AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar...

238
AWS Config Guía del desarrollador

Transcript of AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar...

Page 1: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS ConfigGuía del desarrollador

Page 2: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

AWS Config: Guía del desarrolladorCopyright © 2019 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.

Page 3: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Table of ContentsQué es AWS Config ........................................................................................................................... 1

Modos de utilizar AWS Config ...................................................................................................... 1Administración de recursos .................................................................................................. 1Auditoría y conformidad ....................................................................................................... 1Administración y resolución de problemas de cambios de configuración ...................................... 2Análisis de seguridad .......................................................................................................... 2

Conceptos de AWS Config .......................................................................................................... 2AWS Config ....................................................................................................................... 3Reglas personalizadas y administradas de AWS Config ............................................................ 4Acumulación de datos de varias cuentas y regiones ................................................................ 5Administración de AWS Config ............................................................................................. 5Cómo controlar el acceso a AWS Config ............................................................................... 6Soluciones conjuntas con socios ........................................................................................... 6

Cómo funciona AWS Config ......................................................................................................... 7Entrega de elementos de configuración ................................................................................. 8

Tipos de recursos de AWS admitidos por AWS Config y relaciones de recursos ................................... 9Amazon CloudFront ............................................................................................................ 9Amazon CloudWatch ......................................................................................................... 10Amazon DynamoDB .......................................................................................................... 10Amazon Elastic Compute Cloud .......................................................................................... 10Amazon Elastic Block Store ................................................................................................ 11Amazon Redshift .............................................................................................................. 11Amazon Relational Database Service ................................................................................... 12Amazon Simple Storage Service ......................................................................................... 13Atributos de bucket de Amazon S3 ...................................................................................... 13Amazon Virtual Private Cloud ............................................................................................. 14AWS Auto Scaling ............................................................................................................ 15AWS Certificate Manager ................................................................................................... 15AWS CloudFormation ........................................................................................................ 15AWS CloudTrail ................................................................................................................ 15AWS CodeBuild ................................................................................................................ 16AWS CodePipeline ............................................................................................................ 16AWS Elastic Beanstalk ...................................................................................................... 16AWS Identity and Access Management ................................................................................ 17Función de AWS Lambda .................................................................................................. 17AWS Service Catalog ........................................................................................................ 18AWS Shield ..................................................................................................................... 18AWS Administrador de sistemas ......................................................................................... 18AWS WAF ....................................................................................................................... 19AWS X-Ray ..................................................................................................................... 19Elastic Load Balancing ...................................................................................................... 19

Introducción ..................................................................................................................................... 21Configuración de AWS Config (consola) ....................................................................................... 21Configuración de AWS Config (AWS CLI) ..................................................................................... 24

Requisitos previos ............................................................................................................. 24Activación de AWS Config ................................................................................................. 27Verificación de la activación de AWS Config ......................................................................... 28

Configuración de reglas de AWS Config (consola) ......................................................................... 29Ver el panel de AWS Config ...................................................................................................... 31

AWS Config ..................................................................................................................................... 33Componentes de un elemento de configuración ............................................................................. 33Visualización de historial y configuraciones de recursos de AWS ...................................................... 34

Búsqueda de recursos detectados ....................................................................................... 35Visualización de los detalles de la configuración .................................................................... 36

iii

Page 4: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Visualización del historial de conformidad ............................................................................. 42Entrega de instantánea de configuración .............................................................................. 46

Administración de AWS Config ................................................................................................... 51Administrar el canal de entrega .......................................................................................... 51Actualización del rol de IAM ............................................................................................... 54Administración del registro de configuración .......................................................................... 55Selección de los recursos que se registran ........................................................................... 57Registro de la configuración de software para instancias administradas ..................................... 61Monitorización de cambios de recursos por correo electrónico ................................................. 62Eliminación de datos ......................................................................................................... 65

Notificaciones de ejemplo ........................................................................................................... 68Ejemplo de notificaciones de cambio de elemento de configuración .......................................... 68Ejemplo de notificación de entrega de historial de configuración ............................................... 76Ejemplo de notificación de inicio de entrega de instantánea de configuración .............................. 77Ejemplo de notificación de entrega de instantánea de configuración .......................................... 77Ejemplo de notificación de cambio de conformidad ................................................................ 78Ejemplo de notificación de inicio de evaluación de reglas ........................................................ 79Ejemplo de notificación de cambio de elemento de configuración sobredimensionado .................. 79Ejemplo de notificación de entrega fallida ............................................................................. 80

Controlar los permisos para AWS Config .............................................................................................. 82Permisos de administración de AWS Config ................................................................................. 82

Creación de un grupo de IAM y usuarios para acceder a AWS Config ....................................... 83Concesión de permiso de acceso total para el acceso a AWS Config ........................................ 84Recursos adicionales ......................................................................................................... 84

Permisos personalizados para los usuarios de AWS Config ............................................................. 84Acceso de solo lectura ...................................................................................................... 85Acceso completo .............................................................................................................. 86Control de permisos de usuario para acciones en acumulación de datos de varias cuentas yregiones .......................................................................................................................... 87Información adicional ......................................................................................................... 84

Permisos de nivel de recurso admitidos para las acciones de la API de AWS Config Rules ................... 90Permisos del rol de IAM ............................................................................................................ 92

Creación de políticas de roles de IAM .................................................................................. 92Solución de problemas de registro de buckets de S3 ............................................................. 94

Permisos para el bucket de Amazon S3 ....................................................................................... 94Permisos necesarios para el bucket de Amazon S3 cuando se utilizan roles de IAM .................... 95Permisos necesarios para el bucket de Amazon S3 cuando se utilizan roles vinculados al servicio .. 95Concesión de acceso a AWS Config al bucket de Amazon S3 ................................................. 95

Permisos para el tema Amazon SNS ........................................................................................... 96Permisos necesarios para el tema Amazon SNS cuando se utilizan roles de IAM ........................ 96Permisos necesarios para el tema Amazon SNS cuando se utilizan roles vinculados al servicio ...... 97Resolución de problemas del tema Amazon SNS .................................................................. 97

Reglas de AWS Config ...................................................................................................................... 98Visualización de conformidad de la configuración ........................................................................... 98Especificación de los disparadores de reglas de AWS Config ......................................................... 101

Tipos de disparadores ..................................................................................................... 101Ejemplo de reglas con disparadores .................................................................................. 102Evaluaciones de regla cuando el registrador de configuración está desactivado ......................... 102

Reglas administradas de AWS Config ........................................................................................ 103Lista de las reglas administradas de AWS Config ................................................................ 103Trabajo con reglas administradas de AWS Config ................................................................ 153Creación de reglas administradas de AWS Config con plantillas de AWS CloudFormation ........... 154

Reglas personalizadas de AWS Config ....................................................................................... 155Introducción a las reglas personalizadas ............................................................................. 155Desarrollo de una regla personalizada ................................................................................ 158Funciones y eventos de ejemplo ....................................................................................... 162

Administración de reglas de AWS Config .................................................................................... 170

iv

Page 5: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Añadir, ver, actualizar y eliminar reglas (consola) ................................................................. 170Ver, actualizar y eliminar reglas (AWS CLI) ......................................................................... 172Ver, actualizar y eliminar reglas (API) ................................................................................. 174

Evaluación de sus recursos ...................................................................................................... 174Evaluación de sus recursos (consola) ................................................................................ 175Evaluación de sus recursos (CLI) ...................................................................................... 175Evaluación de sus recursos (API) ...................................................................................... 175

Eliminación de los resultados de evaluación ................................................................................ 175Eliminación de los resultados de la evaluación (consola) ....................................................... 176Eliminación de los resultados de la evaluación (CLI) ............................................................. 176Eliminación de los resultados de la evaluación (API) ............................................................ 176

Acumulación de datos de varias cuentas y regiones ............................................................................. 177Compatibilidad de la región ...................................................................................................... 177Más información ...................................................................................................................... 178Visualización de datos de configuración y conformidad en la vista agregada ..................................... 179

Uso de la vista agregada ................................................................................................. 179Más información .............................................................................................................. 180

Configuración de un agregador (consola) .................................................................................... 180Adición de un agregador .................................................................................................. 181Edición de un agregador .................................................................................................. 182Eliminación de un agregador ............................................................................................ 182Más información .............................................................................................................. 180

Configuración de un agregador (AWS CLI) ................................................................................. 183Adición de un agregador con cuentas individuales ................................................................ 183Adición de un agregador utilizando AWS Organizations ......................................................... 184Visualización de un agregador .......................................................................................... 185Edición de un agregador .................................................................................................. 185Eliminación de un agregador ............................................................................................ 186Más información .............................................................................................................. 180

Autorización de cuentas de agregador (consola) .......................................................................... 187Adición de una autorización para cuentas y regiones de agregador ......................................... 187Autorización de una solicitud pendiente para una cuenta de agregador .................................... 188Eliminación de la autorización de una cuenta de agregador existente ...................................... 189Más información .............................................................................................................. 180

Autorización de cuentas de agregador (AWS CLI) ........................................................................ 189Adición de una autorización para cuentas y regiones de agregador ......................................... 190Eliminación de una autorización de cuenta .......................................................................... 190Más información .............................................................................................................. 180

Solución de problemas ............................................................................................................. 190Más información .............................................................................................................. 180

Monitoreo ....................................................................................................................................... 192Uso de Amazon SQS .............................................................................................................. 192

Permisos de Amazon SQS ............................................................................................... 192Uso de Amazon CloudWatch Events .......................................................................................... 193

Formato de Amazon CloudWatch Events para AWS Config ................................................... 194Creación de una regla de Amazon CloudWatch Events para AWS Config ................................. 194

Reglas de AWS Config vinculadas a servicios ..................................................................................... 196Uso de roles vinculados a servicios ................................................................................................... 197

Permisos de roles vinculados a servicios para AWS Config ........................................................... 197Creación de un rol vinculado a servicio para AWS Config .............................................................. 197Edición de un rol vinculado a servicio para AWS Config ................................................................ 198Eliminación de un rol vinculado a servicio para AWS Config .......................................................... 198

Uso de AWS Config con los puntos de enlace de la VPC de tipo interfaz ................................................. 199Disponibilidad ......................................................................................................................... 199Creación de un punto de enlace de la VPC para AWS Config ........................................................ 199

Registro de llamadas a la API de AWS Config con AWS CloudTrail ........................................................ 201Información de AWS Config en CloudTrail .................................................................................. 201

v

Page 6: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Comprensión de las entradas de los archivos de registro de AWS Config ......................................... 202Ejemplos de archivos de registro ............................................................................................... 202

DeleteDeliveryChannel ..................................................................................................... 202DeliverConfigSnapshot ..................................................................................................... 203DescribeConfigurationRecorderStatus ................................................................................. 203DescribeConfigurationRecorders ........................................................................................ 204DescribeDeliveryChannels ................................................................................................ 204GetResourceConfigHistory ................................................................................................ 205PutConfigurationRecorder ................................................................................................. 206PutDeliveryChannel ......................................................................................................... 206StartConfigurationRecorder ............................................................................................... 207StopConfigurationRecorder ............................................................................................... 207

Recursos de AWS Config ................................................................................................................. 209AWS Kits de desarrollo de software para AWS Config .................................................................. 209

Historial de revisión ......................................................................................................................... 211AWS Glossary ................................................................................................................................ 232

vi

Page 7: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorModos de utilizar AWS Config

Qué es AWS ConfigAWS Config proporciona una vista detallada de la configuración de los recursos de AWS de su cuenta deAWS. Esto incluye cómo se relacionan los recursos entre sí y cómo se han configurado en el pasado, paraque pueda ver cómo las configuraciones y las relaciones cambian a lo largo del tiempo.

Un recurso de AWS es una entidad con la que puede trabar en AWS, como una instancia de AmazonElastic Compute Cloud (EC2), un volumen de Amazon Elastic Block Store (EBS), un grupo de seguridado un Amazon Virtual Private Cloud (VPC), por ejemplo. Para obtener una lista completa de los recursosde AWS admitidos por AWS Config, consulte Tipos de recursos de AWS admitidos por AWS Config yrelaciones de recursos (p. 9).

Con AWS Config, puede hacer lo siguiente:

• Evaluar las configuraciones de recursos de AWS para los ajustes que desee.• Obtener una instantánea de las configuraciones actuales de los recursos admitidos que están asociados

a su cuenta de AWS.• Recuperar configuraciones de uno o más recursos existentes en la cuenta.• Recuperar configuraciones históricas de uno o más recursos.• Recibir una notificación cuando se crea, se modifica o se elimina un recurso.• Ver las relaciones entre los recursos. Por ejemplo, es posible que desee encontrar todos los recursos

que utilizan un grupo de seguridad determinado.

Modos de utilizar AWS ConfigCuando ejecuta sus aplicaciones en AWS, normalmente utiliza recursos de AWS que debe crear yadministrar colectivamente. A medida que sigue aumentando la demanda de su aplicación, también lohace la necesidad de realizar un seguimiento de sus recursos de AWS. AWS Config se ha diseñado paraayudarle a supervisar sus recursos de la aplicación en los siguientes casos:

Administración de recursosPara ejercer un mejor control de las configuraciones de sus recursos y detectar configuraciones erróneasde los mismos, necesita una visibilidad minuciosa sobre los recursos que existen y cómo dichos recursosestán configurados en cualquier momento. Puede utilizar AWS Config para que se le notifique cuandose crean, modifican o eliminan recursos sin tener que supervisar estos cambios sondeando las llamadasrealizadas a cada recurso.

Puede utilizar reglas de AWS Config para evaluar los ajustes de configuración de sus recursos de AWS.Cuando AWS Config detecta que un recurso infringe las condiciones en una de las reglas,AWS Configmarca el recurso como no conforme y envía una notificación. AWS Config evalúa continuamente losrecursos a medida que se crean, modifican o eliminan.

Auditoría y conformidadEs posible que trabaje con datos que requieren auditorías frecuentes para garantizar la conformidad conlas políticas internas y las prácticas recomendadas. Para demostrar la conformidad, necesita acceder a lasconfiguraciones históricas de los recursos. Esta información la proporciona AWS Config.

1

Page 8: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAdministración y resolución de

problemas de cambios de configuración

Administración y resolución de problemas de cambiosde configuraciónAl utilizar varios recursos de AWS que dependen unos de otros, un cambio en la configuración de unrecurso podría tener consecuencias imprevistas en los recursos relacionados. Con AWS Config, puede vercómo el recurso que va a modificar está relacionado con otros recursos y evaluar el impacto del cambio.

También puede utilizar las configuraciones históricas de los recursos proporcionadas por AWS Configpara solucionar problemas y para acceder a la última configuración correcta conocida de un recurso conproblemas.

Análisis de seguridadPara analizar posibles problemas de seguridad, necesita información histórica detallada sobre lasconfiguraciones de los recursos de AWS, como los permisos de AWS Identity and Access Management(IAM) que se otorgan a los usuarios, o las reglas de grupo de seguridad de Amazon EC2 que controlan elacceso a los recursos.

Puede utilizar AWS Config para ver la política de IAM que se ha asignado a un usuario, grupo o rol de IAMen cualquier momento en el que AWS Config ha estado registrando. Esta información puede ayudarle adeterminar los permisos que pertenecían a un usuario en un momento específico: por ejemplo, puede versi el usuario John Doe tenía permiso para modificar los ajustes de Amazon VPC el 1 de enero de 2015.

También puede utilizar AWS Config para ver la configuración de los grupos de seguridad de EC2, incluidaslas reglas de puertos que estaban abiertas en un momento concreto. Esta información puede ayudarle adeterminar si un grupo de seguridad ha bloqueado el tráfico entrante de TCP a un puerto específico.

Conceptos de AWS ConfigAWS Config proporciona una vista detallada de los recursos asociados a su cuenta de AWS, incluido cómose configuran, cómo están relacionados entre sí y cómo las configuraciones y sus relaciones han cambiadoa lo largo del tiempo. Examinemos en mayor profundidad los conceptos de AWS Config.

Contenido• AWS Config (p. 3)

• Recursos de AWS (p. 3)• Historial de configuración (p. 3)• Elementos de configuración (p. 3)• Registro de configuración (p. 3)• Instantánea de configuración (p. 4)• Flujo de configuración (p. 4)• Relación de recursos (p. 4)

• Reglas personalizadas y administradas de AWS Config (p. 4)• Reglas personalizadas de AWS Config (p. 4)

• Acumulación de datos de varias cuentas y regiones (p. 5)• Cuenta de origen (p. 5)• Región de origen (p. 5)• Agregador (p. 5)• Cuenta de agregador (p. 5)• Autorización (p. 5)

2

Page 9: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAWS Config

• Administración de AWS Config (p. 5)• Consola de AWS Config (p. 5)• CLI de AWS Config (p. 6)• API de AWS Config (p. 6)• SDK de AWS (p. 6)

• Cómo controlar el acceso a AWS Config (p. 6)• Soluciones conjuntas con socios (p. 6)

AWS ConfigEntender los componentes básicos de AWS Config le ayudará a realizar el seguimiento de inventario delos recursos y los cambios y evaluar configuraciones de sus recursos de AWS.

Recursos de AWSLos recursos de AWS son entidades que crea y administra usando la Consola de administración deAWS, AWS Command Line Interface (CLI), los SDK de AWS o herramientas de socios de AWS. Algunosejemplos de recursos de AWS incluyen instancias de Amazon EC2, grupos de seguridad, Amazon VPC yAmazon Elastic Block Store. AWS Config se refiere a cada recurso utilizando su identificador único, comoel ID de recurso o un Nombre de recurso de Amazon (ARN). Para obtener más información, consulte Tiposde recursos de AWS admitidos por AWS Config y relaciones de recursos (p. 9).

Historial de configuraciónUn historial de configuración es una colección de elementos de configuración de un recurso determinadodurante cualquier periodo de tiempo. Un historial de configuración puede ayudarle a responder preguntassobre, por ejemplo, cuándo se creó el recurso, cómo se ha configurado durante el último mes y quécambios de configuración se introdujeron ayer a las 9 de la mañana. El historial de configuración estádisponible en varios formatos. proporciona AWS Config proporciona automáticamente un archivo delhistorial de configuración para cada tipo de recurso que se registra en un bucket de Amazon S3 queespecifique. Puede seleccionar un recurso determinado en la consola de AWS Config e ir a todos loselementos de configuración anteriores de dicho recurso utilizando la línea temporal. Asimismo, puedeobtener acceso a los elementos de configuración históricos de un recurso desde la API.

Elementos de configuraciónUn elemento de configuración representa una vista en un punto en el tiempo de los diversos atributos deun recurso de AWS admitido que existe en su cuenta. Los componentes de un elemento de configuraciónincluyen metadatos, atributos, relaciones, la configuración actual y eventos relacionados. AWS Config creaun elemento de configuración cuando se detecta un cambio en un tipo de recurso que se está registrando.Por ejemplo, si AWS Config está registrando buckets de Amazon S3, AWS Config crea un elemento deconfiguración siempre que se crea, actualiza o elimina un bucket.

Para obtener más información, consulte Componentes de un elemento de configuración (p. 33).

Registro de configuraciónEl registrador de configuración almacena las configuraciones de los recursos compatibles en su cuentacomo elementos de configuración. En primer lugar, debe crear y, a continuación, iniciar el registrode configuración para poder iniciar el registro. Puede detener y reiniciar el registro de configuraciónen cualquier momento. Para obtener más información, consulte Administración del registro deconfiguración (p. 55).

De forma predeterminada, el registro de configuración registra todos los recursos admitidos en la regióndonde se ejecuta AWS Config. Puede crear un registro de configuración personalizado que registre

3

Page 10: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorReglas personalizadas y administradas de AWS Config

únicamente los tipos de recursos que especifique. Para obtener más información, consulte Selección delos recursos que debe registrar AWS Config (p. 57).

Si utiliza la Consola de administración de AWS o la CLI para activar el servicio, AWS Config crea e iniciaautomáticamente un registro de configuración.

Instantánea de configuraciónUna instantánea de configuración es una colección de elementos de configuración para los recursosadmitidos que existen en su cuenta. Esta instantánea de configuración es una imagen completa delos recursos que se registran y sus configuraciones. La instantánea de configuración puede ser unaherramienta útil para validar la configuración. Por ejemplo, puede examinar la instantánea de configuracióncon regularidad para los recursos que se han configurado de forma incorrecta o que potencialmente nodeban existir. La instantánea de configuración está disponible en varios formatos. Puede hacer que lainstantánea de configuración se entregue al bucket de Amazon Simple Storage Service (Amazon S3) queespecifique. Además, puede seleccionar un punto en el tiempo en la consola AWS Config y recorrer lainstantánea de los elementos de configuración utilizando las relaciones entre los recursos.

Flujo de configuraciónUn flujo de configuración es una lista actualizada automáticamente de todos los elementos deconfiguración para los recursos que registra AWS Config. Cada vez que se crea, se modifica o se eliminaun recurso, AWS Config crea un elemento de configuración y lo añade al flujo de configuración. El flujode configuración funciona utilizando un tema de Amazon Simple Notification Service (Amazon SNS) desu elección. El flujo de configuración es útil para observar los cambios de configuración que se producenpara poder identificar posibles problemas, generar notificaciones si se cambian determinados recursos oactualizar los sistemas externos que tengan que reflejar la configuración de sus recursos de AWS.

Relación de recursosAWS Config detecta recursos de AWS en su cuenta y, a continuación, crea un mapa de las relacionesentre los recursos de AWS. Por ejemplo, una relación podría incluir un volumen de Amazon EBSvol-123ab45d adjunto a una instancia Amazon EC2; i-a1b2c3d4 que está asociada al grupo deseguridad sg-ef678hk.

Para obtener más información, consulte Tipos de recursos de AWS admitidos por AWS Config y relacionesde recursos (p. 9).

Reglas personalizadas y administradas de AWSConfigUna regla AWS Config representa la configuración deseada de recursos de AWS específicos o de toda unacuenta de AWS. AWS Config proporciona reglas predefinidas personalizables que le ayudarán a empezar.Si un recurso infringe una regla, AWS Config marca el recurso y la regla como no conforme y AWS Configse lo notificará a través de Amazon SNS.

Reglas personalizadas de AWS ConfigCon AWS Config también puede crear reglas personalizadas. Aunque AWS Config realiza un seguimientoconstante de los cambios de configuración de los recursos, comprueba si estos cambios infringencualquiera de las condiciones de las reglas.

Después de activar una regla, AWS Config compara sus recursos con las condiciones de la regla. Despuésde esta evaluación inicial, AWS Config continúa realizando evaluaciones cada vez que se activa una. Losdisparadores de evaluaciones están definidos como parte de la regla y pueden incluir los siguientes tipos:

4

Page 11: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAcumulación de datos de varias cuentas y regiones

• Cambios de configuración: AWS Config dispara la evaluación cuando cambia la configuración de unrecurso que coincida con el ámbito de regla. La evaluación se realiza después de que AWS Config envíauna notificación sobre un cambio de elementos de configuración.

• Periódica: AWS Config realiza evaluaciones para la regla con la frecuencia que elija (por ejemplo, cada24 horas).

Para obtener más información, consulte Evaluación de recursos con reglas (p. 98).

Acumulación de datos de varias cuentas y regionesLa acumulación de datos de varias cuentas y regiones de AWS Config permite agregar dichos datos deconfiguración y conformidad de AWS Config en una misma cuenta. La acumulación de datos de variascuentas y regiones permite a los administradores centrales de TI monitorizar la conformidad de variascuentas de AWS de la compañía.

Cuenta de origenUna cuenta de origen es la cuenta de AWS cuyos datos de conformidad y configuración de recursos deAWS Config se desean agregar. Una cuenta de origen puede ser una cuenta individual o una organizaciónde AWS Organizations. Puede proporcionar cuentas de origen individuales o puede recuperarlas medianteAWS Organizations.

Región de origenUna región de origen es la región de AWS cuyos datos de configuración y conformidad de AWS Config sedesean agregar.

AgregadorUn agregador es un nuevo tipo de recurso de AWS Config que recopila datos de configuración yconformidad de AWS Config de varias cuentas y regiones de origen. Los agregadores se crean en laregión en la que desee ver los datos de configuración y conformidad de AWS Config agregados.

Cuenta de agregadorUna cuenta de agregador es la cuenta en la que se crea un agregador.

AutorizaciónPara el propietario de una cuenta de origen, la autorización se refiere a los permisos que concede a unacuenta y una región de agregador para recopilar datos de configuración y conformidad de AWS Config. Laautorización no es necesaria si se agregan cuentas de origen que forman parte de AWS Organizations.

Para obtener más información, consulte temas en la sección Acumulación de datos de varias cuentas yregiones (p. 177).

Administración de AWS ConfigConsola de AWS ConfigPuede usar y administrar el servicio de AWS Config con la consola de AWS AWS Config. La consolaofrece una interfaz de usuario para realizar muchas tareas de AWS Config como:

5

Page 12: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorCómo controlar el acceso a AWS Config

• Especificación de los tipos de recursos de AWS para el registro.• Configuración de recursos para el registro, entre los que se incluyen los siguientes:

• Selección de un bucket de Amazon S3.• Selección de un tema Amazon SNS• Creación de un rol de AWS Config.

• Creación de reglas administradas y reglas personalizadas que representan la configuración deseada derecursos de AWS específicos o de toda una cuenta de AWS.

• Creación y administración de los agregadores de configuración para agregar datos entre varias cuentasy regiones.

• Visualización de una instantánea de configuraciones actuales de los recursos admitidos.• Visualización de relaciones entre recursos de AWS

Para obtener más información sobre la Consola de administración de AWS, consulte Consola deadministración de AWS.

CLI de AWS ConfigAWS Command Line Interface es una herramienta unificada que puede usar para interactuar con AWSConfig desde la línea de comandos. Para obtener más información, consulte la AWS Command LineInterface Guía del usuario. Para obtener una lista completa de los comandos para la CLI de AWS Config,consulte la sección sobre comandos disponibles.

API de AWS ConfigAdemás de la consola y la CLI, también puede utilizar las API RESTful de AWS Config para programarAWS Config directamente. Para obtener más información, consulte la AWS Config API Reference.

SDK de AWSAdemás de la API de AWS Config, puede utilizar uno de los AWS SDK. Cada SDK se compone debibliotecas y código de muestra para diversos lenguajes de programación y plataformas. Los SDK permitencrear cómodamente acceso mediante programación a AWS Config. Por ejemplo, puede usar los SDK parafirmar solicitudes criptográficamente, gestionar los errores y reintentar las solicitudes de forma automática.Para obtener más información, consulte la página sobre herramientas de Amazon Web Services.

Cómo controlar el acceso a AWS ConfigAWS Identity and Access Management es un servicio web que permite a los clientes de Amazon WebServices (AWS) administrar a los usuarios y los permisos de usuario. Utilice IAM para crear usuariosindividuales para aquellos que necesiten obtener acceso a AWS Config. Cree un usuario de IAM parausted, conceda a ese usuario de IAM privilegios administrativos y utilice dicho usuario de IAM para todassus tareas. Si crea un usuario de IAM para cada persona que tiene acceso a la cuenta, puede asignar acada usuario de IAM un conjunto único de credenciales de seguridad. También puede conceder permisosdistintos a cada usuario de IAM. Si fuera necesario, puede cambiar o revocar los permisos de un usuariode IAM en cualquier momento. Para obtener más información, consulte Controlar los permisos para (p. 82).

Soluciones conjuntas con sociosAWS colabora con terceros especialistas en el registro y análisis para proporcionar soluciones que usan lainformación de AWS Config. Para obtener más información, visite la página de información detallada sobreAWS Config en AWS Configde AWS.

6

Page 13: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorCómo funciona AWS Config

Cómo funciona AWS ConfigAl activar AWS Config, primero descubre los recursos de AWS admitidos que existen en su cuenta ygenera un elemento de configuración (p. 3) para cada recurso.

AWS Config genera también elementos de configuración cuando cambia la configuración de un recurso ymantiene los registros históricos de los elementos de configuración de los recursos desde el momento enque inicie el registrador de configuración. De forma predeterminada, AWS Config crea los elementos deconfiguración para cada recurso admitido en la región. Si no desea que AWS Config cree elementos deconfiguración para todos los recursos admitidos, puede especificar los tipos de recursos de los que deseerealizar el seguimiento.

AWS Config realiza un seguimiento de todos los cambios en los recursos, invocando las llamadas Describeo List a la API para cada recurso en su cuenta. El servicio utiliza las mismas llamadas al API para capturarlos detalles de la configuración de todos los recursos relacionados.

Por ejemplo, eliminar una regla de salida a partir de un grupo de seguridad de VPC hace que AWS Configinvoque una llamada Describe a la API en el grupo de seguridad. A continuación, AWS Config invoca unallamada Describe a la API en todas las instancias asociadas al grupo de seguridad. Las configuracionesactualizadas del grupo de seguridad (el recurso) y de cada instancia (los recursos relacionados) seregistran como elementos de configuración y se entregan en un flujo de configuración en un bucket deAmazon Simple Storage Service (Amazon S3).

AWS Config también realiza un seguimiento de los cambios de configuración que no se han iniciadomediante la API. AWS Config examina las configuraciones de recursos periódicamente y genera elementosde configuración para las configuraciones que se han modificado.

Si utiliza reglas de AWS Config, AWS Config evalúa continuamente las configuraciones de los recursosde AWS según la configuración deseada. Dependiendo de la regla, AWS Config evaluará sus recursosen respuesta a los cambios de configuración, o bien de forma periódica. Cada regla está asociada a unafunción AWS Lambda que contiene la lógica de evaluación de la regla. Cuando AWS Config evalúa susrecursos, invoca la función AWS Lambda de la regla. La función devuelve el estado de conformidad de losrecursos evaluados. Si un recurso infringe las condiciones de una regla, AWS Config marca el recurso y laregla como no conformes. Cuando el estado de conformidad de un recurso cambia, AWS Config envía unanotificación a su tema de Amazon SNS.

7

Page 14: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEntrega de elementos de configuración

Entrega de elementos de configuraciónAWS Config pueden entregar elementos de configuración a través de uno de los siguientes canales:

Bucket de Amazon S3AWS Config realiza un seguimiento de los cambios en la configuración de los recursos de AWS y envíaperiódicamente los detalles de la configuración actualizada a un bucket de Amazon S3 que especifique.Para cada tipo de recurso que registra AWS Config, envía un archivo de historial de configuración cadaseis horas. Cada archivo de historial de configuración contiene información sobre los recursos que hancambiado en ese periodo de seis horas. Cada archivo incluye recursos de un tipo, como instancias deAmazon EC2 o volúmenes de Amazon EBS. Si no se producen cambios de configuración, AWS Config noenvía ningún archivo.

AWS Config envía una instantánea de la configuración a su bucket de Amazon S3 al utilizar el comandodeliver-config-snapshot con la CLI de AWS o al utilizar la acción DeliverConfigSnapshot con la API de AWSConfig. Una instantánea de configuración contiene los detalles de la configuración de todos los recursosque AWS Config registra en su cuenta de AWS. El archivo de historial de configuración y la instantánea deconfiguración están en formato JSON.

Note

AWS Config únicamente entrega los archivos de historial de configuración y las instantáneas deconfiguración al bucket de S3 especificado; AWS Config no modifica las políticas del ciclo de vidade los objetos en el bucket de S3. Puede usar políticas sobre el ciclo de vida para especificar sidesea eliminar o archivar objetos en Amazon S3 Glacier. Para obtener más información, consulteAdministración de configuración del ciclo de vida en la Guía del usuario de la consola de AmazonSimple Storage Service. También puede consultar la publicación del blog Archiving Amazon S3Data to Glacier.

Tema de Amazon SNSUn tema de Amazon Simple Notification Service (Amazon SNS) es un canal de comunicación queAmazon SNS utiliza para entregar mensajes (o notificaciones) a puntos de enlace de suscripción, comouna dirección de correo electrónico o clientes como una cola de Amazon Simple Queue Service. Entreotros tipos de notificaciones de Amazon SNS se incluyen mensajes de notificación de inserción paraaplicaciones en teléfonos móviles, notificaciones por SMS (servicio de mensajes cortos) a teléfonos ysmartphones habilitados para SMS y solicitudes HTTP POST. Para obtener los mejores resultados, utiliceAmazon SQS como punto de enlace de notificación para el tema de SNS y, a continuación, procese lainformación en la notificación de forma programada.

AWS Config utiliza el tema de Amazon SNS que especifique para enviarle notificaciones. El tipo denotificación que está recibiendo se indica por el valor de la clave messageType en el cuerpo del mensaje,como en el siguiente ejemplo:

"messageType": "ConfigurationHistoryDeliveryCompleted"

Las notificaciones pueden ser cualquiera de los siguientes tipos de mensajes:

ComplianceChangeNotification

El tipo de conformidad de un recurso que AWS Config evalúa ha cambiado. El tipo de conformidadindica si el recurso cumple con una regla AWS Config específica y se representa por la claveComplianceType en el mensaje. El mensaje incluye objetos newEvaluationResult yoldEvaluationResult de comparación.

8

Page 15: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorTipos de recursos de AWS admitidos por

AWS Config y relaciones de recursos

ConfigRulesEvaluationStarted

AWS Config ha empezado a evaluar la regla con respecto a los recursos especificados.ConfigurationSnapshotDeliveryStarted

AWS Config ha empezado a entregar la instantánea de configuración en el bucket de Amazon S3. Seproporciona el nombre del bucket de Amazon S3 para la clave s3Bucket en el mensaje.

ConfigurationSnapshotDeliveryCompleted

AWS Config ha enviado correctamente la instantánea de configuración al bucket de Amazon S3.ConfigurationSnapshotDeliveryFailed

AWS Config no ha logrado entregar la instantánea de configuración al bucket de Amazon S3.ConfigurationHistoryDeliveryCompleted

AWS Config ha entregado correctamente el historial de configuración al bucket de Amazon S3.ConfigurationItemChangeNotification

Un recurso se ha creado, eliminado o cambiado en la configuración. Este mensaje incluye los detallesdel elemento de configuración que AWS Config crea para este cambio e incluye el tipo de cambio.Estas notificaciones se entregan en cuestión de minutos tras el cambio y se conocen colectivamentecomo el flujo de configuración.

OversizedConfigurationItemChangeNotification

Este tipo de mensaje se entrega cuando una notificación de cambio de elemento de configuraciónsupera el tamaño máximo permitido por Amazon SNS. El mensaje incluye un resumen del elementode configuración. Puede ver la notificación completa en el bucket de Amazon S3 especificado.

OversizedConfigurationItemChangeDeliveryFailed

AWS Config no ha logrado entregar la notificación de cambio de elemento de configuraciónsobredimensionada a su bucket de Amazon S3.

Para obtener ejemplos de notificaciones, consulte Notificaciones que AWS Config envía a un tema deAmazon SNS (p. 68).

Para obtener más información sobre Amazon SNS, consulte Guía para desarrolladores de Amazon SimpleNotification Service.

Tipos de recursos de AWS admitidos por AWSConfig y relaciones de recursos

AWS Config admite los siguientes tipos de recursos de AWS y relaciones de recursos.

Amazon CloudFront

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

AWS WAF WebACL

Certificado del ACM

Amazon CloudFront * AWS::CloudFront::Distributionestá asociado a

S3 Bucket

9

Page 16: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAmazon CloudWatch

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

Certificado de servidorde IAM

AWS WAF WebACL

Certificado del ACM

S3 Bucket

AWS::CloudFront::StreamingDistributionestá asociado a

Certificado de servidorde IAM

*AWS Config admite Amazon CloudFront solo en la región EE.UU. Este (Norte de Virginia).

Amazon CloudWatchServicio de AWS Valor de tipo de recurso Relación Recurso relacionado

Amazon CloudWatch AWS::CloudWatch::AlarmN/D N/D

Amazon DynamoDBServicio de AWS Valor de tipo de recurso Relación Recurso relacionado

Amazon DynamoDB AWS::DynamoDB::TableN/D N/D

Amazon Elastic Compute CloudServicio de AWS Valor de tipo de recurso Relación Recurso relacionado

AWS::EC2::Host* contiene Instancia EC2

Instancia EC2AWS::EC2::EIP está conectado a

Interfaz de red

contiene Interfaz de red de EC2

está asociado a Grupo de seguridad deEC2

Volumen de AmazonEBS

está conectado a

IP elástica de EC2 (EIP)

Host dedicado de EC2

Tabla de ruteo

Amazon ElasticCompute Cloud

AWS::EC2::Instance

está contenido en

Subred

10

Page 17: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAmazon Elastic Block Store

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

Virtual Private Cloud(VPC)

está asociado a Grupo de seguridad deEC2

IP elástica de EC2 (EIP)está conectado a

Instancia EC2

Tabla de ruteo

Subred

AWS::EC2::NetworkInterface

está contenido en

Virtual Private Cloud(VPC)

Instancia EC2

Interfaz de red de EC2

AWS::EC2::SecurityGroupestá asociado a

Virtual Private Cloud(VPC)

*AWS Config registra los detalles de la configuración de los hosts dedicados y las instancias que se lanzanen ellos. Como resultado, puede utilizar AWS Config como origen de datos al informar de la conformidadcon sus licencias de software ligadas al servidor. Por ejemplo, puede ver el historial de configuraciónde una instancia y determinar en qué imagen de máquina de Amazon (AMI) se basa. A continuación,puede consultar el historial de configuración del host, que incluye información como el número de socketsy núcleos, para verificar que el host cumple los requisitos de licencia de la AMI. Para obtener másinformación, consulte Seguimiento de los cambios en la configuración mediante AWS Config en la Guíadel usuario de Amazon EC2 para instancias de Linux.

Amazon Elastic Block Store

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

Amazon Elastic BlockStore (EBS)

AWS::EC2::Volume está conectado a Instancia EC2

Amazon Redshift

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

Grupo de parámetrosdel clúster

Grupo de seguridad declúster

Amazon Redshift AWS::Redshift::Clusterestá asociado a

Grupo de subred declúster

11

Page 18: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAmazon Relational Database Service

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

Grupo de seguridad

Virtual Private Cloud(VPC)

AWS::Redshift::ClusterParameterGroupN/D N/D

AWS::Redshift::ClusterSecurityGroupN/D N/D

ClústerAWS::Redshift::ClusterSnapshotestá asociado a

Virtual Private Cloud(VPC)

SubredAWS::Redshift::ClusterSubnetGroupestá asociado a

Virtual Private Cloud(VPC)

AWS::Redshift::EventSubscriptionN/D N/D

Amazon Relational Database Service

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

Grupo de seguridad deEC2

Grupo de seguridad debase de datos de RDS

AWS::RDS::DBInstanceestá asociado a

Grupo de subred debase de datos de RDS

Grupo de seguridad deEC2

AWS::RDS::DBSecurityGroupestá asociado a

Virtual Private Cloud(VPC)

AWS::RDS::DBSnapshotestá asociado a Virtual Private Cloud(VPC)

Grupo de seguridad deEC2

AWS::RDS::DBSubnetGroupestá asociado a

Virtual Private Cloud(VPC)

Amazon RelationalDatabase Service

AWS::RDS::EventSubscriptionN/D N/D

12

Page 19: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAmazon Simple Storage Service

Amazon Simple Storage Service

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

Amazon Simple StorageService

AWS::S3::Bucket* N/D N/D

*Si ha configurado AWS Config para registrar sus buckets de S3 y no está recibiendo las notificaciones delos cambios en la configuración, verifique que las políticas de los buckets de S3 cuentan con los permisosnecesarios. Para obtener más información, consulte Solución de problemas de registro de buckets deS3 (p. 94).

Atributos de bucket de Amazon S3AWS Config también registra los siguientes atributos para el tipo de recurso de bucket de Amazon S3.

Atributos Descripción

AccelerateConfiguration Transfer Acceleration de datos a largas distancias entre su cliente yun bucket.

BucketAcl Lista de control de acceso que se utiliza para administrar el acceso abuckets y objetos.

BucketPolicy Política que define los permisos para acceder al bucket.

CrossOriginConfiguration Permitir solicitudes entre orígenes al bucket.

LifecycleConfiguration Normas que definen el ciclo de vida de los objetos en el bucket.

LoggingConfiguration Registro que se utiliza para realizar un seguimiento de las solicitudesde acceso al bucket.

NotificationConfiguration Las notificaciones de eventos que se utilizan para enviar alertas oactivar flujos de trabajo para eventos especificados de bucket.

ReplicationConfiguration Copia asincrónica y automática de los objetos en buckets dediferentes regiones de AWS.

RequestPaymentConfiguration Se ha habilitado el pago por solicitante.

TaggingConfiguration Se han añadido etiquetas al bucket para categorizar. También puedeutilizar el etiquetado para realizar un seguimiento de la facturación.

WebsiteConfiguration Se ha habilitado el alojamiento de sitios web estáticos para el bucket.

VersioningConfiguration Se ha habitado el control de versiones para objetos en el bucket.

Para obtener más información sobre los atributos, consulte Opciones de configuración de buckets en laGuía para desarrolladores de Amazon Simple Storage Service.

13

Page 20: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAmazon Virtual Private Cloud

Amazon Virtual Private Cloud

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

AWS::EC2::CustomerGatewayestá conectado a Conexión de VPN

AWS::EC2::InternetGatewayestá conectado a Virtual Private Cloud(VPC)

AWS::EC2::NetworkAclN/D N/D

Instancia EC2

Interfaz de red de EC2

Subred

contiene

gateway VPN

AWS::EC2::RouteTable

está contenido en Virtual Private Cloud(VPC)

Instancia EC2contiene

Interfaz de red de EC2

está conectado a ACL de red

Tabla de ruteo

AWS::EC2::Subnet

está contenido en

Virtual Private Cloud(VPC)

Instancia EC2

Interfaz de red de EC2

ACL de red

Tabla de ruteo

contiene

Subred

está asociado a Grupo de seguridad

Gateway de Internet

AWS::EC2::VPC

está conectado a

gateway VPN

Gateway de clienteAWS::EC2::VPNConnectionestá conectado a

gateway VPN

Virtual Private Cloud(VPC)

está conectado a

Conexión de VPN

Amazon Virtual PrivateCloud

AWS::EC2::VPNGateway

está contenido en Tabla de ruteo

14

Page 21: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAWS Auto Scaling

AWS Auto Scaling

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

contiene Instancia Amazon EC2

Classic Load Balancer

Configuración delanzamiento de AutoScaling

AWS::AutoScaling::AutoScalingGroup

está asociado a

Subred

AWS::AutoScaling::LaunchConfigurationestá asociado a Grupo de seguridad deAmazon EC2

Grupo de Auto ScalingAWS::AutoScaling::ScalingPolicyestá asociado a

Alarma

Auto Scaling

AWS::AutoScaling::ScheduledActionestá asociado a Grupo de Auto Scaling

AWS Certificate Manager

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

AWS CertificateManager

AWS::ACM::CertificateN/D N/D

AWS CloudFormation

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

AWS CloudFormation AWS::CloudFormation::Stack*contiene Tipos de recursos deAWS admitidos

*AWS Config registra cambios de configuración de pilas de AWS CloudFormation y de tipos de recursosadmitidos en las pilas. AWS Config no registra cambios de configuración para tipos de recursos de lapila que aún todavía no estén admitidos. Los tipos de recursos no admitidos aparecerán en la sección deconfiguración complementaria del elemento de configuración de la pila.

AWS CloudTrail

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

AWS CloudTrail AWS::CloudTrail::TrailN/D N/D

15

Page 22: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAWS CodeBuild

AWS CodeBuild

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

S3 bucketAWS CloudBuild AWS::CodeBuild::Project*está asociado a

Rol de IAM

*Para obtener más información acerca de cómo AWS Config se integra con AWS CodeBuild, consulteEjemplo de uso de AWS Config con AWS CodeBuild.

AWS CodePipeline

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

está conectado a S3 bucket

Rol de IAM

Proyecto de código

Función Lambda

Pila de CloudFormation

AWS CodePipeline AWS::CodePipeline::Pipeline*

está asociado a

AplicaciónElasticBeanstalk

*AWS Config registra cambios de configuración de canalizaciones de AWS CodePipeline y de tipos derecursos admitidos en las canalizaciones . AWS Config no registra cambios de configuración para tipos derecursos de las canalizaciones que aún todavía no estén admitidos. Los tipos de recursos no admitidoscomo CodeCommit repository, CodeDeploy application, ECS cluster, y ECS serviceaparecerán en la sección de configuración complementaria del elemento de configuración de la pila.

AWS Elastic Beanstalk

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

Versión de la aplicaciónElastic Beanstalk

contiene

Entorno de ElasticBeanstalk

AWS::ElasticBeanstalk::Application

está asociado a Rol de IAM

está contenido en Aplicación de ElasticBeanstalk

Entorno de ElasticBeanstalk

AWS Elastic Beanstalk

AWS::ElasticBeanstalk::ApplicationVersion

está asociado a

S3 bucket

16

Page 23: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAWS Identity and Access Management

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

está contenido en Aplicación de ElasticBeanstalk

Versión de la aplicaciónElastic Beanstalk

está asociado a

Rol de IAM

AWS::ElasticBeanstalk::Environment

contiene Pila de CloudFormation

AWS Identity and Access Management

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

Grupo de IAMAWS::IAM::User* está conectado a

Política administradapor el cliente de IAM

contiene Usuario de IAMAWS::IAM::Group*

está conectado a Política administradapor el cliente de IAM

AWS::IAM::Role* está conectado a Política administradapor el cliente de IAM

Usuario de IAM

Grupo de IAM

AWS Identity andAccess Management

AWS::IAM::Policy está conectado a

Rol de IAM

*Los recursos de AWS Identity and Access Management (IAM) son recursos globales. Los recursosglobales no están vinculados a una región en concreto y se pueden utilizar en todas las regiones. Losdetalles de configuración de un recurso global son los mismos en todas las regiones. Para obtener másinformación, consulte Selección de los recursos que debe registrar AWS Config (p. 57).

AWS Config incluye políticas insertadas con los detalles de configuración que registra.

Función de AWS Lambda

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

Rol de IAMestá asociado a

Grupo de seguridad deEC2

Función de AWSLambda

AWS::Lambda::Function

contiene Subred EC2

17

Page 24: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAWS Service Catalog

AWS Service Catalog

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

está contenido en PortfolioAWS::ServiceCatalog::CloudFormationProduct

está asociado a CloudFormationProvisionedProduct

Portfolio

CloudFormationProduct

AWS::ServiceCatalog::CloudFormationProvisionedProductestá asociado a

CloudFormationStack

AWS Service Catalog

AWS::ServiceCatalog::Portfoliocontiene CloudFormationProduct

AWS Shield

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

AWS::Shield::Protectionestá asociado a Distribución de AmazonCloudFront

está asociado a EC2 EIP

está asociado a Balanceador deElasticLoadBalancing

AWS Shield*

AWS::ShieldRegional::Protection

está asociado a LoadBalancer deElasticLoadBalancingV2

*AWS Config admite AWS::Shield::Protection solo en la región EE.UU. Este (Norte de Virginia). LaAWS::ShieldRegional::Protection está disponible en todas las regiones en las que se admite AWSShield.

AWS Administrador de sistemas

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

AWS::SSM::ManagedInstanceInventory*está asociado a Instancia EC2

AWS::SSM::PatchComplianceestá asociado a Inventario de instanciasadministradas

AWS Systems Manager

AWS::SSM::AssociationComplianceestá asociado a Inventario de instanciasadministradas

*Para obtener más información sobre el inventario de instancias administradas, consulte Registro de laconfiguración de software para instancias administradas (p. 61).

18

Page 25: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAWS WAF

AWS WAF

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

AWS::WAF::RateBasedRuleN/D N/D

AWS::WAF::Rule N/D N/D

Regla de WAF

Regla basada enfrecuencia de WAF

AWS::WAF::WebACL está asociado a

rulegroup de WAF

AWS::WAF::RuleGroup está asociado a Regla de WAF

AWS::WAFRegional::RateBasedRuleN/D N/D

AWS::WAFRegional::RuleN/D N/D

LoadBalancer deElasticLoadBalancingV2

Regla de WAFRegional

Regla basadaen frecuencia deWAFRegional

AWS::WAFRegional::WebACLestá asociado a

rulegroup deWAFRegional

AWS WAF*

AWS::WAFRegional::RuleGroupestá asociado a Regla de WAFRegional

*Los valores de tipo de recurso de AWS WAF solo están disponibles en la región EE.UU. Este (Nortede Virginia). Los valores AWS::WAFRegional::RateBasedRule, AWS::WAFRegional::Rule,AWS::WAFRegional::WebACL y AWS::WAFRegional::RuleGroup están disponibles en todas lasregiones en las que se admite AWS WAF.

AWS X-Ray

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

AWS X-Ray AWS::XRay::EncryptionConfigN/D N/D

Elastic Load Balancing

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

está asociado a Grupo de seguridad deEC2

Elastic Load Balancing Balanceador de cargade aplicaciones

AWS::ElasticLoadBalancingV2::LoadBalancerestá conectado a Subred

19

Page 26: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorElastic Load Balancing

Servicio de AWS Valor de tipo de recurso Relación Recurso relacionado

está contenido en Virtual Private Cloud(VPC)

está asociado a Grupo de seguridad deEC2

está conectado a Subred

Classic Load Balancer

AWS::ElasticLoadBalancing::LoadBalancer

está contenido en Virtual Private Cloud(VPC)

Balanceador de cargade red

AWS::ElasticLoadBalancingV2::LoadBalancer

N/D N/D

20

Page 27: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorConfiguración de AWS Config (consola)

Introducción a AWS ConfigCuando se inscribe en AWS, su cuenta tiene acceso a todos los servicios de AWS. Solo pagará por losservicios que utilice.

