviço. Para modificar as configurações do gravador, como iniciá-lo, interrompê-lo ou atualizá-lo, faça essas alterações por meio do serviço da AWS correspondente que usa o gravador vinculado ao serviço.
Para ter mais informações, consulte Excluir o gravador de configuração.
O escopo da gravação determina se você recebe itens de configuração
O escopo da gravação é definido pelo AWS service (Serviço da AWS) que está vinculado ao gravador de configuração e determina se você recebe itens de configuração (CIs) no canal de entrega. Se o escopo de gravação for INTERNAL, você não receberá CIs no canal de entrega.
O escopo da gravação determina se você pagará uma taxa de serviço
O escopo da gravação é definido pelo AWS service (Serviço da AWS) que está vinculado ao gravador de configuração e determina se os itens de configuração (CIs) no escopo são gravados gratuitamente (INTERNAL) ou se isso afeta os custos de sua fatura (PAID).
Precedência de frequência de gravação entre gravadores
Quando você tem um gravador de configuração gerenciado pelo cliente e um gravador de configuração vinculado ao serviço com um escopo de gravação “PAID” que gravam os mesmos tipos de recurso, o gravador com a maior frequência de gravação tem precedência. Por exemplo, se o gravador gerenciado pelo cliente estiver configurado para gravação diária, mas você habilitar um serviço da AWS que usa um gravador vinculado ao serviço com um escopo de gravação “PAID” e gravação contínua, os tipos de recurso afetados serão gravados continuamente.
Isso significa que, embora as configurações do gravador gerenciado pelo cliente ainda mostrem “Gravação diária”, você receberá cobrança pela gravação contínua dos tipos de recurso que estão no escopo de ambos os gravadores. Isso afeta somente os tipos de recurso que estão sendo gravados pelos dois gravadores.
nota
Você recebe cobrança somente uma vez por item de configuração, independentemente do número de itens de configuração gerados por um gravador de configuração gerenciado pelo cliente ou gravadores de configuração vinculados ao serviço pelos quais você paga.
exemplo Exemplo: precedência da frequência de gravação
Você configurou o gravador gerenciado pelo cliente para gravar instâncias do Amazon EC2 com frequência de gravação diária. Posteriormente, você habilita um recurso de serviço da AWS que usa um gravador vinculado ao serviço com um escopo de gravação “PAID” e gravação contínua que também grava instâncias do Amazon EC2. Neste cenário:
As configurações do gravador gerenciado pelo cliente ainda mostrarão “Gravação diária”.
As instâncias do Amazon EC2 serão gravadas continuamente e fornecerão CIs adicionais porque o gravador vinculado ao serviço com um escopo de gravação “PAID” tem uma frequência de gravação mais alta.
Você receberá cobrança pela gravação contínua de instâncias do Amazon EC2.
Outros tipos de recurso que são gravados somente pelo gravador gerenciado pelo cliente continuarão a ser gravados em uma frequência de gravação diária.
Serviços com suporte
Os gravadores de configuração vinculados ao serviço podem ser utilizados com os seguintes serviços:
| Serviço da AWS | Entidade principal do serviço | Benefícios de usar com o AWS Config | Saiba mais |
|---|---|---|---|
| Amazon CloudWatch | observabilityadmin.amazonaws.com,
telemetry-enablement.observabilityadmin.amazonaws.com |
Você pode usar a administração de observabilidade do Amazon CloudWatch para descobrir e entender o estado da configuração de telemetria no CloudWatch da sua organização ou conta da AWS. | Para ter mais informações, consulte Auditar as configurações de telemetria do CloudWatch no Guia do usuário do Amazon CloudWatch. |
| AWS Security Hub CSPM | securityhub.amazonaws.com |
Você pode usar o AWS Security Hub CSPM para gerenciar centralmente as descobertas de segurança e realizar avaliações de segurança em suas contas da AWS. O gravador vinculado ao serviço permite uma abordagem orientada a eventos para obter os itens de configuração de recursos necessários para a cobertura da análise de exposição. | Para ter mais informações, consulte Habilitar o Security Hub no Guia do usuário do Security Hub. |
Detecção de desvio para o gravador de configuração
O tipo de recursos AWS::Config::ConfigurationRecorder é um item de configuração (CI) para o gravador de configuração que rastreia todas as alterações no estado do gravador de configuração. Você pode usar esse CI para verificar se o estado do gravador de configuração é diferente ou se desviou do estado anterior.
Por exemplo, esse CI rastreia se há atualizações nos tipos de recursos nos quais você habilitou o AWS Config para rastrear, se você interrompeu ou iniciou o gravador de configuração ou se excluiu ou desinstalou o gravador de configuração. Um gravador de configuração desviada indica que você não está detectando com precisão as alterações nos tipos de recursos pretendidos. Se o gravador de configuração tiver sido desviado, isso pode resultar em resultados de conformidade falsos negativos ou falsos positivos.
O tipo de recurso AWS::Config::ConfigurationRecorder é um tipo de recurso do sistema do AWS Config e o registro desse tipo de recurso é habilitado por padrão em todas as regiões compatíveis. A gravação para o tipo de recurso AWS::Config::ConfigurationRecorder vem sem custo adicional.