Si no dispone de una cuenta de AWS, utilice el siguiente procedimiento para crearla.

Para inscribirse en AWS

1. Abra https://aws.amazon.com/ y elija Create an AWS Account.2. Siga las instrucciones en línea.

Una vez que se inscriba en una cuenta de AWS, puede comenzar a utilizar AWS Config con la Consolade administración de AWS, AWS CLI o los SDK de AWS. Utilice la consola para que el proceso sea másrápido y sencillo.

Al configurar AWS Config, puede completar lo siguiente:

• Especifique los tipos de recursos que desea que registre AWS Config.• Configure un bucket de Amazon S3 para recibir una instantánea de la configuración a solicitud y el

historial de configuración.• Configure un tema de Amazon SNS para enviar notificaciones del flujo de configuración.• Conceda a AWS Config los permisos que necesita para obtener acceso al bucket de Amazon S3 y el

tema de SNS.• Especifique las reglas que desea que utilice AWS Config para evaluar la información de conformidad

para los tipos de recursos registrados.

Para obtener más información acerca del uso de AWS CLI, consulte Configuración de AWS Config conAWS CLI (p. 24).

Para obtener más información sobre el uso de los SDK de AWS, consulte AWS Kits de desarrollo desoftware para AWS Config (p. 209).

Temas• Configuración de AWS Config con la consola (p. 21)• Configuración de AWS Config con AWS CLI (p. 24)• Configuración de reglas de AWS Config con la consola (p. 29)• Ver el panel de AWS Config (p. 31)

Configuración de AWS Config con la consolaPuede utilizar la Consola de administración de AWS para comenzar a utilizar AWS Config para hacer losiguiente:

• Especificar los tipos de recursos que desea que registre AWS Config.

21

Page 28: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorConfiguración de AWS Config (consola)

• Configurar Amazon SNS para que le notifique de los cambios de configuración.• Especificar un bucket de Amazon S3 para recibir información de configuración.• Añadir reglas administradas de AWS Config para evaluar los tipos de recursos.

Si está utilizando AWS Config por primera vez o configurando AWS Config para una nueva región, puedeelegir reglas administradas para evaluar las configuraciones de los recursos. Para las regiones queadmiten AWS Config y reglas de AWS Config, consulte Regiones y puntos de enlace de AWS Config en laReferencia general de Amazon Web Services.

Para configurar AWS Config con la consola

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://console.aws.amazon.com/config/.

2. Si es la primera vez que se abre la consola de AWS Config o que configura AWS Config en una nuevaregión, la página de la consola AWS Config tiene este aspecto:

3. Seleccione Get Started Now.4. En la página Settings (Configuración), en Resource types to record (Tipos de recursos que registrar),

especifique los tipos de recursos de AWS que desea que AWS Config registre:

• All resources (Todos los recursos): AWS Config registra todos los recursos admitidos con lassiguientes opciones:• Record all resources supported in this region (Registrar todos los recursos admitidos en esta

región): AWS Config registra los cambios de configuración de todos los tipos de recursosregionales admitidos. Cuando AWS Config añade compatibilidad de un nuevo tipo de recurso,AWS Config empieza a registrar automáticamente los recursos de ese tipo.

• Include global resources (Incluir recursos globales): AWS Config incluye los tipos admitidos derecursos globales con los recursos que registra (por ejemplo, recursos de IAM). Cuando AWSConfig añade compatibilidad de un nuevo tipo de recurso global, AWS Config empieza a registrarautomáticamente los recursos de ese tipo.

22

Page 29: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorConfiguración de AWS Config (consola)

• Specific types (Tipos específicos): AWS Config registra los cambios de configuración solo de lostipos de recursos de AWS que especifique.

Para obtener más información sobre estas opciones, consulte Selección de los recursos que deberegistrar AWS Config (p. 57).

5. Para Bucket de Amazon S3, elija el bucket de Amazon S3 para que AWS Config envíe archivos dehistorial de configuración y archivos de instantáneas de configuración:

• Crear un bucket nuevo: para Nombre del bucket, escriba un nombre para su bucket Amazon S3.

El nombre que escriba debe ser único entre todos los nombres de buckets existentes en AmazonS3. Una forma de garantizar la exclusividad consiste en incluir un prefijo; por ejemplo, el nombre desu organización. No se puede cambiar el nombre del bucket después de crearlo. Para obtener másinformación, consulte Bucket Restrictions and Limitations en Guía para desarrolladores de AmazonSimple Storage Service.

• Choose a bucket from your account (Elegir un bucket de su cuenta): para Nombre del bucket, elija elbucket que prefiera.

• Elegir un bucket de otra cuenta: para Nombre del bucket, escriba el nombre del bucket.

Si elige un bucket de otra cuenta, ese bucket debe tener políticas que concedan permisos deacceso a AWS Config. Para obtener más información, consulte Permisos para el bucket de AmazonS3 (p. 94).

6. Para Amazon SNS Topic (Tema), elija si AWS Config transmite la información seleccionandoStream configuration changes and notifications to an Amazon SNS topic (Transmitir cambios de laconfiguración y notificaciones a un tema de Amazon SNS). AWS Config envía notificaciones comosobre entrega de historial de configuración, entrega de instantánea de configuración y conformidad.

7. Si ha seleccionado que AWS Config transmita a un tema de Amazon SNS, elija el tema objetivo:

• Crear un tema nuevo: para Topic Name, escriba el nombre del tema de SNS.• Elegir un tema de su cuenta: para Topic Name, seleccione su tema preferido.• Elegir un tema de otra cuenta: para ARN de tema, escriba el nombre de recurso de Amazon (ARN)

del tema. Si elige un tema de otra cuenta, el tema deben tener políticas que concedan permisosde acceso a AWS Config. Para obtener más información, consulte Permisos para el tema AmazonSNS (p. 96).

Note

El tema de Amazon SNS debe existir en la misma región que la región en la que se haconfigurado AWS Config.

8. Para AWS Config role (Rol de AWS Config), seleccione el rol de IAM que conceda permiso a AWSConfig para que registre información de configuración y la envíe a Amazon S3 y Amazon SNS:

• Create a role (Crear un rol): AWS Config crea un rol que cuenta con los permisos necesarios. ParaRole name (Nombre de rol), puede personalizar el nombre que crea AWS Config.

• Choose a role from your account (Elegir una función de su cuenta): para Role name (Nombre derol), seleccione un rol de IAM en su cuenta. AWS Config asociará las políticas necesarias. Paraobtener más información, consulte Permisos del rol de IAM asignado a AWS Config (p. 92).

Note

Marque la casilla si desea utilizar el rol de IAM tal cual. AWS Config no asociará políticas alrol.

9. Si está configurando AWS Config en una región compatible con las normas, seleccione Next(Siguiente). Consulte Configuración de reglas de AWS Config con la consola (p. 29).

23

Page 30: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorConfiguración de AWS Config (AWS CLI)

De lo contrario, seleccione Save (Guardar). AWS Config muestra la página Resource inventory(Inventario de recursos).

Para obtener más información acerca de las búsquedas de los recursos existentes en su cuenta ycomprender las configuraciones de los recursos, consulte Visualización y administración de los recursos deAWS (p. 34).

Si ha seleccionado que AWS Config transmita información a un tema de Amazon SNS, puede recibirnotificaciones por correo electrónico. Para obtener más información, consulte Monitorización decambios de recursos de AWS Config por correo electrónico (p. 62). También puede utilizar AmazonSimple Queue Service para monitorizar los recursos de AWS de forma programada. Para obtener másinformación, consulte Monitorización de los cambios en los recursos de AWS con Amazon SQS (p. 192).

Configuración de AWS Config con AWS CLIPuede utilizar AWS Command Line Interface para controlar y automatizar los servicios de AWS.

Para obtener más información sobre la AWS CLI y para obtener instrucciones sobre la instalación deherramientas de AWS CLI, consulte lo siguiente en la AWS Command Line Interface Guía del usuario.

• AWS Command Line Interface Guía del usuario• Configuración inicial de la AWS Command Line Interface

Consulte los siguientes temas para configurar AWS Config con la AWS CLI. Después de configurarAWS Config, puede añadir reglas para evaluar los tipos de recursos en su cuenta. Para obtener másinformación sobre la configuración de reglas con AWS Config, consulte Ver, actualizar y eliminar reglas(AWS CLI) (p. 172).

Temas• Requisitos previos (p. 24)• Activación de AWS Config (p. 27)• Verificación de la activación de AWS Config (p. 28)

Requisitos previosSiga este procedimiento para crear un bucket de Amazon S3, un tema de Amazon SNS y un rol de IAMcon políticas asociadas. A continuación, puede utilizar la AWS CLI para especificar el bucket, tema y rolpara AWS Config.

Contenido• Creación de un bucket de Amazon S3 (p. 24)• Creación de un tema de Amazon SNS (p. 25)• Creación de un rol de IAM (p. 26)

Creación de un bucket de Amazon S3Si ya tiene un bucket de Amazon S3 en su cuenta y desea utilizarlo, omita este paso y vaya a Creación deun tema de Amazon SNS (p. 25).

Para crear un bucket de Amazon S3 con la AWS CLI, utilice el comando create-bucket.

24

Page 31: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorRequisitos previos

Para crear un bucket de Amazon S3 con la consola

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

2. Elija Actions (Acciones) y, a continuación, seleccione Create Bucket (Crear bucket).3. En Bucket Name: (Nombre de bucket), escriba un nombre para el bucket de Amazon S3, como my-

config-bucket.

Note

Asegúrese de que el nombre del bucket que elija sea único entre todos los nombres debuckets de Amazon S3. No puede cambiar el nombre de un bucket después de crearlo.Para obtener más información sobre las reglas y las convenciones de nomenclatura delos buckets, consulte la sección Restricciones y limitaciones de bucket en la Guía paradesarrolladores de Amazon Simple Storage Service.

4. Seleccione Create.

Note

También puede utilizar un bucket de Amazon S3 desde una cuenta diferente, pero es posibleque deba crear una política para el bucket que otorgue permisos de acceso a AWS Config. Paraobtener más información sobre la concesión de permisos a un bucket de Amazon S3, consultePermisos para el bucket de Amazon S3 (p. 94) y, a continuación, vaya a Creación de un temade Amazon SNS (p. 25).

Creación de un tema de Amazon SNSSi ya tiene un tema de Amazon SNS en su cuenta y desea utilizarlo, omita este paso y vaya a Creación deun rol de IAM (p. 26).

Para crear un tema de Amazon SNS con la AWS CLI, utilice el comando create-topic.

Para crear un tema de Amazon SNS con la consola

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v2/home.

2. Elija Create New Topic (Crear nuevo tema).3. Para Topic Name (Nombre del tema), escriba un nombre para el tema de SNS, como my-config-

notice.4. Elija Create Topic (Crear tema).

El nuevo tema aparece en la página Topic Details (Detalles del tema). Copie el ARN del tema para lasiguiente tarea.

Para obtener más información, consulte la sección Formato de ARN en la AWS General Reference.

Para recibir notificaciones de AWS Config, debe suscribir una dirección de correo electrónico al tema.

Para suscribir una dirección de correo electrónico al tema de SNS

1. En la consola de Amazon SNS, elija Subscriptions (Suscripciones) en el panel de navegación.2. En la página Subscriptions (Suscripciones), elija Create Subscription (Crear suscripción).3. Para Topic ARN (ARN de tema), pegue el ARN del tema que ha copiado en la tarea anterior.4. Para Protocol, elija Email.

25

Page 32: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorRequisitos previos

5. Para Endpoint (Punto de enlace), escriba una dirección de correo electrónico que puede utilizar pararecibir la notificación y, a continuación, seleccione Subscribe (Suscribir).

6. Vaya a su aplicación de correo electrónico y abra el mensaje en AWS Notifications (Notificaciones deAWS). Elija el vínculo para confirmar la suscripción.

El navegador web muestra una respuesta de confirmación de Amazon SNS. Amazon SNS ya estáconfigurado para recibir notificaciones y enviar la notificación como un correo electrónico a la direcciónde correo electrónico especificada.

Note

También puede utilizar un tema de Amazon SNS de otra cuenta, pero es posible que tenga quecrear una política para el tema que conceda permisos de acceso a AWS Config. Para obtenerinformación sobre la concesión de permisos a un tema de Amazon SNS, consulte Permisos parael tema Amazon SNS (p. 96) y, a continuación, vaya a Creación de un rol de IAM (p. 26).

Creación de un rol de IAMPuede utilizar la consola de IAM para crear un rol de IAM que conceda permisos de AWS Config paraobtener acceso a su bucket de Amazon S3, obtener acceso a su tema de Amazon SNS y obtener losdetalles de la configuración para los recursos de AWS admitidos. Después de crear el rol de IAM, podrácrear y asociar políticas al rol.

Para crear un rol de IAM con la AWS CLI, utilice el comando create-role. A continuación, puede asociaruna política al rol con el comando attach-role-policy.

Para crear un rol de IAM con la consola

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En la consola de IAM, elija Roles en el panel de navegación y elija Create New Role (Crear nuevo rol).3. Para Role Name (Nombre de rol), escriba un nombre que describa el objetivo de este rol. Los nombres

de rol deben ser únicos en su cuenta de AWS. Dado que varias entidades pueden hacer referencia alrol, no puede editar el nombre del rol después de crearlo.

Seleccione Next Step.4. Elija AWS Service Roles (Roles de servicio de AWS) y, a continuación, elija Select (Seleccionar) para

AWS Config.5. En la página Attach Policy (Asociar política), seleccione AWSConfigRole. Esta política administrada

por AWS concede permiso a AWS Config para obtener los detalles de configuración de los recursosde AWS admitidos. A continuación, elija Next Step (Paso siguiente).

6. En la página Review (Revisar), revise los datos de su rol y elija Create Role (Crear rol).7. En la página Roles, elija el rol que ha creado para abrir su página de detalles.

Podrá ampliar los permisos del rol mediante la creación de políticas en línea que permiten a AWS Configobtener acceso a su bucket de Amazon S3 y su tema de Amazon SNS.

Para crear una política en línea que conceda permiso a AWS Config para obtener acceso a subucket de Amazon S3

1. En la sección Permissions (Permisos), expanda la sección Inline Policies (Políticas en línea) y elijaclick here (haga clic aquí).

2. Elija Custom Policy (Política personalizada y luego Select (Seleccionar).

26

Page 33: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorActivación de AWS Config

3. En Policy Name (Nombre de política), escriba un nombre para su política en línea.4. Copie la política del bucket de Amazon S3 de ejemplo en Política de roles de IAM para el bucket de

Amazon S3 (p. 93) y péguela en el editor Policy Document (Documento de política).

Important

Antes de pasar al siguiente paso, sustituya los siguientes valores en la política. Si nosustituye los valores, la política fallará.

• myBucketName: sustitúyalo por el nombre del bucket de Amazon S3.• prefix: sustitúyalo por su propio prefijo o déjelo en blanco eliminando la barra "/".• myAccountID-WithoutHyphens: sustitúyalo por el ID de su cuenta de AWS.

5. Seleccione Apply Policy.

Para crear una política en línea que conceda a AWS Config permisos para entregar notificacionesa su tema de Amazon SNS

1. En la sección Permissions (Permisos), expanda la sección Inline Policies (Políticas en línea) y elijaclick here (haga clic aquí).

2. Elija Custom Policy (Política personalizada y luego Select (Seleccionar).3. En Policy Name (Nombre de política), escriba un nombre para su política en línea.4. Copie la política de ejemplo del tema de Amazon SNS en Política de roles de IAM para temas de

Amazon SNS (p. 93) y péguela en el editor Policy Document (Documento de política).

Important

Antes de pasar al siguiente paso, sustituya arn:aws:sns:region:account-id:myTopicpor el ARN que guardó al crear su tema de Amazon SNS.

5. Seleccione Apply Policy.

Activación de AWS ConfigPuede utilizar la AWS CLI para activar AWS Config con el comando subscribe y algunos parámetros.

Puede utilizar el comando subscribe para que AWS Config inicie configuraciones de grabación detodos los recursos de AWS admitidos en su cuenta. El comando subscribe crea un registrador deconfiguración, un canal de entrega mediante un bucket de Amazon S3 especificado y un tema AmazonSNS y comienza a registrar los elementos de la configuración. Puede tener un registrador de configuracióny un canal de entrega por región en su cuenta.

Para activar AWS Config, utilice subscribe con los siguientes parámetros:

El comando subscribe utiliza las siguientes opciones:

--s3-bucket

Especifique el nombre de un bucket de Amazon S3 existente en su cuenta o en otra cuenta.--sns-topic

Especifique el nombre de recurso de Amazon (ARN) de un tema de SNS existente en su cuenta o enotra cuenta.

--iam-role

Especifique el nombre de recurso de Amazon (ARN) de un rol de IAM existente.

27

Page 34: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVerificación de la activación de AWS Config

La función IAM especificada debe tener políticas asociadas que concedan permisos a AWS Configpara entregar elementos de configuración al bucket de Amazon S3 y el tema de Amazon SNS y lafunción debe conceder permisos para las API Describe de los recursos de AWS admitidos.

El comando debería ser igual al siguiente ejemplo:

$ aws configservice subscribe --s3-bucket my-config-bucket --sns-topic arn:aws:sns:us-east-2:012345678912:my-config-notice --iam-role arn:aws:iam::012345678912:role/myConfigRole

Después de ejecutar el comando subscribe, AWS Config registra todos los recursos admitidos queencuentra en la región. Si no desea que AWS Config registre los recursos admitidos, especifique los tiposde recursos que quiera registrar actualizando el registrador de configuraciones para que utilice un grupo deregistro. Para obtener más información, consulte Selección de recursos (AWS CLI) (p. 59).

Verificación de la activación de AWS ConfigUna vez que se ha activado AWS Config, puede utilizar los comandos de la AWS CLI para verificar queAWS Config está ejecutándose y que el comando subscribe ha creado un registrador de configuracióny un canal de entrega. También puede confirmar que AWS Config ha comenzado a registrar y entregarconfiguraciones en el canal de entrega.

Contenido• Verificación de la creación del canal de entrega (p. 28)• Verificación de la creación del registrador de configuración (p. 28)• Verificación del inicio de registro de AWS Config (p. 29)

Verificación de la creación del canal de entregaUtilice el comando describe-delivery-channels para verificar que el bucket de Amazon S3 y el temaAmazon SNS se ha configurado.

$ aws configservice describe-delivery-channels{ "DeliveryChannels": [ { "snsTopicARN": "arn:aws:sns:us-west-2:0123456789012:my-config-topic", "name": "my-delivery-channel", "s3BucketName": "my-config-bucket" } ]}

Cuando se utiliza la interfaz de línea de comandos (CLI), las API de servicio o los SDKs para configurar elcanal de entrega y no especifica un nombre, AWS Config asigna automáticamente el nombre "default".

Verificación de la creación del registrador de configuraciónUtilice el comando describe-configuration-recorders para verificar que se ha creado enregistrador de configuración y de que ha asumido un rol IAM. Para obtener más información, consulteCreación de un rol de IAM (p. 26).

$ aws configservice describe-configuration-recorders

28

Page 35: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorConfiguración de reglas de AWS Config (consola)

{ "ConfigurationRecorders": [ { "roleARN": "arn:aws:iam::012345678912:role/myConfigRole", "name": "default" } ]}

Verificación del inicio de registro de AWS ConfigUtilice el comando describe-configuration-recorder-status para verificar que AWS Config hacomenzado a registrar las configuraciones de los recursos compatibles de AWS existentes en su cuenta.Las configuraciones registradas se entregan al canal de entrega especificado.

$ aws configservice describe-configuration-recorder-status{ "ConfigurationRecordersStatus": [ { "name": "default", "lastStatus": "SUCCESS", "lastStopTime": 1414511624.914, "lastStartTime": 1414708460.276, "recording": true, "lastStatusChangeTime": 1414816537.148, "lastErrorMessage": "NA", "lastErrorCode": "400" } ]}

El valor true en el campo recording confirma que el registrador de configuración ha comenzado aregistrar las configuraciones de todos los recursos. AWS Config utiliza el formato UTC (GMT - 8:00) pararegistrar la hora.

Para obtener más información acerca de las búsquedas de los recursos existentes en su cuenta ycomprender las configuraciones de los recursos, consulte Visualización y administración de los recursos deAWS (p. 34).

Configuración de reglas de AWS Config con laconsola

La página Rules (Reglas) ofrece reglas administradas iniciales de AWS que puede añadir a su cuenta.Tras la configuración, AWS Config evalúa los recursos de AWS con respecto a las reglas que elija. Puedeactualizar las reglas y crear reglas administradas adicionales después de la configuración.

Para ver la lista completa de las reglas administradas de AWS, consulte Lista de las reglas administradasde AWS Config (p. 103).

Por ejemplo, puede elegir la regla cloudtrail-enabled, que evalúa si la cuenta tiene un registro deseguimiento de CloudTrail. Si su cuenta no tiene un registro de seguimiento, AWS Config marca el tipo y laregla como no conformes.

29

Page 36: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorConfiguración de reglas de AWS Config (consola)

En la página Rules (Reglas), puede realizar lo siguiente:

A. Escriba en el campo de búsqueda para filtrar los resultados por nombre de regla, descripción o etiqueta.Por ejemplo, escriba EC2 para que devuelva las reglas que evalúan tipos de recursos de EC2 o escribaperiodic para que devuelva reglas con un disparador periódico. Escriba "new" para buscar reglasque se acaban de añadir. Para obtener más información sobre los tipos de disparadores, consulteEspecificación de los disparadores de reglas de AWS Config (p. 101).

B. Seleccione Select all para añadir todas las reglas o Clear all para eliminarlas todas.C. Seleccione el icono de flecha para ver la siguiente página de reglas.D. Las reglas recién añadidas están marcadas como New (Nueva).E. Consulte las etiquetas para identificar el servicio que evalúa la regla y si la regla tiene un disparador

periódico.

Configurar reglas de AWS Config

1. En la página Rules (Reglas), seleccione las reglas que desee. Puede personalizar estas reglas yañadir otras a su cuenta tras la configuración.

2. Seleccione Next (Siguiente).3. En la página Review, verifique los datos de la configuración y, a continuación, seleccione Confirm.

30

Page 37: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVer el panel de AWS Config

La página Rules (Reglas) muestra las reglas y los resultados actuales de conformidad en la tabla.El resultado para cada regla es Evaluating... hasta que AWS Config acaba de evaluar los recursoscon respecto a la regla. Puede actualizar los resultados con el botón de actualizar. Cuando AWSConfig termina las evaluaciones, puede ver las reglas y los tipos de recursos que son conformeso no conformes. Para obtener más información, consulte Visualización de conformidad de laconfiguración (p. 98).

Note

AWS Config evalúa solo los tipos de recursos que está registrando. Por ejemplo, si añade la reglacloudtrail-enabled pero no registra el tipo de recurso de registro de seguimiento de CloudTrail,AWS Config no puede evaluar si los registros de seguimiento en la cuenta son o no conformes.Para obtener más información, consulte Selección de los recursos que debe registrar AWSConfig (p. 57).

Puede ver, editar y eliminar las reglas existentes. También puede crear reglas administradas de AWSadicionales o crear las suyas propias. Para obtener más información, consulte Administración de reglas deAWS Config (p. 170).

Ver el panel de AWS ConfigUtilice el Dashboard (Panel) para ver información general de los recursos reglas, y su estado deconformidad. Esta página le ayuda a identificar rápidamente los recursos principales de su cuenta y lasreglas o recursos no conformes.

Después de configurar AWS Config, comienza a registrar los recursos especificados y, a continuación, losevalúa de acuerdo con sus normas. AWS Config puede tardar unos minutos en mostrar los recursos, lasnormas y los estados de conformidad en el Dashboard (Panel).

Para utilizar el panel (Dashboard) de AWS Config

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://console.aws.amazon.com/config/.

2. Elija Dashsboard (Panel).3. Utilice el Dashboard (Panel) para ver información general de los recursos reglas, y su estado de

conformidad.

En el Dashboard (Panel), puede hacer lo siguiente:

31

Page 38: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVer el panel de AWS Config

A. Ver la cantidad total de recursos que AWS Config está registrando.B. Ver los tipos de recursos que AWS Config está registrando, en orden descendente (la cantidad de

recursos). Elija un tipo de recurso para ir a la página Resources inventory (Inventario de recursos).C. Elija View all resources (Ver todos los recursos) para ir a la página Resources inventory (Inventario

de recursos).D. Ver la cantidad de reglas no conformes.E. Ver la cantidad de recursos no conformes.F. Ver la principales reglas no conformes, en orden descendente (la cantidad de recursos).G. Elija View all noncompliant rules (Ver todas las reglas no conformes) para ir a la página Rules

(Reglas).

Dashboard (Panel)) muestra los recursos y reglas específicas para su región y cuenta. No muestrarecursos ni reglas de otras regiones o cuentas de AWS.

Note

El mensaje Evaluate your AWS resource configuration using Config rules (Evalúe la configuraciónde sus recursos de AWS mediante reglas de configuración) puede aparecer en el Dashboard(Panel) por las siguientes razones:

• No has configurado reglas de AWS Config para la cuenta. Puede elegir Add rule (Añadir regla)para ir a la página Rules (Reglas).

• AWS Config continúa evaluando los recursos con respecto a sus reglas. Puede actualizar lapágina para ver los últimos resultados de la evaluación.

• AWS Config evaluó sus recursos con respecto a sus reglas y no se encontraron recursos en elámbito. Puede especificar los recursos para que AWS Config los registre en la página Settings(Configuración). Para obtener más información, consulte Selección de los recursos que deberegistrar AWS Config (p. 57).

32

Page 39: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorComponentes de un elemento de configuración

Visualización de configuraciones derecursos de AWS y administración deAWS Config

Use AWS Config para lo siguiente:

• Ver todos los recursos que AWS Config está registrando en su cuenta.• Personalizar los tipos de recursos que AWS Config registra.• Ver los cambios de configuración durante un periodo de tiempo determinado para un recurso en la

consola de AWS Config y en la AWS CLI.• Ver el historial de configuración de recursos de AWS• Ver el historial de conformidad de recursos de AWS• Ver todas las notificaciones que AWS Config envía a un tema Amazon SNS.• Modificar la configuración para su rol de IAM• Modificar o eliminar canales de entrega

Temas• Componentes de un elemento de configuración (p. 33)• Visualización de historial y configuraciones de recursos de AWS (p. 34)• Administración de AWS Config (p. 51)• Notificaciones que AWS Config envía a un tema de Amazon SNS (p. 68)

Componentes de un elemento de configuraciónUn elemento de configuración consta de los siguientes componentes.

Componente Descripción Contiene

Metadatos Información sobre este elementode configuración.

• ID de versión.• Hora en la que se ha capturado el elemento

de configuración.• Estado del elemento de configuración

que indica si el elemento se ha capturadocorrectamente.

• ID de estado que indica la ordenación de loselementos de configuración de un recurso.

Atributos1 Atributos de recursos • ID de recursos

33

Page 40: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización de historial y

configuraciones de recursos de AWS

Componente Descripción Contiene• Lista de etiquetas clave–valor2 de este

recurso• Tipo de recurso; consulte Tipos de recursos

de AWS admitidos por AWS Config yrelaciones de recursos (p. 9)

• nombre de recurso de Amazon (ARN)• Zona de disponibilidad que contiene este

recurso, si procede• Hora a la que se ha creado el recurso

Relaciones Cómo está relacionado el recursocon otros recursos asociados a lacuenta

Descripción de la relación, como volumen deAmazon EBS vol-1234567 vinculado a unainstancia i-a1b2c3d4 de Amazon EC2

Configuraciónactual

La información que se devuelvea través de una llamada a las APIDescribe o List del recurso

Por ejemplo, la API DescribeVolumesdevuelve la siguiente información sobre elvolumen:

• Zona de disponibilidad en la que seencuentra el volumen

• Hora a la que se ha conectado el volumen• ID de la instancia EC2 a la que está

conectado• Estado actual del volumen• Estado de la marca DeleteOnTermination• Dispositivo al que está conectado el volumen• Tipo de volumen, como por ejemplo gp2,io1, o standard

Notas

1. La relación de un elemento de configuración no incluye el flujo de red o las dependencias de flujo dedatos. Los elementos de configuración no se puede personalizar para representar la arquitectura de suaplicación.

2. AWS Config no registra etiquetas clave–valor para registro de seguimiento de CloudTrail, distribución deCloudFront y distribución de streaming de CloudFront.

3. A partir de la versión 1.3, el campo relatedEvents está vacío. Puede tener acceso a la APILookupEvents en la AWS CloudTrail API Reference para recuperar los eventos del recurso.

4. A partir de la versión 1.3, el campo configurationItemMD5Hash está vacío. Puede utilizar el campoconfigurationStateId para asegurarse de que dispone del elemento de configuración más reciente.

Visualización de historial y configuraciones derecursos de AWS

Puede ver todos los recursos que está registrando AWS Config en su cuenta, los cambios de configuraciónque se han producido para un recurso durante un periodo de tiempo especificado y las relaciones delrecurso seleccionado con todos los recursos relacionados. También puede ver los cambios de estado deconformidad para los recursos conforme AWS Config Rules los evalúa mostrados en una línea temporal.

34

Page 41: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorBúsqueda de recursos detectados

Temas• Búsqueda de recursos que detecta AWS Config (p. 35)• Visualización de los detalles de la configuración (p. 36)• Visualización del historial de conformidad para recursos según la evaluación de AWS Config

Rules (p. 42)• Instantánea de configuración de entrega a un bucket de Amazon S3 (p. 46)

Búsqueda de recursos que detecta AWS ConfigPuede utilizar la consola de AWS Config, AWS CLI y la API de AWS Config para buscar los recursoscon los que AWS Config ha creado un inventario o detectado, incluyendo los recursos eliminados y losrecursos que AWS Config no está registrando actualmente. AWS Config detecta únicamente los tipos derecursos compatibles. Para obtener más información, consulte Tipos de recursos de AWS admitidos porAWS Config y relaciones de recursos (p. 9).

Búsqueda de recursos (consola de AWS Config)Puede utilizar tipos de recursos o información de etiquetas para buscar recursos en la consola de AWSConfig.

Para buscar recursos

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://console.aws.amazon.com/config/.

2. En la página Inventario de recursos, especifique las opciones de búsqueda de los recursos que deseabuscar:

• Elija Recursos y, a continuación, elija uno o varios tipos de recursos en la lista. En esta lista, seincluyen los tipos de recursos que admite AWS Config. Para limitar resultados, escriba un ID derecurso o, si procede, un nombre de recurso en el cuadro siguiente. También puede elegir Incluirrecursos eliminados.

• Elija Tag y escriba una clave de etiqueta que se aplique a sus recursos, como CostCenter. Paralimitar los resultados, escriba un valor de etiqueta en el siguiente cuadro.

3. Después de especificar las opciones de búsqueda, seleccione Look up.4. AWS Config enumera los recursos que coinciden con las opciones de búsqueda. Puede consultar la

siguiente información sobre los recursos:

• Identificador de recursos: el identificador de recursos puede ser un ID de recurso o un nombre derecurso, si procede. Elija el enlace del identificador de recursos para ver la página de detalles derecursos.

• Tipo de recurso –: el tipo del recurso aparece en la lista.• Conformidad: el estado del recurso que AWS Config evalúa con respecto a la regla.

Para obtener más información, consulte Visualización de los detalles de la configuración (p. 36).

Búsqueda de recursos (AWS CLI)Puede utilizar el AWS CLI para ver los recursos que ha detectado AWS Config.

Para buscar recursos (AWS CLI)

• Utilice el comando aws configservice list-discovered-resources:

35

Page 42: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización de los detalles de la configuración

Example

$ aws configservice list-discovered-resources --resource-type "AWS::EC2::Instance" { "resourceIdentifiers": [ { "resourceType": "AWS::EC2::Instance", "resourceId": "i-nnnnnnnn" } ] }

Para ver los detalles de la configuración de un recurso que aparece en la respuesta, utilice el comandoget-resource-config-history y especifique el tipo y el ID de recurso. Para ver un ejemplo de estecomando y la respuesta de AWS Config, consulte Visualización del historial de configuración (p. 38).

Búsqueda de recursos (API; de AWS Config)Puede especificar un tipo de recurso y AWS Config devuelve una lista de los identificadores de recursospara los recursos de ese tipo. Para obtener más información, consulte ResourceIdentifier en la AWS ConfigAPI Reference.

Para buscar recursos (API; de AWS Config)

• Utilice la acción ListDiscoveredResources.

Para obtener los detalles de la configuración de un recurso que aparece en la respuesta, utilice la acciónGetResourceConfigHistory y especifique el tipo y el ID de recurso.

Visualización de los detalles de la configuraciónPuede ver la configuración, las relaciones y el número de cambios realizados en un recurso en la consolade AWS Config. Puede ver el historial de configuración para un recurso mediante AWS CLI.

Visualización de los detalles de la configuración (consola)Cuando busca recursos en la página Inventario de recursos, haga clic en el nombre o ID del recurso enla columna del identificador de recurso para ver la página de detalles del recurso. La página de detallesproporciona información sobre la configuración, las relaciones y el número de cambios realizados en dichorecurso.

Los bloques de la parte superior de la página se denominan colectivamente línea temporal. La líneatemporal muestra la fecha y la hora a las que se realizó el registro.

36

Page 43: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización de los detalles de la configuración

Características de la página Details (Detalles)

1. Haga clic para desplazar la línea temporal a un punto anterior en el historial de la configuración delrecurso.

2. Haga clic en un bloque de la línea temporal para seleccionar el periodo de tiempo. Las descripciones enlas secciones Detalles de configuración, Relaciones y Cambios componen el elemento de configuracióndel recurso seleccionado en el periodo de tiempo seleccionado.

3. Haga clic restablecer la hora actual en la línea temporal.4. Haga clic para ver un elemento de configuración especificando una fecha (y, si es necesario, la hora) y,

a continuación, elija Aplicar.5. Haga clic para ir a la sección Cambios. El número que hay después de Changes es el número de

cambios de configuración realizados en el recurso entre el periodo de tiempo seleccionado y el bloqueanterior.

6. Haga clic para ir a la sección CloudTrail events (Eventos de CloudTrail). El número que hay despuésde Events (Eventos) es el número de eventos de API que han tenido lugar para el recurso entre elperiodo de tiempo seleccionado y el bloque anterior. Puede ver los eventos de API que AWS CloudTrailha registrado en los últimos 90 días. Los eventos de CloudTrail que se hayan producido antes de losúltimos 90 días no se pueden ver en la línea temporal.

Para obtener más información, consulte Visualización de eventos con el historial de actividad de API deCloudTrail en la AWS CloudTrail User Guide.

Note

Es posible que los eventos de CloudTrail no estén disponibles por las razones siguientes:

• Compruebe que tiene permisos de lectura suficientes para CloudTrail. Para obtener másinformación, consulte Acceso de solo lectura (p. 85).

• Existe un problema de servicio y los eventos de CloudTrail no se pueden mostrar en estemomento. Intente actualizar la página.

37

Page 44: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización de los detalles de la configuración

• No tiene un registro de seguimiento de CloudTrail en esta región o el registro de seguimiento noestá activado para el registro. Para obtener más información, consulte Creación de un registrode seguimiento por primera vez en la AWS CloudTrail User Guide.

Consejos para navegar por la línea temporal del recurso seleccionadoA continuación se ofrecen consejos para ver información sobre el recurso seleccionado en la líneatemporal.

• Utilice las flechas en cada extremo de la línea temporal para ver los bloques de la línea temporal de loselementos de configuración que se registraron en otros periodos de tiempo.

• Elija Detalles de configuración para ver la descripción del recurso seleccionado.• Elija Relaciones para ver una lista de los recursos admitidos en la cuenta que están relacionados

con el recurso seleccionado. Si la sección Relaciones no se expande, eso significa que el recursoseleccionado no estaba relacionado con otro recurso que estaba en su cuenta durante el periodo detiempo seleccionado.

Para obtener más información, consulte Relación de recursos (p. 4).• Si se indican cambios para el periodo de tiempo seleccionado, seleccione Cambios para ver los cambios

de configuración realizados en el recurso. En la sección Changes, también se muestran los cambios derelación que se han producido como resultado de los cambios de configuración.

• Elija CloudTrail events (Eventos de CloudTrail) para ver información sobre las llamadas al API queimplican el recurso, como el tiempo del evento, el nombre de usuario y el nombre del evento. Porejemplo, si AWS Config está registrando tipos de recursos de IAM y se actualiza un rol de IAM, puedever el evento para comprobar UpdateRole en la columna Event name (Nombre de evento).

• En la columna View event (Ver evento), puede elegir el vínculo CloudTrail para ver más informaciónsobre el evento en la consola de CloudTrail. Debe crear un registro de seguimiento y activar el registrode CloudTrail para ver los eventos en la línea temporal de AWS Config.

• Elija Ver detalles para ver la información de configuración en formato de texto o JSON. Haga clic en lasflechas en la ventana de detalles para ver detalles adicionales.

Para obtener más información sobre las entradas en la ventana de detalles, consulte Componentes deun elemento de configuración (p. 33).

• Elija Manage resources (Administrar recursos) para ir a la consola del recurso seleccionado. Si realizaun cambio en el recurso, vaya a la consola de AWS Config y elija Ahora para ver los cambios. Esteproceso puede tardar hasta 10 minutos para actualizar la página de detalles para el recurso.

La consola también ofrece páginas de detalles de los recursos admitidos que no se incluyen en la listade recursos que registra AWS Config. La información incluida en estas páginas de detalles es limitada yno se muestran los constantes cambios de configuración.

Visualización de los detalles de la configuración (AWS CLI)Los elementos de configuración que registra AWS Config se entregan al canal de entrega especificadoa demanda como una instantánea de la configuración y como un flujo de configuración. Puede utilizar laAWS CLI para ver el historial de los elementos de configuración de cada recurso.

Visualización del historial de configuraciónEscriba el comando get-resource-config-history y especifique el tipo de recurso y el ID derecurso, por ejemplo:

$ aws configservice get-resource-config-history --resource-type AWS::EC2::SecurityGroup --resource-id sg-6fbb3807{

38

Page 45: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización de los detalles de la configuración

"configurationItems": [ { "configurationItemCaptureTime": 1414708529.9219999, "relationships": [ { "resourceType": "AWS::EC2::Instance", "resourceId": "i-7a3b232a", "relationshipName": "Is associated with Instance" }, { "resourceType": "AWS::EC2::Instance", "resourceId": "i-8b6eb2ab", "relationshipName": "Is associated with Instance" }, { "resourceType": "AWS::EC2::Instance", "resourceId": "i-c478efe5", "relationshipName": "Is associated with Instance" }, { "resourceType": "AWS::EC2::Instance", "resourceId": "i-e4cbe38d", "relationshipName": "Is associated with Instance" } ], "availabilityZone": "Not Applicable", "tags": {}, "resourceType": "AWS::EC2::SecurityGroup", "resourceId": "sg-6fbb3807", "configurationStateId": "1", "relatedEvents": [], "arn": "arn:aws:ec2:us-east-2:012345678912:security-group/default", "version": "1.0", "configurationItemMD5Hash": "860aa81fc3869e186b2ee00bc638a01a", "configuration": "{\"ownerId\":\"605053316265\",\"groupName\":\"default\",\"groupId\":\"sg-6fbb3807\",\"description\":\"default group\",\"ipPermissions\":[{\"ipProtocol\":\"tcp\",\"fromPort\":80,\"toPort\":80,\"userIdGroupPairs\":[{\"userId\":\"amazon-elb\",\"groupName\":\"amazon-elb-sg\",\"groupId\":\"sg-843f59ed\"}],\"ipRanges\":[\"0.0.0.0/0\"]},{\"ipProtocol\":\"tcp\",\"fromPort\":0,\"toPort\":65535,\"userIdGroupPairs\":[{\"userId\":\"605053316265\",\"groupName\":\"default\",\"groupId\":\"sg-6fbb3807\"}],\"ipRanges\":[]},{\"ipProtocol\":\"udp\",\"fromPort\":0,\"toPort\":65535,\"userIdGroupPairs\":[{\"userId\":\"605053316265\",\"groupName\":\"default\",\"groupId\":\"sg-6fbb3807\"}],\"ipRanges\":[]},{\"ipProtocol\":\"icmp\",\"fromPort\":-1,\"toPort\":-1,\"userIdGroupPairs\":[{\"userId\":\"605053316265\",\"groupName\":\"default\",\"groupId\":\"sg-6fbb3807\"}],\"ipRanges\":[]},{\"ipProtocol\":\"tcp\",\"fromPort\":1433,\"toPort\":1433,\"userIdGroupPairs\":[],\"ipRanges\":[\"0.0.0.0/0\"]},{\"ipProtocol\":\"tcp\",\"fromPort\":3389,\"toPort\":3389,\"userIdGroupPairs\":[],\"ipRanges\":[\"207.171.160.0/19\"]}],\"ipPermissionsEgress\":[],\"vpcId\":null,\"tags\":[]}", "configurationItemStatus": "ResourceDiscovered", "accountId": "605053316265" } ], "nextToken": ..........

Para obtener una explicación detallada de los campos de respuesta, consulte Componentes de unelemento de configuración (p. 33) y Tipos de recursos de AWS admitidos por AWS Config y relacionesde recursos (p. 9).

Ejemplo de historial de configuración de Amazon EBS desde AWS Config

AWS Config genera un conjunto de archivos, de los cuales cada uno representa un tipo de recurso yenumera todos los cambios de configuración de los recursos de ese tipo que está registrando AWS Config.AWS Config exporta este historial de configuración centrado en recursos como un objeto en el bucket de

39

Page 46: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización de los detalles de la configuración

Amazon S3 que ha especificado al habilitar AWS Config. El archivo del historial de configuración de cadatipo de recurso contiene los cambios que se han detectado para los recursos de ese tipo desde que seha entregado el último archivo del historial. Por lo general, los archivos de historial se entregan cada seishoras.

A continuación, se muestra un ejemplo del contenido del objeto de Amazon S3 que describe el historial deconfiguración de todos los volúmenes de Amazon Elastic Block Store en la región actual para la cuentade AWS. Los volúmenes en esta cuenta incluyen vol-ce676ccc y vol-cia007c. El volumen vol-ce676ccc tenía dos cambios de configuración desde la entrega del archivo de historial anterior, mientrasque el volumen vol-cia007c tenía un cambio.

{ "fileVersion": "1.0", "requestId": "asudf8ow-4e34-4f32-afeb-0ace5bf3trye", "configurationItems": [ { "snapshotVersion": "1.0", "resourceId": "vol-ce676ccc", "arn": "arn:aws:us-west-2b:123456789012:volume/vol-ce676ccc", "accountId": "12345678910", "configurationItemCaptureTime": "2014-03-07T23:47:08.918Z", "configurationStateID": "3e660fdf-4e34-4f32-afeb-0ace5bf3d63a", "configurationItemStatus": "OK", "relatedEvents": [ "06c12a39-eb35-11de-ae07-adb69edbb1e4", "c376e30d-71a2-4694-89b7-a5a04ad92281" ], "availibilityZone": "us-west-2b", "resourceType": "AWS::EC2::Volume", "resourceCreationTime": "2014-02-27T21:43:53.885Z", "tags": {}, "relationships": [ { "resourceId": "i-344c463d", "resourceType": "AWS::EC2::Instance", "name": "Attached to Instance" } ], "configuration": { "volumeId": "vol-ce676ccc", "size": 1, "snapshotId": "", "availabilityZone": "us-west-2b", "state": "in-use", "createTime": "2014-02-27T21:43:53.0885+0000", "attachments": [ { "volumeId": "vol-ce676ccc", "instanceId": "i-344c463d", "device": "/dev/sdf", "state": "attached", "attachTime": "2014-03-07T23:46:28.0000+0000", "deleteOnTermination": false } ], "tags": [ { "tagName": "environment", "tagValue": "PROD" }, { "tagName": "name", "tagValue": "DataVolume1" }

40

Page 47: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización de los detalles de la configuración

], "volumeType": "standard" } }, { "configurationItemVersion": "1.0", "resourceId": "vol-ce676ccc", "arn": "arn:aws:us-west-2b:123456789012:volume/vol-ce676ccc", "accountId": "12345678910", "configurationItemCaptureTime": "2014-03-07T21:47:08.918Z", "configurationItemState": "3e660fdf-4e34-4f32-sseb-0ace5bf3d63a", "configurationItemStatus": "OK", "relatedEvents": [ "06c12a39-eb35-11de-ae07-ad229edbb1e4", "c376e30d-71a2-4694-89b7-a5a04w292281" ], "availibilityZone": "us-west-2b", "resourceType": "AWS::EC2::Volume", "resourceCreationTime": "2014-02-27T21:43:53.885Z", "tags": {}, "relationships": [ { "resourceId": "i-344c463d", "resourceType": "AWS::EC2::Instance", "name": "Attached to Instance" } ], "configuration": { "volumeId": "vol-ce676ccc", "size": 1, "snapshotId": "", "availabilityZone": "us-west-2b", "state": "in-use", "createTime": "2014-02-27T21:43:53.0885+0000", "attachments": [ { "volumeId": "vol-ce676ccc", "instanceId": "i-344c463d", "device": "/dev/sdf", "state": "attached", "attachTime": "2014-03-07T23:46:28.0000+0000", "deleteOnTermination": false } ], "tags": [ { "tagName": "environment", "tagValue": "PROD" }, { "tagName": "name", "tagValue": "DataVolume1" } ], "volumeType": "standard" } }, { "configurationItemVersion": "1.0", "resourceId": "vol-cia007c", "arn": "arn:aws:us-west-2b:123456789012:volume/vol-cia007c", "accountId": "12345678910", "configurationItemCaptureTime": "2014-03-07T20:47:08.918Z", "configurationItemState": "3e660fdf-4e34-4f88-sseb-0ace5bf3d63a", "configurationItemStatus": "OK", "relatedEvents": [

41

Page 48: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización del historial de conformidad

"06c12a39-eb35-11de-ae07-adjhk8edbb1e4", "c376e30d-71a2-4694-89b7-a5a67u292281" ], "availibilityZone": "us-west-2b", "resourceType": "AWS::EC2::Volume", "resourceCreationTime": "2014-02-27T20:43:53.885Z", "tags": {}, "relationships": [ { "resourceId": "i-344e563d", "resourceType": "AWS::EC2::Instance", "name": "Attached to Instance" } ], "configuration": { "volumeId": "vol-cia007c", "size": 1, "snapshotId": "", "availabilityZone": "us-west-2b", "state": "in-use", "createTime": "2014-02-27T20:43:53.0885+0000", "attachments": [ { "volumeId": "vol-cia007c", "instanceId": "i-344e563d", "device": "/dev/sdf", "state": "attached", "attachTime": "2014-03-07T23:46:28.0000+0000", "deleteOnTermination": false } ], "tags": [ { "tagName": "environment", "tagValue": "PROD" }, { "tagName": "name", "tagValue": "DataVolume2" } ], "volumeType": "standard" } } ]}

Visualización del historial de conformidad pararecursos según la evaluación de AWS Config RulesAWS Config admite el almacenamiento de cambios de estado de conformidad de recursos según laevaluación de AWS Config Rules. El historial de conformidad de recursos se presenta en forma de unalínea de tiempo. La línea de temporal captura los cambios como ConfigurationItems a lo largo de unperiodo de tiempo para un recurso específico. La línea temporal de conformidad se encuentra disponibleen la consola de AWS Config junto a la línea temporal de configuración.

Puede optar o no por registrar todos los tipos de recursos en AWS Config. Si ha decidido registrar todoslos tipos de recursos, AWS Config empezará automáticamente a registrar el historial de conformidad derecursos conforme a la evaluación de AWS Config Rules. Puede seleccionar todos los recursos o tipos derecursos específicos para los que quiere que AWS Config registre los cambios de configuración. De formapredeterminada, AWS Config registra los cambios de configuración de todos los recursos admitidos.

42

Page 49: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización del historial de conformidad

Temas• Registro de los tipos de recursos en la consola de AWS (p. 43)• Visualización de la línea temporal de conformidad utilizando recursos (p. 43)• Visualización de la línea temporal de conformidad utilizando reglas (p. 45)• Consulta del historial de conformidad de recursos (p. 45)

Registro de los tipos de recursos en la consola de AWSEn la página Settings (Configuración), en Resource types to record (Tipos de recursos que registrar),especifique los tipos de recursos de AWS que desea que AWS Config registre:

• All resources (Todos los recursos): AWS Config registra todos los recursos admitidos con las siguientesopciones:• Record all resources supported in this region (Registrar todos los recursos admitidos en esta región):

AWS Config registra los cambios de configuración de todos los tipos de recursos regionales admitidos.Cuando AWS Config añade compatibilidad de un nuevo tipo de recurso, AWS Config empieza aregistrar automáticamente los recursos de ese tipo.

• Include global resources (Incluir recursos globales): AWS Config incluye los tipos admitidos derecursos globales con los recursos que registra (por ejemplo, recursos de IAM). Cuando AWSConfig añade compatibilidad de un nuevo tipo de recurso global, AWS Config empieza a registrarautomáticamente los recursos de ese tipo.

• Specific types (Tipos específicos): AWS Config registra los cambios de configuración solo de los tiposde recursos de AWS que especifique. Elija el tipo de recurso Config:ResourceCompliance pararegistrar el historial de conformidad.

Visualización de la línea temporal de conformidad utilizandorecursosAcceda a la línea temporal de conformidad seleccionando un recurso específico en la página del inventariode recursos.

1. Seleccione los recursos en el panel de navegación izquierdo.2. En la página del inventario de recursos, seleccione todos los recursos existentes en el menú

desplegable y si procede, seleccione incluir los recursos eliminados.3. Haga clic en Lookup (Buscar).

En la tabla se muestra el identificador de recurso para el tipo de recurso y el estado de conformidadde ese recurso. El identificador de recursos puede ser un ID de recurso o un nombre de recurso, siprocede.

4. Seleccione el recurso de la columna del identificador de recursos.5. Seleccione la línea temporal de conformidad de la lista desplegable de recursos desplegables.

Aparece la línea temporal de conformidad.

43

Page 50: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización del historial de conformidad

Note

O bien, en la página de inventario de recursos, puede directamente hacer clic en el nombre delrecurso. Aparece la página de detalles de recursos. Para obtener acceso a la línea temporal deconformidad desde la página de detalles de recursos, haga clic en el botón Compliance timeline(Línea temporal de conformidad).

44

Page 51: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización del historial de conformidad

Visualización de la línea temporal de conformidad utilizandoreglasAcceda a la línea temporal de conformidad seleccionando una regla específica desde la página Rule(Regla).

1. Seleccione las reglas en el panel de navegación izquierdo.2. En la página de reglas, haga clic en el nombre de la regla que valúa sus recursos pertinentes. Si no

aparece ninguna regla en la pantalla, añada reglas utilizando el botón Add rule (Añadir regla).3. En la página de detalles de la regla, seleccione los recursos de la tabla de recursos evaluados.4. Seleccione la línea temporal de conformidad de la lista desplegable de recursos desplegables. Aparece

la línea temporal de conformidad.

Consulta del historial de conformidad de recursosConsulte el historial de conformidad de recursos usando get-resource-config-history con el tipo de recursoAWS::Config::ResourceCompliance.

aws configservice get-resource-config-history --resource-type AWS::Config::ResourceCompliance --resource-id AWS::S3::Bucket/configrules-bucket

Debería ver un resultado similar a este:

{ "configurationItems": [ { "configurationItemCaptureTime": 1539799966.921, "relationships": [ { "resourceType": "AWS::S3::Bucket", "resourceId": "configrules-bucket",

45

Page 52: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEntrega de instantánea de configuración

"relationshipName": "Is associated with " } ] "tags": {}, "resourceType": "AWS::Config::ResourceCompliance", "resourceId": "AWS::S3::Bucket/configrules-bucket", "ConfigurationStateId": "1539799966921", "relatedEvents": []; "awsRegion": "us-west-2", "version": "1.3", "configurationItemMD5Hash": "", "supplementaryConfiguration": {}, "configuaration": "{\"complianceType\":\"COMPLIANT\",\"targetResourceId\":\"configrules-bucket\",\"targetResourceType\":\"AWS::S3::Bucket\",\configRuleList"\":[{\"configRuleArn\":\"arn:aws:config:us-west-2:AccountID:config-rule/config-rule-w1gogw\",\"configRuleId\":\"config-rule-w1gogw\",\"configRuleName\":\"s3-bucket-logging-enabled\",\"complianceType\":\"COMPLIANT\"}]}", "configurationItemStatus": "ResourceDiscovered", "accountId": "AccountID" } ]}

Instantánea de configuración de entrega a un bucketde Amazon S3AWS Config proporciona los elementos de configuración de los recursos de AWS que AWS Config registraen el bucket de Amazon S3 que especificó al configurar su canal de entrega.

Temas• Entrega de instantánea de configuración (p. 46)• Instantánea de configuración de ejemplo de AWS Config (p. 46)• Verificación del estado de entrega (p. 50)• Visualización de la instantánea de la configuración en el bucket de Amazon S3 (p. 51)

Entrega de instantánea de configuraciónAWS Config genera instantáneas de configuración al invocar la acción DeliverConfigSnapshot o ejecutarel comando deliver-config-snapshot de AWS CLI. AWS Config almacena instantáneas deconfiguración en el bucket de Amazon S3 que se especifica al habilitar AWS Config.

Escriba el comando deliver-config-snapshot y especifique el nombre que asignó AWS Configcuando configuró el canal de entrega, por ejemplo:

$ aws configservice deliver-config-snapshot --delivery-channel-name default{ "configSnapshotId": "94ccff53-83be-42d9-996f-b4624b3c1a55"}

Instantánea de configuración de ejemplo de AWS ConfigA continuación, tenemos un ejemplo de la información que incluye AWS Config en una instantánea deconfiguración. La instantánea describe la configuración de los recursos que registra AWS Config en laregión actual para la cuenta de AWS y describe las relaciones entre estos recursos.

46

Page 53: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEntrega de instantánea de configuración

Note

La instantánea de configuración puede incluir referencias a los tipos de recursos e ID de recursosque no son compatibles.

{ "fileVersion": "1.0", "requestId": "asudf8ow-4e34-4f32-afeb-0ace5bf3trye", "configurationItems": [ { "configurationItemVersion": "1.0", "resourceId": "vol-ce676ccc", "arn": "arn:aws:us-west-2b:123456789012:volume/vol-ce676ccc", "accountId": "12345678910", "configurationItemCaptureTime": "2014-03-07T23:47:08.918Z", "configurationStateID": "3e660fdf-4e34-4f32-afeb-0ace5bf3d63a", "configurationItemStatus": "OK", "relatedEvents": [ "06c12a39-eb35-11de-ae07-adb69edbb1e4", "c376e30d-71a2-4694-89b7-a5a04ad92281" ], "availibilityZone": "us-west-2b", "resourceType": "AWS::EC2::Volume", "resourceCreationTime": "2014-02-27T21:43:53.885Z", "tags": {}, "relationships": [ { "resourceId": "i-344c463d", "resourceType": "AWS::EC2::Instance", "name": "Attached to Instance" } ], "configuration": { "volumeId": "vol-ce676ccc", "size": 1, "snapshotId": "", "availabilityZone": "us-west-2b", "state": "in-use", "createTime": "2014-02-27T21:43:53.0885+0000", "attachments": [ { "volumeId": "vol-ce676ccc", "instanceId": "i-344c463d", "device": "/dev/sdf", "state": "attached", "attachTime": "2014-03-07T23:46:28.0000+0000", "deleteOnTermination": false } ], "tags": [ { "tagName": "environment", "tagValue": "PROD" }, { "tagName": "name", "tagValue": "DataVolume1" } ], "volumeType": "standard" } }, { "configurationItemVersion": "1.0", "resourceId": "i-344c463d",

47

Page 54: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEntrega de instantánea de configuración

"accountId": "12345678910", "arn": "arn:aws:ec2:us-west-2b:123456789012:instance/i-344c463d", "configurationItemCaptureTime": "2014-03-07T23:47:09.523Z", "configurationStateID": "cdb571fa-ce7a-4ec5-8914-0320466a355e", "configurationItemStatus": "OK", "relatedEvents": [ "06c12a39-eb35-11de-ae07-adb69edbb1e4", "c376e30d-71a2-4694-89b7-a5a04ad92281" ], "availibilityZone": "us-west-2b", "resourceType": "AWS::EC2::Instance", "resourceCreationTime": "2014-02-26T22:56:35.000Z", "tags": { "Name": "integ-test-1", "examplename": "examplevalue" }, "relationships": [ { "resourceId": "vol-ce676ccc", "resourceType": "AWS::EC2::Volume", "name": "Attached Volume" }, { "resourceId": "vol-ef0e06ed", "resourceType": "AWS::EC2::Volume", "name": "Attached Volume", "direction": "OUT" }, { "resourceId": "subnet-47b4cf2c", "resourceType": "AWS::EC2::SUBNET", "name": "Is contained in Subnet", "direction": "IN" } ], "configuration": { "instanceId": "i-344c463d", "imageId": "ami-ccf297fc", "state": { "code": 16, "name": "running" }, "privateDnsName": "ip-172-31-21-63.us-west-2.compute.internal", "publicDnsName": "ec2-54-218-4-189.us-west-2.compute.amazonaws.com", "stateTransitionReason": "", "keyName": "configDemo", "amiLaunchIndex": 0, "productCodes": [], "instanceType": "t1.micro", "launchTime": "2014-02-26T22:56:35.0000+0000", "placement": { "availabilityZone": "us-west-2b", "groupName": "", "tenancy": "default" }, "kernelId": "aki-fc8f11cc", "monitoring": { "state": "disabled" }, "subnetId": "subnet-47b4cf2c", "vpcId": "vpc-41b4cf2a", "privateIpAddress": "172.31.21.63", "publicIpAddress": "54.218.4.189", "architecture": "x86_64", "rootDeviceType": "ebs", "rootDeviceName": "/dev/sda1",

48

Page 55: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEntrega de instantánea de configuración

"blockDeviceMappings": [ { "deviceName": "/dev/sda1", "ebs": { "volumeId": "vol-ef0e06ed", "status": "attached", "attachTime": "2014-02-26T22:56:38.0000+0000", "deleteOnTermination": true } }, { "deviceName": "/dev/sdf", "ebs": { "volumeId": "vol-ce676ccc", "status": "attached", "attachTime": "2014-03-07T23:46:28.0000+0000", "deleteOnTermination": false } } ], "virtualizationType": "paravirtual", "clientToken": "aBCDe123456", "tags": [ { "key": "Name", "value": "integ-test-1" }, { "key": "examplekey", "value": "examplevalue" } ], "securityGroups": [ { "groupName": "launch-wizard-2", "groupId": "sg-892adfec" } ], "sourceDestCheck": true, "hypervisor": "xen", "networkInterfaces": [ { "networkInterfaceId": "eni-55c03d22", "subnetId": "subnet-47b4cf2c", "vpcId": "vpc-41b4cf2a", "description": "", "ownerId": "12345678910", "status": "in-use", "privateIpAddress": "172.31.21.63", "privateDnsName": "ip-172-31-21-63.us-west-2.compute.internal", "sourceDestCheck": true, "groups": [ { "groupName": "launch-wizard-2", "groupId": "sg-892adfec" } ], "attachment": { "attachmentId": "eni-attach-bf90c489", "deviceIndex": 0, "status": "attached", "attachTime": "2014-02-26T22:56:35.0000+0000", "deleteOnTermination": true }, "association": { "publicIp": "54.218.4.189",

49

Page 56: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEntrega de instantánea de configuración

"publicDnsName": "ec2-54-218-4-189.us-west-2.compute.amazonaws.com", "ipOwnerId": "amazon" }, "privateIpAddresses": [ { "privateIpAddress": "172.31.21.63", "privateDnsName": "ip-172-31-21-63.us-west-2.compute.internal", "primary": true, "association": { "publicIp": "54.218.4.189", "publicDnsName": "ec2-54-218-4-189.us-west-2.compute.amazonaws.com", "ipOwnerId": "amazon" } } ] } ], "ebsOptimized": false } } ]}

El siguiente paso consiste en verificar que la instantánea de la configuración se ha entregadocorrectamente en el canal de entrega.

Verificación del estado de entregaEscriba el comando describe-delivery-channel-status para verificar que AWS Config hacomenzado la entrega de las configuraciones en el canal de entrega especificado, por ejemplo:

$ aws configservice describe-delivery-channel-status{ "DeliveryChannelsStatus": [ { "configStreamDeliveryInfo": { "lastStatusChangeTime": 1415138614.125, "lastStatus": "SUCCESS" }, "configHistoryDeliveryInfo": { "lastSuccessfulTime": 1415148744.267, "lastStatus": "SUCCESS", "lastAttemptTime": 1415148744.267 }, "configSnapshotDeliveryInfo": { "lastSuccessfulTime": 1415333113.4159999, "lastStatus": "SUCCESS", "lastAttemptTime": 1415333113.4159999 }, "name": "default" } ]}

La respuesta incluye el estado de los tres formatos de entrega que utiliza AWS Config para entregarconfiguraciones a su bucket y tema.

Eche un vistazo al campo lastSuccessfulTime en configSnapshotDeliveryInfo. La hora debecoincidir con la hora a la que solicitó por última vez la entrega de la instantánea de la configuración.

50

Page 57: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAdministración de AWS Config

Note

AWS Config utiliza el formato UTC (GMT-08:00) para registrar la hora.

Visualización de la instantánea de la configuración en el bucketde Amazon S31. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en https://

console.aws.amazon.com/s3/.2. En la lista All Buckets (Todos los buckets) de la consola de Amazon S3, haga clic en el nombre de su

bucket de Amazon S3.3. Haga clic en las carpetas anidadas de su bucket hasta que vea el objeto ConfigSnapshot con un ID

de instantánea que coincide con el ID que devuelve el comando. Descargue y abra el objeto para verla instantánea de la configuración.

El bucket de S3 también contiene un archivo vacío denominado ConfigWritabilityCheckFile.AWS Config crea este archivo para comprobar que el servicio puede escribir correctamente en elbucket de S3.

Administración de AWS ConfigEn cualquier momento, puede cambiar la configuración del rol de IAM y modificar o eliminar el canal deentrega (es decir, el bucket de Amazon Simple Storage Service y el tema de Amazon Simple NotificationService). Puede iniciar o detener el registrador de configuración asociado a su cuenta y puede personalizarqué tipos de recursos se registran.

Temas• Administrar el canal de entrega (p. 51)• Actualización del rol de IAM asignado a AWS Config (p. 54)• Administración del registro de configuración (p. 55)• Selección de los recursos que debe registrar AWS Config (p. 57)• Registro de la configuración de software para instancias administradas (p. 61)• Monitorización de cambios de recursos de AWS Config por correo electrónico (p. 62)• Eliminación de datos de AWS Config (p. 65)

Administrar el canal de entregaComo AWS Config registra continuamente los cambios que se producen en sus recursos de AWS, envíanotificaciones y estados de configuración actualizados a través del canal de entrega. Puede administrar elcanal de entrega para controlar dónde envía AWS Config las actualizaciones de configuración.

Solo puede tener un canal de entrega por cada región y por cada cuenta de AWS y el canal de entregadebe utilizar AWS Config.

Actualización del canal de entregaAl actualizar el canal de entrega, puede ajustar las siguientes opciones:

• El bucket de Amazon S3 al que AWS Config envía instantáneas de configuración y archivos del historialde configuración.

• Con qué frecuencia AWS Config entrega instantáneas de configuración en el bucket de Amazon S3.

51

Page 58: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAdministrar el canal de entrega

• El tema de Amazon SNS al que AWS Config envía las notificaciones sobre los cambios de configuración.

Para actualizar el canal de entrega (consola)

• Puede utilizar la consola de AWS Config para establecer el bucket de Amazon S3 y el tema deAmazon SNS para su canal de entrega. Para conocer los pasos para administrar estos ajustes,consulte Configuración de AWS Config con la consola (p. 21).

La consola no proporciona opciones para cambiar el nombre del canal de entrega, ajustar lafrecuencia de las instantáneas de configuración o eliminar el canal de entrega. Para realizar estastareas, debe utilizar la AWS CLI la API de AWS Config o uno de los SDK de AWS.

Para actualizar el canal de entrega (AWS CLI)

1. Utilice el comando put-delivery-channel:

$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

El archivo deliveryChannel.json especifica los atributos del canal de entrega:

{ "name": "default", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" }}

Este ejemplo establece los siguientes atributos:

• name: el nombre del canal de entrega. De forma predeterminada, AWS Config asigna el nombredefault a un nuevo canal de entrega.

No se puede actualizar el nombre del canal de entrega con el comando put-delivery-channel.Para conocer los pasos para cambiar el nombre, consulte Cambio de nombre del canal deentrega (p. 53).

• s3BucketName: el nombre del bucket de Amazon S3 al que AWS Config entrega instantáneas deconfiguración y archivos de historial de configuración.

Si especifica un bucket que pertenece a otra cuenta de AWS, dicho bucket debe tener políticas queconcedan permisos de acceso a AWS Config. Para obtener más información, consulte Permisospara el bucket de Amazon S3 (p. 94).

• snsTopicARN: el nombre de recurso de Amazon (ARN) del tema Amazon SNS al que AWS Configenvía notificaciones sobre los cambios de configuración.

Si elige un tema desde otra cuenta, ese tema debe tener políticas que concedan permisos deacceso a AWS Config. Para obtener más información, consulte Permisos para el tema AmazonSNS (p. 96).

• configSnapshotDeliveryProperties: contiene el atributo deliveryFrequency, queestablece la frecuencia con la que AWS Config entrega instantáneas de configuración.

2. (Opcional) Puede utilizar el comando describe-delivery-channels para verificar que se hanactualizado los ajustes del canal de entrega:

$ aws configservice describe-delivery-channels

52

Page 59: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAdministrar el canal de entrega

{ "DeliveryChannels": [ { "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" }, "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "name": "default", "s3BucketName": "config-bucket-123456789012" } ]}

Cambio de nombre del canal de entregaPara cambiar el nombre del canal de entrega, debe eliminarlo y crear un nuevo canal de entrega conel nombre que desee. Antes de poder eliminar el canal de entrega, debe detener temporalmente elregistrador de configuración.

La consola AWS Config no ofrece la opción de eliminar el canal de entrega, por lo que debe utilizar la CLIde AWS, la API de AWS Config o uno de los SDK de AWS.

Para cambiar el nombre del canal de entrega (AWS CLI)

1. Utilice el comando stop-configuration-recorder para detener el registrador de configuración:

$ aws configservice stop-configuration-recorder --configuration-recorder-name configRecorderName

2. Utilice el comando describe-delivery-channels y anote los atributos de su canal de entrega:

$ aws configservice describe-delivery-channels{ "DeliveryChannels": [ { "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" }, "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "name": "default", "s3BucketName": "config-bucket-123456789012" } ]}

3. Utilice el comando delete-delivery-channel para eliminar el canal de entrega:

$ aws configservice delete-delivery-channel --delivery-channel-name default

4. Utilice el comando put-delivery-channel para crear un canal de entrega con el nombre quedesee:

$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

El archivo deliveryChannel.json especifica los atributos del canal de entrega:

{ "name": "myCustomDeliveryChannelName",

53

Page 60: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorActualización del rol de IAM

"s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" }}

5. Utilice el comando start-configuration-recorder para reanudar el registro:

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

Actualización del rol de IAM asignado a AWS ConfigPuede actualizar en cualquier momento el rol de IAM que ha asumido AWS Config. Antes de actualizar elrol de IAM, asegúrese de que ha creado un nuevo rol para sustituir al anterior. Debe asociar políticas alnuevo rol que concedan permisos a AWS Config para registrar configuraciones y entregarlas en su canalde entrega. Además, asegúrese de copiar el nombre de recurso de Amazon (ARN) del nuevo rol de IAM.Tendrá que actualizar el rol de IAM. Para obtener información sobre cómo crear un rol de IAM y asociar laspolíticas necesarias al rol de IAM, consulte Creación de un rol de IAM (p. 26).

Note

Para encontrar el ARN de un rol de IAM existente, vaya a la consola de IAM en https://console.aws.amazon.com/iam/. Seleccione Roles en el panel de navegación. A continuación,elija el nombre del rol que desee y encuentre el ARN en la parte superior de la página Summary(Resumen).

Actualización del rol de IAMPuede actualizar el rol de IAM con la Consola de administración de AWS o la AWS CLI.

Para actualizar el rol de IAM en una región donde se admitan reglas (consola)

Si está utilizando AWS Config en una región que admite reglas de AWS Config, realice los siguientespasos. Para ver una lista de las regiones admitidas, consulte Regiones y puntos de enlace de AWS Configen la Referencia general de Amazon Web Services.

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://console.aws.amazon.com/config/.

2. Seleccione Settings en el panel de navegación.3. En la sección AWS Config role (Rol de AWS Config), seleccione el rol de IAM:

• Create a role (Crear un rol): AWS Config crea un rol que cuenta con los permisos necesarios. ParaRole name (Nombre de rol), puede personalizar el nombre que crea AWS Config.

• Choose a role from your account (Elegir una función de su cuenta): para Role name (Nombre derol), seleccione un rol de IAM en su cuenta. AWS Config asociará las políticas necesarias. Paraobtener más información, consulte Permisos del rol de IAM asignado a AWS Config (p. 92).

Note

Marque la casilla si desea utilizar el rol de IAM tal cual. AWS Config no asociará políticas alrol.

4. Seleccione Save.

54

Page 61: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAdministración del registro de configuración

Para actualizar el rol de IAM en una región donde no se admitan reglas (consola)

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://console.aws.amazon.com/config/.

2. En la página Inventario de recursos, seleccione el icono de configuración ( ).3. Elija Continuar.4. En la página AWS Config está solicitando permisos para leer la configuración de los recursos, elija Ver

detalles.5. En la sección Role Summary (Resumen de roles), seleccione el rol de IAM:

• Si desea crear un rol, para IAM Role (Rol de IAM), seleccione Crear un nuevo rol de IAM. Acontinuación, escriba el nombre para Nombre de función.

• Si desea utilizar un rol existente, selecciónelo para IAM Role. A continuación, para Policy Name(Nombre de política), seleccione una política disponible, o bien cree una seleccionando Crear unanueva política de roles.

6. Elija Allow.

Para actualizar el rol de IAM (AWS CLI)

• Utilice el comando put-configuration-recorder y especifique el nombre de recurso de Amazon(ARN) del nuevo rol:

$ aws configservice put-configuration-recorder --configuration-recorder name=configRecorderName,roleARN=arn:aws:iam::012345678912:role/myConfigRole

Administración del registro de configuraciónAWS Config utiliza el registro de configuración para detectar los cambios en las configuracionesdel recurso y capturar esos cambios como elementos de configuración. Debe crear un registro deconfiguración para que AWS Config pueda realizar un seguimiento de las configuraciones de los recursos.

Si configura AWS Config mediante la consola o la CLI de AWS, AWS Config crea automáticamente y luegoinicia automáticamente el registro de configuración. Para obtener más información, consulte Introducción aAWS Config (p. 21).

De forma predeterminada, el registro de configuración registra todos los recursos admitidos en la regióndonde se ejecuta AWS Config. Puede crear un registro de configuración personalizado que registreúnicamente los tipos de recursos que especifique. Para obtener más información, consulte Selección delos recursos que debe registrar AWS Config (p. 57).

Se le cobrarán las tarifas de uso del servicio cuando AWS Config comience a registrar configuraciones.Para obtener información acerca de los precios, consulte Precios de AWS Config. Para controlar loscostos, puede dejar de registrar la configuración deteniendo el registro. Después de detener el registro,puede seguir obteniendo acceso a la información de configuración que ya se ha registrado. No se lecobrarán las tarifas de uso de AWS Config hasta que se reanude el registro.

Cuando inicia el registro de configuración, AWS Config realiza un inventario de todos los recursos de AWSde su cuenta.

Administración del registro de configuración (consola)Puede utilizar la consola de AWS Config para detener o iniciar el registro de configuración.

55

Page 62: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAdministración del registro de configuración

Para detener o iniciar el registro de configuración

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://console.aws.amazon.com/config/.

2. Seleccione Settings en el panel de navegación.3. Para detener o iniciar el registro de configuración:

• Si desea dejar de registrar, en Recording is on (La grabación está activada), elija Turn off(Desactivar). Cuando se le pregunte, elija Continuar.

• Si desea empezar a registrar, en Recording is off, elija Turn on. Cuando se le pregunte, elijaContinuar.

Administración del registro de configuración (AWS CLI)Puede utilizar la AWS CLI para detener o iniciar el registro de configuración. También puede cambiar elnombre o eliminar el registro de configuración utilizando la AWS CLI, la API de AWS Config o uno de losSDK de AWS. Los siguientes pasos le ayudan a utilizar la AWS CLI.

Para detener el registro de configuración

• Utilice el comando stop-configuration-recorder:

$ aws configservice stop-configuration-recorder --configuration-recorder-name configRecorderName

Para iniciar el registro de configuración

• Utilice el comando start-configuration-recorder:

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

Para cambiar el nombre del registro de configuración

Para cambiar el nombre del registro de configuración, debe eliminarlo y crear un nuevo registro deconfiguración con el nombre que desee.

1. Utilice el comando describe-configuration-recorders para buscar el nombre de su registro deconfiguración actual:

$ aws configservice describe-configuration-recorders{ "ConfigurationRecorders": [ { "roleARN": "arn:aws:iam::012345678912:role/myConfigRole", "name": "default" } ]}

2. Utilice el comando delete-configuration-recorder para eliminar su registro de configuraciónactual:

$ aws configservice delete-configuration-recorder --configuration-recorder-name default

56

Page 63: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorSelección de los recursos que se registran

3. Utilice el comando put-configuration-recorder para crear un registro de configuración con elnombre deseado:

$ aws configservice put-configuration-recorder --configuration-recorder name=configRecorderName,roleARN=arn:aws:iam::012345678912:role/myConfigRole

4. Utilice el comando start-configuration-recorder para reanudar el registro:

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

Para eliminar el registro de configuración

• Utilice el comando delete-configuration-recorder:

$ aws configservice delete-configuration-recorder --configuration-recorder-name default

Selección de los recursos que debe registrar AWSConfigAWS Config detecta continuamente cuándo se crea, cambia o se elimina cualquier recurso de un tipoadmitido. AWS Config registra estos eventos como elementos de configuración. Puede personalizar AWSConfig para que registre los cambios de todos los tipos de recursos admitidos o únicamente aquellos tiposque sean relevantes para usted. Para saber qué tipos de recursos puede registrar AWS Config, consulteTipos de recursos de AWS admitidos por AWS Config y relaciones de recursos (p. 9).

Registro de todos los tipos de recursos admitidosDe forma predeterminada, AWS Config registra los cambios de configuración de todos los tipos derecursos regionales admitidos que AWS Config descubre en la región en la que se están ejecutando.Los recursos regionales están vinculados a una región y solo se pueden utilizar en esa región. Algunosejemplos de recursos regionales son las instancias de EC2 y los volúmenes de EBS.

También puede hacer que AWS Config registre tipos admitidos de recursos globales. Los recursosglobales no están vinculados a una región en concreto y se pueden utilizar en todas las regiones. Los tiposde recursos globales que admite AWS Config son usuarios de IAM, grupos, roles y políticas administradaspor el cliente.

Important

Los detalles de configuración de un recurso global concreto son los mismos en todas las regiones.Si personaliza AWS Config en varias regiones para que registre los recursos globales, AWSConfig crea varios elementos de configuración cada vez que un recurso global cambia: unelemento de configuración para cada región. Estos elementos de configuración contendrándatos idénticos. Para evitar que los elementos de configuración se dupliquen, puede personalizarAWS Config en solo una región para que registre recursos globales, a menos que desee que loselementos de configuración se encuentren disponibles en varias regiones.

Registro de tipos de recursos específicosSi no desea que AWS Config registre los cambios de todos los recursos admitidos, puede personalizarlopara que registre los cambios solo de tipos específicos. AWS Config registra los cambios de configuraciónde los tipos de recursos que especifique, incluida la creación y la eliminación de dichos recursos.

57

Page 64: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorSelección de los recursos que se registran

Si un recurso no está registrado, AWS Config captura únicamente la creación y la eliminación de dichorecurso, pero ningún otro detalle, sin ningún costo para usted. Cuando se crea o se elimina un recurso noregistrado, AWS Config envía una notificación y muestra el evento en la página de detalles de recursos. Lapágina de detalles de un recurso no registrado proporciona valores nulos para la mayoría de los detallesde la configuración y no proporciona información acerca de las relaciones y los cambios de configuración.

La información de relación que proporciona AWS Config para los recursos registrados no es limitadadebido a los datos que faltan de los recursos no registrados. Si un recurso registrado está relacionado conun recurso no registrado, esa relación se proporciona en la página de detalles del recurso registrado.

Puede hacer que AWS Config deje de registrar un tipo de recurso en cualquier momento. Una vezque AWS Config deja de registrar un recurso, conserva la información de configuración capturadaanteriormente y puede seguir accediendo a esta información.

Las reglas de AWS Config se pueden utilizar para evaluar la conformidad solo de aquellos recursos queregistra AWS Config.

Selección de recursos (consola)Puede utilizar la consola de AWS Config para seleccionar los tipos de recursos que registra AWS Config.

Para seleccionar recursos

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://console.aws.amazon.com/config/.

2. Abra la página Settings (Configuración):

• Si está utilizando AWS Config en una región que admite normas de AWS Config, seleccioneSettings (Configuración) en el panel de navegación. Para ver una lista de las regiones admitidas,consulte Regiones y puntos de enlace de AWS Config en la Referencia general de Amazon WebServices.

• De lo contrario, seleccione el icono de configuración ( ) en la página Inventario de recursos.3. En la sección Resource types to record (Tipos de recursos que registrar), especifique los recursos de

AWS que quiere que registre AWS Config:

• All resources (Todos los recursos): AWS Config registra todos los recursos admitidos con lassiguientes opciones:• Record all resources supported in this region (Registrar todos los recursos admitidos en esta

región): AWS Config registra los cambios de configuración de todos los tipos de recursosregionales admitidos. Cuando AWS Config añade compatibilidad de un nuevo tipo de recursoregional, empieza a registrar automáticamente los recursos de ese tipo.

• Include global resources (Incluir recursos globales): AWS Config incluye los tipos admitidosde recursos globales con los recursos que registra (por ejemplo, recursos de IAM). CuandoAWS Config añade compatibilidad para un nuevo tipo de recurso global, empieza a registrarautomáticamente los recursos de ese tipo.

• Specific types (Tipos específicos): AWS Config registra los cambios de configuración solo deaquellos tipos de recursos de AWS que especifique.

4. Guarde los cambios:

• Si utiliza AWS Config en una región compatible con las reglas de AWS Config, seleccione Save(Guardar).

• De lo contrario, seleccione Continue (Continuar). En la página AWS Config está solicitandopermisos para leer la configuración de los recursos, elija Allow.

58

Page 65: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorSelección de los recursos que se registran

Selección de recursos (AWS CLI)Puede utilizar la CLI de AWS para seleccionar los tipos de recursos que desea que registre AWS Config.Para ello, se crea un registrador de configuración, que registra los tipos de recursos que especifique enun grupo de registro. En el grupo de registro, debe especificar si se registran todos los tipos admitidos odeterminados tipos de recursos.

Para seleccionar todos los recursos admitidos

1. Use el siguiente comando put-configuration-recorder:

$ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role --recording-group allSupported=true,includeGlobalResourceTypes=true

Este comando utiliza las siguientes opciones para el parámetro --recording-group:

• allSupported=true: AWS Config registra los cambios de configuración de todos los tiposadmitidos de recurso regional. Cuando AWS Config añade compatibilidad de un nuevo tipo derecurso regional, empieza a registrar automáticamente los recursos de ese tipo.

• includeGlobalResourceTypes=true: AWS Config incluye los tipos admitidos de recursosglobales con los recursos que se registra. Cuando AWS Config añade compatibilidad para un nuevotipo de recurso global, empieza a registrar automáticamente los recursos de ese tipo.

Antes de configurar esta opción en true, deberá ajustar la opción allSupported en true.

Si no desea incluir los recursos globales, ajuste esta opción en falseu omítala.2. (Opcional) Para verificar que el registrador de configuración tiene la configuración que quiere, utilice el

siguiente comando describe-configuration-recorders:

$ aws configservice describe-configuration-recorders

A continuación se muestra un ejemplo de respuesta:

{ "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": true, "resourceTypes": [], "includeGlobalResourceTypes": true }, "roleARN": "arn:aws:iam::123456789012:role/config-role", "name": "default" } ]}

Para seleccionar tipos específicos de recursos

1. Utilice el comando aws configservice put-configuration-recorder y pase uno o mástipos de recursos a través de la opción --recording-group, tal y como se muestra en el siguienteejemplo:

59

Page 66: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorSelección de los recursos que se registran

$ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole --recording-group file://recordingGroup.json

El archivo recordingGroup.json especifica qué tipos de recursos registrará AWS Config:

{ "allSupported": false, "includeGlobalResourceTypes": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ]}

Antes de poder especificar tipos de recursos para la clave resourceTypes, tendrá que ajustar lasopciones allSupported e includeGlobalResourceTypes en "false" u omitirlas.

2. (Opcional) Para verificar que el registrador de configuración tiene la configuración que quiere, utilice elsiguiente comando describe-configuration-recorders:

$ aws configservice describe-configuration-recorders

A continuación se muestra un ejemplo de respuesta:

{ "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ], "includeGlobalResourceTypes": false }, "roleARN": "arn:aws:iam::123456789012:role/config-role", "name": "default" } ]}

60

Page 67: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorRegistro de la configuración de

software para instancias administradas

Registro de la configuración de software parainstancias administradasPuede utilizar AWS Config para registrar los cambios en el inventario de software en las instancias EC2 yen los servidores locales. De este modo, puede ver los cambios históricos en la configuración del software.Por ejemplo, cuando se instala una nueva actualización de Windows en una instancia administrada deWindows, AWS Config registra los cambios y, a continuación, los envía a los canales de entrega, paraque se le notifique sobre el cambio. Con AWS Config, puede ver el historial de cuándo se instalaron lasactualizaciones de Windows para la instancia administrada y cómo han cambiado a lo largo del tiempo.

Debe realizar los siguientes pasos para registrar los cambios de configuración de software:

• Active el registro del tipo de recurso de inventario de la instancia administrada en AWS Config.• Configure EC2 y las instancias locales como instancias administradas.• Inicie la recopilación del inventario de software de sus instancias administradas.

También puede utilizar reglas de AWS Config para monitorizar los cambios de configuración de softwarey para que se le notifique si los cambios cumplen o no sus reglas. Por ejemplo, si crea una regla quecomprueba si sus instancias administradas tienen una aplicación concreta y una instancia no tieneinstalada esa aplicación, AWS Config señala dicha instancia como no conforme con la regla. Para obteneruna lista de las reglas administradas de AWS Config consulte Lista de las reglas administradas de AWSConfig (p. 103).

Para habilitar el registro de los cambios de configuración del software en AWS Config:

1. Active el registro de todos los tipos de recursos admitidos, o bien registre de forma selectiva el tipode recurso de inventario de instancia administrada en AWS Config. Para obtener más información,consulte Selección de los recursos que debe registrar AWS Config (p. 57).

2. Lance una instancia de Amazon EC2 con un rol de IAM y la política AmazonEC2RoleforSSM. Puedeque también tenga que instalar un agente de SSM. Para obtener más información, consulte SystemsManager Prerequisites en la Guía del usuario de Amazon EC2 para instancias de Linux o SystemsManager Prerequisites en la Guía del usuario de Amazon EC2 para instancias de Windows.

3. Inicie una recopilación de inventario tal y como se describe en la sección Configuración de larecopilación de inventario en la Guía del usuario de Amazon EC2 para instancias de Linux. Losprocedimientos son los mismos para instancias de Linux y Windows.

AWS Config puede registrar cambios de configuración para los siguientes tipos de inventario:

• Aplicaciones: una lista de aplicaciones para instancias administradas, como software antivirus.• Componentes de AWS: una lista de componentes de AWS para instancias administradas, como

AWS CLI y SDK.• Información sobre instancias: información sobre instancias, como nombre y versión de SO, dominio

y estado de firewall.• Configuración de red: información de configuración, como dirección IP, gateway y máscara de

subred.• Actualizaciones de Windows: una lista de las actualizaciones de Windows de las instancias

administradas (solo instancias de Windows).

Note

En este momento, AWS Config no admite el registro del tipo de inventario personalizado.

61

Page 68: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorMonitorización de cambios de

recursos por correo electrónico

La recopilación de inventario es una de las muchas funciones de Amazon EC2 Systems Manager, quetambién incluye la aplicación de parches del sistema operativoy configurar instancias a escala. Paraobtener más información, consulte Amazon EC2 Systems Manager en la Guía del usuario de Amazon EC2para instancias de Linux o Amazon EC2 Systems Manager en la Guía del usuario de Amazon EC2 parainstancias de Windows.

Monitorización de cambios de recursos de AWSConfig por correo electrónicoSi ha configurado AWS Config para que transmita los cambios de configuración y las notificacionesa un tema de Amazon SNS, puede monitorizar dichos cambios por correo electrónico. Estos correoselectrónicos pueden incluir el historial de configuración, la conformidad de las reglas, la información deinstantánea y las notificaciones de los cambios. También puede configurar filtros de correo electrónicobasados en la línea de asunto y el cuerpo del mensaje para buscar cambios específicos.

Para monitorizar los cambios de recursos por correo electrónico

1. Si aún no lo ha hecho, configure AWS Config para que entregue notificaciones a un tema de AmazonSNS. Para obtener más información, consulte Configuración de AWS Config con la consola (p. 21) oConfiguración de AWS Config con AWS CLI (p. 24).

2. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v2/home.3. En el panel de navegación de la consola de Amazon SNS, seleccione Topics (Temas).4. En la página Topics (Temas), abra el tema de Amazon SNS especificado al configurar AWS Config,

eligiendo su nombre en la columna ARN.5. En la página Topic details, en Subscriptions, seleccione Create subscription.6. En el cuadro de diálogo Create subscription, para Protocol, seleccione Email.7. Para Endpoint, escriba la dirección de correo electrónico donde desee que se envíen las

notificaciones.8. Seleccione Create subscription.

Compruebe en el correo electrónico si ha recibido una confirmación por correo electrónico. Mientrastanto, la consola muestra PendingConfirmation en la columna Subscription ID.

9. Abra el correo electrónico desde "AWS Notifications" (Notificaciones de AWS) y seleccione Confirmsubscription (Confirmar suscripción).

Tip

Si desea monitorizar recursos concretos u otros cambios importantes, puede configurar filtrosde correo electrónico en su aplicación de correo electrónico.

Ejemplo de formato y filtros de correo electrónicoSi ha creado una suscripción de correo electrónico para tu tema de Amazon SNS, puede filtrar el correoelectrónico que recibe en función de la información en la línea de asunto y el cuerpo del mensaje. Paracrear una suscripción para un tema de Amazon SNS, consulte Monitorización de cambios de recursos deAWS Config por correo electrónico (p. 62).

La línea de asunto de un mensaje de correo electrónico es como la del siguiente ejemplo:

[AWS Config:us-west-2] AWS::EC2::Instance i-12abcd3e Created in Account 123456789012

En su aplicación cliente de correo electrónico, puede configurar filtros de correo electrónico o reglaspara observar cambios específicos o para organizar sus notificaciones. Por ejemplo, puede organizar las

62

Page 69: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorMonitorización de cambios de

recursos por correo electrónico

notificaciones de correo electrónico por región, tipo de recurso, nombre de recurso o cuenta de AWS. Losfiltros del correo electrónico pueden ayudarle a administrar notificaciones de varias cuentas o si dispone demuchos recursos en su cuenta.

El cuerpo del mensaje de una suscripción de correo electrónico creada con el protocolo de Email contieneinformación acerca de la creación, la actualización y la eliminación de eventos para sus recursos de AWS.El siguiente ejemplo muestra el cuerpo de un mensaje de correo electrónico creado con el protocolo deEmail. La notificación contiene el cambio del elemento de configuración del recurso.

View the Timeline for this Resource in AWS Config Management Console:https://console.aws.amazon.com/config/home?region=us-west-2#/timeline/AWS::EC2::Instance/i-12abcd3e

New State and Change Record:----------------------------{ "configurationItemDiff": { "changedProperties": {}, "changeType": "CREATE" }, "configurationItem": { "configurationItemVersion": "1.0", "configurationItemCaptureTime": "2015-03-19T21:20:35.737Z", "configurationStateId": 1, "relatedEvents": [ "4f8abc4f-6def-4g42-hi03-46j3b48k0lmn" ], "awsAccountId": "123456789012", "configurationItemStatus": "ResourceDiscovered", "resourceId": "i-92aeda5b", "ARN": "arn:aws:ec2:us-west-2:123456789012:instance/i-12abcd3e", "awsRegion": "us-west-2", "availabilityZone": "us-west-2c", "configurationStateMd5Hash": "123456789e0f930642026053208e", "resourceType": "AWS::EC2::Instance", "resourceCreationTime": "2015-03-19T21:13:05.000Z", "tags": {}, "relationships": [ { "resourceId": "abc-1234de56", "resourceType": "AWS::EC2::NetworkInterface", "name": "Contains NetworkInterface" }, { "resourceId": "ab-c12defg3", "resourceType": "AWS::EC2::SecurityGroup", "name": "Is associated with SecurityGroup" }, { "resourceId": "subnet-a1b2c3d4", "resourceType": "AWS::EC2::Subnet", "name": "Is contained in Subnet" }, { "resourceId": "vol-a1bc234d", "resourceType": "AWS::EC2::Volume", "name": "Is attached to Volume" }, { "resourceId": "vpc-a12bc345", "resourceType": "AWS::EC2::VPC", "name": "Is contained in Vpc" } ],

63

Page 70: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorMonitorización de cambios de

recursos por correo electrónico

"configuration": { "instanceId": "i-12abcd3e", "imageId": "ami-123a4567", "state": { "code": 16, "name": "running" }, "privateDnsName": "ip-000-00-0-000.us-west-2.compute.internal", "publicDnsName":"ec2-12-345-678-910.us-west-2.compute.amazonaws.com", "stateTransitionReason": "", "keyName": null, "amiLaunchIndex": 0, "productCodes": [], "instanceType": "t2.micro", "launchTime": "2015-03-19T21:13:05.000Z", "placement": { "availabilityZone": "us-west-2c", "groupName": "", "tenancy": "default" }, "kernelId": null, "ramdiskId": null, "platform": null, "monitoring": { "state": "disabled" }, "subnetId": "subnet-a1b2c3d4", "vpcId": "vpc-a12bc345", "privateIpAddress": "000.00.0.000", "publicIpAddress": "00.000.000.000", "stateReason": null, "architecture": "x86_64", "rootDeviceType": "ebs", "rootDeviceName": "/dev/abcd", "blockDeviceMappings": [ { "deviceName": "/dev/abcd", "ebs": { "volumeId": "vol-a1bc234d", "status": "attached", "attachTime": "2015-03-19T21:13:07.000Z", "deleteOnTermination": true } } ], "virtualizationType": "hvm", "instanceLifecycle": null, "spotInstanceRequestId": null, "clientToken": "ab1234c5-6d78-910-1112-13ef14g15hi16", "tags": [], "securityGroups": [ { "groupName": "default", "groupId": "sg-a12bcde3" } ], "sourceDestCheck": true, "hypervisor": "xen", "networkInterfaces": [ { "networkInterfaceId": "eni-1234ab56", "subnetId": "subnet-a1b2c3d4", "vpcId": "vpc-a12bc345", "description": "", "ownerId": "123456789012",

64

Page 71: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEliminación de datos

"status": "in-use", "macAddress": "1a:23:45:67:b8", "privateIpAddress": "000.00.0.000", "privateDnsName": "ip-000-00-0-000.us-west-2.compute.internal", "sourceDestCheck": true, "groups": [ { "groupName": "default", "groupId": "sg-a12bcde3" } ], "attachment": { "attachmentId": "eni-attach-123a4b5c", "deviceIndex": 0, "status": "attached", "attachTime": "2015-03-19T21:13:05.000Z", "deleteOnTermination": true }, "association": { "publicIp": "00.000.000.000", "publicDnsName":"ec2-00-000-000-000.us-west-2.compute.amazonaws.com", "ipOwnerId": "amazon" }, "privateIpAddresses": [ { "privateIpAddress": "000.00.0.000", "privateDnsName":"ip-000-00-0-000.us-west-2.compute.internal", "primary": true, "association": { "publicIp": "00.000.000.000", "publicDnsName":"ec2-000-00-0-000.us-west-2.compute.amazonaws.com", "ipOwnerId": "amazon" } } ] } ], "iamInstanceProfile": null, "ebsOptimized": false, "sriovNetSupport": null } }, "notificationCreationTime": "2015-03-19T21:20:36.808Z", "messageType": "ConfigurationItemChangeNotification", "recordVersion": "1.2"}

Eliminación de datos de AWS ConfigAWS Config le permite eliminar los datos al especificar un periodo de retención para suConfigurationItems. Cuando se especifica un periodo de retención, AWS Config conserva suConfigurationItems para ese periodo especificado. Puede elegir un periodo entre un mínimo de 30días y un máximo de 7 años (2557 días). AWS Config elimina los datos de más antigüedad de su periodode retención especificado. Si no especifica un periodo de retención, AWS Config sigue almacenandoConfigurationItems durante el periodo predeterminado de 7 años (2557 días). Cuando el registroestá activado, el estado actual del recurso es cuando se registra un ConfigurationItem y hasta que seregistra el siguiente cambio (un ConfigurationItem nuevo).

Para comprender el comportamiento de periodo de retención, vamos a analizar la línea temporal.

65

Page 72: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEliminación de datos

• Cuando el registro está activado, el estado actual de un recurso siempre existe y no puede eliminarseindependientemente de la fecha en que se registra el ConfigurationItem.

• Cuando AWS Config registra nuevos ConfigurationItems, los anteriores ConfigurationItems seeliminan en función del periodo de retención especificado.

En la siguiente línea temporal, AWS Config registra ConfigurationItems en las siguientes fechas. Aefectos de esta línea temporal, hoy se representa como 24 de mayo de 2018.

En la siguiente tabla se explica qué ConfigurationItems se muestran en la línea temporal de AWSConfig en función del periodo de retención seleccionado.

Periodo deretención

Elementos de configuración mostradosen la línea temporal

Explicación

30 días 12 de diciembre de 2017 El estado actual del recursocomenzó a partir del 12 de diciembrede 2017 cuando se registró elConfigurationItem y es válido hastahoy (24 de mayo de 2018). Cuando elregistro está activado, el estado actualsiempre existe.

66

Page 73: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEliminación de datos

Periodo deretención

Elementos de configuración mostradosen la línea temporal

Explicación

365 días 12 de diciembre de 2017; 12 denoviembre de 2017 y 10 de marzo de2017

El periodo de retención muestra elestado actual 12 de diciembre de 2017y anteriores ConfigurationItems 12de noviembre de 2017 y 10 de marzo de2017.

El ConfigurationItem de 10 demarzo de 2017 se muestra en lalínea temporal ya que ese estado deconfiguración representaba el estadoactual hace 365 días.

Después de especificar un periodo de retención, las API de AWS Config ya no devuelvenConfigurationItems que representan un estado más antiguo que el periodo de retención especificado.

Note

• AWS Config no puede registrar sus ConfigurationItems si se desactiva el registro.• AWS Config no puede registrar sus ConfigurationItems si se desvincula su rol de IAM.

Configuración de periodo de retención de datos en la Consola deadministración de AWSEn la Consola de administración de AWS, si no selecciona un periodo de retención de datos, el periodopredeterminado es de 7 años o 2557 días.

Para establecer un periodo de retención de datos personalizado para elementos de configuración,seleccione la casilla de verificación. Puede seleccionar 1 año, 3 años, 5 años o un periodo preconfigurado.Para un periodo preconfigurado, escriba el número de días comprendido entre 30 y 2557 días.

67

Page 74: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorNotificaciones de ejemplo

Notificaciones que AWS Config envía a un tema deAmazon SNS

Puede configurar AWS Config para que transmita cambios de configuración y notificaciones a un tema deAmazon SNS. Por ejemplo, cuando se actualiza un recurso, puede obtener una notificación enviada a sucorreo electrónico, para que pueda ver los cambios. También se le puede notificar cuando AWS Configevalúa las reglas personalizadas o administradas con respecto a sus recursos.

AWS Config envía notificaciones para los siguientes eventos:

• Cambio de elemento de configuración de un recurso.• Se ha entregado el historial de configuración de un recurso a su cuenta.• Se ha iniciado una instantánea de configuración de los recursos registrados y se ha entregado a su

cuenta.• Estado de conformidad de los recursos y si son conformes a sus reglas.• Se ha iniciado la evaluación de una regla con respecto a los recursos.• AWS Config no ha podido entregar la notificación a su cuenta.

Note

Si elige el correo electrónico como punto de enlace de la notificación de su tema de SNS,puede recibir un gran volumen de correos electrónicos. Para obtener más información, consulteMonitorización de cambios de recursos de AWS Config por correo electrónico (p. 62).

Temas• Ejemplo de notificaciones de cambio de elemento de configuración (p. 68)• Ejemplo de notificación de entrega de historial de configuración (p. 76)• Ejemplo de notificación de inicio de entrega de instantánea de configuración (p. 77)• Ejemplo de notificación de entrega de instantánea de configuración (p. 77)• Ejemplo de notificación de cambio de conformidad (p. 78)• Ejemplo de notificación de inicio de evaluación de reglas (p. 79)• Ejemplo de notificación de cambio de elemento de configuración sobredimensionado (p. 79)• Ejemplo de notificación de entrega fallida (p. 80)

Ejemplo de notificaciones de cambio de elemento deconfiguraciónAWS Config utiliza Amazon SNS para entregar notificaciones a puntos de enlace de suscripciones.Estas notificaciones ofrecen el estado de entrega de las instantáneas de configuración y los historialesde configuración y aportan cada elemento de configuración que AWS Config crea cuando cambian lasconfiguraciones de los recursos de AWS registrados. AWS Config también envía las notificaciones quemuestran si los recursos son o no conformes a las reglas. Si opta por que las notificaciones se envíen porcorreo electrónico, puede utilizar filtros en su aplicación cliente de correo electrónico basados en la líneade asunto y el cuerpo del mensaje del correo electrónico.

A continuación se muestra un ejemplo de carga de una notificación de Amazon SNS que se genera cuandoAWS Config detecta que el volumen de Amazon Elastic Block Store vol-ce676ccc está asociado a lainstancia con un ID de i-344c463d. La notificación contiene el cambio del elemento de configuración delrecurso.

68

Page 75: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEjemplo de notificaciones de cambio

de elemento de configuración

"Type": "Notification", "MessageId": "8b945cb0-db34-5b72-b032-1724878af488", "TopicArn": "arn:aws:sns:us-west-2:123456789012:example", "Message": { "MessageVersion": "1.0", "NotificationCreateTime": "2014-03-18T10:11:00Z", "messageType": "ConfigurationItemChangeNotification", "configurationItems": [ { "configurationItemVersion": "1.0", "configurationItemCaptureTime": "2014-03-07T23:47:08.918Z", "arn": "arn:aws:us-west-2b:123456789012:volume/vol-ce676ccc", "resourceId": "vol-ce676ccc", "accountId": "123456789012", "configurationStateID": "3e660fdf-4e34-4f32-afeb-0ace5bf3d63a", "configuationItemStatus": "OK", "relatedEvents": [ "06c12a39-eb35-11de-ae07-adb69edbb1e4", "c376e30d-71a2-4694-89b7-a5a04ad92281" ], "availibilityZone": "us-west-2b", "resourceType": "AWS::EC2::VOLUME", "resourceCreationTime": "2014-02-27T21:43:53.885Z", "tags": {}, "relationships": [ { "resourceId": "i-344c463d", "resourceType": "AWS::EC2::INSTANCE", "name": "Attached to Instance" } ], "configuration": { "volumeId": "vol-ce676ccc", "size": 1, "snapshotId": "", "availabilityZone": "us-west-2b", "state": "in-use", "createTime": "2014-02-27T21:43:53.0885+0000", "attachments": [ { "volumeId": "vol-ce676ccc", "instanceId": "i-344c463d", "device": "/dev/sdf", "state": "attached", "attachTime": "2014-03-07T23:46:28.0000+0000", "deleteOnTermination": false } ], "tags": [], "volumeType": "standard" } } ], "configurationItemDiff": { "changeType": "UPDATE", "changedProperties": { "Configuration.State": { "previousValue": "available", "updatedValue": "in-use", "changeType": "UPDATE" }, "Configuration.Attachments.0": { "updatedValue": { "VolumeId": "vol-ce676ccc",

69

Page 76: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEjemplo de notificaciones de cambio

de elemento de configuración

"InstanceId": "i-344c463d", "Device": "/dev/sdf", "State": "attached", "AttachTime": "FriMar0723: 46: 28UTC2014", "DeleteOnTermination": "false" }, "changeType": "CREATE" } } } }, "Timestamp": "2014-03-07T23:47:10.001Z", "SignatureVersion": "1", "Signature": "LgfJNB5aOk/w3omqsYrv5cUFY8yvIJvO5ZZh46/KGPApk6HXRTBRlkhjacnxIXJEWsGI9mxvMmoWPLJGYEAR5FF/+/Ro9QTmiTNcEjQ5kB8wGsRWVrk/whAzT2lVtofc365En2T1Ncd9iSFFXfJchgBmI7EACZ28t+n2mWFgo57n6eGDvHTedslzC6KxkfWTfXsR6zHXzkB3XuZImktflg3iPKtvBb3Zc9iVbNsBEI4FITFWktSqqomYDjc5h0kgapIo4CtCHGKpALW9JDmP+qZhMzEbHWpzFlEzvFl55KaZXxDbznBD1ZkqPgno/WufuxszCiMrsmV8pUNUnkU1TA==", "SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-e372f8ca30337fdb084e8ac449342c77.pem", "UnsubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456789012:example:a6859fee-3638-407c-907e-879651c9d143"}

Elementos de configuración para recursos con relacionesSi un recurso está relacionado con otros recursos, un cambio en dicho recurso puede generar varioselementos de configuración. El siguiente ejemplo muestra cómo AWS Config crea elementos deconfiguración para recursos con relaciones.

1. Cuenta con una instancia de Amazon EC2; con un ID de i-007d374c8912e3e90 y la instancia seasocia a un grupo de seguridad de Amazon EC2, sg-c8b141b4.

2. Puede actualizar la instancia EC2 para cambiar el grupo de seguridad a otro grupo de seguridad,sg-3f1fef43.

3. Debido a que la instancia EC2 está relacionada con otro recurso, AWS Config crea varios elementosde configuración como los siguientes ejemplos:

Esta notificación contiene el cambio del elemento de configuración para la instancia EC2 cuando sesustituye el grupo de seguridad.

{ "Type": "Notification", "MessageId": "faeba85e-ef46-570a-b01c-f8b0faae8d5d", "TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio", "Subject": "[AWS Config:us-east-2] AWS::EC2::Instance i-007d374c8912e3e90 Updated in Account 123456789012", "Message": { "configurationItemDiff": { "changedProperties": { "Configuration.NetworkInterfaces.0": { "previousValue": { "networkInterfaceId": "eni-fde9493f", "subnetId": "subnet-2372be7b", "vpcId": "vpc-14400670", "description": "", "ownerId": "123456789012", "status": "in-use", "macAddress": "0e:36:a2:2d:c5:e0", "privateIpAddress": "172.31.16.84", "privateDnsName": "ip-172-31-16-84.ec2.internal",

70

Page 77: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEjemplo de notificaciones de cambio

de elemento de configuración

"sourceDestCheck": true, "groups": [{ "groupName": "example-security-group-1", "groupId": "sg-c8b141b4" }], "attachment": { "attachmentId": "eni-attach-85bd89d9", "deviceIndex": 0, "status": "attached", "attachTime": "2017-01-09T19:36:02.000Z", "deleteOnTermination": true }, "association": { "publicIp": "54.175.43.43", "publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com", "ipOwnerId": "amazon" }, "privateIpAddresses": [{ "privateIpAddress": "172.31.16.84", "privateDnsName": "ip-172-31-16-84.ec2.internal", "primary": true, "association": { "publicIp": "54.175.43.43", "publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com", "ipOwnerId": "amazon" } }] }, "updatedValue": null, "changeType": "DELETE" }, "Relationships.0": { "previousValue": { "resourceId": "sg-c8b141b4", "resourceName": null, "resourceType": "AWS::EC2::SecurityGroup", "name": "Is associated with SecurityGroup" }, "updatedValue": null, "changeType": "DELETE" }, "Configuration.NetworkInterfaces.1": { "previousValue": null, "updatedValue": { "networkInterfaceId": "eni-fde9493f", "subnetId": "subnet-2372be7b", "vpcId": "vpc-14400670", "description": "", "ownerId": "123456789012", "status": "in-use", "macAddress": "0e:36:a2:2d:c5:e0", "privateIpAddress": "172.31.16.84", "privateDnsName": "ip-172-31-16-84.ec2.internal", "sourceDestCheck": true, "groups": [{ "groupName": "example-security-group-2", "groupId": "sg-3f1fef43" }], "attachment": { "attachmentId": "eni-attach-85bd89d9", "deviceIndex": 0, "status": "attached", "attachTime": "2017-01-09T19:36:02.000Z", "deleteOnTermination": true },

71

Page 78: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEjemplo de notificaciones de cambio

de elemento de configuración

"association": { "publicIp": "54.175.43.43", "publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com", "ipOwnerId": "amazon" }, "privateIpAddresses": [{ "privateIpAddress": "172.31.16.84", "privateDnsName": "ip-172-31-16-84.ec2.internal", "primary": true, "association": { "publicIp": "54.175.43.43", "publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com", "ipOwnerId": "amazon" } }] }, "changeType": "CREATE" }, "Relationships.1": { "previousValue": null, "updatedValue": { "resourceId": "sg-3f1fef43", "resourceName": null, "resourceType": "AWS::EC2::SecurityGroup", "name": "Is associated with SecurityGroup" }, "changeType": "CREATE" }, "Configuration.SecurityGroups.1": { "previousValue": null, "updatedValue": { "groupName": "example-security-group-2", "groupId": "sg-3f1fef43" }, "changeType": "CREATE" }, "Configuration.SecurityGroups.0": { "previousValue": { "groupName": "example-security-group-1", "groupId": "sg-c8b141b4" }, "updatedValue": null, "changeType": "DELETE" } }, "changeType": "UPDATE" }, "configurationItem": { "relatedEvents": ["e61e1419-7cb0-477f-8dde-bbfe27467a96"], "relationships": [ { "resourceId": "eni-fde9493f", "resourceName": null, "resourceType": "AWS::EC2::NetworkInterface", "name": "Contains NetworkInterface" }, { "resourceId": "sg-3f1fef43", "resourceName": null, "resourceType": "AWS::EC2::SecurityGroup", "name": "Is associated with SecurityGroup" }, { "resourceId": "subnet-2372be7b", "resourceName": null,

72

Page 79: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEjemplo de notificaciones de cambio

de elemento de configuración

"resourceType": "AWS::EC2::Subnet", "name": "Is contained in Subnet" }, { "resourceId": "vol-0a2d63a256bce35c5", "resourceName": null, "resourceType": "AWS::EC2::Volume", "name": "Is attached to Volume" }, { "resourceId": "vpc-14400670", "resourceName": null, "resourceType": "AWS::EC2::VPC", "name": "Is contained in Vpc" } ], "configuration": { "instanceId": "i-007d374c8912e3e90", "imageId": "ami-9be6f38c", "state": { "code": 16, "name": "running" }, "privateDnsName": "ip-172-31-16-84.ec2.internal", "publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com", "stateTransitionReason": "", "keyName": "ec2-micro", "amiLaunchIndex": 0, "productCodes": [], "instanceType": "t2.micro", "launchTime": "2017-01-09T20:13:28.000Z", "placement": { "availabilityZone": "us-east-2c", "groupName": "", "tenancy": "default", "hostId": null, "affinity": null }, "kernelId": null, "ramdiskId": null, "platform": null, "monitoring": {"state": "disabled"}, "subnetId": "subnet-2372be7b", "vpcId": "vpc-14400670", "privateIpAddress": "172.31.16.84", "publicIpAddress": "54.175.43.43", "stateReason": null, "architecture": "x86_64", "rootDeviceType": "ebs", "rootDeviceName": "/dev/xvda", "blockDeviceMappings": [{ "deviceName": "/dev/xvda", "ebs": { "volumeId": "vol-0a2d63a256bce35c5", "status": "attached", "attachTime": "2017-01-09T19:36:03.000Z", "deleteOnTermination": true } }], "virtualizationType": "hvm", "instanceLifecycle": null, "spotInstanceRequestId": null, "clientToken": "bIYqA1483990561516", "tags": [{ "key": "Name", "value": "value"

73

Page 80: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEjemplo de notificaciones de cambio

de elemento de configuración

}], "securityGroups": [{ "groupName": "example-security-group-2", "groupId": "sg-3f1fef43" }], "sourceDestCheck": true, "hypervisor": "xen", "networkInterfaces": [{ "networkInterfaceId": "eni-fde9493f", "subnetId": "subnet-2372be7b", "vpcId": "vpc-14400670", "description": "", "ownerId": "123456789012", "status": "in-use", "macAddress": "0e:36:a2:2d:c5:e0", "privateIpAddress": "172.31.16.84", "privateDnsName": "ip-172-31-16-84.ec2.internal", "sourceDestCheck": true, "groups": [{ "groupName": "example-security-group-2", "groupId": "sg-3f1fef43" }], "attachment": { "attachmentId": "eni-attach-85bd89d9", "deviceIndex": 0, "status": "attached", "attachTime": "2017-01-09T19:36:02.000Z", "deleteOnTermination": true }, "association": { "publicIp": "54.175.43.43", "publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com", "ipOwnerId": "amazon" }, "privateIpAddresses": [{ "privateIpAddress": "172.31.16.84", "privateDnsName": "ip-172-31-16-84.ec2.internal", "primary": true, "association": { "publicIp": "54.175.43.43", "publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com", "ipOwnerId": "amazon" } }] }], "iamInstanceProfile": null, "ebsOptimized": false, "sriovNetSupport": null, "enaSupport": true }, "supplementaryConfiguration": {}, "tags": {"Name": "value"}, "configurationItemVersion": "1.2", "configurationItemCaptureTime": "2017-01-09T22:50:14.328Z", "configurationStateId": 1484002214328, "awsAccountId": "123456789012", "configurationItemStatus": "OK", "resourceType": "AWS::EC2::Instance", "resourceId": "i-007d374c8912e3e90", "resourceName": null, "ARN": "arn:aws:ec2:us-east-2:123456789012:instance/i-007d374c8912e3e90", "awsRegion": "us-east-2", "availabilityZone": "us-east-2c", "configurationStateMd5Hash": "8d0f41750f5965e0071ae9be063ba306", "resourceCreationTime": "2017-01-09T20:13:28.000Z" },

74

Page 81: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEjemplo de notificaciones de cambio

de elemento de configuración

"notificationCreationTime": "2017-01-09T22:50:15.928Z", "messageType": "ConfigurationItemChangeNotification", "recordVersion": "1.2" }, "Timestamp": "2017-01-09T22:50:16.358Z", "SignatureVersion": "1", "Signature": "lpJTEYOSr8fUbiaaRNw1ECawJFVoD7I67mIeEkfAWJkqvvpak1ULHLlC+I0sS/01A4P1Yci8GSK/cOEC/O2XBntlw4CAtbMUgTQvb345Z2YZwcpK0kPNi6v6N51DuZ/6DZA8EC+gVTNTO09xtNIH8aMlvqyvUSXuh278xayExC5yTRXEg+ikdZRd4QzS7obSK1kgRZWI6ipxPNL6rd56/VvPxyhcbS7Vm40/2+e0nVb3bjNHBxjQTXSs1Xhuc9eP2gEsC4Sl32bGqdeDU1Y4dFGukuzPYoHuEtDPh+GkLUq3KeiDAQshxAZLmOIRcQ7iJ/bELDJTN9AcX6lqlDZ79w==", "SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem", "UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"}

Esta notificación contiene el cambio del elemento de configuración para el grupo de seguridad de EC2,sg-3f1fef43, que está asociado a la instancia.

{ "Type": "Notification", "MessageId": "564d873e-711e-51a3-b48c-d7d064f65bf4", "TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio", "Subject": "[AWS Config:us-east-2] AWS::EC2::SecurityGroup sg-3f1fef43 Created in Account 123456789012", "Message": { "configurationItemDiff": { "changedProperties": {}, "changeType": "CREATE" }, "configurationItem": { "relatedEvents": ["e61e1419-7cb0-477f-8dde-bbfe27467a96"], "relationships": [{ "resourceId": "vpc-14400670", "resourceName": null, "resourceType": "AWS::EC2::VPC", "name": "Is contained in Vpc" }], "configuration": { "ownerId": "123456789012", "groupName": "example-security-group-2", "groupId": "sg-3f1fef43", "description": "This is an example security group.", "ipPermissions": [], "ipPermissionsEgress": [{ "ipProtocol": "-1", "fromPort": null, "toPort": null, "userIdGroupPairs": [], "ipRanges": ["0.0.0.0/0"], "prefixListIds": [] }], "vpcId": "vpc-14400670", "tags": [] }, "supplementaryConfiguration": {}, "tags": {}, "configurationItemVersion": "1.2", "configurationItemCaptureTime": "2017-01-09T22:50:15.156Z", "configurationStateId": 1484002215156, "awsAccountId": "123456789012", "configurationItemStatus": "ResourceDiscovered",

75

Page 82: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEjemplo de notificación de entrega

de historial de configuración

"resourceType": "AWS::EC2::SecurityGroup", "resourceId": "sg-3f1fef43", "resourceName": null, "ARN": "arn:aws:ec2:us-east-2:123456789012:security-group/sg-3f1fef43", "awsRegion": "us-east-2", "availabilityZone": "Not Applicable", "configurationStateMd5Hash": "7399608745296f67f7fe1c9ca56d5205", "resourceCreationTime": null }, "notificationCreationTime": "2017-01-09T22:50:16.021Z", "messageType": "ConfigurationItemChangeNotification", "recordVersion": "1.2" }, "Timestamp": "2017-01-09T22:50:16.413Z", "SignatureVersion": "1", "Signature": "GocX31Uu/zNFo85hZqzsNy30skwmLnjPjj+UjaJzkih+dCP6gXYGQ0bK7uMzaLL2C/ibYOOsT7I/XY4NW6Amc5T46ydyHDjFRtQi8UfUQTqLXYRTnpOO/hyK9lMFfhUNs4NwQpmx3n3mYEMpLuMs8DCgeBmB3AQ+hXPhNuNuR3mJVgo25S8AqphN9O0okZ2MKNUQy8iJm/CVAx70TdnYsfUMZ24n88bUzAfiHGzc8QTthMdrFVUwXxa1h/7Zl8+A7BwoGmjo7W8CfLDVwaIQv1Uplgk3qd95Z0AXOzXVxNBQEi4k8axcknwjzpyO1g3rKzByiQttLUQwkgF33op9wg==", "SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem", "UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"}

Ejemplo de notificación de entrega de historial deconfiguraciónEl historial de configuración es una recopilación de elementos de configuración de un tipo de recursoa lo largo de un periodo de tiempo. A continuación se muestra un ejemplo de notificación que AWSConfig envía cuando se entrega a su cuenta el historial de configuración de un recurso de seguimiento deCloudTrail.

{ "Type": "Notification", "MessageId": "ce49bf2c-d03a-51b0-8b6a-ef480a8b39fe", "TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio", "Subject": "[AWS Config:us-east-2] Configuration History Delivery Completed for Account 123456789012", "Message": { "s3ObjectKey": "AWSLogs/123456789012/Config/us-east-2/2016/9/27/ConfigHistory/123456789012_Config_us-east-2_ConfigHistory_AWS::CloudTrail::Trail_20160927T195818Z_20160927T195818Z_1.json.gz", "s3Bucket": "config-bucket-123456789012-ohio", "notificationCreationTime": "2016-09-27T20:37:05.217Z", "messageType": "ConfigurationHistoryDeliveryCompleted", "recordVersion": "1.1" }, "Timestamp": "2016-09-27T20:37:05.315Z", "SignatureVersion": "1", "Signature": "OuIcS5RAKXTR6chQEJp3if4KJQVlBz2kmXh7QE1/RJQiCPsCNfG0J0rUZ1rqfKMqpps/Ka+zF0kg4dUCWV9PF0dliuwnjfbtYmDZpP4EBOoGmxcTliUn1AIe/yeGFDuc6P3EotP3zt02rhmxjezjf3c11urstFZ8rTLVXp0z0xeyk4da0UetLsWZxUFEG0Z5uhk09mBo5dg/4mryIOovidhrbCBgX5marot8TjzNPS9UrKhi2YGUoSQGr4E85EzWqqXdn33GO8dy0DqDfdWBaEr3IWVGtHy3w7oJDMIqW7ENkfML0bJMQjin4P5tYeilNF5XQzhtCkFvFx7JHR97vw==", "SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem", "UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"}

76

Page 83: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEjemplo de notificación de inicio de

entrega de instantánea de configuración

Ejemplo de notificación de inicio de entrega deinstantánea de configuraciónA continuación se muestra un ejemplo de notificación que AWS Config envía cuando AWS Configcomienza a entregar la instantánea de configuración a su cuenta.

{ "Type": "Notification", "MessageId": "a32d0487-94b1-53f6-b4e6-5407c9c00be6", "TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio", "Subject": "[AWS Config:us-east-2] Configuration Snapshot Delivery Started for Account 123456789012", "Message": { "configSnapshotId": "108e0794-84a7-4cca-a179-76a199ddd11a", "notificationCreationTime": "2016-10-18T17:26:09.572Z", "messageType": "ConfigurationSnapshotDeliveryStarted", "recordVersion": "1.1" }, "Timestamp": "2016-10-18T17:26:09.840Z", "SignatureVersion": "1", "Signature": "BBA0DeKsfteTpYyZH5HPANpOLmW/jumOMBsghRq/kimY9tjNlkF/V3BpLG1HVmDQdQzBh6oKE0h0rxcazbyGf5KF5W5r1zKKlEnS9xugFzALPUx//olSJ4neWalLBKNIq1xvAQgu9qHfDR7dS2aCwe4scQfqOjn1Ev7PlZqxmT+ux3SR/C54cbfcduDpDsPwdo868+TpZvMtaU30ySnX04fmOgxoiA8AJO/EnjduQ08/zd4SYXhm+H9wavcwXB9XECelHhRW70Y+wHQixfx40S1SaSRzvnJE+m9mHphFQs64YraRDRv6tMaenTk6CVPO+81ceAXIg2E1m7hZ7lz4PA==", "SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem", "UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"}

Ejemplo de notificación de entrega de instantánea deconfiguraciónLa instantánea de configuración es una recopilación de elementos de configuración de todos los recursosregistrados y de sus configuraciones en su cuenta. A continuación se muestra un ejemplo de notificaciónque AWS Config envía cuando se entrega la instantánea de configuración a su cuenta.

{ "Type": "Notification", "MessageId": "9fc82f4b-397e-5b69-8f55-7f2f86527100", "TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio", "Subject": "[AWS Config:us-east-2] Configuration Snapshot Delivery Completed for Account 123456789012", "Message": { "configSnapshotId": "16da64e4-cb65-4846-b061-e6c3ba43cb96", "s3ObjectKey": "AWSLogs/123456789012/Config/us-east-2/2016/9/27/ConfigSnapshot/123456789012_Config_us-east-2_ConfigSnapshot_20160927T183939Z_16da64e4-cb65-4846-b061-e6c3ba43cb96.json.gz", "s3Bucket": "config-bucket-123456789012-ohio", "notificationCreationTime": "2016-09-27T18:39:39.853Z", "messageType": "ConfigurationSnapshotDeliveryCompleted", "recordVersion": "1.1" }, "Timestamp": "2016-09-27T18:39:40.062Z", "SignatureVersion": "1", "Signature": "PMkWfUuj/fKIEXA7s2wTDLbZoF/MDsUkPspYghOpwu9n6m+C+zrm0cEZXPxxJPvhnWozG7SVqkHYf9QgI/diW2twP/HPDn5GQs2rNDc+YlaByEXnKVtHV1Gd4r1kN57E/

77

Page 84: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEjemplo de notificación de cambio de conformidad

oOW5NVLNczk5ymxAW+WGdptZJkCgyVuhJ28s08m3Z3Kqz96PPSnXzYZoCfCn/yP6CqXoN7olr4YCbYxYwn8zOUYcPmc45yYNSUTKZi+RJQRnDJkL2qb+s4h9w2fjbBBj8xe830VbFJqbHp7UkSfpc64Y+tRvmMLY5CI1cYrnuPRhTLdUk+R0sshg5G+JMtSLVG/TvWbjz44CKXJprjIQg==", "SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem", "UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"}

Ejemplo de notificación de cambio de conformidadCuando AWS Config evalúa sus recursos con respecto a una regla personalizada o administrada, AWSConfig envía una notificación que muestra si los recursos son o no conformes a la regla.

A continuación se muestra un ejemplo de notificación en la que el recurso de seguimiento de CloudTrail esconforme con respecto a la norma administrada cloudtrail-enabled .

{ "Type": "Notification", "MessageId": "11fd05dd-47e1-5523-bc01-55b988bb9478", "TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio", "Subject": "[AWS Config:us-east-2] AWS::::Account 123456789012 is COMPLIANT with cloudtrail-enabled in Accoun...", "Message": { "awsAccountId": "123456789012", "configRuleName": "cloudtrail-enabled", "configRuleARN": "arn:aws:config:us-east-2:123456789012:config-rule/config-rule-9rpvxc", "resourceType": "AWS::::Account", "resourceId": "123456789012", "awsRegion": "us-east-2", "newEvaluationResult": { "evaluationResultIdentifier": { "evaluationResultQualifier": { "configRuleName": "cloudtrail-enabled", "resourceType": "AWS::::Account", "resourceId": "123456789012" }, "orderingTimestamp": "2016-09-27T19:48:40.619Z" }, "complianceType": "COMPLIANT", "resultRecordedTime": "2016-09-27T19:48:41.405Z", "configRuleInvokedTime": "2016-09-27T19:48:40.914Z", "annotation": null, "resultToken": null }, "oldEvaluationResult": { "evaluationResultIdentifier": { "evaluationResultQualifier": { "configRuleName": "cloudtrail-enabled", "resourceType": "AWS::::Account", "resourceId": "123456789012" }, "orderingTimestamp": "2016-09-27T16:30:49.531Z" }, "complianceType": "NON_COMPLIANT", "resultRecordedTime": "2016-09-27T16:30:50.717Z", "configRuleInvokedTime": "2016-09-27T16:30:50.105Z", "annotation": null, "resultToken": null }, "notificationCreationTime": "2016-09-27T19:48:42.620Z",

78

Page 85: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEjemplo de notificación de inicio de evaluación de reglas

"messageType": "ComplianceChangeNotification", "recordVersion": "1.0" }, "Timestamp": "2016-09-27T19:48:42.749Z", "SignatureVersion": "1", "Signature": "XZ9FfLb2ywkW9yj0yBkNtIP5q7Cry6JtCEyUiHmG9gpOZi3seQ41udhtAqCZoiNiizAEi+6gcttHCRV1hNemzp/YmBmTfO6azYXt0FJDaEvd86k68VCS9aqRlBBjYlNo7ILi4Pqd5rE4BX2YBQSzcQyERGkUfTZ2BIFyAmb1Q/y4/6ez8rDyi545FDSlgcGEb4LKLNR6eDi4FbKtMGZHA7Nz8obqs1dHbgWYnp3c80mVLl7ohP4hilcxdywAgXrbsN32ekYr15gdHozx8YzyjfRSo3SjH0c5PGSXEAGNuC3mZrKJip+BIZ21ZtkcUtY5B3ImgRlUO7Yhn3L3c6rZxQ==", "SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem", "UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"}

Ejemplo de notificación de inicio de evaluación dereglasAWS Config envía una notificación cuando comienza a evaluar la regla personalizada o administrada conrespecto a sus recursos. A continuación se muestra un ejemplo de notificación del momento en el queAWS Config comienza a evaluar la regla administrada iam-password-policy.

{ "Type": "Notification", "MessageId": "358c8e65-e27a-594e-82d0-de1fe77393d7", "TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio", "Subject": "[AWS Config:us-east-2] Config Rules Evaluation Started for Account 123456789012", "Message": { "awsAccountId": "123456789012", "awsRegion": "us-east-2", "configRuleNames": ["iam-password-policy"], "notificationCreationTime": "2016-10-13T21:55:21.339Z", "messageType": "ConfigRulesEvaluationStarted", "recordVersion": "1.0" }, "Timestamp": "2016-10-13T21:55:21.575Z", "SignatureVersion": "1", "Signature": "DE431D+24zzFRboyPY2bPTsznJWe8L6TjDC+ItYlLFkE9jACSBl3sQ1uSjYzEhEbN7Cs+wBoHnJ/DxOSpyCxt4giqgKd+H2I636BvrQwHDhJwJm7qI6P8IozEliRvRWbM38zDTvHqkmmXQbdDHRsK/MssMeVTBKuW0x8ivMrj+KpwuF57tE62eXeFhjBeJ0DKQV+aC+i3onsuT7HQvXQDBPdOM+cSuLrJaMQJ6TcMU5G76qg/gl494ilb4Vj4udboGWpHSgUvI3guFsc1SsTrlWXQKXabWtsCQPfdOhkKgmViCfMZrLRp8Pjnu+uspYQELkEfwBchDVVzd15iMrAzQ==", "SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem", "UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"}

Ejemplo de notificación de cambio de elemento deconfiguración sobredimensionadoCuando AWS Config detecta un cambio de configuración de un recurso, envía una notificaciónde elemento de configuración. Si la notificación supera el tamaño máximo permitido por AmazonSimple Notification Service (Amazon SNS), la notificación incluye un breve resumen del elemento de

79

Page 86: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEjemplo de notificación de entrega fallida

configuración. Puede ver la notificación completa en la ubicación del bucket de Amazon S3 en el campos3BucketLocation.

El siguiente ejemplo de notificación muestra un elemento de configuración para una instancia AmazonEC2. La notificación incluye un resumen de los cambios y la ubicación de la notificación en el bucket deAmazon S3.

View the Timeline for this Resource in AWS Config Management Console: https://console.aws.amazon.com/config/home?region=us-west-2#/timeline/AWS::EC2::Instance/resourceId_14b76876-7969-4097-ab8e-a31942b02e80?time=2016-10-06T16:46:16.261Z The full configuration item change notification for this resource exceeded the maximum size allowed by Amazon Simple Notification Service (SNS). A summary of the configuration item is provided here. You can view the complete notification in the specified Amazon S3 bucket location. New State Record Summary: ---------------------------- { "configurationItemSummary": { "changeType": "UPDATE", "configurationItemVersion": "1.2", "configurationItemCaptureTime": "2016-10-06T16:46:16.261Z", "configurationStateId": 0, "awsAccountId": "123456789012", "configurationItemStatus": "OK", "resourceType": "AWS::EC2::Instance", "resourceId": "resourceId_14b76876-7969-4097-ab8e-a31942b02e80", "resourceName": null, "ARN": "arn:aws:ec2:us-west-2:123456789012:instance/resourceId_14b76876-7969-4097-ab8e-a31942b02e80", "awsRegion": "us-west-2", "availabilityZone": null, "configurationStateMd5Hash": "8f1ee69b287895a0f8bc5753eca68e96", "resourceCreationTime": "2016-10-06T16:46:10.489Z" }, "s3DeliverySummary": { "s3BucketLocation": "my-bucket/AWSLogs/123456789012/Config/us-west-2/2016/10/6/OversizedChangeNotification/AWS::EC2::Instance/resourceId_14b76876-7969-4097-ab8e-a31942b02e80/123456789012_Config_us-west-2_ChangeNotification_AWS::EC2::Instance_resourceId_14b76876-7969-4097-ab8e-a31942b02e80_20161006T164616Z_0.json.gz", "errorCode": null, "errorMessage": null }, "notificationCreationTime": "2016-10-06T16:46:16.261Z", "messageType": "OversizedConfigurationItemChangeNotification", "recordVersion": "1.0" }

Ejemplo de notificación de entrega fallidaAWS Config envía una notificación de entrega fallida si AWS Config no puede entregar la instantánea de laconfiguración o una notificación de cambio de elemento de configuración sobredimensionado en el bucketde Amazon S3. Verifique que ha especificado un bucket de Amazon S3 válido.

View the Timeline for this Resource in AWS Config Management Console: https://console.aws.amazon.com/config/home?region=us-west-2#/timeline/AWS::EC2::Instance/test_resourceId_014b953d-75e3-40ce-96b9-c7240b975457?time=2016-10-06T16:46:13.749Z

80

Page 87: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEjemplo de notificación de entrega fallida

The full configuration item change notification for this resource exceeded the maximum size allowed by Amazon Simple Notification Service (SNS). A summary of the configuration item is provided here. You can view the complete notification in the specified Amazon S3 bucket location. New State Record Summary: ---------------------------- { "configurationItemSummary": { "changeType": "UPDATE", "configurationItemVersion": "1.2", "configurationItemCaptureTime": "2016-10-06T16:46:13.749Z", "configurationStateId": 0, "awsAccountId": "123456789012", "configurationItemStatus": "OK", "resourceType": "AWS::EC2::Instance", "resourceId": "test_resourceId_014b953d-75e3-40ce-96b9-c7240b975457", "resourceName": null, "ARN": "arn:aws:ec2:us-west-2:123456789012:instance/test_resourceId_014b953d-75e3-40ce-96b9-c7240b975457", "awsRegion": "us-west-2", "availabilityZone": null, "configurationStateMd5Hash": "6de64b95eacd30e7b63d4bba7cd80814", "resourceCreationTime": "2016-10-06T16:46:10.489Z" }, "s3DeliverySummary": { "s3BucketLocation": null, "errorCode": "NoSuchBucket", "errorMessage": "Failed to deliver notification to bucket: bucket-example for account 123456789012 in region us-west-2." }, "notificationCreationTime": "2016-10-06T16:46:13.749Z", "messageType": "OversizedConfigurationItemChangeDeliveryFailed", "recordVersion": "1.0" }

81

Page 88: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorPermisos de administración de AWS Config

Controlar los permisos para AWSConfig

AWS Config se integra con AWS Identity and Access Management (IAM), que le permite crear las políticasde permisos que va a asociar a su rol de IAM, buckets de Amazon S3 y temas de Amazon SimpleNotification Service (Amazon SNS). Puede utilizar AWS Identity and Access Management para crear laspolíticas de permisos de AWS Config que va a asociar a los roles de IAM. Una política es un conjunto dedeclaraciones que conceden permisos de AWS Config.

Important

Le recomendamos que no use las credenciales de la cuenta raíz para realizar tareas cotidianasen AWS. En lugar de ello, es recomendable que cree un grupo de administradores de IAM conlos permisos adecuados, que cree usuarios de IAM para las personas de la organización quenecesiten realizar tareas administrativas (incluido usted mismo) y que añada esos usuarios algrupo administrativo. Para obtener más información, consulte la sección Prácticas recomendadasde IAM en la Guía del usuario de IAM.

Los dos primeros temas controlan los permisos de usuario para AWS Config seguidos de temas queproporcionan información de configuración precisa acerca de los permisos necesarios para AWS Config.Los temas proporcionan ejemplos de políticas de IAM recomendadas para su uso con la consola de AWSConfig y AWS Command Line Interface.

Temas• Concesión de permisos de administración de AWS Config (p. 82)• Otorgar permisos personalizados a los usuarios de AWS Config (p. 84)• Permisos de nivel de recurso admitidos para las acciones de la API de AWS Config Rules (p. 90)• Permisos del rol de IAM asignado a AWS Config (p. 92)• Permisos para el bucket de Amazon S3 (p. 94)• Permisos para el tema Amazon SNS (p. 96)

Concesión de permisos de administración de AWSConfig

Para permitir a los usuarios administrar AWS Config, debe conceder permisos de manera explícita a losusuarios de IAM para realizar las acciones asociadas a tareas de AWS Config. Para la mayoría de lassituaciones, puede hacerlo a través de una política administrada por AWS que contenga los permisospredefinidos.

Note

Los permisos que conceda a los usuarios para realizar tareas de administración de AWS Configno son los mismos que los permisos que AWS Config requiere para enviar los archivos de registroa buckets de Amazon S3 o enviar notificaciones a temas de Amazon SNS.

82

Page 89: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorCreación de un grupo de IAM y

usuarios para acceder a AWS Config

Los usuarios que configuran y administran AWS Config deben contar con permisos de acceso total. Conlos permisos de acceso total, los usuarios pueden proporcionar a Amazon S3 y Amazon SNS puntos deenlace a los que AWS Config envía datos, crear un rol para AWS Config y activar y desactivar el registro.

Los usuarios que utilizan AWS Config pero no necesitan configurar AWS Config deben disponerde permisos de solo lectura. Con los permisos de solo lectura, los usuarios pueden consultar lasconfiguraciones de los recursos o buscar recursos por etiquetas.

Un enfoque típico es crear un grupo de IAM que tenga los permisos pertinentes y, a continuación, añadirusuarios de IAM a dicho grupo. Por ejemplo, puede crear un grupo de IAM para los usuarios que tenganacceso completo a las acciones de AWS Config y un grupo independiente para los usuarios que necesitenver las configuraciones, pero ni crear ni cambiar un rol.

Contenido• Creación de un grupo de IAM y usuarios para acceder a AWS Config (p. 83)• Concesión de permiso de acceso total para el acceso a AWS Config (p. 84)• Recursos adicionales (p. 84)

Creación de un grupo de IAM y usuarios para accedera AWS Config1. Abra la consola de IAM en https://console.aws.amazon.com/iam.2. En el panel, elija Groups en el panel de navegación y, a continuación, elija Create New Group.3. Escriba un nombre y elija Next Step.4. En la página Attach Policy (Asociar política), localice y elija AWSConfigUserAccess. Esta política

proporciona al usuario acceso para utilizar AWS Config, incluida la búsqueda por etiquetas en losrecursos y la lectura de todas las etiquetas. Esto no proporciona permiso para configurar AWS Configpara lo que se necesitan privilegios administrativos.

Note

También puede crear una política personalizada que conceda permisos para accionesconcretas. Para obtener más información, consulte Otorgar permisos personalizados a losusuarios de AWS Config (p. 84).

5. Seleccione Next Step.6. Revise la información del grupo que está a punto de crear.

Note

Puede editar el nombre del grupo, pero tendrá que elegir la política de nuevo.7. Elija Create Group. El grupo que ha creado aparece en la lista de grupos.8. Elija el nombre de grupo que ha creado, seleccione Group Actions y, a continuación, elija Add Users to

Group.9. En la página Add Users to Group, seleccione los usuarios de IAM existentes y, a continuación, elija

Add Users. Si aún no tiene usuarios de IAM, seleccione Create New Users, escriba los nombres de losusuarios y, a continuación, seleccione Create.

10. Si ha creado usuarios, elija Users en el panel de navegación y haga lo siguiente para cada uno deellos:

a. Elija el usuario.b. Si el usuario va a utilizar la consola para administrar AWS Config, en la pestaña Security

Credentials (Credenciales de seguridad), elija Manage Password (Administrar contraseña) y, acontinuación, cree una contraseña para el usuario.

83

Page 90: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorConcesión de permiso de accesototal para el acceso a AWS Config

c. Si el usuario va a utilizar la AWS CLIo la API para administrar AWS Config y todavía no ha creadolas claves de acceso, en la pestaña Security Credentials (Credenciales de seguridad), elijaManage Access Keys (Administrar claves de acceso) y, a continuación, cree las claves de acceso.Almacene las claves en un lugar seguro.

d. De a cada usuario sus credenciales (claves de acceso o contraseña).

Concesión de permiso de acceso total para el accesoa AWS Config1. Inicie sesión en la consola de AWS Identity and Access Management (IAM) en https://

console.aws.amazon.com/iam/.2. En el panel de navegación, seleccione Policies y, a continuación, seleccione Create Policy.3. Para crear su propia política, en Create Your Own Policy, seleccione Select.4. Escriba un nombre de política y una descripción. Por ejemplo: AWSConfigFullAccess.5. Para Policy Document (Documento de política), escriba o pegue la política de acceso total en el editor.

Puede utilizar Acceso completo (p. 86).6. Seleccione Validate Policy (Validar política) y asegúrese de que no se muestra ningún error en un

cuadro rojo en la parte superior de la pantalla. Corrija cualquier error que se indique.7. Seleccione Create Policy (Crear política) para guardar la nueva política.8. En la lista de políticas, seleccione la política que ha creado. Puede utilizar el menú Filter (FIltrar) y el

cuadro Search (Buscar) para buscar la política.9. Elija Policy Actions (Acciones de política) y, a continuación, elija Attach (Asociar).10. Seleccione los usuarios, grupos o roles y, a continuación, seleccione Attach Policy (Asociar política).

Puede utilizar el menú Filter (Filtrar) y el cuadro Search (Buscar) para filtrar la lista.11. Seleccione Apply Policy.

Note

En lugar de crear una política administrada, también puede crear una política insertada de laconsola de IAM y conectarla a un usuario, grupo o rol de IAM. Para obtener más información,consulte Trabajar con políticas insertadas en la Guía del usuario de IAM.

Recursos adicionalesPara obtener más información sobre la creación de usuarios, grupos, políticas y permisos de IAM, consulteCreación de un grupo de administradores con la consola y Permisos y políticas en la Guía del usuario deIAM.

Otorgar permisos personalizados a los usuarios deAWS Config

Las políticas de AWS Config conceden permisos a los usuarios que trabajan con AWS Config. Si necesitaconceder diferentes permisos a los usuarios, puede asociar una política de AWS Config a un grupo de IAMo a un usuario. Puede editar la política para incluir o excluir permisos específicos. También puede crearsu propia política personalizada. Las políticas son documentos JSON que definen las acciones que puederealizar un usuario y los recursos en los que este puede llevar a cabo dichas acciones.

Contenido

84

Page 91: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAcceso de solo lectura

• Acceso de solo lectura (p. 85)• Acceso completo (p. 86)• Control de permisos de usuario para acciones en acumulación de datos de varias cuentas y

regiones (p. 87)• Información adicional (p. 84)

Acceso de solo lecturaEl siguiente ejemplo muestra una política administrada por AWS, AWSConfigUserAccess que concedeacceso de solo lectura a AWS Config. La política también concede permiso para leer objetos en buckets deAmazon S3, pero no para crearlos ni eliminarlos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:Deliver*", "config:List*", "tag:GetResources", "tag:GetTagKeys", "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:LookupEvents" ], "Resource": "*" } ]}

En las declaraciones de políticas, el elemento Effect especifica si las acciones se permiten o se niegan.El elemento Action enumera las acciones específicas que puede realizar el usuario. El elementoResource enumera los recursos de AWS en los que el usuario puede realizar estas acciones. Para laspolíticas que controlan el acceso a las acciones de AWS Config, el elemento Resource siempre estáestablecido en *, un comodín que significa "todos los recursos".

Los valores en el elemento Action corresponden a las API que admiten los servicios. Las acciones estánprecedidas por config: para indicar que se refieren a acciones de AWS Config. Puede utilizar el caráctercomodín * en el elemento Action, como en los siguientes ejemplos:

• "Action": ["config:*ConfigurationRecorder"]

Esto permite todas las acciones de AWS Config que finalizan con"ConfigurationRecorder" (StartConfigurationRecorder, StopConfigurationRecorder).

• "Action": ["config:*"]

Esto permite todas las acciones de AWS Config, pero no acciones para otros servicios de AWS.• "Action": ["*"]

Esto permite todas las acciones de AWS. Este permiso es adecuado para un usuario que actúa comoadministrador de AWS en su cuenta.

La política de solo lectura no concede permiso al usuario para acciones comoStartConfigurationRecorder, StopConfigurationRecorder y

85

Page 92: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAcceso completo

DeleteConfigurationRecorder. Los usuarios con esta política no pueden comenzar un registro deconfiguración, detener un registro de configuración o eliminar un registro de configuración. Para ver la listade las acciones de AWS Config, consulte la AWS Config API Reference.

Acceso completoEl siguiente ejemplo muestra una política que concede acceso completo a AWS Config. Se concede alos usuarios el permiso para realizar todas las acciones de AWS Config. También permite a los usuariosadministrar archivos en buckets de Amazon S3 y administrar los temas de Amazon SNS en la cuenta a laque está asociado el usuario.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:GetTopicAttributes", "sns:ListPlatformApplications", "sns:ListTopics", "sns:SetTopicAttributes" ], "Resource": "arn:aws:sns:*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketNotification", "s3:GetBucketPolicy", "s3:GetBucketRequestPayment", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListBucketVersions", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:GetRole", "iam:GetRolePolicy", "iam:ListRolePolicies", "iam:ListRoles", "iam:PassRole", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion" ], "Resource": "*" }, {

86

Page 93: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorControl de permisos de usuario para acciones en

acumulación de datos de varias cuentas y regiones

"Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "config:*", "tag:Get*" ], "Resource": "*" } ]}

Control de permisos de usuario para acciones enacumulación de datos de varias cuentas y regionesPuede utilizar los permisos de nivel de recursos para controlar la capacidad de un usuario de realizaracciones específicas en acumulación de datos de varias cuentas y regiones. Las API de acumulación dedatos de varias cuentas y regiones de AWS Config admiten permisos de nivel de recursos. Con permisosde nivel de recursos puede restringir el acceso/modificar los datos de los recursos a usuarios específicos.

Por ejemplo, desea restringir el acceso a datos de los recursos a usuarios específicos. Puede crear dosagregadores AccessibleAggregator e InAccessibleAggregator. Después, asocie una política deIAM que permita el acceso al AccessibleAggregator.

En la primera política, permite las acciones de los agregadores como por ejemploDescribeConfigurationAggregators y DeleteConfigurationAggregator del ARN deConfig que especifique. En el siguiente ejemplo, el ARN de Config es arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigReadOnly", "Effect": "Allow", "Action": [ "config:PutConfigurationAggregator", "config:DescribePendingAggregationRequests", "config:DeletePendingAggregationRequest", "config:GetAggregateConfigRuleComplianceSummary", "config:DescribeAggregateComplianceByConfigRules", "config:GetAggregateComplianceDetailsByConfigRule", "config:DescribeConfigurationAggregators", "config:DescribeConfigurationAggregatorSourcesStatus", "config:DeleteConfigurationAggregator" ], "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs" } ]}

87

Page 94: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorControl de permisos de usuario para acciones en

acumulación de datos de varias cuentas y regiones

En la segunda política, deniega las acciones de los agregadores para el ARN de Configque especifique. En el siguiente ejemplo, el ARN de Config es arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigReadOnly", "Effect": "Deny", "Action": [ "config:PutConfigurationAggregator", "config:DescribePendingAggregationRequests", "config:DeletePendingAggregationRequest", "config:GetAggregateConfigRuleComplianceSummary", "config:DescribeAggregateComplianceByConfigRules", "config:GetAggregateComplianceDetailsByConfigRule", "config:DescribeConfigurationAggregators", "config:DescribeConfigurationAggregatorSourcesStatus", "config:DeleteConfigurationAggregator" ], "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx" } ]}

Si un usuario del grupo de desarrolladores intenta describir o eliminar agregadores de configuraciónen la Config que ha especificado en la segunda política, ese usuario obtiene una excepción de accesodenegado.

Los siguientes ejemplos de AWS CLI muestran que el usuario crea dos agregadores,AccessibleAggregator e InAccessibleAggregator.

aws configservice describe-configuration-aggregators

El comando se completa correctamente:

{ "ConfigurationAggregators": [ { "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "AccessibleAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.455 } ]}

88

Page 95: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorControl de permisos de usuario para acciones en

acumulación de datos de varias cuentas y regiones

{ "ConfigurationAggregators": [ { "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "InAccessibleAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.455 } ]}

Note

Para account-aggregation-sources, escriba una lista separada por comas de los IDde cuenta de AWS cuyos datos desea agregar. Encierre los ID de cuenta entre corchetesy asegúrese de aplicar escape a las comillas (por ejemplo, "[{\"AccountIds\":[\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\":true}]").

Después, el usuario crea una política de IAM que deniega el acceso al InAccessibleAggregator.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigReadOnly", "Effect": "Deny", "Action": [ "config:PutConfigurationAggregator", "config:DescribePendingAggregationRequests", "config:DeletePendingAggregationRequest", "config:GetAggregateConfigRuleComplianceSummary", "config:DescribeAggregateComplianceByConfigRules", "config:GetAggregateComplianceDetailsByConfigRule", "config:DescribeConfigurationAggregators", "config:DescribeConfigurationAggregatorSourcesStatus", "config:DeleteConfigurationAggregator" ], "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx" } ]}

A continuación, el usuario confirma que la política de IAM funciona para restringir el acceso al agregadorespecífico y a las reglas.

aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-name rule name --account-id AccountID --aws-region AwsRegion

89

Page 96: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorInformación adicional

El comando devuelve una excepción de acceso denegado:

An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::AccountID:user/ is not authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:AwsRegion-1:AccountID:config-aggregator/config-aggregator-pokxzldx

Con los permisos de nivel de recursos, puede permitir o denegar acceso para realizar acciones específicasen acumulación de datos de varias cuentas y regiones.

Información adicionalPara obtener más información sobre la creación de usuarios, grupos, políticas y permisos de IAM, consulteCreación del primer grupo de usuarios y administradores de IAM y Administración de acceso en la Guía delusuario de IAM.

Permisos de nivel de recurso admitidos para lasacciones de la API de AWS Config Rules

Los permisos de nivel de recursos se refieren a la posibilidad de especificar en qué recursos puedenrealizar acciones los usuarios. AWS Config admite los permisos de nivel de recursos para ciertasacciones de API de AWS Config Rules. Esto significa que, en algunas acciones de AWS Config Rules,puede determinar cuándo se permite utilizarlas a los usuarios en función de si se cumplen una serie decondiciones o de los recursos concretos que pueden utilizar los usuarios.

En la tabla siguiente se indican las acciones de la API de AWS Config Rules que actualmente admitenpermisos de nivel de recurso, los recursos admitidos (y sus ARN) de cada acción. Cuando especifiqueun ARN, puede utilizar el carácter comodín * en las rutas; por ejemplo, cuando no pueda o no quieraespecificar los ID de recurso exactos.

Important

Si una acción de la API de AWS Config Rules no aparece en la tabla, significa que no admitelos permisos de nivel de recursos. Si una acción de AWS Config Rules no admite este tipo depermisos de nivel de recurso, puede conceder permisos a los usuarios para que la utilicen, perotendrá que usar un * (asterisco) para el elemento de recurso de la instrucción de política.

Acción API Recursos

DeleteConfigRule Regla de configuración

arn:aws:config:region:accountID:config-rule/config-rule-ID

DeleteEvaluationResults Regla de configuración

arn:aws:config:region:accountID:config-rule/config-rule-ID

DescribeComplianceByConfigRule Regla de configuración

arn:aws:config:region:accountID:config-rule/config-rule-ID

DescribeConfigRuleEvaluationStatusRegla de configuración

arn:aws:config:region:accountID:config-rule/config-rule-ID

90

Page 97: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorPermisos de nivel de recurso admitidos paralas acciones de la API de AWS Config Rules

Acción API Recursos

DescribeConfigRules Regla de configuración

arn:aws:config:region:accountID:config-rule/config-rule-ID

GetComplianceDetailsByConfigRuleRegla de configuración

arn:aws:config:region:accountID:config-rule/config-rule-ID

PutConfigRule Regla de configuración

arn:aws:config:region:accountID:config-rule/config-rule-ID

StartConfigRulesEvaluation Regla de configuración

arn:aws:config:region:accountID:config-rule/config-rule-ID

Por ejemplo, desea permitir a usuarios específicos el acceso de lectura y denegar el acceso de escritura areglas específicas.

En la primera política, permite las acciones de lectura de AWS Config Rules comoDescribeConfigRules y DescribeConfigRuleEvaluationStatus en las reglas especificadas.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "config:DescribeConfigRules", "config:StartConfigRulesEvaluation", "config:DescribeComplianceByConfigRule", "config:DescribeConfigRuleEvaluationStatus", "config:GetComplianceDetailsByConfigRule" ], "Resource": [ "arn:aws:config:region:accountID:config-rule/config-rule-ID", "arn:aws:config:region:accountID:config-rule/config-rule-ID" ] } ] }

En la segunda política, deniega las acciones de escritura de AWS Config Rules en la regla específica.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults" ], "Resource": "arn:aws:config:region:accountID:config-rule/config-rule-ID" } ]

91

Page 98: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorPermisos del rol de IAM

}

Con permisos de nivel de recursos, puede permitir el acceso de lectura o denegar el acceso de escriturapara realizar acciones específicas en las acciones de API de AWS Config Rules.

Permisos del rol de IAM asignado a AWS ConfigUn rol de AWS Identity and Access Management (IAM) le permite definir un conjunto de permisos. AWSConfig asume el rol que le asigna para escribir en el bucket de S3, publicar en el tema de SNS y realizarsolicitudes de API Describe o List para obtener los detalles de la configuración de sus recursos deAWS. Para obtener más información sobre las funciones de IAM, consulte Funciones de IAM en la Guíadel usuario de IAM.

Al utilizar la consola de AWS Config para crear o actualizar un rol de IAM, AWS Config asociadaautomáticamente los permisos necesarios. Para obtener más información, consulte Configuración de AWSConfig con la consola (p. 21).

Contenido• Creación de políticas de roles de IAM (p. 92)

• Añadir una política de confianza de IAM a su rol (p. 92)• Política de roles de IAM para el bucket de Amazon S3 (p. 93)• Política de roles de IAM para temas de Amazon SNS (p. 93)• Política de roles de IAM para obtener datos de configuración (p. 93)

• Solución de problemas de registro de buckets de S3 (p. 94)

Creación de políticas de roles de IAMAl utilizar la consola de AWS Config para crear un rol de IAM, AWS Config asociada automáticamente lospermisos necesarios al rol.

Si utiliza la AWS CLI para configurar AWS Config o si actualiza un rol de IAMexistente, debe actualizarmanualmente la política para permitir que AWS Config obtenga acceso a su bucket de S3, publicar en eltema de SNS y obtener los detalles de la configuración sobre los recursos.

Añadir una política de confianza de IAM a su rolPuede crear una política de confianza de IAM que permite a AWS Config asumir un rol y utilizarlo pararealizar un seguimiento de sus recursos. Para obtener más información sobre las políticas de confianza,consulte Asumir un rol en laGuía del usuario de IAM.

A continuación, tenemos un ejemplo de una política de confianza para roles de AWS Config

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole" } ]

92

Page 99: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorCreación de políticas de roles de IAM

}

Política de roles de IAM para el bucket de Amazon S3En la siguiente política de ejemplo, se conceden permisos de AWS Config para obtener acceso a su bucketde Amazon S3:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:PutObject"], "Resource": ["arn:aws:s3::: myBucketName/prefix/AWSLogs/myAccountID/*"], "Condition": { "StringLike": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Effect": "Allow", "Action": ["s3:GetBucketAcl"], "Resource": "arn:aws:s3::: myBucketName " } ] }

Política de roles de IAM para temas de Amazon SNSEn la siguiente política de ejemplo, se conceden permisos de AWS Config para acceder a su tema de SNS:

{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ]}

Si el tema de SNS se cifran para instrucciones adicionales sobre la configuración, consulte ConfiguringAWS KMS Permissions en la Guía para desarrolladores de Amazon Simple Notification Service.

Política de roles de IAM para obtener datos de configuraciónPara registrar las configuraciones de recursos de AWS, AWS Config necesita permisos de IAM paraobtener los datos de configuración sobre los recursos.

Utilice la política AWS administrada AWSConfigRole y asóciela al rol de IAM que se asigna a AWS Config.AWS actualiza esta política cada vez que AWS Config incorpora soporte para un tipo de recurso de AWS,lo que significa que AWS Config seguirá teniendo los permisos necesarios para obtener los datos de laconfiguración, siempre y cuando el rol tenga asociada esta política administrada.

93

Page 100: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorSolución de problemas de registro de buckets de S3

Si se crea o se actualiza un rol con la consola, AWS Config asocia el AWSConfigRole automáticamente.

Si utiliza la AWS CLI, utilice el comando attach-role-policy y especifique el nombre de recurso deAmazon (ARN) para AWSConfigRole:

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSConfigRole

Solución de problemas de registro de buckets de S3Si ha configurado AWS Config para registrar buckets de S3 para su cuenta, AWS Config registra y entreganotificaciones cuando se crea, actualiza o elimina un bucket de S3.

Si ha configurado AWS Config para registrar buckets de S3 y no está recibiendo las notificaciones decambios de configuración:

• Compruebe que el rol de IAM asignado a AWS Config tiene la política administrada AWSConfigRole.• Si tiene políticas de bucket de S3 asociadas a los buckets, compruebe que permiten que el permiso de

AWS Config registre cambios en los buckets.

Si tiene una política personalizada para su bucket de S3, puede añadir la siguiente política a la política debucket existente. Esta política concede el permiso de AWS Config para registrar el bucket de S3.

{ "Sid": "AWSConfig_ReadConfiguration_Access", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::myAccountID::role/config-role"}, "Action": [ "s3:GetAccelerateConfiguration", "s3:GetBucketAcl", "s3:GetBucketCORS", "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketNotification", "s3:GetBucketPolicy", "s3:GetBucketRequestPayment", "s3:GetBucketTagging", "s3:GetBucketVersioning", "s3:GetBucketWebsite", "s3:GetLifecycleConfiguration", "s3:GetReplicationConfiguration" ], "Resource": "arn:aws:s3:::myBucketName"}

Permisos para el bucket de Amazon S3De forma predeterminada, todos los buckets y objetos de Amazon S3 son privados. Solo el propietariodel recurso y la cuenta de AWS que creó el bucket pueden tener acceso a ese bucket y a los objetos quecontiene. Sin embargo, el propietario del recurso puede optar por conceder permisos de acceso a otrosrecursos y usuarios. Una forma de hacerlo es escribir una política de acceso.

Si AWS Config crea un bucket de S3 automáticamente (por ejemplo, si utiliza la consola de AWS Config outiliza el comando aws config subscribe para configurar el canal de entrega) o si elige un bucket deS3 ya existente en su cuenta, estos permisos se añaden automáticamente al bucket de S3. No obstante, siespecifica un bucket de S3 existente de otra cuenta, debe asegurarse de que el bucket de S3 cuenta conlos permisos correctos.

94

Page 101: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorPermisos necesarios para el bucket de

Amazon S3 cuando se utilizan roles de IAM

Contenido• Permisos necesarios para el bucket de Amazon S3 cuando se utilizan roles de IAM (p. 95)• Permisos necesarios para el bucket de Amazon S3 cuando se utilizan roles vinculados al

servicio (p. 95)• Concesión de acceso a AWS Config al bucket de Amazon S3 (p. 95)

Permisos necesarios para el bucket de Amazon S3cuando se utilizan roles de IAMCuando AWS Config envía información de configuración (archivos del historial e instantáneas) al bucketde Amazon S3 de su cuenta, asume el rol de IAM que asignó al configurar AWS Config. Cuando AWSConfig envía información a un bucket de Amazon S3 de otra cuenta, primero intenta utilizar el rol de IAM,pero este intento falla si la política de acceso del bucket no concede el acceso WRITE al rol de IAM. Eneste caso, AWS Config envía de nuevo la información, pero esta vez como el principal del servicio deAWS Config. Para que la entrega se realice correctamente, la política de acceso debe conceder accesoWRITE al nombre del principal de config.amazonaws.com. Por tanto, AWS Config es el propietario delos objetos que entrega al bucket de S3. Debe asociar una política de acceso, mencionada en el paso 6 acontinuación para el bucket de Amazon S3 en otra cuenta para conceder a AWS Config acceso al bucketde Amazon S3.

Permisos necesarios para el bucket de Amazon S3cuando se utilizan roles vinculados al servicioSi configura AWS Config con el rol vinculado a un servicio, debe asociar una política de acceso,mencionada en el paso 6 a continuación para el bucket de Amazon S3 en su propia cuenta o en otracuenta para conceder acceso a AWS Config al bucket de Amazon S3.

Concesión de acceso a AWS Config al bucket deAmazon S3Siga estos pasos para añadir una política de acceso al bucket de Amazon S3 en su cuenta o en otracuenta. La política de acceso permite a AWS Config enviar la información de configuración al bucket deAmazon S3.

1. Inicie sesión en Consola de administración de AWS utilizando la cuenta que tiene el bucket de S3.2. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.3. Seleccione el bucket que desee que utilice AWS Config para entregar los elementos de configuración

y, a continuación, elija Properties (Propiedades).4. Elija Permissions.5. Elija Edit Bucket Policy.6. Copie la siguiente política en la ventana Bucket Policy Editor (Editor de política de bucket):

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSConfigBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": [ "config.amazonaws.com"

95

Page 102: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorPermisos para el tema Amazon SNS

] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::targetBucketName" }, { "Sid": " AWSConfigBucketDelivery", "Effect": "Allow", "Principal": { "Service": [ "config.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID-WithoutHyphens/Config/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ]}

7. Cambie los siguientes valores de la política del bucket:

• targetBucketName: el nombre del bucket de Amazon S3 al que AWS Config entrega loselementos de configuración.

• [opcional] prefix: prefijo opcional a la clave de objetos de Amazon S3 que le ayuda a crearuna organización de carpetas en el bucket.

• sourceAccountID-WithoutHyphens: el ID de la cuenta para la que AWS Config entregará loselementos de configuración en el bucket de destino.

8. Elija Save (Guardar) y, a continuación, Close (Cerrar).

Permisos para el tema Amazon SNSUtilice la información de este tema únicamente si desea configurar AWS Config para entregar temas deAmazon SNS que pertenecen a su cuenta o a otra cuenta. AWS Config debe tener permisos para enviarnotificaciones a un tema Amazon SNS.

Contenido• Permisos necesarios para el tema Amazon SNS cuando se utilizan roles de IAM (p. 96)• Permisos necesarios para el tema Amazon SNS cuando se utilizan roles vinculados al

servicio (p. 97)• Resolución de problemas del tema Amazon SNS (p. 97)

Permisos necesarios para el tema Amazon SNScuando se utilizan roles de IAMPuede asociar una política de permisos para el tema Amazon SNS propiedad de una cuenta diferente. Sidesea utilizar un tema Amazon SNS de otra cuenta, asegúrese de asociar la siguiente política a un temaAmazon SNS existente.

96

Page 103: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorPermisos necesarios para el tema Amazon SNS

cuando se utilizan roles vinculados al servicio

{ "Id": "Policy1415489375392", "Statement": [ { "Sid": "AWSConfigSNSPolicy20150201", "Action": [ "SNS:Publish" ], "Effect": "Allow", "Resource": "arn:aws:sns:region:account-id:myTopic", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3", ] } } ]}

Para la clave Resource, account-id es el número de cuenta del propietario del tema. Para account-id1, account-id2 y account-id3, utilice las cuentas de AWS que enviarán datos a un tema AmazonSNS. Debe sustituir los valores adecuados para region y myTopic.

Permisos necesarios para el tema Amazon SNScuando se utilizan roles vinculados al servicioSi configura AWS Config mediante un rol vinculado al servicio, tiene que asociar una política de permisosal tema Amazon SNS. Si desea utilizar un tema Amazon SNS de su propia cuenta, asegúrese de asociar lasiguiente política a un tema Amazon SNS existente.

{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Effect": "Allow", "Principal": { "AWS": "[configRoleArn]" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:account-id:myTopic" } ]}

Debe sustituir los valores adecuados para region, account-id y myTopic.Note

AWS Config no recomienda utilizar un rol vinculado a un servicio al utilizar un tema Amazon SNSde otras cuentas.

Resolución de problemas del tema Amazon SNSAWS Config debe tener permisos para enviar notificaciones a un tema Amazon SNS. Si un tema AmazonSNS no puede recibir notificaciones, verifique que el rol de IAM que AWS Config asumía tenga permisossns:publish.

97

Page 104: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización de conformidad de la configuración

Evaluación de recursos con reglasUtilice AWS Config para evaluar los ajustes de configuración de los recursos de AWS. Para ello, creereglas de AWS Config que representen los ajustes de configuración ideal. AWS Config proporciona reglaspredefinidas y personalizables denominadas reglas administradas para ayudarle a comenzar. Tambiénpuede crear sus propias reglas personalizadas. Aunque AWS Config realiza un seguimiento continuo delos cambios de configuración que se producen entre los recursos, comprueba si estos cambios infringencualquiera de las condiciones en las reglas. Si un recurso infringe una regla, AWS Config marca el recursoy la regla como no conformes.

Por ejemplo, cuando se crea un volumen de EC2, AWS Config puede evaluar el volumen con respecto auna regla que requiere que los volúmenes se cifren. Si el volumen no está cifrado, AWS Config marca elvolumen y la regla como no conformes. AWS Config también puede comprobar todos los recursos paradeterminar si cumplen los requisitos de toda la cuenta. Por ejemplo, AWS Config puede comprobar si elnúmero de volúmenes de EC2 en una cuenta permanece dentro de un total deseado, o si una cuentautiliza AWS CloudTrail para iniciar sesión.

La consola de AWS Config muestra el estado de conformidad de sus reglas y recursos. Puede ver cómolos recursos de AWS cumplen en general con sus configuraciones deseadas y saber qué recursosespecíficos no son conformes. También puede utilizar la CLI de AWS, la API de AWS Config y los SDK deAWS para realizar solicitudes al servicio AWS Config y obtener información sobre cumplimiento.

Al utilizar AWS Config para evaluar las configuraciones de los recursos, puede evaluar la conformidad delas configuraciones de los recursos con respecto a las prácticas internas, las directrices del sector y lasnormativas.

Para las regiones que admiten reglas de AWS Config, consulte Regiones y puntos de enlace de AWSConfig en la Referencia general de Amazon Web Services.

Puede crear hasta 150 reglas de AWS Config por región en su cuenta. Para obtener más información,consulte Límites de AWS Config en la Referencia general de Amazon Web Services.

También puede crear reglas personalizadas para evaluar recursos adicionales que AWS Config aún noregistra. Para obtener más información, consulte Evaluación de tipos de recursos adicionales (p. 161).

Temas• Visualización de conformidad de la configuración (p. 98)• Especificación de los disparadores de reglas de AWS Config (p. 101)• Reglas administradas de AWS Config (p. 103)• Reglas personalizadas de AWS Config (p. 155)• Administración de reglas de AWS Config (p. 170)• Evaluación de sus recursos (p. 174)• Eliminación de los resultados de evaluación (p. 175)

Visualización de conformidad de la configuraciónPuede utilizar la consola de AWS Config, AWS CLI o la API de AWS Config para ver el estado deconformidad de sus reglas y recursos.

Para ver la conformidad (consola)

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://console.aws.amazon.com/config/.

98

Page 105: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización de conformidad de la configuración

2. En el menú de Consola de administración de AWS, compruebe que el selector de región estáestablecido en una región que admite reglas de AWS Config. Para ver una lista de las regionesadmitidas, consulte Regiones y puntos de enlace de AWS Config en la Referencia general de AmazonWeb Services.

3. En el panel de navegación, seleccione Rules (Reglas). La consola muestra la página Rules (Reglas),que enumera las reglas y el estado de conformidad de cada una de ellas.

4. Elija una regla para ver la página Rule details. Esta página muestra la configuración de la regla, elestado y cualquier recurso de AWS que no sea conforme.

5. Si en Rule details se muestran los detalles de los recursos no conformes con las reglas, elija el icono

Config timeline ( ) de un recurso para ver la página de línea temporal de la configuración. Lapágina muestra los ajustes de configuración que AWS Config ha capturado cuando detectó que elrecurso no era conforme. Esta información puede ayudarle a determinar por qué el recurso no esconforme con la regla. Para obtener más información, consulte Visualización de los detalles de laconfiguración (p. 36).

También puede ver la conformidad de sus recursos a través de búsquedas en la página Resourceinventory. Para obtener más información, consulte Búsqueda de recursos que detecta AWS Config (p. 35).

Example Para ver la conformidad (AWS CLI)

Para ver la conformidad, utilice cualquiera de los siguientes comandos de CLI:

• Para ver el estado de cada una de sus reglas, utilice el comando describe-compliance-by-config-rule, tal y como se muestra en el ejemplo siguiente:

$ aws configservice describe-compliance-by-config-rule{ "ComplianceByConfigRules": [ { "Compliance": { "ComplianceContributorCount": { "CappedCount": 2, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "instances-in-vpc" }, { "Compliance": { "ComplianceType": "COMPLIANT" }, "ConfigRuleName": "restricted-common-ports" },...

Para cada regla que tiene un tipo de conformidad NON_COMPLIANT, AWS Config devuelve el número derecursos no conformes para el parámetro CappedCount.

• Para ver el estado de conformidad de cada recurso que AWS Config evalúa para una regla específica,utilice el comando get-compliance-details-by-config-rule, tal y como se muestra en elejemplo siguiente:

$ aws configservice get-compliance-details-by-config-rule --config-rule-name ConfigRuleName{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349,

99

Page 106: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización de conformidad de la configuración

"EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "ConfigRuleName" } }, "ResultRecordedTime": 1443751424.969, "ConfigRuleInvokedTime": 1443751421.208, "ComplianceType": "COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "ConfigRuleName" } }, "ResultRecordedTime": 1443751425.083, "ConfigRuleInvokedTime": 1443751421.301, "ComplianceType": "NON_COMPLIANT" },...

• Para ver el estado de conformidad de cada recurso de AWS de un tipo concreto, utilice el comandodescribe-compliance-by-resource, tal y como se muestra en el ejemplo siguiente:

$ aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance{ "ComplianceByResources": [ { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "Compliance": { "ComplianceContributorCount": { "CappedCount": 1, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } }, { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "Compliance": { "ComplianceType": "COMPLIANT" } },...

• Para ver los detalles de conformidad de un recurso de AWS individual, utilice el comando get-compliance-details-by-resource.

$ aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-nnnnnnnn{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn",

100

Page 107: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEspecificación de los disparadores de reglas de AWS Config

"ConfigRuleName": "instances-in-vpc" } }, "ResultRecordedTime": 1443751425.083, "ConfigRuleInvokedTime": 1443751421.301, "ComplianceType": "NON_COMPLIANT" } ]}

Example Para la conformidad (AWS Config API)

Para ver la conformidad, utilice cualquiera de las siguientes acciones de API:

• Para ver el estado de conformidad de cada una de las reglas, utilice la acciónDescribeComplianceByConfigRule.

• Para ver el estado de conformidad de cada recurso que AWS Config evalúa para una regla específica,utilice la acción GetComplianceDetailsByConfigRule.

• Para ver el estado de conformidad de cada recurso de AWS de un tipo concreto, utilice la acciónDescribeComplianceByResource.

• Para ver los detalles de conformidad de un recurso de AWS concreto, utilice la acciónGetComplianceDetailsByResource. Los detalles incluyen qué reglas de AWS Config ha evaluado elrecurso, la última vez que se ha evaluado cada regla y si el recurso es conforme a cada regla.

Especificación de los disparadores de reglas deAWS Config

Cuando añade una regla a su cuenta, puede especificar si desea que AWS Config ejecute la regla; esto eslo que se conoce como disparador. AWS Config evalúa las configuraciones de los recursos con respecto ala regla cuando se produce el disparador.

Contenido• Tipos de disparadores (p. 101)• Ejemplo de reglas con disparadores (p. 102)• Evaluaciones de regla cuando el registrador de configuración está desactivado (p. 102)

Tipos de disparadoresExisten dos tipos de disparadores:

Cambios de configuración

AWS Config ejecuta evaluaciones de la regla cuando se crean, cambian o se eliminan determinadostipos de recursos.

Se eligen qué recursos activan la evaluación definiendo el ámbito de la regla. El ámbito puede incluirlo siguiente:• Uno o varios tipos de recursos• Una combinación de un tipo de recurso y un ID de recurso• Una combinación de una clave de etiqueta y un valor

101

Page 108: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEjemplo de reglas con disparadores

• Cuando se crea, se actualiza o se elimina cualquier recurso registrado

AWS Config ejecuta la evaluación cuando detecta un cambio en un recurso que coincide con el ámbitode la regla. Puede utilizar el ámbito para restringir qué recursos activan evaluaciones. De lo contrario,las evaluaciones se activan cuando cambia cualquier recurso registrado.

Periódico

AWS Config ejecuta evaluaciones para la regla con una frecuencia que elija (por ejemplo, cada 24horas).

Si elige cambios de configuración y periódicos, AWS Config invoca la función Lambda cuando se detectaun cambio de configuración, así como con la frecuencia que especifique.

Ejemplo de reglas con disparadoresEjemplo de regla con disparador de cambio en la configuración

1. Se añade la regla administrada por AWS Config S3_BUCKET_LOGGING_ENABLED a la cuenta paracomprobar si los buckets de Amazon S3 tienen habilitado el registro.

2. El tipo de disparador de la regla es de cambios de configuración. AWS Config ejecuta las evaluacionesde la regla cuando se crea, cambia o se elimina un bucket de Amazon S3.

3. Cuando se actualiza un bucket, el cambio de configuración activa la regla y AWS Config evalúa si elbucket es conforme con respecto a la regla.

Ejemplo de regla con disparador periódico

1. Puede añadir la regla administrada por AWS Config IAM_PASSWORD_POLICY a su cuenta. La reglacomprueba si la política de contraseñas de los usuarios de IAM cumplen con la política de su cuenta,por ejemplo, si tienen una longitud mínima o caracteres específicos.

2. El tipo de disparador de la regla es periódico. AWS Config ejecuta una evaluación de la regla con unafrecuencia que especifique, como por ejemplo, cada 24 horas.

3. Cada 24 horas, la regla se activa y AWS Config evalúa si las contraseñas de los usuarios de IAMcumplen la regla.

Ejemplo de regla con cambio de configuración y disparadores periódicos

1. Puede crear una regla personalizada que evalúe si los registros de seguimiento de CloudTrail de sucuenta están activados y registran todas las regiones.

2. Desea que AWS Config ejecute evaluaciones de la regla cada vez que se cree, se actualice o seelimine un registro de seguimiento. También desea que AWS Config ejecute la regla cada 12 horas.

3. Para el tipo de disparador, seleccione cambios de configuración y periódico.

Evaluaciones de regla cuando el registrador deconfiguración está desactivadoSi desactiva el registrador de configuraciones, AWS Config deja de registrar los cambios en lasconfiguraciones de los recursos. Esto afecta a las evaluaciones de reglas de los siguientes modos:

• Las reglas con un disparador periódico siguen ejecutando evaluaciones con la frecuencia especificada.• Las reglas con un disparador de cambio de configuración no ejecutan evaluaciones.

102

Page 109: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorReglas administradas de AWS Config

• Las reglas con ambos tipos de disparador ejecutan evaluaciones únicamente con la frecuenciaespecificada. Las reglas no ejecutan evaluaciones para cambios de configuración.

• Si ejecuta una evaluación bajo demanda para una regla con un disparador de cambio de configuración,la regla evalúa el último estado conocido del recurso, que es el último elemento de configuraciónregistrado.

Reglas administradas de AWS ConfigAWS Config proporciona reglas administradas de AWS, que son reglas personalizables y predefinidasque AWS Config utiliza para evaluar si los recursos de AWS se ajustan a las prácticas recomendadas. Porejemplo, puede utilizar una regla administrada para empezar a evaluar de forma rápida si sus volúmenesde Amazon Elastic Block Store (Amazon EBS) se cifran o si se aplican etiquetas específicas a los recursos.Puede configurar y activar estas reglas sin necesidad de escribir el código para crear una función AWSLambda, lo que es necesario si desea crear reglas personalizadas. La consola de AWS Config le guiarápor el proceso de configuración y activación de una regla administrada. También puede utilizar AWSCommand Line Interface o la API de AWS Config para pasar el código JSON que define la configuraciónde una regla administrada.

Puede personalizar el comportamiento de una regla administrada para adaptarla a sus necesidades. Porejemplo, puede definir el ámbito de la regla para restringir qué recursos inician una evaluación para laregla como, por ejemplo, volúmenes o instancias EC2. Puede personalizar los parámetros de la regla paradefinir los atributos que deben tener los recursos para cumplir la regla. Por ejemplo, puede personalizar unparámetro para especificar que el grupo de seguridad debería bloquear el tráfico entrante a un número depuerto específico.

Después de activar una regla, AWS Config compara sus recursos con las condiciones de la regla. Despuésde esta evaluación inicial, AWS Config continúa realizando evaluaciones cada vez que se activa una. Losdisparadores de evaluaciones están definidos como parte de la regla y pueden incluir los siguientes tipos:

• Cambios de configuración: AWS Config dispara la evaluación cuando cambia la configuración de unrecurso que coincida con el ámbito de regla. La evaluación se realiza después de que AWS Config envíauna notificación sobre un cambio de elementos de configuración.

• Periódica: AWS Config ejecuta las evaluaciones de la regla con la frecuencia que se elija (por ejemplo,cada 24 horas).

La consola de AWS Config muestra qué recursos cumplen la regla y qué reglas se siguen. Para obtenermás información, consulte Visualización de conformidad de la configuración (p. 98).

Temas• Lista de las reglas administradas de AWS Config (p. 103)• Trabajo con reglas administradas de AWS Config (p. 153)• Creación de reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154)

Lista de las reglas administradas de AWS ConfigAWS Config ofrece las siguientes reglas administradas.

Informática

• approved-amis-by-id (p. 107)• approved-amis-by-tag (p. 108)• autoscaling-group-elb-healthcheck-required (p. 108)

103

Page 110: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

• desired-instance-tenancy (p. 117)• desired-instance-type (p. 118)• ebs-optimized-instance (p. 120)• ec2-instance-detailed-monitoring-enabled (p. 121)• ec2-instance-managed-by-ssm (p. 121)• ec2-instances-in-vpc (p. 121)• ec2-managedinstance-applications-blacklisted (p. 122)• ec2-managedinstance-applications-required (p. 122)• ec2-managedinstance-association-compliance-status-check (p. 123)• ec2-managedinstance-inventory-blacklisted (p. 124)• ec2-managedinstance-patch-compliance-status-check (p. 124)• ec2-managedinstance-platform-check (p. 125)• ec2-volume-inuse-check (p. 125)• eip-attached (p. 126)• encrypted-volumes (p. 128)• elb-acm-certificate-required (p. 126)• elb-custom-security-policy-ssl-check (p. 126)• elb-logging-enabled (p. 127)• elb-predefined-security-policy-ssl-check (p. 127)• lambda-function-settings-check (p. 135)• lambda-function-public-access-prohibited (p. 136)*• restricted-common-ports (p. 142)• restricted-ssh (p. 143)

Base de datos

• db-instance-backup-enabled (p. 117)• dynamodb-autoscaling-enabled (p. 118)• dynamodb-table-encryption-enabled (p. 119)• dynamodb-throughput-limit-check (p. 120)• rds-instance-public-access-check (p. 138)• rds-multi-az-support (p. 138)• rds-snapshots-public-prohibited (p. 139)• rds-storage-encrypted (p. 139)• redshift-cluster-configuration-check (p. 139)• redshift-cluster-maintenancesettings-check (p. 140)

Herramientas de administración

• cloud-trail-cloud-watch-logs-enabled (p. 110)• cloud-trail-encryption-enabled (p. 111)• cloudtrail-enabled (p. 110)• cloud-trail-log-file-validation-enabled (p. 111)• cloudformation-stack-drift-detection-check (p. 109)• cloudformation-stack-notification-check (p. 109)

104

Page 111: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

• cloudwatch-alarm-action-check (p. 112)• cloudwatch-alarm-resource-check (p. 113)• cloudwatch-alarm-settings-check (p. 113)• codebuild-project-envvar-awscred-check (p. 115)• codebuild-project-source-repo-url-check (p. 115)• codepipeline-deployment-count-check (p. 115)• codepipeline-region-fanout-check (p. 116)• multi-region-cloud-trail-enabled (p. 137)• required-tags (p. 141)

Red y entrega de contenido

• vpc-default-security-group-closed (p. 152)• vpc-flow-logs-enabled (p. 152)

Seguridad, identidad y conformidad

• access-keys-rotated (p. 107)• acm-certificate-expiration-check (p. 106)• cmk-backing-key-rotation-enabled (p. 114)• fms-webacl-resource-policy-check (p. 128)• fms-webacl-rulegroup-association-check (p. 129)• guardduty-enabled-centralized (p. 130)• iam-group-has-users-check (p. 130)• iam-password-policy (p. 131)• iam-policy-blacklisted-check (p. 132)• iam-policy-no-statements-with-admin-access (p. 132)• iam-role-managed-policy-check (p. 133)• iam-root-access-key-check (p. 133)• iam-user-group-membership-check (p. 133)• iam-user-mfa-enabled (p. 134)• iam-user-no-policies-check (p. 134)• iam-user-unused-credentials-check (p. 135)• mfa-enabled-for-iam-console-access (p. 136)• root-account-hardware-mfa-enabled (p. 143)• root-account-mfa-enabled (p. 143)

Almacenamiento

• s3-blacklisted-actions-prohibited (p. 144)*• s3-bucket-logging-enabled (p. 147)• s3-bucket-policy-grantee-check (p. 147)*• s3-bucket-policy-not-more-permissive (p. 144)*• s3-bucket-public-read-prohibited (p. 148)*• s3-bucket-public-write-prohibited (p. 149)*

105

Page 112: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

• s3-bucket-replication-enabled (p. 149)• s3-bucket-server-side-encryption-enabled (p. 150)*• s3-bucket-ssl-requests-only (p. 150)*• s3-bucket-versioning-enabled (p. 151)

* Esta regla utiliza herramientas de razonamiento automatizado (ART) para evaluar la exactitud de lospermisos de IAM y de las políticas de recursos.

Las siguientes reglas no están disponibles en la región de China (Pekín) (cn-north-1):

• acm-certificate-expiration-check• cmk-backing-key-rotation-enabled• cloudformation-stack-drift-detection-check• codebuild-project-envvar-awscred-check• codebuild-project-source-repo-url-check• codepipeline-deployment-count-check• codepipeline-region-fanout-check• elb-acm-certificate-required• encrypted-volumes• fms-webacl-resource-policy-check• fms-webacl-rulegroup-association-check• guardduty-enabled-centralized• lambda-function-public-access-prohibited• rds-storage-encrypted• root-account-mfa-enabled• s3-blacklisted-actions-prohibited• s3-bucket-policy-grantee-check• s3-bucket-policy-not-more-permissive• s3-bucket-public-read-prohibited• s3-bucket-public-write-prohibited• s3-bucket-server-side-encryption-enabled• s3-bucket-ssl-requests-only

acm-certificate-expiration-checkComprueba si el vencimiento de los certificados de ACM de su cuenta está marcado dentro del númeroespecificado de días. Los certificados que proporciona ACM se renuevan automáticamente. ACM norenueva automáticamente los certificados que se importan.

Identificador: ACM_CERTIFICATE_EXPIRATION_CHECK

Tipo de disparador: cambios de configuración y periódicos

Parámetros:

daysToExpiration

Especifique el número de días antes de que la regla marque el certificado de ACM comoNON_COMPLIANT.

106

Page 113: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

access-keys-rotatedComprueba si el claves de acceso activas rotan dentro del número de días especificados enmaxAccessKeyAge. La regla es NON_COMPLIANT si las claves de acceso no se han rotado durante másde maxAccessKeyAge número de días.

Identificador: ACCESS_KEYS_ROTATED

Tipo de disparador: periódico

Parámetros:

maxAccessKeyAge

Número máximo de días en que las claves de acceso se deben rotar. El valor predeterminado es 90días.

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

approved-amis-by-idCompruebe si las instancias en ejecución utilizan las AMI especificadas. Especifique una lista de ID de AMIaprobados. Las instancias en ejecución con AMI que no están en esta lista son NON_COMPLIANT.

Identificador: APPROVED_AMIS_BY_ID

Tipo de disparador: cambios de configuración

Parámetros:

amiIds

El ID de las AMI (lista separada por comas de hasta 10 ID).

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

107

Page 114: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Ver Lanzar

Ver

approved-amis-by-tagCompruebe si las instancias en ejecución utilizan las AMI especificadas. Especifique las etiquetas queidentifican las AMI. Las instancias en ejecución con AMI que no tienen al menos una de las etiquetasespecificadas son NON_COMPLIANT.

Identificador: APPROVED_AMIS_BY_TAG

Tipo de disparador: cambios de configuración

Parámetros:

amisByTagKeyAndValue

Las AMI por etiqueta (lista separada por comas de hasta 10 AMI; por ejemplo, "tag-key:tag-value").

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

autoscaling-group-elb-healthcheck-requiredComprueba si los grupos de Auto Scaling que están asociados a un balanceador de carga están utilizandocomprobaciones de estado de Elastic Load Balancing.

Identificador: AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

108

Page 115: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

cloudformation-stack-drift-detection-checkComprueba si la configuración real de un pila de AWS CloudFormation es diferente o se ha modificadocon respecto a su configuración esperada. Se considera que una pila se ha desviado si uno o varios desus recursos difiere de su configuración esperada. La regla y la pila son COMPLIANT cuando el estadode desviación de la pila es IN_SYNC. La regla y la pila son NON_COMPLIANT cuando el estado dedesviación de la pila es DRIFTED.

Note

Si las pilas que ha creado no son visibles, elija Re-evaluate (Volver a evaluar) y compruebe denuevo.

Identificador: CLOUDFORMATION_STACK_DRIFT_DETECTION_CHECK

Tipo de disparador: cambios de configuración y periódicos

Parámetros:

cloudformationRoleArn

El ARN del rol de AWS CloudFormation con permisos de política de IAM para detectar desviacionesen pilas de AWS CloudFormation.

Note

Nota: Si el rol no tiene todos los permisos, la regla produce un error. El error aparece comouna anotación o en la parte superior de la página. Asegúrese de asociar los permisos deconfianza config.amazonaws.com y cloudformation.amazonaws.com y los permisosde política ReadOnlyAccess. Para permisos de política específicos, consulte la Detecciónde cambios de configuración no administrados en pilas y recursos en la Guía del usuario deAWS CloudFormation.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

cloudformation-stack-notification-checkComprueba las pilas de CloudFormation están enviando notificaciones de eventos a un tema de SNS.Opcionalmente, comprueba si se están utilizando los temas de SNS especificados.

Identificador: CLOUDFORMATION_STACK_NOTIFICATION_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

snsTopic1

SNS Topic ARN.

109

Page 116: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

snsTopic2

SNS Topic ARN.snsTopic3

SNS Topic ARN.snsTopic4

SNS Topic ARN.snsTopic5

SNS Topic ARN.

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

cloud-trail-cloud-watch-logs-enabledComprueba si los registros de seguimiento de AWS CloudTrail están configurados para enviarregistros a Amazon CloudWatch Logs. El registro de seguimiento es NON_COMPLIANT si la propiedadCloudWatchLogsLogGroupArn del registro de seguimiento está vacía.

Identificador: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

Tipo de disparador: periódico

Parámetros:

Ninguno

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

cloudtrail-enabledComprueba si AWS CloudTrail está habilitado en su cuenta de AWS. De forma opcional, puede especificarqué bucket de S3, tema de SNS y ARN de Amazon CloudWatch Logs se va a utilizar.

Identificador: CLOUD_TRAIL_ENABLED

Tipo de disparador: periódico

110

Page 117: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Parámetros:

s3BucketName

Nombre del bucket de S3 al que AWS CloudTrail entrega los archivos de registro.snsTopicArn

ARN del tema de SNS que AWS CloudTrail utiliza para las notificaciones.cloudWatchLogsLogGroupArn

ARN del grupo de registros de Amazon CloudWatch al que AWS CloudTrail envía los datos.

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

cloud-trail-encryption-enabledComprueba si AWS CloudTrail está configurado para utilizar el cifrado de clave maestra de cliente(CMK) del cifrado del lado del servidor (SSE) AWS Key Management Service (AWS KMS). La regla esCOMPLIANT si KmsKeyId está definido.

Identificador: CLOUD_TRAIL_ENCRYPTION_ENABLED

Tipo de disparador: periódico

Parámetros:

Ninguno

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

cloud-trail-log-file-validation-enabledComprueba si AWS CloudTrail crea un archivo de resumen firmado con registros. AWS recomiendaque la validación de archivos debe estar habilitada en todos los registros de seguimiento. La regla esNON_COMPLIANT si la validación no se ha habilitado.

Identificador: CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED

Tipo de disparador: periódico

111

Page 118: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Parámetros:

Ninguno

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

cloudwatch-alarm-action-checkComprueba si las alarmas de CloudWatch tienen al menos una acción de alarma, una acciónINSUFFICIENT_DATA o una acción OK habilitada. Opcionalmente, comprueba si alguna de las accionescoincide con uno de los ARN especificados.

Identificador: CLOUDWATCH_ALARM_ACTION_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

alarmActionRequired

Las alarmas tienen al menos una acción.

El valor predeterminado es true.insufficientDataActionRequired

Las alarmas tienen al menos una acción cuando la alarma pasa al estado INSUFFICIENT_DATAdesde cualquier otro estado.

El valor predeterminado es true.okActionRequired

Las alarmas tienen al menos una acción cuando la alarma pasa a un estado OK desde cualquier otroestado.

El valor predeterminado es false.action1

La acción que se va a ejecutar, especificada como un ARN.action2

La acción que se va a ejecutar, especificada como un ARN.action3

La acción que se va a ejecutar, especificada como un ARN.action4

La acción que se va a ejecutar, especificada como un ARN.action5

La acción que se va a ejecutar, especificada como un ARN.

112

Page 119: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

cloudwatch-alarm-resource-checkComprueba si el tipo de recurso especificado tiene una alarma de CloudWatch para la métricaespecificada. Para el tipo de recurso, puede especificar volúmenes de EBS, instancias EC2, clústeres deRDS o buckets de S3.

Identificador: CLOUDWATCH_ALARM_RESOURCE_CHECK

Tipo de disparador: periódico

Parámetros:

resourceType

Tipo de recurso de AWS. El valor puede ser uno de los siguientes:• AWS::EC2::Volume• AWS::EC2::Instance• AWS::S3::Bucket

metricName

El nombre de la métrica asociada a la alarma (por ejemplo, "CPUUtilization" para instancias EC2).

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

cloudwatch-alarm-settings-checkComprueba si las alarmas de CloudWatch con el nombre de métrica especificado tienen la configuraciónespecificada.

Identificador: CLOUDWATCH_ALARM_SETTINGS_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

113

Page 120: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

metricName

El nombre de la métrica asociada a la alarma.threshold

El valor con el que se compara la estadística especificada.evaluationPeriod

El número de periodos en los que los datos se comparan con el umbral especificado.Período

El periodo, en segundos, durante el cual se aplica la estadística especificada.

El valor de predeterminado es de 300 segundos.comparisonOperator

La operación para comparar la estadística y el umbral especificados (por ejemplo,"GreaterThanThreshold").

estadística

La estadística de la métrica asociada a la alarma (por ejemplo, "Average" o "Sum").

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

cmk-backing-key-rotation-enabledComprueba que la rotación de claves esté habilitada para cada clave maestra de cliente (CMK). La reglase COMPLIANT, si la rotación de claves está habilitada para objeto de clave específico. La regla no esaplicable a las CMK con material de claves importado.

Identificador: CMK_BACKING_KEY_ROTATION_ENABLED

Tipo de disparador: periódico

Parámetros:

Ninguno

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

114

Page 121: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

codebuild-project-envvar-awscred-checkComprueba si el proyecto contiene las variables de entorno AWS_ACCESS_KEY_ID yAWS_SECRET_ACCESS_KEY. La regla es NON_COMPLIANT si las variables de entorno del proyectocontienen credenciales de texto no cifrado.

Identificador: CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

codebuild-project-source-repo-url-checkComprueba si la URL del repositorio de código fuente de GitHub o Bitbucket contiene tokens de accesopersonal o un nombre de usuario y una contraseña. La regla es COMPLIANT si se usa OAuth paraconceder autorización de acceso a los repositorios de GitHub o Bitbucket.

Identificador: CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

codepipeline-deployment-count-checkComprueba si la primera etapa de implementación de AWS CodePipeline realiza más de unaimplementación. Opcionalmente, comprueba si cada una de las etapas restantes posteriores seimplementa en más del número de implementaciones especificado (deploymentLimit). La regla es

115

Page 122: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

NON_COMPLIANT si la primera etapa en AWS CodePipeline implementa en más de una región y AWSCodePipeline implementa en más del número especificado en deploymentLimit.

Identificador: CODEPIPELINE_DEPLOYMENT_COUNT_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

deploymentLimit

El número máximo de implementaciones que puede realizar cada etapa.

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

codepipeline-region-fanout-checkComprueba si cada etapa en AWS CodePipeline se implementa en más regiones que N veces el númerode regiones en las que AWS CodePipeline se ha implementado en todas las etapas juntas anteriores,donde N es el número de distribución ramificada de la región. La primera etapa de implementación puedeimplementar en un máximo de una región y la segunda etapa de implementación puede implementar en unnúmero máximo especificado en regionFanoutFactor. Si no proporciona un regionFanoutFactor,el valor predeterminado es tres. Por ejemplo: Si la 1ª etapa de implementación implementa en una regióny la 2ª etapa de implementación se implementa en tres regiones, la 3ª etapa de implementación puedeimplementar en 12 regiones, es decir, la suma de las etapas anteriores multiplicada por el número dedistribuciones ramificadas de la región (tres). La regla se NON_COMPLIANT si la implementación está enmás de una región en la 1ª etapa o tres regiones en la 2ª etapa o 12 regiones en la 3ª etapa.

Identificador: CODEPIPELINE_REGION_FANOUT_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

regionFanoutFactor

El número de regiones en las que se ha implementado AWS CodePipeline en todas las etapasanteriores es el número aceptable de regiones en las que cualquier etapa puede implementarse.

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

116

Page 123: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

db-instance-backup-enabledComprueba si se han habilitado las copias de seguridad en las instancias de base de datos de RDS.Opcionalmente, la regla comprueba el periodo de retención de copia de seguridad y el periodo de tiempode la copia de seguridad.

Identificador: DB_INSTANCE_BACKUP_ENABLED

Tipo de disparador: cambios de configuración

Parámetros:

backupRetentionPeriod

El periodo de retención de las copias de seguridad.preferredBackupWindow

El periodo de tiempo en el que se crean las copias de seguridad.checkReadReplicas

Comprueba si las instancias de base de datos de RDS tienen habilitadas las copias de seguridad paralas réplicas de lectura.

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

desired-instance-tenancyComprueba la propiedad especificada en las instancias. Especifique los ID de AMI para comprobar lasinstancias que se inician a partir de esas AMI o especifique ID de host para comprobar si las instancias seinician en esos hosts dedicados. Separe los valores de ID con comas.

Identificador: DESIRED_INSTANCE_TENANCY

Tipo de disparador: cambios de configuración

Parámetros:

tenancy

La propiedad deseada de las instancias. Los valores válidos son DEDICATED, HOST y DEFAULT.imageId

La regla evalúa las instancias iniciadas solo desde la AMI con el ID especificado. Separe los ID de lasAMI con comas.

hostId

El ID del host dedicado de Amazon EC2 en el que se supone que se deben iniciar las instancias.Separe los ID de host con comas.

117

Page 124: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

desired-instance-typeComprueba si las instancias EC2 son los tipos de instancias especificados.

Para obtener una lista de los tipos de instancias Amazon EC2 admitidos, consulte Tipos de instancias en laGuía del usuario de Amazon EC2 para instancias de Linux.

Identificador: DESIRED_INSTANCE_TYPE

Tipo de disparador: cambios de configuración

Parámetros:

instanceType

Lista separada por comas de los tipos de instancias EC2 (por ejemplo, "t2.small, m4.large, i2.xlarge").

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

dynamodb-autoscaling-enabledComprueba si Auto Scaling está habilitado en las tablas de DynamoDB o en las tablas o índicessecundarios globales. Opcionalmente, puede definir las unidades de capacidad de lectura y escritura de latabla o del índice secundario global.

Identificador: DYNAMODB_AUTOSCALING_ENABLED

Tipo de disparador: periódico

Parámetros:

minProvisionedReadCapacity

La cantidad mínima de unidades con capacidad de lectura que deberían aprovisionarse en el grupo deAuto Scaling.

118

Page 125: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

minProvisionedWriteCapacity

La cantidad mínima de unidades con capacidad de escritura que deberían aprovisionarse en el grupode Auto Scaling.

maxProvisionedReadCapacity

La cantidad máxima de unidades con capacidad de lectura que deberían aprovisionarse en el grupode Auto Scaling.

maxProvisionedWriteCapacity

La cantidad máxima de unidades con capacidad de escritura que deberían aprovisionarse en el grupode Auto Scaling.

targetReadUtilization

El porcentaje de objetivo de utilización de capacidad de lectura. El objetivo de utilización se expresacomo la proporción de unidades de capacidad consumidas respecto de la capacidad aprovisionada.

targetWriteUtilization

El porcentaje de objetivo de utilización de capacidad de escritura. El objetivo de utilización se expresacomo la proporción de unidades de capacidad consumidas respecto de la capacidad aprovisionada.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

dynamodb-table-encryption-enabledComprueba si las tablas de Amazon DynamoDB están cifradas y verifica su estado. La regla esCOMPLIANT si el estado indica que se han habilitado o se están habilitando.

Identificador: DYNAMODB_TABLE_ENCRYPTION_ENABLED

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

119

Page 126: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

dynamodb-throughput-limit-checkComprueba si el rendimiento aprovisionado de DynamoDB se acerca al límite máximo de su cuenta. Deforma predeterminada, la regla comprueba si el rendimiento aprovisionado supera el umbral del 80 % delos límites de su cuenta.

Identificador: DYNAMODB_THROUGHPUT_LIMIT_CHECK

Tipo de disparador: periódico

Parámetros:

accountRCUThresholdPercentage

Porcentaje de unidades de capacidad de lectura aprovisionadas para su cuenta. Cuando se alcanzaeste valor, la regla se marca como NON_COMPLIANT.

accountWCUThresholdPercentage

Porcentaje de unidades de capacidad de escritura aprovisionadas para su cuenta. Cuando se alcanzaeste valor, la regla se marca como NON_COMPLIANT.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

ebs-optimized-instanceComprueba si la optimización de EBS está habilitada para las instancias EC2 que se pueden optimizarpara EBS.

Identificador: EBS_OPTIMIZED_INSTANCE

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

120

Page 127: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

ec2-instance-detailed-monitoring-enabledComprueba si la monitorización detallada está habilitada para instancias EC2.

Identificador: EC2_INSTANCE_DETAILED_MONITORING_ENABLED

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

ec2-instance-managed-by-ssmComprueba si las instancias de Amazon EC2 de su cuenta se administran por medio de AWSAdministrador de sistemas.

Identificador:EC2_INSTANCE_MANAGED_BY_SSM

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

ec2-instances-in-vpcComprueba si las instancias EC2 pertenecen a una nube virtual privada (VPC). Si lo prefiere, puedeespecificar el ID de VPC para asociarlo a sus instancias.

Identificador: INSTANCES_IN_VPC

Tipo de disparador: cambios de configuración

Parámetros:

121

Page 128: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

vpcId

El ID de VPC que contiene estas instancias.

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

ec2-managedinstance-applications-blacklistedComprueba que ninguna de las aplicaciones especificadas esté instalada en la instancia. Opcionalmente,especifica la versión de la aplicación. Las versiones más actuales de la aplicación no se incluyen en la listanegra. También puede especificar la plataforma para aplicar la regla únicamente en las instancias que seejecuten en dicha plataforma.

Identificador: EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED

Tipo de disparador: cambios de configuración

Parámetros:

applicationNames

Lista separada por comas de nombres de aplicaciones. Opcionalmente, especifique las versiones con":" (por ejemplo, "Chrome:0.5.3, FireFox").

Nota: Los nombres de aplicación deben ser coincidencias exactas. Por ejemplo, use firefox enLinux o firefox-compat en Amazon Linux. Además, AWS Config actualmente no admite comodinesen el parámetro applicationNames (por ejemplo, firefox*).

platformType

El tipo de plataforma (por ejemplo, "Linux" o "Windows").

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

ec2-managedinstance-applications-requiredComprueba si todas las aplicaciones especificadas están instaladas en la instancia. Opcionalmente,especifique la versión mínima aceptable. También puede especificar la plataforma para aplicar la reglaúnicamente en las instancias que se ejecuten en dicha plataforma.

122

Page 129: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Note

Asegúrese de que el agente de SSM se ejecuta en la instancia EC2 y configure los agentes deSSM.

Identificador: EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED

Tipo de disparador: cambios de configuración

Parámetros:

applicationNames

Lista separada por comas de nombres de aplicaciones. Opcionalmente, especifique las versiones con":" (por ejemplo, "Chrome:0.5.3, FireFox").

Nota: Los nombres de aplicación deben ser coincidencias exactas. Por ejemplo, use firefox enLinux o firefox-compat en Amazon Linux. Además, AWS Config actualmente no admite comodinesen el parámetro applicationNames (por ejemplo, firefox*).

platformType

El tipo de plataforma (por ejemplo, "Linux" o "Windows").

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

ec2-managedinstance-association-compliance-status-checkComprueba si el estado de conformidad de la conformidad de asociaciones de Amazon EC2 SystemsManager es COMPLIANT o NON_COMPLIANT después de la ejecución de la asociación en la instancia.La regla es COMPLIANT si el estado del campo es COMPLIANT.

Identificador: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

123

Page 130: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

ec2-managedinstance-inventory-blacklistedComprueba si las instancias administradas por AWS Administrador de sistemas están configuradas pararecopilar tipos de inventario incluidos en la lista negra.

Identificador: EC2_MANAGEDINSTANCE_INVENTORY_BLACKLISTED

Tipo de disparador: cambios de configuración

Parámetros:

inventoryNames

Lista separada por comas de tipos de inventario de Administrador de sistemas (por ejemplo,"AWS:Network, AWS:WindowsUpdate").

platformType

Tipo de plataforma (por ejemplo, "Linux").

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

ec2-managedinstance-patch-compliance-status-checkComprueba si el estado de conformidad de la conformidad de parches de Amazon EC2 Systems Manageres COMPLIANT o NON_COMPLIANT después de la instalación del parche en la instancia. La regla esCOMPLIANT si el estado del campo es COMPLIANT.

Identificador: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

124

Page 131: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

ec2-managedinstance-platform-checkComprueba si las instancias administradas de EC2 tienen la configuración deseada.

Identificador: EC2_MANAGEDINSTANCE_PLATFORM_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

agentVersion

La versión del agente (por ejemplo, "2.0.433.0").platformType

El tipo de plataforma (por ejemplo, "Linux" o "Windows").platformVersion

La versión de la plataforma (por ejemplo, "2016.09").

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

ec2-volume-inuse-checkComprueba si los volúmenes de EBS están adjuntos a instancias EC2. Opcionalmente, comprueba si losvolúmenes de EBS se marcan para eliminarse cuando se termina una instancia.

Identificador: EC2_VOLUME_INUSE_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

deleteOnTermination

Los volúmenes de EBS se marcan para eliminarse cuando se termina una instancia.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

125

Page 132: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

eip-attachedComprueba si todas las direcciones IP elásticas que están asignadas a un VPC están asociadas ainstancias EC2 o interfaces de red elásticas (ENI) en uso.

Los resultados pueden tardar hasta 6 horas en estar disponibles después de que se produzca unaevaluación.

Identificador: EIP_ATTACHED

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

elb-acm-certificate-requiredComprueba si los Classic Load Balancers utilizan los certificados SSL proporcionados por AWS CertificateManager. Para usar esta regla, utilice un agente de escucha SSL o HTTPS con su Classic Load Balancer.Esta regla solo se aplica a los Classic Load Balancers. Esta regla no comprueba los Application LoadBalancers ni los Network Load Balancers.

Identificador: ELB_ACM_CERTIFICATE_REQUIRED

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

elb-custom-security-policy-ssl-checkComprueba si los agentes de escucha SSL de Classic Load Balancer utilizan una política personalizada.La regla solo se aplica si hay agentes de escucha SSL para el Classic Load Balancer.

126

Page 133: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Identificador: ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

ssl-protocols-and-ciphers

Lista separada por comas de cifrados y protocolos.

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

elb-logging-enabledComprueba si Application Load Balancers y Classic Load Balancers tienen habilitados los registros. Laregla es NON_COMPLIANT si access_logs.s3.enabled es true y access_logs.S3.bucket es igualal s3BucketName proporcionado.

Identificador: ELB_LOGGING_ENABLED

Tipo de disparador: cambios de configuración

Parámetros:

s3BucketNames (opcional)

Lista separada por comas de nombres de bucket de Amazon S3 para que Elastic Load Balancingentregue los archivos de registro.

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

elb-predefined-security-policy-ssl-checkComprueba si los agentes de escucha SSL de Classic Load Balancer utilizan una política predefinida. Laregla solo se aplica si hay agentes de escucha SSL para el Classic Load Balancer.

Identificador: ELB_PREDEFINED_SECURITY_POLICY_SSL_CHECK

Tipo de disparador: cambios de configuración

127

Page 134: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Parámetros:

predefined-policy-name

Nombre de la política predefinida.

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

encrypted-volumesComprueba si los volúmenes de EBS que están en un estado adjunto están cifrados. Si especifica el ID deuna clave KMS para cifrado utilizando el parámetro kmsId, la regla comprueba si los volúmenes de EBS deun estado adjunto se cifran con esa clave de KMS.

Para obtener más información, consulte Cifrado de Amazon EBS en la Guía del usuario de Amazon EC2para instancias de Linux.

Identificador: ENCRYPTED_VOLUMES

Tipo de disparador: cambios de configuración

Parámetros:

kmsId

ID o ARN de la clave KMS que se utiliza para cifrar el volumen.

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

fms-webacl-resource-policy-checkComprueba si la ACL web está asociada a un Balanceador de carga de aplicaciones o a distribuciones deAmazon CloudFront. Cuando AWS Firewall Manager crea esta regla, el propietario de la política de FMSespecifica el WebACLId de la política de FMS y tiene la opción de habilitar la corrección.

Identificador: FMS_WEBACL_RESOURCE_POLICY_CHECK

Tipo de disparador: cambios de configuración

128

Page 135: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Parámetros:

webACLId

El WebACLId de la ACL web.resourceTags

Las etiquetas de recursos (Balanceador de carga de aplicaciones y distribuciones de AmazonCloudFront) a las que la regla debería asociarse (por ejemplo, { "tagKey1" : ["tagValue1"], "tagKey2" :["tagValue2", "tagValue3"] }").

excludeResourceTags

Si es true, excluir los recursos que coincidan con las resourceTags.fmsManagedToken

Un token generado por AWS Firewall Manager al crear la regla en la cuenta. AWS Config hace casoomiso de este parámetro cuando se crea esta regla.

fmsRemediationEnabled

Si es true, AWS Firewall Manager actualizará los recursos no conformes de acuerdo con la política deFMS. AWS Config hace caso omiso de este parámetro cuando se crea esta regla

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

fms-webacl-rulegroup-association-checkComprueba que los grupos de reglas se asocian con la ACL web en la prioridad correcta. La prioridadcorrecta se decide mediante la clasificación de los grupos de reglas en el parámetro ruleGroups. CuandoAWS Firewall Manager crea esta regla, asigna la máxima prioridad 0 seguida de 1, 2 y así sucesivamente.El propietario de la política de FMS clasifica el rango ruleGroups en la política de FMS y tiene la opción dehabilitar la corrección.

Identificador: FMS_WEBACL_RULEGROUP_ASSOCIATION_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

ruleGroups

Lista separada por comas de pares de RuleGroupIds y WafOverrideAction (por ejemplo,RuleGroupId-1:NONE, RuleGroupId-2:COUNT). En este ejemplo, RuleGroupId-1 recibe la máximaprioridad 0 y RuleGroupId-2 recibe prioridad 1.

fmsManagedToken

Un token generado por AWS Firewall Manager al crear la regla en la cuenta. AWS Config hace casoomiso de este parámetro cuando se crea esta regla.

129

Page 136: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

fmsRemediationEnabled

Si es true, AWS Firewall Manager actualizará los recursos no conformes de acuerdo con la política deFMS. AWS Config hace caso omiso de este parámetro cuando se crea esta regla

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

guardduty-enabled-centralizedComprueba si Amazon GuardDuty está habilitado en su cuenta y región de AWS. Si proporciona unacuenta de AWS para la centralización, la regla evalúa los resultados de Amazon GuardDuty y en la cuentacentralizada. La regla es COMPLIANT cuando Amazon GuardDuty está habilitado.

Identificador: GUARDDUTY_ENABLED_CENTRALIZED

Tipo de disparador: cambios de configuración

Parámetros:

CentralMonitoringAccount (opcional)

Especifique una cuenta de AWS de 12 dígitos para la centralización de los resultados de AmazonGuardDuty.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

iam-group-has-users-checkComprueba si los grupos de IAM tienen al menos un usuario de IAM.

Identificador: IAM_GROUP_HAS_USERS_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

130

Page 137: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

iam-password-policyComprueba si la política de contraseñas de cuentas para los usuarios de IAM cumple los requisitosespecificados.

Identificador: IAM_PASSWORD_POLICY

Tipo de disparador: periódico

Parámetros:

RequireUppercaseCharacters

Requiere que al menos haya un carácter en mayúscula en la contraseña.RequireLowercaseCharacters

Requiere que al menos haya un carácter en minúscula en la contraseña.RequireSymbols

Requiere que al menos haya un símbolo en la contraseña.RequireNumbers

Requiere que al menos haya un número en la contraseña.MinimumPasswordLength

Longitud mínima de la contraseña.PasswordReusePrevention

Número de contraseñas antes de que se permita reutilizarlas.MaxPasswordAge

Número de días antes de la contraseña venza.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

131

Page 138: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

iam-policy-blacklisted-checkComprueba si para cada recurso de IAM, hay una política de ARN en el parámetro de entrada asociadaal recurso de IAM. La regla es NON_COMPLIANT si el ARN de la política está asociada al recurso deIAM. AWS Config marca el recurso como COMPLIANT si el recurso de IAM forma parte del parámetroexceptionList independientemente de la presencia del ARN de la política.

Identificador: IAM_POLICY_BLACKLISTED_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

policyArns

Lista separada por comas de ARN de política.exceptionList

Lista separada por comas de usuarios, grupos o funciones de IAM que están exentos de esta regla.Por ejemplo, los usuarios: [user1;user2], grupos: [group1;group2], funciones: [role1;role2;role3].

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

iam-policy-no-statements-with-admin-accessComprueba si la versión predeterminada de las políticas de AWS Identity and Access Management (IAM)no tienen acceso de administrador. Si cualquier instrucción tiene "Effect": "Allow" con "Action":"*" sobre"Resource":"* ", la regla es NON_COMPLIANT.

Identificador: IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

132

Page 139: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

iam-role-managed-policy-checkComprueba que el rol de AWS Identity and Access Management (IAM) se asocia a todas las políticasadministradas de AWS especificada en la lista de políticas administradas. La regla es NON_COMPLIANTsi el rol de IAM no está asociado a la política administrada por IAM.

Identificador: IAM_ROLE_MANAGED_POLICY_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

managedPolicyNames

Lista separada por comas de ARN de política administrada por AWS.

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

iam-root-access-key-checkComprueba si está disponible la clave de acceso del usuario raíz. La regla es COMPLIANT si la clave deacceso del usuario no existe.

Identificador: IAM_ROOT_ACCESS_KEY_CHECK

Tipo de disparador: periódico

Parámetros:

managedPolicyNames

Lista separada por comas de ARN de política administrada por AWS.

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

iam-user-group-membership-checkComprueba si los usuarios de IAM son miembros de al menos un grupo de IAM.

133

Page 140: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Identificador: IAM_USER_GROUP_MEMBERSHIP_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

groupName

Lista separada por comas de grupos de IAM a los que deben pertenecer los usuarios de IAM.

Note

Esta regla no admite nombres de grupo con comas.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

iam-user-mfa-enabledComprueba si los usuarios de AWS Identity and Access Management tienen la autenticación multifactor(MFA) habilitada.

Identificador: IAM_USER_MFA_ENABLED

Tipo de disparador: periódico

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

iam-user-no-policies-checkComprueba que ninguno de los usuarios de IAM tenga políticas asociadas. Los usuarios de IAM debenheredar los permisos de los grupos o funciones de IAM.

Identificador: IAM_USER_NO_POLICIES_CHECK

134

Page 141: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

iam-user-unused-credentials-checkComprueba si sus usuarios de AWS Identity and Access Management (IAM) tienen contraseñas o clavesde acceso activas que no se han utilizado en el número de días especificado que ha facilitado. Volvera evaluar esta regla en un plazo de 4 horas tras la primera evaluación no tendrá ningún efecto en losresultados.

Identificador: IAM_USER_UNUSED_CREDENTIALS_CHECK

Tipo de disparador: periódico

Parámetros:

maxCredentialUsageAge

Número máximo de días en que debe utilizarse una credencial. El valor predeterminado es 90 días.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

lambda-function-settings-checkComprueba que la configuración de la función lambda para tiempo de ejecución, rol, tiempo de espera ytamaño de la memoria coincida con los valores esperados.

Identificador: LAMBDA_FUNCTION_SETTINGS_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

135

Page 142: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

runtime

Lista separada por comas de valores de tiempo de ejecución-role

Rol de IAM.timeout

Tiempo en segundos.memory_size

Tamaño de la memoria en MB.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

lambda-function-public-access-prohibitedComprueba si la política de la función AWS Lambda asociada al recurso Lambda prohíbe el accesopúblico. Si la política de la función Lambda permite el acceso público, es NON_COMPLIANT.

Identificador: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

mfa-enabled-for-iam-console-accessComprueba si el Multi-Factor Authentication (MFA) de AWS está activada para todos los usuarios deAWS Identity and Access Management (IAM) que utilizan una contraseña de la consola. La regla esCOMPLIANT si MFA está habilitado.

136

Page 143: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Identificador: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS

Tipo de disparador: periódico

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

multi-region-cloud-trail-enabledComprueba que hay al menos una AWS CloudTrail en varias regiones. La regla es NON_COMPLIANT silos registros de seguimiento no coinciden con los parámetros de entrada.

Identificador: MULTI_REGION_CLOUD_TRAIL_ENABLED

Tipo de disparador: periódico

Parámetros (opcionales):

s3BucketName

Nombre del bucket de Amazon S3 al que AWS CloudTrail entrega los archivos de registro.snsTopicArn

ARN del tema de Amazon SNSque usa AWS CloudTrail para las notificaciones.cloudWatchLogsLogGroupArn

ARN del grupo de registros de Amazon CloudWatch al que AWS CloudTrail envía los datos.includeManagementEvents

Selector de eventos para incluir los eventos de administración de AWS CloudTrail.readWriteType

Tipo de eventos que registrar. Los valores válidos son ReadOnly, WriteOnly y ALL.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

137

Page 144: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

rds-instance-public-access-checkCompruebe si las instancias de Amazon Relational Database Service no son de acceso público. La reglaes NON_COMPLIANT si el campo publiclyAccessible es true en el elemento de configuración deinstancia.

Identificador: RDS_INSTANCE_PUBLIC_ACCESS_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

rds-multi-az-supportComprueba si la alta disponibilidad está habilitada para sus instancias de base de datos de RDS.

En un despliegue Multi-AZ, Amazon RDS aprovisiona y mantiene automáticamente una réplica en esperasincrónica dentro de una zona de disponibilidad diferente. Para obtener más información, consulte Altadisponibilidad (Multi-AZ) en la Guía del usuario de Amazon RDS.

Note

Esta regla no evalúa bases de datos de Amazon Aurora.

Identificador: RDS_MULTI_AZ_SUPPORT

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

138

Page 145: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

rds-snapshots-public-prohibitedComprueba si las instantáneas de Amazon Relational Database Service (Amazon RDS) son públicas. Laregla es NON_COMPLIANT si las instantáneas nuevas y existentes de Amazon RDS son públicas.

Identificador: RDS_SNAPSHOTS_PUBLIC_PROHIBITED

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

rds-storage-encryptedComprueba si el cifrado de almacenamiento está habilitado para sus instancias de base de datos de RDS.

Identificador: RDS_STORAGE_ENCRYPTED

Tipo de disparador: cambios de configuración

Parámetros:

kmsKeyId

ID o ARN de clave de KMS que se utiliza para cifrar el almacenamiento.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

redshift-cluster-configuration-checkComprueba si los clústeres de Amazon Redshift tienen la configuración especificada.

Identificador: REDSHIFT_CLUSTER_CONFIGURATION_CHECK

139

Page 146: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Tipo de disparador: cambios de configuración

Parámetros:

clusterDbEncrypted

El cifrado de la base de datos está habilitado.nodeTypes

Especifique el tipo de nodo.loggingEnabled

El registro de auditoría está habilitado.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

redshift-cluster-maintenancesettings-checkComprueba si los clústeres de Amazon Redshift tienen la configuración de mantenimiento especificada.

Identificador: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

allowVersionUpgrade

Permite habilitar la actualización de la versión.preferredMaintenanceWindow

Período de mantenimiento programado para clústeres (por ejemplo, Mon:09:30-Mon:10:00).automatedSnapshotRetentionPeriod

Número de días durante los que se conservan las instantáneas automatizadas.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

140

Page 147: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

required-tagsComprueba si los recursos tienen las etiquetas que ha especificado. Por ejemplo, puede comprobar si lasinstancias EC2 tienen la etiqueta "CostCenter". Separe los valores con comas.

Important

Los tipos de recursos admitidos para esta regla son los siguientes:

• ACM::Certificate• AutoScaling::AutoScalingGroup• CloudFormation::Stack• CodeBuild::Project• DynamoDB::Table• EC2::CustomerGateway• EC2::Instance• EC2::InternetGateway• EC2::NetworkAcl• EC2::NetworkInterface• EC2::RouteTable• EC2::SecurityGroup• EC2::Subnet• EC2::Volume• EC2::VPC• EC2::VPNConnection• EC2::VPNGateway• ElasticLoadBalancing::LoadBalancer• ElasticLoadBalancingV2::LoadBalancer• RDS::DBInstance• RDS::DBSecurityGroup• RDS::DBSnapshot• RDS::DBSubnetGroup• RDS::EventSubscription• Redshift::Cluster• Redshift::ClusterParameterGroup• Redshift::ClusterSecurityGroup• Redshift::ClusterSnapshot• Redshift::ClusterSubnetGroup• S3::Bucket

Identificador: REQUIRED_TAGS

Tipo de disparador: cambios de configuración

Parámetros:

tag1Key

Clave de la etiqueta requerida.

141

Page 148: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

tag1Value

Valor opcional de la etiqueta requerida. Separe los valores con comas.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

restricted-common-portsComprueba si el tráfico SSH entrante de los grupos de seguridad es accesible para los puertosespecificados. La regla es COMPLIANT cuando las direcciones IP del tráfico SSH entrante en el grupo deseguridad se restringen para los puertos especificados. Esta regla se aplica únicamente a IPv4.

Identificador: RESTRICTED_INCOMING_TRAFFIC

Tipo de disparador: cambios de configuración

Parámetros:

blockedPort1

Número de puerto TCP bloqueado.blockedPort2

Número de puerto TCP bloqueado.blockedPort3

Número de puerto TCP bloqueado.blockedPort4

Número de puerto TCP bloqueado.blockedPort5

Número de puerto TCP bloqueado.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

142

Page 149: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

restricted-sshComprueba si el tráfico SSH entrante de los grupos de seguridad es accesible. La regla es COMPLIANTcuando las direcciones IP del tráfico SSH entrante en el grupo de seguridad se restringen. Esta regla seaplica únicamente a IPv4.

Identificador: INCOMING_SSH_DISABLED

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

root-account-hardware-mfa-enabledComprueba si la cuenta de AWS está habilitada para usar un dispositivo de hardware de autenticaciónmultifactor (MFA) para iniciar sesión con las credenciales raíz. La regla es NON_COMPLIANT si se permitea cualquier dispositivo MFA iniciar sesión con las credenciales raíz.

Identificador: ROOT_ACCOUNT_HARDWARE_MFA_ENABLED

Tipo de disparador: periódico

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

root-account-mfa-enabledComprueba si los usuarios de su cuenta de AWS requieren un dispositivo de autenticación multifactor(MFA) para iniciar sesión con las credenciales raíz.

143

Page 150: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Identificador: ROOT_ACCOUNT_MFA_ENABLED

Tipo de disparador: periódico

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

s3-blacklisted-actions-prohibitedComprueba si la política del bucket de Amazon Simple Storage Service no permite las acciones de nivelde bucket y objeto incluidas en la lista negra en los recursos del bucket para las entidades principalesdistintas de las cuentas de AWS. Por ejemplo, la regla comprueba que la política de bucket de Amazon S3no permita a otra cuenta de AWS realizar cualquier acción s3: GetBucket* ni s3: DeleteObject en ningúnobjeto del bucket. La regla es NON_COMPLIANT si la política del bucket de Amazon S3 permite algunaacción incluida en la lista negra.

Identificador: S3_BLACKLISTED_ACTIONS_PROHIBITED

Tipo de disparador: cambios de configuración

Parámetros:

blacklistedactionpatterns

Lista separada por comas de patrones de acciones incluidas en la lista negra (por ejemplo,s3:GetBucket* y s3:DeleteObject).

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

s3-bucket-policy-not-more-permissiveVerifica que las políticas del bucket de Amazon Simple Storage Service no permiten otros permisos entrecuentas distintos de los de la política del bucket de Amazon S3 de control proporcionada.

144

Page 151: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Note

Si proporciona un valor de parámetro no válido, verá el siguiente mensaje de error: el valor delparámetro controlPolicy debe ser una política de bucket de Amazon S3.

Identificador: S3_BUCKET_POLICY_NOT_MORE_PERMISSIVE

Tipo de disparador: cambios de configuración

Parámetros:

controlPolicy

La política del bucket de Amazon S3 que define un límite superior en los permisos de sus buckets deS3. La política puede tener una longitud máxima de 1024 caracteres.

A continuación se incluye un ejemplo de una política de control.

{ "Version": "2012-10-17", "Statement": [ { "Principal": { "AWS": "11112222333" }, "Effect": "Allow", "Action": "s3:GetObject", "Resource": "*" }, { "Principal": { "AWS": "44445556666" }, "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ]}

La primera instrucción Allow especifica que el ID de la cuenta de AWS 111122223333 puede recuperarobjetos (s3:GetObject) en cualquier recurso (*). La segunda instrucción Allow especifica que el ID de lacuenta de AWS 44445556666 puede realizar cualquier acción s3 (s3:*) en cualquier recurso (*).

A continuación se incluyen ejemplos de políticas de bucekts NON_COMPLIANT con la política de controlanterior como un parámetro de entrada para la regla.

La siguiente política de bucket es NON_COMPLIANT porque la política de bucket admite permisospara la usuaria de IAM, Alice, en el ID de cuenta de AWS 888899998888. Estos permisos los deniegaimplícitamente la política de control.

{ "Version": "2012-10-17", "Statement": [ { "Principal": { "AWS": [ "arn:aws:iam::888899998888:user/Alice" ] },

145

Page 152: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

"Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::example-bucket/*" } ]}

La siguiente política de bucket es NON_COMPLIANT porque la política de bucket admite permisos del IDde la cuenta de AWS 11112222333 para realizar s3:PutBucketPolicy que deniega implícitamente lapolítica de control.

{ "Version": "2012-10-17", "Statement": [ { "Principal": { "AWS": [ "11112222333" ] }, "Effect": "Allow", "Action": "s3:PutBucketPolicy", "Resource": "arn:aws:s3:::example-bucket" } ]}

A continuación se incluyen ejemplos de políticas de bucket COMPLIANT.

La siguiente política de bucket es COMPLIANT porque la política de control permite a las entidadesprincipales desde el ID de la cuenta de AWS 11112222333 realizar s3:GetObject en cualquier objeto.

{ "Version": "2012-10-17", "Statement": [ { "Principal": { "AWS" : [ "arn:aws:iam::11112222333:user/Bob" ] }, "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::example-bucket/photos/*" } ]}

La siguiente política de bucket es COMPLIANT porque la política de control permite a una entidad principalcon el ID de la cuenta de AWS 444455556666 actuar en cualquier objeto.

{ "Version": "2012-10-17", "Statement": [ { "Principal": { "AWS": [ "44445556666" ] }, "Effect": "Allow",

146

Page 153: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

"Action": "s3:*Configuration", "Resource": "arn:aws:s3:::example-bucket" } ]}

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

s3-bucket-logging-enabledComprueba si el registro está habilitado para los buckets de S3.

Identificador: S3_BUCKET_LOGGING_ENABLED

Tipo de disparador: cambios de configuración

Parámetros:

targetBucket

Bucket de S3 de destino para almacenar registros de acceso al servidor.targetPrefix

Prefijo del bucket de S3 de destino para almacenar registros de acceso al servidor.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

s3-bucket-policy-grantee-checkComprueba que el acceso concedido por el bucket de Amazon S3 está restringido en cualquiera de lasentidades principales de AWS, usuarios federados, entidades principales de servicio, direcciones IP o VPCque proporcione. La regla es COMPLIANT si no está presente una política de bucket.

Por ejemplo, si el parámetro de entrada a la regla es la lista de dos entidades principales: 111122223333y 444455556666 y la política de bucket especifica que solo 111122223333 puede obtener acceso albucket, la regla es COMPLIANT. Con los mismos parámetros de entrada: si la política de bucket especificaque 111122223333 y 444455556666 pueden obtener acceso al bucket, también es COMPLIANT. Sin

147

Page 154: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

embargo, si la política de bucket especifica que 999900009999 puede obtener acceso al bucket, la reglaes NON_COMPLIANT.

Identificador: S3_BUCKET_POLICY_GRANTEE_CHECK

Tipo de disparador: cambios de configuración

Parámetros:

awsPrincipals

Lista separada por comas de entidades principales como ARN de usuario de IAM, ARN derol de IAM y cuentas de AWS, por ejemplo "arn:aws:iam::111122223333:user/Alice,arn:aws:iam::444455556666:role/Bob, 123456789012".

servicePrincipals

Lista separada por comas de entidades principales del servicio, por ejemplo,"cloudtrail.amazonaws.com, lambda.amazonaws.com".

federatedUsers

Lista separada por comas de los proveedores de identidades para las identidadesfederadas web, como por ejemplo Amazon Cognito y proveedores de identidad SAML. Porejemplo, puede proporcionar como parámetro "cognito-identity.amazonaws.com,arn:aws:iam::111122223333:saml-provider/my-provider".

ipAddresses

Lista separada por comas de las direcciones IP con formato de CIDR, por ejemplo "10.0.0.1,192.168.1.0/24, 2001:db8::/32".

vpdIds

Lista separada por comas de ID de Amazon Virtual Private Cloud (VPC de Amazon), por ejemplo"vpc-1234abc0, vpc-ab1234c0".

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

s3-bucket-public-read-prohibitedComprueba si los buckets de Amazon S3 no permiten acceso de lectura público. Si una política de bucketde Amazon S3 o un ACL de bucket permite acceso de lectura público, dicho bucket es NON_COMPLIANT.

Identificador: S3_BUCKET_PUBLIC_READ_PROHIBITED

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

148

Page 155: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

s3-bucket-public-write-prohibitedComprueba si los buckets de Amazon S3 no permiten acceso de escritura público. Si una políticade bucket de Amazon S3 o una ACL de bucket permite acceso de escritura público, dicho bucket esNON_COMPLIANT.

Identificador: S3_BUCKET_PUBLIC_WRITE_PROHIBITED

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

s3-bucket-replication-enabledComprueba si los buckets de S3 tienen la replicación entre regiones habilitada.

Identificador: S3_BUCKET_REPLICATION_ENABLED

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

149

Page 156: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

s3-bucket-server-side-encryption-enabledComprueba que su bucket de Amazon S3 tiene el cifrado predeterminado de Amazon S3 habilitado o quela política de bucket de S3 deniega explícitamente las solicitudes put-object sin cifrado del lado delservidor.

Identificador: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

s3-bucket-ssl-requests-onlyComprueba si los buckets de S3 tienen políticas que requieren que las solicitudes utilicen la capa deconexión segura (SSL).

Identificador: S3_BUCKET_SSL_REQUESTS_ONLY

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Un ejemplo de una política de bucket que es COMPLIANT con la regla de AWS Config de SSL es elsiguiente:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123412341234" ] }, "Action": "s3:Get*", "Resource": "arn:aws:s3:::example-bucket/*" }, { "Effect": "Deny", "Principal": "*", "Action": "*",

150

Page 157: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

"Resource": "arn:aws:s3:::example-bucket/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ]}

Un ejemplo de una política de bucket que es NON_COMPLIANT con la regla de AWS Config de SSL es elsiguiente:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123412341234" ] }, "Action": "s3:Get*", "Resource": "arn:aws:s3:::example-bucket/*" }, { "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "arn:aws:s3:::example-bucket/private/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ]}

Plantilla AWS CloudFormationPara crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

s3-bucket-versioning-enabledComprueba si el control de versiones está habilitado para los buckets de S3. Opcionalmente, la reglacomprueba si la eliminación de MFA está habilitada para los buckets de S3.

Identificador: S3_BUCKET_VERSIONING_ENABLED

Tipo de disparador: cambios de configuración

Parámetros:

151

Page 158: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorLista de las reglas administradas de AWS Config

isMfaDeleteEnabled

La eliminación de MFA está habilitada para los buckets de S3.

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

vpc-default-security-group-closedComprueba que el grupo de seguridad predeterminado de cualquier Amazon Virtual Private Cloud (VPC)no permite tráfico entrante o saliente. La regla devuelve NOT_APPLICABLE si el grupo de seguridad no espredeterminado. La regla es NON_COMPLIANT si el grupo de seguridad predeterminado tiene tráfico deentrada o de salida.

Identificador: VPC_DEFAULT_SECURITY_GROUP_CLOSED

Tipo de disparador: cambios de configuración

Parámetros:

Ninguno

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

vpc-flow-logs-enabledComprueba si se encuentran los registros de flujo de Amazon Virtual Private Cloud y si están habilitadospara Amazon VPC.

Identificador: VPC_FLOW_LOGS_ENABLED

Tipo de disparador: periódico

Parámetros:

trafficType

Los valores válidos de trafficType son ACCEPT, REJECT o ALL.

152

Page 159: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorTrabajo con reglas administradas de AWS Config

Plantilla AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creaciónde reglas administradas de AWS Config con plantillas de AWS CloudFormation (p. 154).

Ver Lanzar

Ver

Trabajo con reglas administradas de AWS ConfigPuede configurar y activar reglas administradas de AWS desde Consola de administración de AWS, AWSCLI o API de AWS Config.

Configuración y activación de una regla administrada por AWS(consola)1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://

console.aws.amazon.com/config/.2. En el menú de Consola de administración de AWS, compruebe que el selector de región está

establecido en una región que admite reglas de AWS Config. Para ver una lista de las regionesadmitidas, consulte Regiones y puntos de enlace de AWS Config en la Referencia general de AmazonWeb Services.

3. En el panel de navegación izquierdo, seleccione Rules (Reglas).4. En la página Rules (Reglas), seleccione Add rule (Añadir regla).5. En la página Rules (Reglas), puede realizar lo siguiente:

• Escriba en el campo de búsqueda para filtrar los resultados por nombre de regla, descripción yetiqueta. Por ejemplo, escriba EC2 para que devuelva las reglas que evalúan tipos de recursos deEC2 o escriba periodic para que devuelva reglas que se activen periódicamente.

• Seleccione el icono de flecha para ver la siguiente página de reglas. Las reglas recién añadidasestán marcadas como New (Nueva).

6. Elija una regla que desee crear.7. En la página Configure rule (Configurar regla), configure la regla siguiendo estos pasos:

a. En Name (Nombre), escriba un nombre único para la regla.b. Si los tipos de disparador de la regla incluyen Configuration changes (Cambios de configuración),

especifique una de las siguientes opciones para Scope of changes (Ámbito de cambios) con laque AWS Config invoca la función Lambda:

• Resources (Recursos): cuando se crea, cambia o se elimina un recurso que coincide con untipo de recurso especificado, o el tipo más el identificador.

• Tags (Etiquetas): cuando se crea, cambia o se elimina un recurso con la etiqueta especificada.• All changes (Todos los cambios): cuando se crea, cambia o se elimina un recurso registrado

por AWS Config.c. Si los tipos de disparador de la regla incluyen Periodic (Periódico), especifique la frecuencia con la

que AWS Config invoca su función Lambda.d. Si la regla incluye parámetros en la sección Rule parameters (Parámetros de la regla), puede

personalizar los valores de las claves proporcionadas. Un parámetro es un atributo que debentener los recursos para que se consideren COMPLIANT con la regla.

153

Page 160: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorCreación de reglas administradas de AWS

Config con plantillas de AWS CloudFormation

8. Seleccione Save. La nueva regla se muestra en la página Rules.

En Compliance (Conformidad), aparecerá Evaluating... (Evaluando...) hasta que AWS Config tenga losresultados de la evaluación de la regla. Tras varios minutos, aparece un resumen de los resultados.Puede actualizar los resultados con el botón de actualizar.

Si la regla o la función no funcionan según lo previsto, puede que vea una de las siguientes opcionespara Compliance (Conformidad):

• No results reported (No se registraron resultados): AWS Config ha evaluado los recursos conrespecto a la regla. La regla no se ha aplicado a los recursos de AWS en su ámbito, los recursosespecificados se han eliminado o los resultados de la evaluación se han eliminado. Para obtenerlos resultados de la evaluación, actualice la regla, cambie su ámbito o bien seleccione Re-evaluate(Volver a evaluar).

Este mensaje también puede aparecer si la regla no informa de resultados de evaluación.• No resources in scope (No hay recursos dentro del ámbito): AWS Config no puede evaluar los

recursos de AWS registrados con respecto a esta regla, porque ninguno de los recursos seencuentra dentro del ámbito de la regla. Para obtener los resultados de la evaluación, edite la reglay cambie el ámbito o bien añada recursos para que AWS Config los registre utilizando la páginaSettings (Configuración).

• Evaluations failed (Error en las evaluaciones): para obtener información que le ayude a determinarel problema, elija el nombre de la regla para abrir la página de detalles y ver el mensaje de error.

Activación de una regla administrada de AWS (AWS CLI)Use el comando put-config-rule.

Activación de una regla administrada por AWS (API)Utilice la acción PutConfigRule.

Creación de reglas administradas de AWS Config conplantillas de AWS CloudFormationPara conocer las reglas administradas de AWS Config que se admiten, puede utilizar las plantillas deAWS CloudFormation para crear la regla para su cuenta o actualizar una pila de AWS CloudFormationexistente. Una pila de es una colección de recursos relacionados que usted aprovisiona y actualiza comouna única unidad. Al iniciar una pila con una plantilla, la regla administrada por AWS Config se creaautomáticamente. Las plantillas solo crean la regla, no los recursos de AWS adicionales.

Note

Cuando se actualizan las reglas administradas de AWS Config, las plantillas se actualizan con losúltimos cambios. Para guardar una versión específica de una plantilla para una regla, descarguela plantilla y cárguela en su bucket de S3.

Para obtener más información sobre cómo trabajar con plantillas AWS CloudFormation, consulteIntroducción a AWS CloudFormation en la Guía del usuario de AWS CloudFormation.

Para iniciar una pila de AWS CloudFormation para una regla administrada de AWS Config

1. Elija una regla en la lista de Lista de las reglas administradas de AWS Config (p. 103).2. Elija View (Ver) para descargar una plantilla o elija Launch Stack (Lanzar pila). Si elige Launch Stack

(Lanzar pila), vaya al paso 4.3. Vaya a la consola de CloudFormation y cree una nueva pila.

154

Page 161: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorReglas personalizadas de AWS Config

4. Para seleccionar plantilla:

• Si ha descargado la plantilla, elija Upload a template to Amazon S3 (Cargar una plantilla en AmazonS3) y, a continuación, elija Browse (Examinar) para cargar la plantilla.

• Si utilizó el botón Launch Stack, la URL de plantilla aparece automáticamente en el campo Specifyan Amazon S3 template URL.

5. Seleccione Next (Siguiente).6. En Specify Details (Especificar detalles), escriba un nombre para la pila e introduzca los valores de

los parámetros de la regla de AWS Config. Por ejemplo, si utiliza la plantilla de reglas administradasDESIRED_INSTANCE_TYPE, puede especificar el tipo de instancia, como "m4.large".

7. Seleccione Next (Siguiente).8. En Options, puede crear etiquetas o configurar otras opciones avanzadas. Estas opciones no son

obligatorias.9. Seleccione Next (Siguiente).10. En Review (Revisar), compruebe que la plantilla, los parámetros y otras opciones son correctos.11. Seleccione Create. La pila se crea en unos minutos. Puede ver la regla creada en la consola de AWS

Config.

Puede utilizar las plantillas para crear una sola pila para las reglas administradas de AWS Config oactualizar una pila existente en su cuenta. Si elimina una pila, las reglas administradas que se hayancreado a partir de esa pila también se eliminarán. Para obtener más información, consulte Trabajar conpilas en la Guía del usuario de AWS CloudFormation.

Reglas personalizadas de AWS ConfigPuede desarrollar reglas personalizadas y agregarlas a AWS Config. Se asocia cada regla personalizada auna función AWS Lambda, que contiene la lógica que evalúa si los recursos de AWS cumplen la regla.

Se asocia esta función a la regla y la regla invoca la función en respuesta a los cambios de configuración,o bien de forma periódica. A continuación, la función evalúa si los recursos cumplen con la regla y envíalos resultados de su evaluación a AWS Config.

El ejercicio en Introducción a las reglas personalizadas para AWS Config (p. 155) le guía a través de lacreación de una regla personalizada por primera vez. Incluye una función de ejemplo que puede añadir aAWS Lambda sin modificación.

Para obtener información sobre cómo actúan las funciones AWS Lambda y cómo desarrollarlas, consultela AWS Lambda Developer Guide.

Temas• Introducción a las reglas personalizadas para AWS Config (p. 155)• Desarrollo de una regla personalizada para AWS Config (p. 158)• Funciones y eventos de AWS Lambda de ejemplo para reglas de AWS Config (p. 162)

Introducción a las reglas personalizadas para AWSConfigEste procedimiento le guiará a través del proceso de creación de una regla personalizada que evalúasi cada una de las instancias EC2 es del tipo t2.micro. AWS Config realizará evaluaciones basadas eneventos para esta regla, lo que significa que comprobará las configuraciones de la instancia cada vez que

155

Page 162: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorIntroducción a las reglas personalizadas

AWS Config detecta un cambio de configuración en una instancia. . AWS Config marcará las instanciasde t2.micro como conformes y todas las demás instancias como no conformes. El estado de conformidadaparecerá en la consola de AWS Config.

Para obtener el mejor resultado con este procedimiento, debe tener una o varias instancias EC2 en sucuenta de AWS. Sus instancias deben incluir una combinación de al menos una instancia de t2.micro yotros tipos.

Para crear esta regla, en primer lugar, cree una función AWS Lambda personalizando un proyecto en laconsola de AWS Lambda. A continuación, podrá crear una regla personalizada en AWS Config y asociar laregla a la función.

Temas• Creación de una función AWS Lambda para una regla de configuración personalizada (p. 156)• Creación de una regla personalizada (p. 157)

Creación de una función AWS Lambda para una regla deconfiguración personalizada1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Lambda en https://

console.aws.amazon.com/lambda/.2. En el menú de Consola de administración de AWS, compruebe que el selector de región está

establecido en una región que admite reglas de AWS Config. Para ver una lista de las regionesadmitidas, consulte Regiones y puntos de enlace de AWS Config en la Referencia general de AmazonWeb Services.

3. En la consola de AWS Lambda, elija Create a Lambda function (Crear una función Lambda).4. En la página Select blueprint (Seleccionar proyecto), para filter, escriba config-rule-change-triggered.

Seleccione el proyecto en los resultados filtrados.5. En la página Configure triggers, elija Next.6. En la página Configure function (Configurar función), siga los pasos que se describen a continuación:

a. En Name (Nombre), escriba InstanceTypeCheck.b. Para Runtime (Tiempo de ejecución), mantenga Node.js.c. Para Code entry type (Tipo de entrada de código), mantenga Edit code inline (Editar código

en línea). El código de Node.js de su función se proporciona en el editor de código. Para esteprocedimiento, no es necesario cambiar el código.

d. En Handler (Controlador), mantenga index.handler.e. Para Role (Rol), elija Create new role from template(s) (Crear un rol nuevo a partir de las

plantillas).f. Para Role name (Nombre del rol), escriba un nombre.g. Para Policy templates (Plantillas de política), elija AWS Config Rules permission (Permiso de

reglas de AWS Config).h. En la página Configure function (Configurar función), seleccione Next (Siguiente).i. En la página Review (Revisar), compruebe los datos de la función y seleccione Create function

(Crear función). La consola AWS Lambda mostrará su función.7. Para verificar que su función está configurada correctamente, pruébela con los siguientes pasos:

a. Elija Actions (Acciones) y, a continuación, elija Configure test event (Configurar evento deprueba).

b. En la ventana Input test event (Introducir evento de prueba), para Sample event template(Ejemplo de plantilla de evento), elija AWS Config Change Triggered Rule (Regla activada decambio de AWS Config).

156

Page 163: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorIntroducción a las reglas personalizadas

c. Elija Save and test (Guardar y probar). AWS Lambda prueba su función con el ejemplo de evento.Si la función funciona según lo previsto, aparecerá un mensaje de error similar al siguiente enExecution result (Resultado de la ejecución):

{ "errorMessage": "Result Token provided is invalid", "errorType": "InvalidResultTokenException",. . .

Se espera InvalidResultTokenException porque su función se ejecuta correctamente solocuando recibe un token de resultados de AWS Config. El token de resultados identifica la reglade AWS Config y el evento que ha causado la evaluación y el token de resultados asocia unaevaluación con una regla. Esta excepción indica que la función tiene el permiso que necesitapara enviar resultados a AWS Config. De lo contrario, aparece el siguiente mensaje de error: notauthorized to perform: config:PutEvaluations. Si se produce este error, actualice elrol que ha asignado a su función para permitir la acción config:PutEvaluations y probar lafunción de nuevo.

Creación de una regla personalizada1. Abra la consola de AWS Config en https://console.aws.amazon.com/config/.2. En el menú Consola de administración de AWS, compruebe que el selector de región está establecido

en la misma región en la que ha creado la función AWS Lambda para su regla personalizada.3. En la página Rules (Reglas), seleccione Add rule (Añadir regla).4. En la página Add rule (Añadir regla), seleccione Add custom rule (Añadir regla personalizada).5. En la página Configure rule (Configurar regla), siga los pasos que se describen a continuación:

a. En Name (Nombre), escriba InstanceTypesAreT2micro.b. En Description (Descripción), escriba Evaluates whether EC2 instances are the

t2.micro type.c. Para AWS Lambda function ARN (ARN de función de AWS Lambda), especifique el ARN que

AWS Lambda ha asignado a su función.

Note

El ARN que se especifica en este paso no debe incluir el calificativo $LATEST. Puedeespecificar un ARN sin un calificador de versión o con cualquier calificador aparte de$LATEST. AWS Lambda admite el control de versiones de funciones y a cada versión sele asigna un ARN con un calificador. AWS Lambda utiliza el calificador $LATEST para laúltima versión.

d. Para Trigger type (Tipo de disparador), elija Configuration changes (Cambios de configuración).e. Para Scope of changes (Ámbito de cambios), elija Resources (Recursos).f. Para Resources (Recursos), elija Instance (Instancia).g. En la sección Rule parameters (Parámetros de regla), debe especificar el parámetro de regla que

evalúe la función AWS Lambda y el valor deseado. La función de este procedimiento evalúa elparámetro desiredInstanceType.

En Key (Clave), escriba desiredInstanceType. Para Value (Valor), escriba t2.micro.6. Seleccione Save. La nueva regla se muestra en la página Rules.

Compliance (Conformidad) mostrará Evaluating... (Evaluando...) hasta que AWS Config reciba losresultados de la evaluación de la función de AWS Lambda. Si la regla y la función funcionan segúnlo previsto, aparece un resumen de los resultados pasados unos minutos. Por ejemplo, el resultado 2noncompliant resource(s) (2 recursos no conformes) indica que dos de las instancias no son instancias

157

Page 164: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorDesarrollo de una regla personalizada

t2.micro y el resultado Compliant (Conforme) que indica que todas las instancias son t2.micro. Puedeactualizar los resultados con el botón de actualizar.

Si la regla o la función no funcionan según lo previsto, puede que vea una de las siguientes opcionespara Compliance (Conformidad):

• No results reported (No se registraron resultados): AWS Config ha evaluado los recursos conrespecto a la regla. La regla no se ha aplicado a los recursos de AWS en su ámbito, los recursosespecificados se han eliminado o los resultados de la evaluación se han eliminado. Para obtenerlos resultados de la evaluación, actualice la regla, cambie su ámbito o bien seleccione Re-evaluate(Volver a evaluar).

Compruebe que el ámbito incluye Instance (Instancia) para Resources (Recursos) y vuelva aintentarlo.

• No resources in scope (No hay recursos dentro del ámbito): AWS Config no puede evaluar losrecursos de AWS registrados con respecto a esta regla, porque ninguno de los recursos seencuentra dentro del ámbito de la regla. Para obtener los resultados de la evaluación, edite la reglay cambie el ámbito o bien añada recursos para que AWS Config los registre utilizando la páginaSettings (Configuración).

Compruebe que AWS Config está registrando las instancias EC2.• Evaluations failed (Error en las evaluaciones): para obtener información que le ayude a determinar

el problema, elija el nombre de la regla para abrir la página de detalles y ver el mensaje de error.

Si la regla funciona correctamente y AWS Config proporciona resultados de evaluación, puede saber quécondiciones afectan al estado de conformidad de la regla. Puede saber qué recursos, si hay alguno, nocumplen las reglas y por qué. Para obtener más información, consulte Visualización de conformidad de laconfiguración (p. 98).

Desarrollo de una regla personalizada para AWSConfigComplete el siguiente procedimiento para crear una regla personalizada. Para crear una reglapersonalizada, primero debe crear una función AWS Lambda que contenga la lógica de evaluación de laregla. A continuación, se asocia la función a una regla personalizada que se crea en AWS Config.

Contenido• Creación de una función AWS Lambda para una regla de configuración personalizada (p. 158)• Creación de una regla personalizada en AWS Config (p. 160)• Evaluación de tipos de recursos adicionales (p. 161)

Creación de una función AWS Lambda para una regla deconfiguración personalizadaUna función Lambda es código personalizado que se carga en AWS Lambda y se invoca por eventos quese publican en él mediante un origen de eventos. Si la función Lambda se asocia a una regla Config, AWSConfig la invoca cuando se produce el disparador de la regla. A continuación, la función Lambda evalúala información de configuración enviada por AWS Config y devuelve los resultados de evaluación. Paraobtener más información acerca de las funciones Lambda, consulte Fuentes de funciones y eventos en laAWS Lambda Developer Guide.

158

Page 165: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorDesarrollo de una regla personalizada

Puede utilizar un lenguaje de programación compatible con AWS Lambda para crear una función Lambdapara una regla personalizada. Para facilitar esta tarea, puede personalizar un proyecto AWS Lambda oreutilizar una función de muestra del repositorio AWS Config Rules GitHub.

Proyectos de AWS Lambda

La consola AWS Lambda proporciona funciones de muestra o proyectos que puede personalizarañadiendo su propia lógica de evaluación. Al crear una función, puede elegir uno de los siguientesproyectos:

• config-rule-change-triggered: se activa cuando cambian las configuraciones de recursos de AWS.• config-rule-periodic: se activa con la frecuencia que se elija (por ejemplo, cada 24 horas).

Repositorio GitHub de reglas de AWS Config

Se encuentra disponible un repositorio público de funciones de muestra para reglas personalizadas enGitHub, un servicio de uso compartido y alojamiento de código basado en web. Las funciones de muestralas ha desarrollado y aportado la comunidad de AWS. Si desea utilizar una muestra, puede copiar sucódigo en una nueva función AWS Lambda. Para ver el repositorio, consulte https://github.com/awslabs/aws-config-rules/.

Para crear la función de la regla personalizada

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Lambda en https://console.aws.amazon.com/lambda/.

2. En el menú de Consola de administración de AWS, compruebe que el selector de región estáestablecido en una región que admite reglas de AWS Config. Para ver una lista de las regionesadmitidas, consulte Regiones y puntos de enlace de AWS Config en la Referencia general de AmazonWeb Services.

3. Seleccione Create a Lambda function (Crear una función).4. En la página Select blueprint (Seleccionar proyecto), puede elegir una de las funciones de proyecto

para las reglas de AWS Config como punto de partida, o bien puede continuar sin un proyectoseleccionando Skip (Omitir).

5. En la página Configure triggers, elija Next.6. En la página Configure function (Configurar función), escriba un nombre y una descripción.7. Para Runtime (Tiempo de ejecución), seleccione el lenguaje de programación en el que se esté escrita

su función.8. Para Code entry type (Tipo de entrada de código), seleccione el tipo de entrada de preferencia. Si está

utilizando un proyecto, mantenga Edit code inline (Editar código en línea).9. Proporcione el código utilizando el método que requiera el tipo de entrada de código que ha

seleccionado. Si está utilizando un proyecto, el código de la función se proporciona en el editor decódigo y puede personalizarlo para incluir su propia lógica de evaluación. El código puede evaluar losdatos de eventos que AWS Config proporciona cuando se invoca la función:

• Para funciones basadas en el proyecto config-rule-change-triggered o para funciones activadasmediante cambios de configuración, los datos de eventos son el elemento de configuración o unobjeto de elemento de configuración sobredimensionado para el recurso de AWS que ha cambiado.

• Para funciones basadas en el proyecto config-rule-periodic o para funciones activadas con unafrecuencia que elija, los datos de evento son un objeto JSON que incluye información sobre cuándose ha activado la evaluación.

• Para ambos tipos de funciones, AWS Config pasa parámetros de reglas en formato JSON. Puededefinir los parámetros de regla que se pasan al crear la regla personalizada en AWS Config.

• Para conocer ejemplos de los eventos que publica AWS Config cuando invoca la función, consulteEventos de ejemplos para reglas de AWS Config (p. 167).

159

Page 166: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorDesarrollo de una regla personalizada

10. Para Handler (Controlador), especifique el controlador de la función. Si utiliza un proyecto, mantengael valor predeterminado.

11. Para Role (Rol), elija Create new role from template(s) (Crear un rol nuevo a partir de las plantillas).12. Para Role name (Nombre del rol), escriba un nombre.13. Para Policy templates (Plantillas de política), elija AWS Config Rules permission (Permiso de reglas de

AWS Config).14. En la página Configure function (Configurar función), seleccione Next (Siguiente).15. En la página Review (Revisar), compruebe los datos de la función y seleccione Create function (Crear

función).

Creación de una regla personalizada en AWS ConfigUtilice AWS Config para crear una regla personalizada y asociarla a una función Lambda.

Para crear una regla personalizada

1. Abra la consola de AWS Config en https://console.aws.amazon.com/config/.2. En el menú Consola de administración de AWS, compruebe que el selector de región está establecido

en la misma región en la que ha creado la función AWS Lambda para su regla personalizada.3. En la página Rules (Reglas), seleccione Add rule (Añadir regla).4. En la página Add rule (Añadir regla), seleccione Add custom rule (Añadir regla personalizada).5. En la página Configure rule (Configurar regla), escriba un nombre y una descripción.6. Para AWS Lambda function ARN (ARN de función de AWS Lambda), especifique el ARN que AWS

Lambda ha asignado a su función.

Note

El ARN que se especifica en este paso no debe incluir el calificativo $LATEST. Puedeespecificar un ARN sin un calificador de versión o con cualquier calificador aparte de$LATEST. AWS Lambda admite el control de versiones de funciones y a cada versión se leasigna un ARN con un calificador. AWS Lambda utiliza el calificador $LATEST para la últimaversión.

7. Para Trigger type (Tipo de disparador), seleccione uno o ambos de los siguientes:

• Configuration changes (Cambios de configuración): AWS Config invoca la función de Lambdacuando detecta un cambio de configuración.

• Periodic (Periódico): AWS Config invoca la función Lambda con la frecuencia que se elija (porejemplo, cada 24 horas).

8. Si los tipos de disparador de la regla incluyen Configuration changes (Cambios de configuración),especifique una de las siguientes opciones para Scope of changes (Ámbito de cambios) con la queAWS Config invoca la función Lambda:

• Resources (Recursos): cuando se crea, cambia o se elimina un recurso que coincide con un tipo derecurso especificado, o el tipo más el identificador.

• Tags (Etiquetas): cuando se crea, cambia o se elimina un recurso con la etiqueta especificada.• All changes (Todos los cambios): cuando se crea, cambia o se elimina un recurso registrado por

AWS Config.9. Si los tipos de disparador de la regla incluyen Periodic (Periódico), especifique la frecuencia con la que

AWS Config invoca su función Lambda.10. En la sección Rule parameters (Parámetros de la regla), especifique cualquier parámetro de regla que

evalúe la función AWS Lambda y el valor deseado.11. Seleccione Save. La nueva regla se muestra en la página Rules.

160

Page 167: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorDesarrollo de una regla personalizada

Compliance (Conformidad) mostrará Evaluating... (Evaluando...) hasta que AWS Config reciba losresultados de la evaluación de la función de AWS Lambda. Si la regla y la función funcionan según loprevisto, aparece tras unos minutos un resumen de los resultados. Puede actualizar los resultados conel botón de actualizar.

Si la regla o la función no funcionan según lo previsto, puede que vea una de las siguientes opcionespara Compliance (Conformidad):

• No results reported (No se registraron resultados): AWS Config ha evaluado los recursos conrespecto a la regla. La regla no se ha aplicado a los recursos de AWS en su ámbito, los recursosespecificados se han eliminado o los resultados de la evaluación se han eliminado. Para obtenerlos resultados de la evaluación, actualice la regla, cambie su ámbito o bien seleccione Re-evaluate(Volver a evaluar).

Este mensaje también puede aparecer si la regla no informa de resultados de evaluación.• No resources in scope (No hay recursos dentro del ámbito): AWS Config no puede evaluar los

recursos de AWS registrados con respecto a esta regla, porque ninguno de los recursos seencuentra dentro del ámbito de la regla. Puede elegir qué recursos registra AWS Config en lapágina Settings (Configuración).

• Evaluations failed (Error en las evaluaciones): para obtener información que le ayude a determinarel problema, elija el nombre de la regla para abrir la página de detalles y ver el mensaje de error.

Note

Al crear una regla personalizada con la consola de AWS Config, se crean automáticamente lospermisos pertinentes. Si crea una regla personalizada con la AWS CLI, debe dar permiso a AWSConfig para invocar su función Lambda con el comando aws lambda add-permission. Paraobtener más información, consulte Uso de políticas basadas en recursos para AWS Lambda(políticas de funciones de Lambda) en la AWS Lambda Developer Guide.

Evaluación de tipos de recursos adicionalesPuede crear reglas personalizadas para ejecutar evaluaciones de tipos de recursos que AWS Config aúnno ha registrado. Esto resulta útil si desea evaluar la conformidad de tipos de recursos adicionales, comoalmacenes Amazon S3 Glacier o temas de Amazon SNS que AWS Config no registra actualmente. Paraobtener una lista de tipos de recursos adicionales que puede evaluar con reglas personalizadas, consulteReferencia de tipos de recursos de AWS.

Note

La lista que aparece en la Guía del usuario de AWS CloudFormation puede contener tipos derecursos agregados recientemente que aún no estén disponibles para crear reglas personalizadasen AWS Config. AWS Config añade soporte de tipos de recursos periódicamente.

Ejemplo

1. Desea evaluar almacenes de Amazon S3 Glacier en su cuenta. Amazon S3 Glacier no registraactualmente los recursos de almacenes AWS Config.

2. Puede crear una función AWS Lambda que evalúe si los almacenes Amazon S3 Glacier cumplen conlos requisitos de su cuenta.

3. Puede crear una regla personalizada denominada evaluate-glacier-vaults y, a continuación, asignar lafunción AWS Lambda a la regla.

4. AWS Config invoca su función Lambda y, a continuación, evalúa los almacenes Amazon S3 Glaciercon respecto a la regla.

5. AWS Config devuelve las evaluaciones y puede ver los resultados de conformidad de la regla.

161

Page 168: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorFunciones y eventos de ejemplo

Note

Puede consultar los detalles de configuración en la línea temporal AWS Config y buscar recursosen la consola AWS Config para los recursos compatibles con AWS Config. Si ha configurado AWSConfig para que registre todos los tipos de recursos, se registrarán automáticamente los recursosadmitidos recientemente. Para obtener más información, consulte Tipos de recursos de AWSadmitidos por AWS Config y relaciones de recursos (p. 9).

Funciones y eventos de AWS Lambda de ejemplopara reglas de AWS ConfigCada regla de configuración personalizada está asociada con una función de AWS Lambda, que es uncódigo personalizado que contiene la lógica de evaluación de la regla. Cuando se activa una regla deconfiguración (por ejemplo, cuando AWS Config detecta un cambio de configuración), AWS Config invocala función Lambda de la regla publicando un evento, que es un objeto JSON que proporciona los datos deconfiguración que evalúa la función.

Para obtener más información acerca de las funciones y los eventos en AWS Lambda, consulte Fuentesde funciones y eventos en la AWS Lambda Developer Guide.

Temas• Funciones SW AWS Lambda de ejemplo para reglas de AWS Config (Node.js) (p. 162)• Eventos de ejemplos para reglas de AWS Config (p. 167)

Funciones SW AWS Lambda de ejemplo para reglas de AWSConfig (Node.js)AWS Lambda ejecuta funciones en respuesta a eventos que publican los servicios de AWS. La funciónde una regla de configuración personalizada recibe un evento que publica AWS Config y, a continuación,la función utiliza los datos que recibe del evento y que recupera de la API de AWS Config para evaluarla conformidad con la regla. Las operaciones que hay en una función de una regla de configuración sondiferentes en función de si realiza una evaluación que se activa por los cambios en la configuración o seactiva de forma periódica.

Para obtener más información sobre los patrones comunes de las funciones de AWS Lambda, consulteModelo de programación en la AWS Lambda Developer Guide.

Contenido• Función de ejemplo para evaluaciones activadas por cambios de configuración (p. 162)• Función de ejemplo para evaluaciones periódicas (p. 165)

Función de ejemplo para evaluaciones activadas por cambios de configuración

AWS Config invoca una función, como en el siguiente ejemplo, cuando detecta un cambio de configuraciónen un recurso que se encuentra dentro del ámbito de una regla personalizada.

Si utiliza la consola de AWS Config para crear una regla que esté asociada a una funcióncomo la de este ejemplo, elija Configuration changes (Cambios de configuración) comotipo de disparador. Si utiliza la API de AWS Config o AWS CLI para crear la regla,establezca el atributo MessageType en ConfigurationItemChangeNotification yOversizedConfigurationItemChangeNotification. Estos ajustes permiten activar la regla cuandoAWS Config genera un elemento de configuración o un elemento de configuración sobredimensionadocomo resultado de un cambio de recurso.

162

Page 169: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorFunciones y eventos de ejemplo

En este ejemplo, se evalúan los recursos y se comprueba si las instancias coinciden con el tipo de recurso:AWS::EC2::Instance. La regla se activa cuando AWS Config genera un elemento de configuración ouna notificación de un elemento de configuración sobredimensionado.

'use strict';

const aws = require('aws-sdk');

const config = new aws.ConfigService();

// Helper function used to validate inputfunction checkDefined(reference, referenceName) { if (!reference) { throw new Error(`Error: ${referenceName} is not defined`); } return reference;}

// Check whether the message type is OversizedConfigurationItemChangeNotification,function isOverSizedChangeNotification(messageType) { checkDefined(messageType, 'messageType'); return messageType === 'OversizedConfigurationItemChangeNotification';}

// Get the configurationItem for the resource using the getResourceConfigHistory API.function getConfiguration(resourceType, resourceId, configurationCaptureTime, callback) { config.getResourceConfigHistory({ resourceType, resourceId, laterTime: new Date(configurationCaptureTime), limit: 1 }, (err, data) => { if (err) { callback(err, null); } const configurationItem = data.configurationItems[0]; callback(null, configurationItem); });}

// Convert the oversized configuration item from the API model to the original invocation model.function convertApiConfiguration(apiConfiguration) { apiConfiguration.awsAccountId = apiConfiguration.accountId; apiConfiguration.ARN = apiConfiguration.arn; apiConfiguration.configurationStateMd5Hash = apiConfiguration.configurationItemMD5Hash; apiConfiguration.configurationItemVersion = apiConfiguration.version; apiConfiguration.configuration = JSON.parse(apiConfiguration.configuration); if ({}.hasOwnProperty.call(apiConfiguration, 'relationships')) { for (let i = 0; i < apiConfiguration.relationships.length; i++) { apiConfiguration.relationships[i].name = apiConfiguration.relationships[i].relationshipName; } } return apiConfiguration;}

// Based on the message type, get the configuration item either from the configurationItem object in the invoking event or with the getResourceConfigHistory API in the getConfiguration function.function getConfigurationItem(invokingEvent, callback) { checkDefined(invokingEvent, 'invokingEvent'); if (isOverSizedChangeNotification(invokingEvent.messageType)) { const configurationItemSummary = checkDefined(invokingEvent.configurationItemSummary, 'configurationItemSummary'); getConfiguration(configurationItemSummary.resourceType, configurationItemSummary.resourceId, configurationItemSummary.configurationItemCaptureTime, (err, apiConfigurationItem) => {

163

Page 170: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorFunciones y eventos de ejemplo

if (err) { callback(err); } const configurationItem = convertApiConfiguration(apiConfigurationItem); callback(null, configurationItem); }); } else { checkDefined(invokingEvent.configurationItem, 'configurationItem'); callback(null, invokingEvent.configurationItem); }}

// Check whether the resource has been deleted. If the resource was deleted, then the evaluation returns not applicable.function isApplicable(configurationItem, event) { checkDefined(configurationItem, 'configurationItem'); checkDefined(event, 'event'); const status = configurationItem.configurationItemStatus; const eventLeftScope = event.eventLeftScope; return (status === 'OK' || status === 'ResourceDiscovered') && eventLeftScope === false;}

// In this example, the resource is compliant if it is an instance and its type matches the type specified as the desired type.// If the resource is not an instance, then this resource is not applicable.function evaluateChangeNotificationCompliance(configurationItem, ruleParameters) { checkDefined(configurationItem, 'configurationItem'); checkDefined(configurationItem.configuration, 'configurationItem.configuration'); checkDefined(ruleParameters, 'ruleParameters');

if (configurationItem.resourceType !== 'AWS::EC2::Instance') { return 'NOT_APPLICABLE'; } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) { return 'COMPLIANT'; } return 'NON_COMPLIANT';}

// Receives the event and context from AWS Lambda.exports.handler = (event, context, callback) => { checkDefined(event, 'event'); const invokingEvent = JSON.parse(event.invokingEvent); const ruleParameters = JSON.parse(event.ruleParameters); getConfigurationItem(invokingEvent, (err, configurationItem) => { if (err) { callback(err); } let compliance = 'NOT_APPLICABLE'; const putEvaluationsRequest = {}; if (isApplicable(configurationItem, event)) { // Invoke the compliance checking function. compliance = evaluateChangeNotificationCompliance(configurationItem, ruleParameters); } // Initializes the request that contains the evaluation results. putEvaluationsRequest.Evaluations = [ { ComplianceResourceType: configurationItem.resourceType, ComplianceResourceId: configurationItem.resourceId, ComplianceType: compliance, OrderingTimestamp: configurationItem.configurationItemCaptureTime, }, ]; putEvaluationsRequest.ResultToken = event.resultToken;

164

Page 171: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorFunciones y eventos de ejemplo

// Sends the evaluation results to AWS Config. config.putEvaluations(putEvaluationsRequest, (error, data) => { if (error) { callback(error, null); } else if (data.FailedEvaluations.length > 0) { // Ends the function if evaluation results are not successfully reported to AWS Config. callback(JSON.stringify(data), null); } else { callback(null, data); } }); });};

Operaciones de funciones

La función realiza las siguientes operaciones en tiempo de ejecución:

1. La función se ejecuta cuando AWS Lambda pasa el objeto event a la función handler. AWS Lambdatambién pasa un objeto context, que contiene información y métodos que la función puede utilizarmientras se ejecuta. En este ejemplo, la función acepta el parámetro callback opcional, que utilizapara devolver información al intermediario.

2. La función comprueba si el messageType del evento es un elemento de configuración o un elementode configuración sobredimensionado y, a continuación, devuelve el elemento de configuración.

3. El controlador llama a la función isApplicable para determinar si el recurso se ha eliminado.4. El controlador llama a la función evaluateChangeNotificationCompliance y pasa los objetos

configurationItem y ruleParameters que AWS Config ha publicado en el evento.

La función evalúa primero si el recurso es una instancia EC2. Si el recurso no es una instancia EC2, lafunción devuelve un valor de conformidad de NOT_APPLICABLE.

Luego, la función evalúa si el atributo instanceType del elemento de configuración es igual al valor delparámetro desiredInstanceType. Si los valores son iguales, la función devuelve COMPLIANT. Si losvalores no son iguales, la función devuelve NON_COMPLIANT.

5. El controlador se prepara para enviar los resultados de la evaluación a AWS Config inicializando elobjeto putEvaluationsRequest. Este objeto incluye el parámetro Evaluations, que identificael resultado de conformidad, el tipo de recurso y el ID del recurso que se ha evaluado. El objetoputEvaluationsRequest también incluye el token del resultado del evento, que identifica la regla y elevento para AWS Config.

6. El controlador envía los resultados de la evaluación a AWS Config pasando el objeto al métodoputEvaluations del cliente config.

Función de ejemplo para evaluaciones periódicas

AWS Config invoca una función como la del siguiente ejemplo para evaluaciones periódicas. Lasevaluaciones periódicas se producen con la frecuencia que especifique al definir la regla en AWS Config.

Si utiliza la consola de AWS Config para crear una regla que esté asociada a una función como la de esteejemplo, elija Periodic (Periódico) como tipo de disparador. Si utiliza la API de AWS Config o AWS CLIpara crear la regla, establezca el atributo MessageType en ScheduledNotification.

En este ejemplo, se comprueba si el número total de un recurso especificado supera un máximoespecificado.

var aws = require('aws-sdk'), // Loads the AWS SDK for JavaScript.

165

Page 172: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorFunciones y eventos de ejemplo

config = new aws.ConfigService(), // Constructs a service object to use the aws.ConfigService class. COMPLIANCE_STATES = { COMPLIANT : 'COMPLIANT', NON_COMPLIANT : 'NON_COMPLIANT', NOT_APPLICABLE : 'NOT_APPLICABLE' };

// Receives the event and context from AWS Lambda.exports.handler = function(event, context, callback) { // Parses the invokingEvent and ruleParameters values, which contain JSON objects passed as strings. var invokingEvent = JSON.parse(event.invokingEvent), ruleParameters = JSON.parse(event.ruleParameters), noOfResources = 0;

if (isScheduledNotification(invokingEvent)) { countResourceTypes(ruleParameters.applicableResourceType, "", noOfResources, function(err, count) { if (err === null) { var putEvaluationsRequest; // Initializes the request that contains the evaluation results. putEvaluationsRequest = { Evaluations : [ { // Applies the evaluation result to the AWS account published in the event. ComplianceResourceType : 'AWS::::Account', ComplianceResourceId : event.accountId, ComplianceType : evaluateCompliance(ruleParameters.maxCount, count), OrderingTimestamp : new Date() } ], ResultToken : event.resultToken }; // Sends the evaluation results to AWS Config. config.putEvaluations(putEvaluationsRequest, function(err, data) { if (err) { callback(err, null); } else { if (data.FailedEvaluations.length > 0) { // Ends the function execution if evaluation results are not successfully reported callback(JSON.stringify(data)); } callback(null, data); } }); } else { callback(err, null); } }); } else { console.log("Invoked for a notification other than Scheduled Notification... Ignoring."); }};

// Checks whether the invoking event is ScheduledNotification.function isScheduledNotification(invokingEvent) { return (invokingEvent.messageType === 'ScheduledNotification');}

// Checks whether the compliance conditions for the rule are violated.function evaluateCompliance(maxCount, actualCount) { if (actualCount > maxCount) { return COMPLIANCE_STATES.NON_COMPLIANT;

166

Page 173: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorFunciones y eventos de ejemplo

} else { return COMPLIANCE_STATES.COMPLIANT; }}

// Counts the applicable resources that belong to the AWS account.function countResourceTypes(applicableResourceType, nextToken, count, callback) { config.listDiscoveredResources({resourceType : applicableResourceType, nextToken : nextToken}, function(err, data) { if (err) { callback(err, null); } else { count = count + data.resourceIdentifiers.length; if (data.nextToken !== undefined && data.nextToken != null) { countResourceTypes(applicableResourceType, data.nextToken, count, callback); } callback(null, count); } }); return count;}

Operaciones de funciones

La función realiza las siguientes operaciones en tiempo de ejecución:

1. La función se ejecuta cuando AWS Lambda pasa el objeto event a la función handler. AWS Lambdatambién pasa un objeto context, que contiene información y métodos que la función puede utilizarmientras se ejecuta. En este ejemplo, la función acepta el parámetro callback opcional, que utilizapara devolver información al intermediario.

2. Para contar los recursos del tipo especificado, el controlador llama a la función countResourceTypesy pasa el parámetro applicableResourceType que ha recibido del evento. La funcióncountResourceTypes llama al método listDiscoveredResources del cliente config, quedevuelve una lista de identificadores para los recursos aplicables. La función utiliza la longitud de estalista para determinar el número de recursos aplicables y devuelve este número al controlador.

3. El controlador se prepara para enviar los resultados de la evaluación a AWS Config inicializando elobjeto putEvaluationsRequest. Este objeto incluye el parámetro Evaluations, que identificael resultado de conformidad y de la cuenta de AWS que se publicó en el evento. Puede utilizar elparámetro Evaluations para aplicar el resultado a cualquier tipo de recurso admitido por AWS Config.El objeto putEvaluationsRequest también incluye el token del resultado del evento, que identifica laregla y el evento para AWS Config.

4. En el objeto putEvaluationsRequest, el controlador llama a la función evaluateCompliance.Esta función comprueba si el número de recursos aplicables supera el máximo asignado al parámetromaxCount, proporcionado anteriormente por el evento. Si el número de recursos supera el máximo, lafunción devuelve NON_COMPLIANT. Si el número de recursos no supera el máximo, la función devuelveCOMPLIANT.

5. El controlador envía los resultados de la evaluación a AWS Config pasando el objeto al métodoputEvaluations del cliente config.

Eventos de ejemplos para reglas de AWS ConfigCuando se produce el disparador de una regla, AWS Config invoca la función AWS Lambda de la reglamediante la publicación de un evento. A continuación, AWS Lambda ejecuta la función pasando el eventoal controlador de la función.

167

Page 174: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorFunciones y eventos de ejemplo

Ejemplo de evento de evaluaciones activadas por cambios en la configuraciónAWS Config publica un evento cuando se detecta un cambio de configuración de un recurso que seencuentra en el ámbito de una regla. El siguiente ejemplo de evento muestra que la regla se ha activadopor un cambio de configuración en una instancia EC2.

{ "invokingEvent": "{\"configurationItem\":{\"configurationItemCaptureTime\":\"2016-02-17T01:36:34.043Z\",\"awsAccountId\":\"123456789012\",\"configurationItemStatus\":\"OK\",\"resourceId\":\"i-00000000\",\"ARN\":\"arn:aws:ec2:us-east-2:123456789012:instance/i-00000000\",\"awsRegion\":\"us-east-2\",\"availabilityZone\":\"us-east-2a\",\"resourceType\":\"AWS::EC2::Instance\",\"tags\":{\"Foo\":\"Bar\"},\"relationships\":[{\"resourceId\":\"eipalloc-00000000\",\"resourceType\":\"AWS::EC2::EIP\",\"name\":\"Is attached to ElasticIp\"}],\"configuration\":{\"foo\":\"bar\"}},\"messageType\":\"ConfigurationItemChangeNotification\"}", "ruleParameters": "{\"myParameterKey\":\"myParameterValue\"}", "resultToken": "myResultToken", "eventLeftScope": false, "executionRoleArn": "arn:aws:iam::123456789012:role/config-role", "configRuleArn": "arn:aws:config:us-east-2:123456789012:config-rule/config-rule-0123456", "configRuleName": "change-triggered-config-rule", "configRuleId": "config-rule-0123456", "accountId": "123456789012", "version": "1.0"}

Ejemplo de evento de evaluaciones activadas por cambios de configuraciónsobredimensionadosAlgunos cambios de recursos generan elementos de configuración sobredimensionados. El siguienteejemplo de evento muestra que la regla se ha activado por un cambio de configuración sobredimensionadoen una instancia EC2.

{ "invokingEvent": "{\"configurationItemSummary\": {\"changeType\": \"UPDATE\",\"configurationItemVersion\": \"1.2\",\"configurationItemCaptureTime\":\"2016-10-06T16:46:16.261Z\",\"configurationStateId\": 0,\"awsAccountId\":\"123456789012\",\"configurationItemStatus\": \"OK\",\"resourceType\": \"AWS::EC2::Instance\",\"resourceId\":\"i-00000000\",\"resourceName\":null,\"ARN\":\"arn:aws:ec2:us-west-2:123456789012:instance/i-00000000\",\"awsRegion\": \"us-west-2\",\"availabilityZone\":\"us-west-2a\",\"configurationStateMd5Hash\":\"8f1ee69b287895a0f8bc5753eca68e96\",\"resourceCreationTime\":\"2016-10-06T16:46:10.489Z\"},\"messageType\":\"OversizedConfigurationItemChangeNotification\"}", "ruleParameters": "{\"myParameterKey\":\"myParameterValue\"}", "resultToken": "myResultToken", "eventLeftScope": false, "executionRoleArn": "arn:aws:iam::123456789012:role/config-role", "configRuleArn": "arn:aws:config:us-east-2:123456789012:config-rule/config-rule-ec2-managed-instance-inventory", "configRuleName": "change-triggered-config-rule", "configRuleId": "config-rule-0123456", "accountId": "123456789012", "version": "1.0" }

Ejemplo de evento de evaluaciones activadas por frecuencia periódicaAWS Config publica un evento cuando evalúa los recursos con una frecuencia que se especifica (porejemplo, cada 24 horas). El siguiente evento de ejemplo muestra que la regla se ha activado por unafrecuencia periódica.

168

Page 175: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorFunciones y eventos de ejemplo

{ "invokingEvent": "{\"awsAccountId\":\"123456789012\",\"notificationCreationTime\":\"2016-07-13T21:50:00.373Z\",\"messageType\":\"ScheduledNotification\",\"recordVersion\":\"1.0\"}", "ruleParameters": "{\"myParameterKey\":\"myParameterValue\"}", "resultToken": "myResultToken", "eventLeftScope": false, "executionRoleArn": "arn:aws:iam::123456789012:role/config-role", "configRuleArn": "arn:aws:config:us-east-2:123456789012:config-rule/config-rule-0123456", "configRuleName": "periodic-config-rule", "configRuleId": "config-rule-6543210", "accountId": "123456789012", "version": "1.0"}

Atributos del evento

El objeto JSON de un evento de AWS Config contiene los siguientes atributos:

invokingEvent

El evento que dispara la evaluación de una regla. Si el evento se publica en respuesta a uncambio de configuración de recurso, el valor de este atributo es una cadena que contiene unconfigurationItem JSON o un configurationItemSummary (para elementos de configuraciónsobredimensionados). El elemento de configuración representa el estado del recurso en el momentoque AWS Config ha detectado el cambio. Para ver un ejemplo de un elemento de configuración,consulte la salida que genera el comando get-resource-config-history de AWS CLI enVisualización del historial de configuración (p. 38).

Si el evento se publica para una evaluación periódica, el valor es una cadena que contiene un objetoJSON. El objeto incluye información sobre la evaluación que se ha activado.

Para cada tipo de evento, una función debe analizar la cadena con un analizador JSON para poderevaluar su contenido, tal y como se muestra en el siguiente ejemplo Node.js:

var invokingEvent = JSON.parse(event.invokingEvent);

ruleParameters

Pares clave/valor que la función procesa como parte de su lógica de evaluación. Se definenparámetros si utiliza la consola de AWS Config para crear una regla personalizada. También sepueden definir parámetros con el atributo InputParameters en la solicitud de API de AWS ConfigPutConfigRule o el comando put-config-rule de AWS CLI.

El código JSON de los parámetros está almacenado dentro de una cadena, por lo que una funcióndebe analizar la cadena con un analizador JSON para poder evaluar su contenido, tal y como semuestra en el siguiente ejemplo Node.js:

var ruleParameters = JSON.parse(event.ruleParameters);

resultToken

Un token que la función deben pasar a AWS Config con la llamada PutEvaluations.eventLeftScope

Un valor booleano que indica si el recurso de AWS que se va a evaluar se ha eliminado del ámbitode aplicación de la regla. Si el valor es true, la función indica que la evaluación se puede pasar por

169

Page 176: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAdministración de reglas de AWS Config

alto aprobando NOT_APPLICABLE como el valor para el atributo ComplianceType en la llamadaPutEvaluations.

executionRoleArn

El ARN de la función de IAM se asigna a AWS Config.configRuleArn

El ARN que AWS Config ha asignado a la regla.configRuleName

El nombre que se ha asignado a la regla y que ha hecho que AWS Config publique el evento einvoque la función.

configRuleId

El ID que AWS Config ha asignado a la regla.accountId

El ID de la cuenta de AWS que posee la regla.version

Un número de versión asignado por AWS. La versión aumentará si AWS añade atributos a los eventosde AWS Config. Si una función requiere un atributo que solo está en eventos que cumplan o superenuna versión específica, entonces esa función puede comprobar el valor de este atributo.

La versión actual de los eventos de AWS Config es 1.0.

Administración de reglas de AWS ConfigPuede utilizar la consola de AWS Config la CLI de AWS y la API de AWS Config para ver, añadir y eliminarsus reglas.

Contenido• Añadir, ver, actualizar y eliminar reglas (consola) (p. 170)• Ver, actualizar y eliminar reglas (AWS CLI) (p. 172)• Ver, actualizar y eliminar reglas (API) (p. 174)

Añadir, ver, actualizar y eliminar reglas (consola)En la página Rules (Reglas), puede ver las reglas para la región en su cuenta. También puede ver elestado de evaluación de cada regla.

Para ver las reglas

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://console.aws.amazon.com/config/.

2. En la Consola de administración de AWS, compruebe que el selector de región está establecido enuna región que admite reglas de AWS Config. Para ver una lista de las regiones admitidas, consulteRegiones y puntos de enlace de AWS Config en la Referencia general de Amazon Web Services.

3. Elija Rules (Reglas). En la página Rules (Reglas) se muestran las reglas y el estado de conformidadde cada una de ellas.

170

Page 177: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAñadir, ver, actualizar y eliminar reglas (consola)

A. Elija Add rule (Añadir regla) para comenzar la creación de una regla.B. Elija un nombre de regla para ver su configuración.C. Consulte el estado de conformidad de la regla cuando se evalúan los recursos.D.

Seleccione el icono Edit rule (Editar regla) ( ) para editar la regla.E. Elija el icono de actualización ( ) para volver a cargar los resultados de conformidad.

Para actualizar una regla

1.Elija el icono Edit rule (Editar regla) ( ) para la regla que desea actualizar.

2. Modifique la configuración de la página Config rule (Config. regla) para cambiar la regla según seanecesario.

3. Seleccione Save.

Para eliminar una regla

1.Elija el icono Edit rule (Editar regla) ( ) para la regla que desea eliminar.

2. En la página Configure rule (Configurar regla), elija Delete rule (Eliminar regla).3. Cuando se le pregunte, elija Delete (Eliminar).

Para añadir una regla

Si elige Add rule (Añadir regla), puede ver las reglas de AWS administradas disponibles en la página Addrule (Añadir regla). También puede crear sus propia regla personalizada.

1. Si desea crear su propia regla, elija Add custom rule (Añadir regla personalizada) y siga elprocedimiento en Desarrollo de una regla personalizada para AWS Config (p. 158).

2. Para añadir una regla administrada, elija una regla en la página y siga el procedimiento de Trabajo conreglas administradas de AWS Config (p. 153).

171

Page 178: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVer, actualizar y eliminar reglas (AWS CLI)

En la página Add rule (Añadir regla), puede hacer lo siguiente:

A. Elija Add custom rule (Añadir regla personalizada) para crear su propia regla.B. Escriba en el campo de búsqueda para filtrar los resultados por nombre de regla, descripción o etiqueta.

Por ejemplo, escriba EC2 para devolver reglas que evalúan tipos de recursos de EC2 o el tipo periódicopara devolver reglas con disparadores periódicos. Escriba "new" para buscar reglas que se acaban deañadir. Para obtener más información sobre los tipos de disparadores, consulte Especificación de losdisparadores de reglas de AWS Config (p. 101).

C. Seleccione el icono de flecha para ver la siguiente página de reglas.D. Las reglas recién añadidas están marcadas como New (Nueva).E. Consulte las etiquetas para identificar el tipo de recurso que evalúa la regla y si la regla tiene un

activador periódico.

Ver, actualizar y eliminar reglas (AWS CLI)Para ver las reglas

• Utilice el comando describe-config-rules:

$ aws configservice describe-config-rules

AWS Config devuelve los detalles de todas las reglas.

Para actualizar una regla

1. Utilice el comando put-config-rule con el parámetro --generate-cli-skeleton para crear unarchivo JSON local que tenga los parámetros para la regla:

172

Page 179: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVer, actualizar y eliminar reglas (AWS CLI)

$ aws configservice put-config-rule --generate-cli-skeleton > putConfigRule.json

2. Abra el archivo JSON en un editor de texto y elimine los parámetros que no necesita actualizar, conlas siguientes excepciones:

• Incluya al menos uno de los siguientes parámetros para identificar la regla:

ConfigRuleName, ConfigRuleArn, o bien ConfigRuleId.• Si va a actualizar una regla personalizada, deberá incluir el objeto Source y sus parámetros.

3. Rellene los valores de los parámetros que quedan. Para consultar los detalles de la regla, use elcomando describe-config-rules.

Por ejemplo, el siguiente código JSON actualiza los tipos de recursos que están en el ámbito de unaregla personalizada:

{ "ConfigRule": { "ConfigRuleName": "ConfigRuleName", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance", "AWS::EC2::Volume", "AWS::EC2::VPC" ] }, "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-2:123456789012:function:ConfigRuleName", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] } }}

4. Utilice el comando put-config-rule con el parámetro --cli-input-json para pasar suconfiguración de JSON a AWS Config:

$ aws configservice put-config-rule --cli-input-json file://putConfigRule.json

5. Para verificar que ha actualizado correctamente la regla, utilice el comando describe-config-rules paraver la configuración de la regla:

$ aws configservice describe-config-rules --config-rule-name ConfigRuleName{ "ConfigRules": [ { "ConfigRuleState": "ACTIVE", "ConfigRuleName": "ConfigRuleName", "ConfigRuleArn": "arn:aws:config:us-east-2:123456789012:config-rule/config-rule-nnnnnn", "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-2:123456789012:function:ConfigRuleName", "SourceDetails": [

173

Page 180: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVer, actualizar y eliminar reglas (API)

{ "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] }, "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance", "AWS::EC2::Volume", "AWS::EC2::VPC" ] }, "ConfigRuleId": "config-rule-nnnnnn" } ]}

Para eliminar una regla

• Utilice el comando delete-config-rule tal y como se muestra en el ejemplo siguiente:

$ aws configservice delete-config-rule --config-rule-name ConfigRuleName

Ver, actualizar y eliminar reglas (API)Para ver las reglas

Utilice la acción DescribeConfigRules.

Para actualizar o añadir una regla

Utilice la acción PutConfigRule.

Para eliminar una regla

Utilice la acción DeleteConfigRule.Note

Si una regla está creando resultados de evaluación no válidos, es posible que desee eliminarestos resultados antes de corregir la regla y ejecutar una nueva evaluación. Para obtener másinformación, consulte Eliminación de los resultados de evaluación (p. 175).

Evaluación de sus recursosAl crear reglas personalizadas o utilizar las reglas administradas, AWS Config evalúa los recursos conrespecto a esas reglas. Puede realizar evaluaciones bajo demanda de los recursos con respecto a susreglas. Por ejemplo, esto es útil cuando crea una regla personalizada y desea verificar que AWS Configestá evaluando correctamente los recursos o para identificar si existe algún problema con la lógica de laevaluación de la función AWS Lambda.

Ejemplo

1. Puede crear una regla personalizada que evalúe si los usuarios de IAM tienen claves de accesoactivas.

174

Page 181: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEvaluación de sus recursos (consola)

2. AWS Config evalúa los recursos con respecto a la regla personalizada.3. Hay un usuario de IAM que no tiene una clave de acceso activa en su cuenta. La regla no marca

correctamente este recurso como no conforme.4. Puede corregir la regla y empezar de nuevo la evaluación.5. Dado que ha corregido la regla, la regla evalúa correctamente los recursos y marca el recurso de

usuario de IAM como no conforme.

Evaluación de sus recursos (consola)1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://

console.aws.amazon.com/config/.2. En el menú de Consola de administración de AWS, compruebe que el selector de región está

establecido en una región que admite reglas de AWS Config. Para ver una lista de las regionesadmitidas, consulte Regiones y puntos de enlace de AWS Config en la Referencia general de AmazonWeb Services.

3. En el panel de navegación, seleccione Rules (Reglas). En la página Rules (Reglas) se muestran lasreglas y el estado de conformidad de cada una de ellas.

4. Elija una regla en la lista.5. En la sección Re-evaluate rule (Reevaluar regla), elija Re-evaluate (Reevaluar).6. AWS Config comienza a evaluar los recursos con respecto a la regla.

Note

Puede volver a evaluar una regla una vez por minuto. Debe esperar a que AWS Config termine laevaluación de la regla antes de empezar a otra evaluación. No puede ejecutar una evaluación si laregla se está actualizando al mismo tiempo o si la regla se está eliminando.

Evaluación de sus recursos (CLI)• Use el comando start-config-rules-evaluation.

$ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName

AWS Config comienza evaluar las configuraciones de los recursos registrados con respecto a la regla.

También puede especificar varias reglas en su solicitud.

aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName1 ConfigRuleName2 ConfigRuleName3

Evaluación de sus recursos (API)Utilice la acción StartConfigRulesEvaluation.

Eliminación de los resultados de evaluaciónUna vez que AWS Config evalúa la regla, puede ver los resultados de la evaluación en la página Rules(Reglas) o en la página Rules details (Detalles de reglas) de la regla. Si los resultados de la evaluación

175

Page 182: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEliminación de los resultados de la evaluación (consola)

son incorrectos o si desea realizar de nuevo la evaluación, puede eliminar los resultados de la evaluaciónactuales de la regla. Por ejemplo, si la regla estaba evaluando de forma incorrecta los recursos o recursosque se han eliminado recientemente de su cuenta, puede eliminar los resultados de la evaluación y, acontinuación, ejecutar una nueva evaluación.

Eliminación de los resultados de la evaluación(consola)1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://

console.aws.amazon.com/config/.2. En el menú de Consola de administración de AWS, compruebe que el selector de región está

establecido en una región que admite reglas de AWS Config. Para ver una lista de las regionesadmitidas, consulte Regiones y puntos de enlace de AWS Config en la Referencia general de AmazonWeb Services.

3. En el panel de navegación, seleccione Rules (Reglas). En la página Rules (Reglas) se muestran lasreglas y el estado de conformidad.

4. Elija una regla en la lista.5. En la selección Delete evaluation results (Eliminar resultados de la evaluación), elija Delete results

(Eliminar resultados). AWS Config elimina los resultados de la evaluación de esta regla.6. Cuando se le pregunte, elija Delete (Eliminar). Las evaluaciones eliminadas no pueden recuperarse.7. Después de que los resultados de la evaluación se eliminen, puede iniciar manualmente una nueva

evaluación.

Eliminación de los resultados de la evaluación (CLI)• Utilice el comando delete-evaluation-results:

$ aws configservice delete-evaluation-results --config-rule-name ConfigRuleName

AWS Config elimina los resultados de la evaluación de la regla.

Eliminación de los resultados de la evaluación (API)Utilice la acción DeleteEvaluationResults.

176

Page 183: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorCompatibilidad de la región

Acumulación de datos de variascuentas y regiones

Un agregador es un tipo de recurso de AWS Config que recopila datos de configuración y conformidad deAWS Config de los orígenes siguientes:

• Varias cuentas y regiones.• Una sola cuenta y varias regiones.• Una organización de AWS Organizations y todas las cuentas de esa organización.

Utilice un agregador para ver la configuración de recursos y los datos de conformidad registrados en AWSConfig.

Para obtener más información sobre los conceptos, consulte la sección Acumulación de datos de variascuentas y regiones (p. 5) en el tema Conceptos.

Para recopilar datos de AWS Config desde cuentas y regiones de origen, comience por:

1. Añadir un agregador para agregar datos de configuración y conformidad de AWS Config de variascuentas y regiones.

2. Autorización de cuentas de agregador para recopilar datos de configuración y cumplimiento de AWSConfig. La autorización es necesaria cuando las cuentas de origen son cuentas individuales. Laautorización no es necesaria si se agregan cuentas de origen que forman parte de AWS Organizations.

3. Monitorizar los datos de conformidad para las reglas y las cuentas de la vista agregada.

Compatibilidad de la regiónEn la actualidad, se admite la acumulación de datos de varias cuentas y regiones varias cuentas en lassiguientes regiones:

177

Page 184: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorMás información

Nombre dela región

Región Punto de enlace Protocolo

Asia Pacífico(Mumbai)

ap-south-1 config.ap-south-1.amazonaws.com HTTPS

Asia Pacífico(Seúl)

ap-northeast-2

config.ap-northeast-2.amazonaws.com HTTPS

Asia Pacífico(Singapur)

ap-southeast-1

config.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico(Sídney)

ap-southeast-2

config.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico(Tokio)

ap-northeast-1

config.ap-northeast-1.amazonaws.com HTTPS

Canadá(Central)

ca-central-1 config.ca-central-1.amazonaws.com HTTPS

UE(Fráncfort)

eu-central-1 config.eu-central-1.amazonaws.com HTTPS

UE (Irlanda) eu-west-1 config.eu-west-1.amazonaws.com HTTPS

UE(Londres)

eu-west-2 config.eu-west-2.amazonaws.com HTTPS

UE (París) eu-west-3 config.eu-west-3.amazonaws.com HTTPS

América delSur (SãoPaulo)

sa-east-1 config.sa-east-1.amazonaws.com HTTPS

US East (N.Virginia)

us-east-1 config.us-east-1.amazonaws.com HTTPS

EE.UU. Este(Ohio)

us-east-2 config.us-east-2.amazonaws.com HTTPS

EE.UU.Oeste(Norte deCalifornia)

us-west-1 config.us-west-1.amazonaws.com HTTPS

EE.UU.Oeste(Oregón)

us-west-2 config.us-west-2.amazonaws.com HTTPS

Más información• Conceptos de AWS Config (p. 2)• Visualización de datos de configuración y conformidad en la vista agregada (p. 179)• Configuración de un agregador mediante la consola (p. 180)• Configuración de un agregador mediante la AWS Command Line Interface (p. 183)

178

Page 185: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización de datos de configuración

y conformidad en la vista agregada

• Autorización de cuentas de agregador para recopilar datos de configuración y cumplimiento de AWSConfig utilizando la Consola (p. 187)

• Autorización de cuentas de agregador para recopilar datos de configuración y cumplimiento de AWSConfig utilizando la AWS Command Line Interface (p. 189)

• Solución de problemas de acumulación de datos de varias cuentas y regiones (p. 190)

Visualización de datos de configuración yconformidad en la vista agregada

La Aggregated view (Vista agregada) muestra los datos de configuración de los recursos de AWS yproporciona información general de las reglas y su estado de conformidad.

Proporciona el número total de recursos de AWS. Los tipos de recursos y las cuentas de origen seclasifican por el número más alto de recursos. También proporciona un recuento de las reglas conformesy no conformes. Se muestran las reglas no conformes que tienen el mayor número de recursos noconformes y las cuentas de origen que tienen el mayor número de reglas no conformes.

Después de la configuración, AWS Config comienza a agregar datos procedentes de las cuentas deorigen especificadas en un agregador. AWS Config podría tardar unos minutos en mostrar el estado deconformidad de las reglas en esta página.

Uso de la vista agregada1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://

console.aws.amazon.com/config/.2. En el panel de navegación, elija Aggregated view (Vista agregada) y, a continuación, revise las reglas

y los estados de conformidad; recursos de AWS y datos de configuración.

En la página Aggregated view (Vista agregada), puede hacer lo siguiente:

• Elegir un agregador en la lista Aggregator (Agregador).• Elegir la región en la lista Region (Región). De forma predeterminada, está seleccionada la opción

All regions (Todas las regiones).• Elegir una cuenta en la lista Account (Cuenta). De forma predeterminada, está seleccionada la

opción All accounts (Todas las cuentas).

179

Page 186: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorMás información

• Ver los diez primeros tipos de recursos en orden descendente según el número de recursos. ElijaView all resources (Ver todos los recursos) para ir a la página Aggregated resources (Recursosagregados). En esta página, puede ver todos los recursos agregados para una cuenta.

• Ver las cinco primeras cuentas por número de recursos en orden descendente según el númerode recursos. Elija el número de recursos para una cuenta para ir a la página Aggregated resources(Recursos agregados). En esta página, puede ver todos los recursos agregados para una cuenta.

• Ver las cinco reglas no conformes principales, en orden descendente según la cantidad de recursosno conformes. Elija una regla para ir a la página Rule details (Detalles de la regla).

• Ver las cinco cuentas principales por reglas no conformes, en orden descendente según la cantidadde reglas no conformes. Elija una cuenta para ir a la página Aggregated Rules (Reglas agregadas).En esta página, puede ver todas las reglas agregados para una cuenta.

Note

Los datos que se muestran en los cuadros están sujetos a retrasos.El mensaje Data collection from all source accounts and regions is incomplete (La recopilación dedatos de todas las cuentas y regiones de origen está incompleta) aparece en la vista agregadapor los siguientes motivos:

• Reglas no conformes de AWS Config y datos de configuración de transferencia de recursos deAWS están en curso.

• AWS Config no puede encontrar reglas que coincidan con el filtro. Seleccione la cuenta o laregión adecuada e inténtelo de nuevo.

El mensaje Data collection from your organization is incomplete. Solo podrá ver los datossiguientes durante 24 horas. Aparece el mensaje en la vista agregada por los siguientes motivos:

• AWS Config no puede tener acceso a la información de la organización debido a un rol de IAMno válido. Si el rol de IAM sigue sin ser válido durante más de 24 horas, AWS Config elimina losdatos de toda la organización.

• El acceso al servicio de AWS Config de está deshabilitado en la organización.

Más información• Conceptos de AWS Config (p. 2)• Visualización de datos de configuración y conformidad en la vista agregada (p. 179)• Configuración de un agregador mediante la consola (p. 180)• Autorización de cuentas de agregador para recopilar datos de configuración y cumplimiento de AWS

Config utilizando la Consola (p. 187)• Solución de problemas de acumulación de datos de varias cuentas y regiones (p. 190)

Configuración de un agregador mediante la consolaEn la página Aggregator (Agregador), puede hacer lo siguiente:

• Crear un agregador especificando los ID de cuenta de origen o la organización y las regiones cuyosdatos desea agregar.

• Editar y eliminar un agregador.

Temas

180

Page 187: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAdición de un agregador

• Adición de un agregador (p. 181)• Edición de un agregador (p. 182)• Eliminación de un agregador (p. 182)• Más información (p. 180)

Adición de un agregador1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://

console.aws.amazon.com/config/.2. Vaya a la página Aggregators (Agregadores) y elija Add aggregator (Añadir agregador).3. Allow data replication (Permitir la replicación de datos), concede permiso a AWS Config para replicar

los datos de las cuentas de origen en una cuenta de agregador.

Elija Allow AWS Config to replicate data from source account(s) into an aggregator account. You mustselect this checkbox to continue to add an aggregator (Permitir que AWS Config replique los datosde las cuentas de origen en una cuenta de agregador. Debe seleccionar esta casilla para continuarañadiendo un agregador).

4. En Aggregator name (Nombre del agregador), escriba el nombre del agregador.

El nombre del agregador debe ser nombre único con un máximo de 64 caracteres alfanuméricos. Elnombre puede contener guiones y guiones bajos.

5. En Select source accounts (Seleccionar cuentas de origen), elija Add individual account IDs (AñadirID de cuenta individuales) o Add my organization (Añadir mi organización) para indicar desde dóndedesea agregar datos.

• Si elige Add individual account IDs (Añadir ID de cuenta individuales), puede añadir ID de cuentaindividuales para una cuenta de agregador.1. Elija Add source accounts (Añadir cuentas de origen) para añadir los ID de cuenta que desee.2. Elija Add AWS account IDs (Añadir ID de cuenta de AWS) para añadir manualmente ID de cuenta

de AWS separados por comas. Si desea agregar los datos de la cuenta actual, escriba el ID de lacuenta.

O BIEN

Elija Upload a file (Cargar un archivo) para cargar un archivo (.txt o.csv) con ID de cuenta deAWS separados por comas.

3. Elija Add source accounts (Añadir cuentas de origen) para confirmar la opción elegida.• Si elige Add my organization (Añadir mi organización), puede añadir todas las cuentas de su

organización a una cuenta de agregador.

Note

Debe haber iniciado sesión con la cuenta maestra y todas las características debe estarhabilitadas en su organización. Esta opción habilita automáticamente la integración entreAWS Config y AWS Organizations.

1. Elija Choose IAM role (Elegir un rol de IAM) para crear un rol de IAM o elegir un rol de IAMexistente de su cuenta.

Debe asignar un rol de IAM que permita a AWS Config llamar a API de solo lectura para suorganización.

2. Elija Create a role (Crear un rol) y escriba el nombre del rol de IAM para el rol de IAM.

O BIEN181

Page 188: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEdición de un agregador

Elija Choose a role from your account (Elegir un rol de su cuenta) para seleccionar un rol de IAMexistente.

Note

En la consola de IAM, asocie la política administradaAWSConfigRoleForOrganizations a su rol de IAM. Asociar estapolítica permite a AWS Config llamar a las API DescribeOrganization,ListAWSServiceAccessForOrganization y ListAccounts de AWSOrganizations. Debe editar el documento de la política de control para incluir la entidadde confianza config.amazonaws.com.

3. Seleccione Choose IAM role (Elegir un rol de IAM) para confirmar la opción elegida.6. En Regions (Regiones), elija las regiones cuyos datos desea agregar.

• Seleccione una o varias regiones, o todas las regiones de AWS.• Seleccione Include future AWS regions (Incluir regiones futuras de AWS) para añadir datos de todas

las regiones futuras de AWS en las que esté habilitada la acumulación de datos de varias cuentas yregiones.

7. Elija Save (Guardar). AWS Config muestra el agregador.

Edición de un agregador1. Para realizar cambios en el agregador, elija el nombre del agregador.2. Elija Actions (Acciones) y, a continuación, elija Edit (Editar).3. Utilice las secciones de la página Edit aggregator (Editar agregador) para cambiar las cuentas de

origen, los roles de IAM o las regiones para el agregador.

Note

No puede cambiar el tipo de origen de cuentas individuales a organización y viceversa.4. Seleccione Save.

Eliminación de un agregador1. Para eliminar un agregador, elija el nombre del agregador.2. Elija Actions y, a continuación, elija Delete.

Se muestra un mensaje de advertencia. Al eliminar un agregador, se pierden todos los datosagregados. No puede recuperar estos datos, pero los datos de las cuentas de origen no se veránafectados.

3. Elija Delete (Eliminar) para confirmar la opción elegida.

Más información• Conceptos de AWS Config (p. 2)• Autorización de cuentas de agregador para recopilar datos de configuración y cumplimiento de AWS

Config utilizando la Consola (p. 187)• Visualización de datos de configuración y conformidad en la vista agregada (p. 179)• Solución de problemas de acumulación de datos de varias cuentas y regiones (p. 190)

182

Page 189: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorConfiguración de un agregador (AWS CLI)

Configuración de un agregador mediante la AWSCommand Line Interface

Puede crear, ver, actualizar y eliminar datos de agregador de AWS Config mediante la AWS CommandLine Interface (AWS CLI). Para utilizar la consola de administración de AWS, consulte Configuración de unagregador mediante la consola (p. 180).

La AWS CLI es una herramienta unificada para administrar los servicios de AWS. Solo necesita descargary configurar una herramienta para poder controlar varios servicios de AWS desde la línea de comandos yusar scripts para automatizarlos.

Para instalar el AWS CLI en su equipo local, consulte Instalación de la CLI de AWS en la Guía del usuariode la AWS CLI.

Si es necesario, escriba aws configure para configurar la AWS CLI para utilizar una región de AWS enla que haya agregadores de AWS Config disponibles.

Temas• Adición de un agregador con cuentas individuales (p. 183)• Adición de un agregador utilizando AWS Organizations (p. 184)• Visualización de un agregador (p. 185)• Edición de un agregador (p. 185)• Eliminación de un agregador (p. 186)• Más información (p. 180)

Adición de un agregador con cuentas individuales1. Abra un símbolo del sistema o una ventana de terminal.2. Escriba el siguiente comando para crear un agregador denominado MyAggregator.

aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"

En account-aggregation-sources, realice una de las operaciones siguientes.

• Escriba una lista separada por comas de los ID de cuenta de AWS cuyos datos desea agregar.Encierre los ID de cuenta entre corchetes y asegúrese de aplicar escape a las comillas (porejemplo, "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]").

• También puede cargar un archivo JSON con los ID de cuenta de AWS separados por comas.Cargue el archivo utilizando la siguiente sintaxis: --account-aggregation-sourcesMyFilePath/MyFile.json

El archivo JSON debe tener el siguiente formato:

[ { "AccountIds": [ "AccountID1", "AccountID2", "AccountID3"

183

Page 190: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAdición de un agregador utilizando AWS Organizations

], "AllAwsRegions": true }]

3. Pulse Intro para ejecutar el comando.

Debería ver un resultado similar a este:

{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.442 }}

Adición de un agregador utilizando AWSOrganizationsAntes de iniciar este procedimiento, debe haber iniciado sesión con la cuenta maestra y todas lascaracterísticas debe estar habilitadas en su organización.

1. Abra un símbolo del sistema o una ventana de terminal.2. Escriba el siguiente comando para crear un agregador denominado MyAggregator.

aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"

3. Pulse Intro para ejecutar el comando.

Debería ver un resultado similar a este:

{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3" }, "LastUpdatedTime": 1517942461.442 }

184

Page 191: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorVisualización de un agregador

}

Visualización de un agregador1. Escriba el siguiente comando:

aws configservice describe-configuration-aggregators

2. En función de su cuenta de origen, debería ver un resultado similar al siguiente:

Para cuentas individuales

{ "ConfigurationAggregators": [ { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.455 } ]}

O BIEN

Para una organización

{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3" }, "LastUpdatedTime": 1517942461.442 }}

Edición de un agregador1. Puede utilizar el comando put-configuration-aggregator para actualizar o editar un agregador

de configuración.

185

Page 192: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEliminación de un agregador

Escriba el siguiente comando para añadir un ID de cuenta nuevo a MyAggregator:

aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"

2. En función de su cuenta de origen, debería ver un resultado similar al siguiente:

Para cuentas individuales

{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-xz2upuu6", "CreationTime": 1517952090.769, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3", "AccountID4" ] } ], "LastUpdatedTime": 1517952566.445 }}

O BIEN

Para una organización

{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3" }, "LastUpdatedTime": 1517942461.442 }}

Eliminación de un agregadorPara eliminar un agregador de configuración utilizando la AWS CLI

• Escriba el siguiente comando:

aws configservice delete-configuration-aggregator --configuration-aggregator-name MyAggregator

186

Page 193: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorMás información

Si se ejecuta correctamente, el comando no muestra ninguna salida adicional.

Más información• Conceptos de AWS Config (p. 2)• Autorización de cuentas de agregador para recopilar datos de configuración y cumplimiento de AWS

Config utilizando la AWS Command Line Interface (p. 189)• Visualización de datos de configuración y conformidad en la vista agregada (p. 179)• Solución de problemas de acumulación de datos de varias cuentas y regiones (p. 190)

Autorización de cuentas de agregador pararecopilar datos de configuración y cumplimiento deAWS Config utilizando la Consola

AWS Config permite autorizar cuentas de agregador para recopilar datos de configuración y conformidadde AWS Config.

Esta operación no es necesaria si se agregan cuentas de origen que forman parte de AWS Organizations.

En la página Authorizations (Autorizaciones), puede hacer lo siguiente:

• Añadir una autorización para permitir que una cuenta y una región de agregador recopilen datos deconfiguración y conformidad de AWS Config.

• Autorizar una solicitud pendiente de una cuenta de agregador para recopilar datos de configuración yconformidad de AWS Config.

• Eliminar la autorización de una cuenta de agregador.

Temas• Adición de una autorización para cuentas y regiones de agregador (p. 187)• Autorización de una solicitud pendiente para una cuenta de agregador (p. 188)• Eliminación de la autorización de una cuenta de agregador existente (p. 189)• Más información (p. 180)

Adición de una autorización para cuentas y regionesde agregadorPuede añadir una autorización para conceder permiso a las cuentas y regiones de agregador pararecopilar datos de configuración y conformidad de AWS Config.

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://console.aws.amazon.com/config/.

2. Vaya a la página Authorizations (Autorizaciones) y elija Add authorization (Añadir autorización).3. En Aggregator account (Cuenta de agregador), escriba el ID de 12 dígitos de la cuenta de agregador.4. En Aggregator region (Región de agregador), elija las regiones de AWS en las que la cuenta de

agregador tiene permiso para recopilar datos de configuración y conformidad de AWS Config.

187

Page 194: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAutorización de una solicitud pendiente

para una cuenta de agregador

5. Elija Add authorization (Añadir autorización) para confirmar la opción elegida.

AWS Config muestra la cuenta de agregador, la región y el estado de autorización.

Note

También puede añadir la autorización a cuentas y regiones de agregador medianteprogramación utilizando una plantilla de ejemplo de AWS CloudFormation. Para obtener másinformación, consulte AWS::Config::AggregationAuthorization en la Guía del usuario de AWSCloudFormation.

Autorización de una solicitud pendiente para unacuenta de agregadorSi tiene una solicitud de autorización pendiente para una cuenta de agregador existente, verá el estado dela solicitud en la página Authorizations (Autorizaciones) . Puede autorizar una solicitud pendiente desdeesta página.

1. Para la cuenta de agregador que desea autorizar, elija Authorize (Autorizar) en la columna Actions(Acciones).

Se muestra un mensaje de confirmación para que confirme que concede permiso a una cuenta y unaregión de agregador para recopilar datos de AWS Config.

2. Elija Authorize (Autorizar) para conceder este permiso a una cuenta y una región de agregador.

El estado de autorización cambia de Requesting for authorization (Autorización solicitada) aAuthorized (Autorizada).

188

Page 195: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEliminación de la autorización de

una cuenta de agregador existente

Eliminación de la autorización de una cuenta deagregador existente1. Para la cuenta de agregador cuya autorización desea eliminar, elija Delete (Eliminar) en la columna

Actions (Acciones).

Se muestra un mensaje de advertencia. Cuando se elimina esta autorización, los datos de AWSConfig dejan de compartirse con una cuenta de agregador.

Note

Después de eliminar la autorización de un agregador, los datos permanecerán en la cuentadel agregador hasta 24 horas antes de ser eliminados.

2. Elija Delete (Eliminar) para confirmar la opción elegida.

La cuenta de agregador se elimina.

Más información• Conceptos de AWS Config (p. 2)• Configuración de un agregador mediante la consola (p. 180)• Visualización de datos de configuración y conformidad en la vista agregada (p. 179)• Solución de problemas de acumulación de datos de varias cuentas y regiones (p. 190)

Autorización de cuentas de agregador pararecopilar datos de configuración y cumplimientode AWS Config utilizando la AWS Command LineInterface

Puede autorizar cuentas de agregador para recopilar datos de AWS Config de cuentas de origen y eliminarcuentas de agregador utilizando la AWS Command Line Interface (AWS CLI). Para utilizar la consolade administración de AWS, consulte Autorización de cuentas de agregador para recopilar datos deconfiguración y cumplimiento de AWS Config utilizando la Consola (p. 187).

La AWS CLI es una herramienta unificada para administrar los servicios de AWS. Solo necesita descargary configurar una herramienta para poder controlar varios servicios de AWS desde la línea de comandos yusar scripts para automatizarlos.

Para instalar el AWS CLI en su equipo local, consulte Instalación de la CLI de AWS en la Guía del usuariode la AWS CLI.

Si es necesario, escriba aws configure para configurar la AWS CLI para utilizar una región de AWS enla que haya agregadores de AWS Config disponibles.

Temas• Adición de una autorización para cuentas y regiones de agregador (p. 190)• Eliminación de una autorización de cuenta (p. 190)• Más información (p. 180)

189

Page 196: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAdición de una autorización paracuentas y regiones de agregador

Adición de una autorización para cuentas y regionesde agregador1. Abra un símbolo del sistema o una ventana de terminal.2. Escriba el siguiente comando:

aws configservice put-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region

3. Pulse Intro.

Debería ver un resultado similar a este:

{ "AggregationAuthorization": { "AuthorizedAccountId": "AccountID", "AggregationAuthorizationArn": "arn:aws:config:Region:AccountID:aggregation-authorization/AccountID/Region", "CreationTime": 1518116709.993, "AuthorizedAwsRegion": "Region" }}

Eliminación de una autorización de cuentaPara eliminar una cuenta autorizada mediante la AWS CLI

• Escriba el siguiente comando:

aws configservice delete-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region

Si se ejecuta correctamente, el comando no muestra ninguna salida adicional.

Más información• Conceptos de AWS Config (p. 2)• Configuración de un agregador mediante la AWS Command Line Interface (p. 183)• Visualización de datos de configuración y conformidad en la vista agregada (p. 179)• Solución de problemas de acumulación de datos de varias cuentas y regiones (p. 190)

Solución de problemas de acumulación de datos devarias cuentas y regiones

Es posible que AWS Config no pueda agregar datos de las cuentas de origen por alguna de las razonessiguientes:

190

Page 197: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorMás información

Si ocurre esto Haga lo siguiente

AWS Config no está habilitado en lacuenta de origen.

Habilite AWS Config en la cuenta de origen y autorice a lacuenta de agregador para que recopile los datos.

No se ha concedido autorización a unacuenta de agregador.

Inicie sesión en la cuenta de origen y conceda autorizacióna la cuenta de agregador para recopilar datos de AWSConfig.

Es posible que haya un problematemporal que impida la acumulación dedatos.

La acumulación de datos está sujeta a retrasos. Espereunos minutos.

Es posible que AWS Config no pueda agregar datos de una organización por alguna de las razonessiguientes:

Si ocurre esto Haga lo siguiente

AWS Config no puede tener acceso a lainformación de la organización debido aun rol de IAM no válido.

Cree un rol de IAM o seleccione un rol de IAM válido en lalista de roles de IAM.

Note

Si el rol de IAM sigue sin ser válido durante más de24 horas, AWS Config elimina los datos de toda laorganización.

El acceso al servicio de AWS Config deestá deshabilitado en la organización.

Puede habilitar la integración entre AWSConfig y AWS Organizations mediante la APIEnableAWSServiceAccess. Si elige Add my organization(Añadir mi organización) en la consola, AWS Config activaautomáticamente la integración entre AWS Config y AWSOrganizations.

AWS Config no puede obtener acceso alos detalles de la organización porque noestán habilitadas todas las característicasen la organización.

Habilite todas las características en la consola de AWSOrganizations.

Más información• Conceptos de AWS Config (p. 2)• Configuración de un agregador mediante la consola (p. 180)• Autorización de cuentas de agregador para recopilar datos de configuración y cumplimiento de AWS

Config utilizando la Consola (p. 187)• Visualización de datos de configuración y conformidad en la vista agregada (p. 179)

191

Page 198: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorUso de Amazon SQS

MonitoreoPuede utilizar otros servicios de AWS para monitorizar los recursos de AWS Config.

• Puede utilizar Amazon Simple Notification Service (SNS) para que le envíe notificaciones cada vez quese cree, actualice o modifique de cualquier otro modo un recurso compatible de AWS como resultado dela actividad de la API del usuario.

• Puede utilizar Amazon CloudWatch Events para detectar cambios en el estado de los eventos de AWSConfig y reaccionar ante ellos.

Temas• Monitorización de los cambios en los recursos de AWS con Amazon SQS (p. 192)• Monitorización de AWS Config con Amazon CloudWatch Events (p. 193)

Monitorización de los cambios en los recursos deAWS con Amazon SQS

AWS Config utiliza Amazon Simple Notification Service (SNS) para enviar notificaciones cada vez que secrea, se actualiza o se modifica de cualquier otro modo un recurso compatible con AWS como resultadode la actividad de la API del usuario. Sin embargo, es posible que solo le interesen determinados cambiosen la configuración de los recursos. Por ejemplo, puede que considere esencial saber si alguien modificala configuración de un grupo de seguridad, pero no necesita conocer cada vez que se produzca un cambioen las etiquetas de las instancias de Amazon EC2. O es posible que desee escribir un programa querealice acciones específicas cuando se actualizan recursos concretos. Por ejemplo, puede que deseeiniciar un flujo de trabajo determinado cuando cambie la configuración de un grupo de seguridad. Sidesea consumir de forma programada los datos de AWS Config de esta u otras formas, utilice una cola deAmazon Simple Queue Service como el punto de enlace de notificación para Amazon SNS.

Note

Las notificaciones también pueden proceder de Amazon SNS en forma de correo electrónico, unmensaje de SMS (servicio de mensajes cortos) para teléfonos móviles y smartphones compatiblescon SMS, un mensaje de notificación a una aplicación en un dispositivo móvil o un mensaje denotificación a uno o más puntos de enlace HTTP o HTTPS.

Puede tener una única cola de SQS para suscribirse a varios temas, tanto si dispone de un tema porregión como un tema por cada cuenta y región. Debe suscribir la cola al tema de SNS que desee. (Puedesuscribir varias colas a un tema de SNS). Para obtener más información, consulte Envío de mensajesAmazon SNS a colas de Amazon SQS.

Permisos de Amazon SQSPara utilizar Amazon SQS con AWS Config, debe configurar una política que conceda permisos asu cuenta para llevar a cabo todas las acciones permitidas en una cola de SQS. La siguiente políticade ejemplo concede al número de cuenta 111122223333 y al número 444455556666 permiso paraenviar mensajes relativos a cada cambio de configuración a la cola nombrada arn: aws: sqs: us-east-2:444455556666: queue1.

{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID",

192

Page 199: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorUso de Amazon CloudWatch Events

"Statement": { "Sid":"Queue1_SendMessage", "Effect": "Allow", "Principal": { "AWS": ["111122223333","444455556666"] }, "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:us-east-2:444455556666:queue1" }}

También debe crear una política que conceda permisos de conexión entre un tema de SNS y la cola SQSque se suscribe a ese tema. A continuación, se muestra un ejemplo de política que permite que el tema deSNS con el nombre de recurso de Amazon (ARN) arn:aws:sns:us-east-2:111122223333:test-topic realicecualquier acción en la cola con el nombre arn:aws:sqs:us-east-2:111122223333:test-topic-queue.

Note

La cuenta para el tema de SNS y la cola de SQS deben estar en la misma región.

{ "Version": "2012-10-17", "Id": "SNStoSQS", "Statement": { "Sid":"rule1", "Effect": "Allow", "Principal": "*", "Action": "sqs:*", "Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue", "Condition" : { "StringEquals" : { "aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic" } } }}

Cada política puede incluir instrucciones que abarquen una sola cola, no varias. Para obtener informaciónsobre otras restricciones en las políticas de Amazon SQS, consulte Información especial para políticas deAmazon SQS.

Monitorización de AWS Config con AmazonCloudWatch Events

Amazon CloudWatch Events proporciona un flujo casi en tiempo real de eventos del sistema que describenlos cambios que se producen en los recursos de AWS. Utilice Amazon CloudWatch Events para detectarcambios en el estado de los eventos de AWS Config.

Tiene la opción de crear una regla que se ejecute siempre que haya una transición de estado o cuandohaya una transición a uno o varios estados de interés. A continuación, en función de las reglas que secreen, Amazon CloudWatch Events invocará una o varias acciones de destino cuando un evento coincidacon los valores especificados en una regla. Dependiendo del tipo de evento, es posible que desee enviarnotificaciones, capturar información sobre el evento, tomar medidas correctivas, iniciar eventos o adoptarotras acciones.

193

Page 200: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorFormato de Amazon CloudWatch Events para AWS Config

No obstante, antes de crear reglas de eventos para AWS Config, debe hacer lo siguiente:

• Familiarizarse con los eventos, las reglas y los destinos de Eventos de CloudWatch. Para obtener másinformación, consulte ¿Qué es Amazon CloudWatch Events?

• Para obtener más información sobre cómo comenzar a utilizar Eventos de CloudWatch y configurarreglas, consulte Introducción a CloudWatch Events.

• Crear el destino o los destinos que se utilizarán en las reglas de eventos.

Temas• Formato de Amazon CloudWatch Events para AWS Config (p. 194)• Creación de una regla de Amazon CloudWatch Events para AWS Config (p. 194)

Formato de Amazon CloudWatch Events para AWSConfigEl evento de CloudWatch para AWS Config presenta el siguiente formato:

{ "version":"0", "id":" cd4d811e-ab12-322b-8255-872ce65b1bc8", "detail-type":"event type", "source":"aws.config", "account":"111122223333", "time":"2018-03-22T00:38:11Z", "region":"us-east-1", "resources":[resources], "detail":{specific message type }

Creación de una regla de Amazon CloudWatch Eventspara AWS ConfigSiga los pasos que se describen a continuación para crear una regla de Eventos de CloudWatch que seactive cuando se produzca un evento emitido por AWS Config.

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, seleccione Events.3. Elija Create rule.4. En la página Step 1: Create rule (Paso 1: Crear una regla), en Service Name (Nombre del servicio), elija

Config (Configuración).5. En Event Type (Tipo de evento), elija el tipo de evento que activará la regla:

• Elija All Events (Todos los eventos) para crear una regla que se aplique a todos los servicios de AWS.Si elige esta opción, no puede elegir tipos de mensajes, nombres de reglas, tipos de recursos ni ID derecurso específicos.

• Elija AWS API Call via CloudTrail (Llamada de la API de AWS a través de CloudTrail) para basar lasreglas en las llamadas a la API realizadas a este servicio. Para obtener más información sobre cómocrear reglas de este tipo, consulte Creación de una regla de Eventos de CloudWatch que se activa enfunción de una llamada a la API de AWS con AWS CloudTrail.

194

Page 201: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorCreación de una regla de Amazon

CloudWatch Events para AWS Config

• Elija Config Configuration Item Change (Config: Cambio de un elemento de configuración) para recibirnotificaciones cuando cambie un recurso de su cuenta.

• Elija Config Rules Compliance Change (Config: Cambio en la conformidad de las reglas) para obtenernotificaciones cuando se produzca un error en una comprobación de conformidad de sus reglas.

• Elija Config Rules Re-evaluation Status (Config: Estado de reevaluación de reglas) para obtenernotificaciones de estado de reevaluación.

• Elija Config Configuration Snapshot Delivery Status (Config: Estado de entrega de instantáneas deconfiguración) para obtener notificaciones de estado de entrega de instantáneas de configuración.

• Elija Config Configuration History Delivery Status (Config: Estado de entrega del historial deconfiguración) para obtener notificaciones de estado de entrega del historial de configuración.

6. Elija Any message type (Cualquier tipo de mensaje) para recibir notificaciones de cualquier tipo.Elija Specific message type(s) (Tipos de mensajes específicos) para recibir los siguientes tipos denotificaciones:• Si elige ConfigurationItemChangeNotification, recibirá mensajes cuando AWS Config entregue

correctamente la instantánea de configuración en el bucket de Amazon S3.• Si elige ComplianceChangeNotification, recibirá mensajes cuando cambie el tipo de conformidad de

un recurso evaluado por AWS Config.• Si elige ConfigRulesEvaluationStarted, recibirá mensajes cuando AWS Config comience a evaluar la

regla con los recursos especificados.• Si elige ConfigurationSnapshotDeliveryCompleted, recibirá mensajes cuando AWS Config entregue

correctamente la instantánea de configuración en el bucket de Amazon S3.• Si elige ConfigurationSnapshotDeliveryFailed, recibirá mensajes cuando AWS Config no pueda

entregar la instantánea de configuración en el bucket de Amazon S3.• Si elige ConfigurationSnapshotDeliveryStarted, recibirá mensajes cuando AWS Config comience a

entregar la instantánea de configuración en el bucket de Amazon S3.• Si elige ConfigurationHistoryDeliveryCompleted, recibirá mensajes cuando AWS Config entregue

correctamente el historial de configuración en el bucket de Amazon S3.7. Si ha elegido un tipo de evento específico en la lista desplegable Event Type (Tipo de evento), elija

Any resource type (Cualquier tipo de recurso) para crear una regla que se aplique a todos los tipos derecursos admitidos por AWS Config.

O elija Specific resource type(s) (Tipos de recursos específicos) y, a continuación, escriba el tipo derecurso admitido por AWS Config (por ejemplo, AWS::EC2::Instance).

8. Si ha elegido un tipo de evento específico en la lista desplegable Event Type (Tipo de evento), elija Anyresource ID (Cualquier ID de recurso) para incluir cualquier ID de recurso admitido por AWS Config.

O elija Specific resource ID(s) (ID de recursos específicos) y, a continuación, escriba el ID de recursoadmitido por AWS Config (por ejemplo, i-04606de676e635647).

9. Si ha elegido un tipo de evento específico en la lista desplegable Event Type (Tipo de evento), elija Anyrule name (Cualquier nombre de regla) para incluir cualquier regla admitida por AWS Config.

O elija Specific rule name(s) (Nombres de reglas específicas) y, a continuación, escriba la regla admitidapor AWS Config (por ejemplo, required-tags).

10.Revise la configuración de las reglas para asegurarse de que se ajusta a los requisitos demonitorización de eventos.

11.En el área Targets (Objetivos), seleccione Add target (Añadir destino)*.12.En la lista Select target type, elija el tipo de destino que haya preparado para usarlo con esta regla y

luego configure las opciones adicionales que requiera dicho tipo.13.Seleccione Configure details.14.En la página Configure rule details, escriba un nombre y la descripción de la regla y luego elija la casilla

State para habilitar la regla tan pronto como se cree.15.Elija Create rule (Crear regla) para confirmar la opción elegida.

195

Page 202: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Reglas de AWS Config vinculadas aservicios

Una regla vinculada al servicio de AWS Configes un tipo único de regla de configuración administradacompatible con otros servicios de AWS para crear reglas de AWS Config en su cuenta. Las reglas de AWSConfig vinculados a servicios están predefinidas para incluir todos los permisos necesarios para llamar aotros servicios de AWS en su nombre. Estas reglas son similares a las normas que un servicio de AWSrecomienda en su cuenta de AWS para una verificación del cumplimiento.

Estas reglas vinculado a servicio de AWS Config son propiedad de los equipos del servicio de AWS. Elequipo de servicios de AWS crea estas reglas en su cuenta de AWS. Tiene acceso de solo lectura a estasreglas. No se puede editar o eliminar estas reglas si se ha suscrito al servicio de AWS al que estas reglasestán vinculadas.

En la consola de AWS Config, las reglas vinculada al servicio de AWS Config se pueden ver en la páginaRules (Reglas). El botón de edición aparece atenuado en la consola, restringiendo por tanto la edición dela regla. Puede ver los detalles de la regla eligiendo la regla. En la página de detalles de la regla, puedever el nombre del servicio que ha creado la regla. Los botones Edit (Editar) y Delete results (Eliminarresultados) aparecen atenuados restringiendo la edición y la eliminación de resultados de la regla. Paraeditar o eliminar la regla, póngase en contacto con el servicio de AWS que ha creado la regla.

Cuando se utiliza la AWS Command Line Interface, las API PutConfigRule, DeleteConfigRule yDeleteEvaluationResults devuelven un acceso denegado con el siguiente mensaje de error:

INSUFFICIENT_SLCR_PERMISSIONS = "An AWS service owns ServiceLinkedConfigRule.You do not have permissions to take action on this rule."

196

Page 203: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorPermisos de roles vinculados a servicios para AWS Config

Uso de roles vinculados a serviciospara AWS Config

AWS Config usa roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rolvinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a AWS Config. Lasfunciones vinculadas a servicios están predefinidas por AWS Config e incluyen todos los permisos que elservicio requiere para llamar a otros servicios de AWS en su nombre.

Con una función vinculada a servicios, resulta más sencillo configurar AWS Config, porque no es precisoagregar los permisos necesarios manualmente. AWS Config define los permisos de las funcionesvinculadas con su propio servicio y, a menos que esté definido de otra manera, solo AWS Config puedeasumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que lapolítica de permisos no se pueda asociar a ninguna otra entidad de IAM.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Serviciosde AWS que funcionan con IAM y busque los servicios que tienen Sí en la columna Rol vinculado aservicio. Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado alservicio en cuestión.

Permisos de roles vinculados a servicios para AWSConfig

AWS Config usa el rol vinculado al servicio llamado de AWSServiceRoleForConfig: AWS Config utiliza esterol vinculado al servicio para llamar a otros servicios de AWS en su nombre.

El rol vinculado al servicio AWSServiceRoleForConfig confía en el servicio config.amazonaws.com paraasumir el rol.

La política de permisos para el rol AWSServiceRoleForConfig contiene permisos de solo lectura yescritura para los recursos de AWS Config y permisos de solo lectura para recursos en otros servicios queAWS Config admite. Para obtener más información, consulte Tipos de recursos de AWS admitidos porAWS Config y relaciones de recursos (p. 9).

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, un grupo o un rol) crear,editar o eliminar la descripción de un rol vinculado a servicio. Para obtener más información, consultePermisos de roles vinculados a servicios en la Guía del usuario de IAM.

Para utilizar un rol vinculado al servicio con AWS Config, debe configurar permisos en su bucket deAmazon S3 y tema de Amazon SNS. Para obtener más información, consulte Permisos necesarios para elbucket de Amazon S3 cuando se utilizan roles vinculados al servicio (p. 95) y Permisos necesarios para eltema Amazon SNS cuando se utilizan roles vinculados al servicio (p. 97).

Creación de un rol vinculado a servicio para AWSConfig

En la CLI de IAM o la API de IAM, cree una función vinculada al servicio con el nombre de servicioconfig.amazonaws.com. Para obtener más información, consulte Creación de un rol vinculado a un

197

Page 204: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorEdición de un rol vinculado a servicio para AWS Config

servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismoproceso para volver a crear el rol.

Edición de un rol vinculado a servicio para AWSConfig

AWS Config no le permite editar el rol vinculado al servicio AWSServiceRoleForConfig. Después decrear un rol vinculado a servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacerreferencia al mismo. Sin embargo, puede editar la descripción de la función utilizando IAM. Para obtenermás información, consulte Edición de un rol vinculado a un servicio en la Guía del usuario de IAM.

Eliminación de un rol vinculado a servicio para AWSConfig

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, lerecomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoriceni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes deeliminarlo manualmente.

Note

Si el servicio AWS Config está utilizando el rol cuando intenta eliminar los recursos, la eliminaciónpodría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos de AWS Config que se utilizan en AWSServiceRoleForConfig

Compruebe que no haya ConfigurationRecorders que estén utilizando el rol vinculado al servicio.Puede utilizar la consola de AWS Config para detener el registro de configuración. Para detener lagrabación, en Recording is on (La grabación está activada), elija Turn off (Desactivar).

Puede eliminar el ConfigurationRecorder mediante la API de AWS Config. Para eliminarlo, utilice elcomandodelete-configuration-recorder.

$ aws configservice delete-configuration-recorder --configuration-recorder-name default

Para eliminar manualmente la función vinculada al servicio utilizando IAM

Puede usar la consola de IAM, la CLI de IAM o la API de IAM para eliminar la función vinculada al servicioAWSServiceRoleForConfig. Para obtener más información, consulte Eliminar un rol vinculado a un servicioen la Guía del usuario de IAM.

198

Page 205: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorDisponibilidad

Uso de AWS Config con los puntosde enlace de la VPC de tipo interfaz

Si utiliza Amazon Virtual Private Cloud (Amazon VPC) para alojar sus recursos de AWS puede estableceruna conexión privada entre su VPC y AWS Config. Puede utilizar esta conexión para comunicarse conAWS Config desde su VPC sin pasar por la Internet pública.

Amazon VPC es un servicio de AWS que puede utilizar para lanzar recursos de AWS en una red virtualque usted defina. Con una VPC, puede controlar la configuración de la red, como el rango de direccionesIP, las subredes, las tablas de ruteo y las gateways de red. Los puntos de enlace de la VPC de tipointerfaz utilizan la tecnología de AWS PrivateLink, una tecnología de AWS que permite la comunicaciónprivada entre los servicios de AWS mediante una interfaz de red elástica con direcciones IP privadas.Para conectar su VPC a AWS Config, debe definir un punto de enlace de la VPC de tipo interfaz paraAWS Config. Este tipo de punto de enlace le permite conectar su VPC a servicios de AWS. El punto deenlace ofrece conectividad escalable de confianza con AWS Config sin necesidad de utilizar una gatewayde Internet, una instancia de conversión de las direcciones de red (NAT) o una conexión de VPN. Paraobtener más información, consulte ¿Qué es Amazon VPC? en la Guía del usuario de Amazon VPC.

Los siguientes pasos son para usuarios de Amazon VPC. Para obtener más información, consulteIntroducción en la Guía del usuario de Amazon VPC.

DisponibilidadAWS Config actualmente admite puntos de enlace de la VPC en las regiones siguientes:

• EE.UU. Este (Ohio)• US East (N. Virginia)• EE.UU. Oeste (Norte de California)• EE.UU. Oeste (Oregón)• Asia Pacífico (Mumbai)• Asia Pacífico (Seúl)• Asia Pacífico (Singapur)• Asia Pacífico (Sídney)• Asia Pacífico (Tokio)• Canadá (Central)• UE (Fráncfort)• UE (Irlanda)• UE (Londres)• UE (París)• América del Sur (São Paulo)

Creación de un punto de enlace de la VPC paraAWS Config

Para comenzar a utilizar AWS Config con su VPC, cree un punto de enlace de la VPC de tipo interfaz paraAWS Config. No es necesario cambiar la configuración de AWS Config. AWS Config llama a otros servicios

199

Page 206: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorCreación de un punto de enlace de la VPC para AWS Config

de AWS con sus puntos de enlace públicos. Para obtener más información, consulte Creación de un puntode enlace de interfaz en la Guía del usuario de Amazon VPC.

200

Page 207: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorInformación de AWS Config en CloudTrail

Registro de llamadas a la API deAWS Config con AWS CloudTrail

AWS Config está integrado con AWS CloudTrail, un servicio que proporciona un registro de las accionesrealizadas por un usuario, una función o un servicio de AWS en AWS Config. CloudTrail captura todaslas llamadas a la API de AWS Config como eventos. Las llamadas capturadas incluyen las llamadasrealizadas desde la consola de AWS Config y las llamadas de código a las operaciones de la API de AWSConfig. Si crea un registro de seguimiento, puede habilitar la entrega continua de eventos de CloudTrail aun bucket de Amazon S3, incluidos los eventos de AWS Config. Si no configura un registro de seguimiento,puede ver los eventos más recientes en la consola de CloudTrail en el Event history (Historial de eventos).Mediante la información que recopila CloudTrail, se puede determinar la solicitud que se envió a AWSConfig, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo la realizó y los detallesadicionales.

Para obtener más información sobre CloudTrail, consulte la AWS CloudTrail User Guide.

Información de AWS Config en CloudTrailCloudTrail se habilita en una cuenta de AWS al crearla. Cuando se produce una actividad en AWS Config,dicha actividad se registra en un evento de CloudTrail junto con los eventos de los demás servicios deAWS en el Event history (Historial de eventos). Puede ver, buscar y descargar los últimos eventos dela cuenta de AWS. Para obtener más información, consulte Visualización de eventos con el historial deeventos de CloudTrail.

Para mantener un registro continuo de los eventos de la cuenta de AWS, incluidos los eventos de AWSConfig, cree un registro de seguimiento. Un registro de seguimiento permite a CloudTrail enviar archivos deregistro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimientoen la consola, este se aplica a todas las regiones de AWS. El registro de seguimiento registra los eventosde todas las regiones de la partición de AWS y envía los archivos de registro al bucket de Amazon S3especificado. También puede configurar otros servicios de AWS para analizar y actuar en función de losdatos de eventos recopilados en los registros de CloudTrail. Para obtener más información, consulte lossiguientes temas:

• Introducción a la creación de registros de seguimiento• Servicios e integraciones compatibles con CloudTrail• Configuración de notificaciones de Amazon SNS para CloudTrail• Recibir archivos de registro de CloudTrail de varias regiones y Recepción de archivos de registro de

CloudTrail de varias cuentas

CloudTrail registra todas las operaciones AWS Config y se documentan en AWS Config API Reference.Por ejemplo, las llamadas a las operaciones DeliverConfigSnapshot, DeleteDeliveryChannel yDescribeDeliveryChannels generan entradas en los archivos de registros de CloudTrail.

Cada entrada de registro o evento contiene información acerca de quién generó la solicitud. La informaciónde identidad del usuario le ayuda a determinar lo siguiente:

• Si la solicitud se realizó con credenciales de usuario raíz o de AWS Identity and Access Management(IAM).

• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.

201

Page 208: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorComprensión de las entradas de losarchivos de registro de AWS Config

• Si la solicitud la realizó otro servicio de AWS.

Para obtener más información, consulte el elemento userIdentity de CloudTrail.

Comprensión de las entradas de los archivos deregistro de AWS Config

Un registro de seguimiento es una configuración que permite la entrega de eventos como archivos deregistro al bucket de Amazon S3 que se especifique. Los archivos de registro de CloudTrail contienenuna o varias entradas de registro. Un evento representa una única solicitud de cualquier origen e incluyeinformación sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud,etcétera. Los archivos de registro de CloudTrail no están un rastro de la pila ordenada de las llamadas a laAPI públicas, por lo que no aparecen en ningún orden específico.

Ejemplos de archivos de registroPara ejemplos de entradas de registro de CloudTrail, consulte los siguientes temas.

Contenido• DeleteDeliveryChannel (p. 202)• DeliverConfigSnapshot (p. 203)• DescribeConfigurationRecorderStatus (p. 203)• DescribeConfigurationRecorders (p. 204)• DescribeDeliveryChannels (p. 204)• GetResourceConfigHistory (p. 205)• PutConfigurationRecorder (p. 206)• PutDeliveryChannel (p. 206)• StartConfigurationRecorder (p. 207)• StopConfigurationRecorder (p. 207)

DeleteDeliveryChannelA continuación se muestra un ejemplo de un archivo de registro de CloudTrail para la operaciónDeleteDeliveryChannel.

{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::222222222222:user/JohnDoe", "accountId": "222222222222", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "JohnDoe" }, "eventTime": "2014-12-11T18:32:57Z", "eventSource": "config.amazonaws.com", "eventName": "DeleteDeliveryChannel", "awsRegion": "us-west-2",

202

Page 209: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorDeliverConfigSnapshot

"sourceIPAddress": "10.24.34.0", "userAgent": "aws-internal/3", "requestParameters": { "deliveryChannelName": "default" }, "responseElements": null, "requestID": "207d695a-8164-11e4-ab4f-657c7ab282ab", "eventID": "5dcff7a9-e414-411a-a43e-88d122a0ad4a", "eventType": "AwsApiCall", "recipientAccountId": "222222222222" }

DeliverConfigSnapshotA continuación se muestra un ejemplo de un archivo de registro de CloudTrail para la operaciónDeliverConfigSnapshot.

{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AIDAABCDEFGHIJKLNMOPQ:Config-API-Test", "arn": "arn:aws:sts::111111111111:assumed-role/JaneDoe/Config-API-Test", "accountId": "111111111111", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2014-12-11T00:58:42Z" }, "sessionIssuer": { "type": "Role", "principalId": "AIDAABCDEFGHIJKLNMOPQ", "arn": "arn:aws:iam::111111111111:role/JaneDoe", "accountId": "111111111111", "userName": "JaneDoe" } } }, "eventTime": "2014-12-11T00:58:53Z", "eventSource": "config.amazonaws.com", "eventName": "DeliverConfigSnapshot", "awsRegion": "us-west-2", "sourceIPAddress": "10.24.34.0", "userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5", "requestParameters": { "deliveryChannelName": "default" }, "responseElements": { "configSnapshotId": "58d50f10-212d-4fa4-842e-97c614da67ce" }, "requestID": "e0248561-80d0-11e4-9f1c-7739d36a3df2", "eventID": "3e88076c-eae1-4aa6-8990-86fe52aedbd8", "eventType": "AwsApiCall", recipientAccountId": "111111111111" }

DescribeConfigurationRecorderStatusA continuación se muestra un ejemplo de un archivo de registro de CloudTrail para la operaciónDescribeConfigurationRecorderStatus.

203

Page 210: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorDescribeConfigurationRecorders

{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::222222222222:user/JohnDoe", "accountId": "222222222222", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "userName": "JohnDoe" }, "eventTime": "2014-12-11T18:35:44Z", "eventSource": "config.amazonaws.com", "eventName": "DescribeConfigurationRecorderStatus", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5", "requestParameters": null, "responseElements": null, "requestID": "8442f25d-8164-11e4-ab4f-657c7ab282ab", "eventID": "a675b36b-455f-4e18-a4bc-d3e01749d3f1", "eventType": "AwsApiCall", "recipientAccountId": "222222222222" }

DescribeConfigurationRecordersA continuación se muestra un ejemplo de un archivo de registro de CloudTrail para la operaciónDescribeConfigurationRecorders.

{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::222222222222:user/JohnDoe", "accountId": "222222222222", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "userName": "JohnDoe" }, "eventTime": "2014-12-11T18:34:52Z", "eventSource": "config.amazonaws.com", "eventName": "DescribeConfigurationRecorders", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5", "requestParameters": null, "responseElements": null, "requestID": "6566b55c-8164-11e4-ab4f-657c7ab282ab", "eventID": "6259a9ad-889e-423b-beeb-6e1eec84a8b5", "eventType": "AwsApiCall", "recipientAccountId": "222222222222" }

DescribeDeliveryChannelsA continuación se muestra un ejemplo de archivo de registro de CloudTrail para la operaciónDescribeDeliveryChannels.

{ "eventVersion": "1.02",

204

Page 211: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorGetResourceConfigHistory

"userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::222222222222:user/JohnDoe", "accountId": "222222222222", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "userName": "JohnDoe" }, "eventTime": "2014-12-11T18:35:02Z", "eventSource": "config.amazonaws.com", "eventName": "DescribeDeliveryChannels", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5", "requestParameters": null, "responseElements": null, "requestID": "6b6aee3f-8164-11e4-ab4f-657c7ab282ab", "eventID": "3e15ebc5-bf39-4d2a-8b64-9392807985f1", "eventType": "AwsApiCall", "recipientAccountId": "222222222222" }

GetResourceConfigHistoryA continuación se muestra un ejemplo de un archivo de registro de CloudTrail para la operaciónGetResourceConfigHistory.

{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AIDAABCDEFGHIJKLNMOPQ:Config-API-Test", "arn": "arn:aws:sts::111111111111:assumed-role/JaneDoe/Config-API-Test", "accountId": "111111111111", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2014-12-11T00:58:42Z" }, "sessionIssuer": { "type": "Role", "principalId": "AIDAABCDEFGHIJKLNMOPQ", "arn": "arn:aws:iam::111111111111:role/JaneDoe", "accountId": "111111111111", "userName": "JaneDoe" } } }, "eventTime": "2014-12-11T00:58:42Z", "eventSource": "config.amazonaws.com", "eventName": "GetResourceConfigHistory", "awsRegion": "us-west-2", "sourceIPAddress": "10.24.34.0", "userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5", "requestParameters": { "resourceId": "vpc-a12bc345", "resourceType": "AWS::EC2::VPC", "limit": 0, "laterTime": "Dec 11, 2014 12:58:42 AM", "earlierTime": "Dec 10, 2014 4:58:42 PM" }, "responseElements": null,

205

Page 212: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorPutConfigurationRecorder

"requestID": "d9f3490d-80d0-11e4-9f1c-7739d36a3df2", "eventID": "ba9c1766-d28f-40e3-b4c6-3ffb87dd6166", "eventType": "AwsApiCall", "recipientAccountId": "111111111111" }

PutConfigurationRecorderA continuación se muestra un ejemplo de un archivo de registro de CloudTrail para la operaciónPutConfigurationRecorder.

{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::222222222222:user/JohnDoe", "accountId": "222222222222", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "userName": "JohnDoe" }, "eventTime": "2014-12-11T18:35:23Z", "eventSource": "config.amazonaws.com", "eventName": "PutConfigurationRecorder", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5", "requestParameters": { "configurationRecorder": { "name": "default", "roleARN": "arn:aws:iam::222222222222:role/config-role-pdx" } }, "responseElements": null, "requestID": "779f7917-8164-11e4-ab4f-657c7ab282ab", "eventID": "c91f3daa-96e8-44ee-8ddd-146ac06565a7", "eventType": "AwsApiCall", "recipientAccountId": "222222222222" }

PutDeliveryChannelA continuación se muestra un ejemplo de un archivo de registro de CloudTrail para la operaciónPutDeliveryChannel.

{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::222222222222:user/JohnDoe", "accountId": "222222222222", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "userName": "JohnDoe" }, "eventTime": "2014-12-11T18:33:08Z", "eventSource": "config.amazonaws.com", "eventName": "PutDeliveryChannel", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5",

206

Page 213: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorStartConfigurationRecorder

"requestParameters": { "deliveryChannel": { "name": "default", "s3BucketName": "config-api-test-pdx", "snsTopicARN": "arn:aws:sns:us-west-2:222222222222:config-api-test-pdx" } }, "responseElements": null, "requestID": "268b8d4d-8164-11e4-ab4f-657c7ab282ab", "eventID": "b2db05f1-1c73-4e52-b238-db69c04e8dd4", "eventType": "AwsApiCall", "recipientAccountId": "222222222222" }

StartConfigurationRecorderA continuación se muestra un ejemplo de un archivo de registro de CloudTrail para la operaciónStartConfigurationRecorder.

{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::222222222222:user/JohnDoe", "accountId": "222222222222", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "userName": "JohnDoe" }, "eventTime": "2014-12-11T18:35:34Z", "eventSource": "config.amazonaws.com", "eventName": "StartConfigurationRecorder", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5", "requestParameters": { "configurationRecorderName": "default" }, "responseElements": null, "requestID": "7e03fa6a-8164-11e4-ab4f-657c7ab282ab", "eventID": "55a5507f-f306-4896-afe3-196dc078a88d", "eventType": "AwsApiCall", "recipientAccountId": "222222222222" }

StopConfigurationRecorderA continuación se muestra un ejemplo de un archivo de registro de CloudTrail para la operaciónStopConfigurationRecorder.

{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::222222222222:user/JohnDoe", "accountId": "222222222222", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "userName": "JohnDoe" }, "eventTime": "2014-12-11T18:35:13Z",

207

Page 214: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorStopConfigurationRecorder

"eventSource": "config.amazonaws.com", "eventName": "StopConfigurationRecorder", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.2.11 Python/2.7.4 Linux/2.6.18-164.el5", "requestParameters": { "configurationRecorderName": "default" }, "responseElements": null, "requestID": "716deea3-8164-11e4-ab4f-657c7ab282ab", "eventID": "6225a85d-1e49-41e9-bf43-3cfc5549e560", "eventType": "AwsApiCall", "recipientAccountId": "222222222222" }

208

Page 215: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAWS Kits de desarrollo de software para AWS Config

Recursos de AWS ConfigLos recursos relacionados siguientes pueden serle de ayuda cuando trabaje con este servicio.

• AWS Config: página web principal con información acerca de AWS Config.• Precios de AWS Config• Preguntas frecuentes técnicas• Socios: enlaces a productos de socios que se integran completamente con AWS Config para ayudarle

a visualizar, monitorizar y administrar los datos desde su configuración de flujo, instantáneas deconfiguración o historial de configuración.

• Clases y talleres: enlaces a cursos basados en roles y especializados, y también a laboratoriosautoguiados para ayudarle a desarrollar sus conocimientos de AWS y obtener experiencia práctica.

• Herramientas para Amazon Web Services: enlaces a herramientas para desarrolladores, SDK, kits deherramientas de IDE y herramientas de línea de comandos para desarrollar y administrar aplicaciones deAWS.

• Documentos técnicos de AWS: enlaces a una completa lista de documentos técnicos de AWS que cubreuna gran variedad de temas técnicos, como arquitecturas, seguridad y economía de la nube, escritos porarquitectos de soluciones de AWS o expertos técnicos.

• Centro de AWS Support: centro para crear y administrar sus casos de AWS Support. También incluyeenlaces a otros recursos útiles como foros, preguntas técnicas frecuentes, estado de los servicios y AWSTrusted Advisor.

• AWS Support: página web principal para obtener información sobre AWS Support, un canal de soporteindividualizado y de respuesta rápida que le ayudará a crear y ejecutar aplicaciones en la nube.

• Contacte con nosotros: un punto central de contacto para las consultas relacionadas con cuentas,eventos, uso indebido, facturación de AWS y otros problemas.

• Términos del sitio de AWS: información detallada sobre nuestros derechos de autor y marca comercial, ysu cuenta, licencia y acceso al sitio, entre otros temas.

AWS Kits de desarrollo de software para AWSConfig

Un kit de desarrollo de software (SDK) de AWS facilita la creación de aplicaciones que obtienen accesoa servicios de infraestructura de AWS rentables, escalables y de confianza. Con los SDK de AWS, puedeponerse en marcha en cuestión de minutos con un único paquete descargable que incluye la biblioteca,ejemplos de código y documentación de referencia. En la siguiente tabla, se muestran los SDK y lasbibliotecas de terceros disponibles que puede utilizar para obtener acceso a AWS Config medianteprogramación.

Tipo de acceso Descripción

SDK de AWS AWS ofrece los siguientes SDK:

• Documentación del SDK para C++ de AWS• Documentación de AWS Mobile SDK for iOS• Documentación de SDK para Go de AWS

209

Page 216: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrolladorAWS Kits de desarrollo de software para AWS Config

Tipo de acceso Descripción• Documentación de AWS SDK for Java• Documentación de SDK para JavaScript de AWS• Documentación de AWS SDK para .NET• Documentación de AWS SDK para PHP• Documentación de AWS SDK for Python (Boto)• Documentación de AWS SDK parar Ruby

Bibliotecas de terceros Los desarrolladores de la comunidad de desarrolladores de AWS tambiénproporcionan sus propias bibliotecas, que puede encontrar en los siguientescentros de desarrolladores de AWS:

• Centro de desarrolladores de Java de AWS• Centro de desarrolladores de JavaScript de AWS• Centro de desarrolladores de PHP de AWS• Centro para desarrolladores de Pythonde AWS• Centro de desarrolladores de Ruby de AWS• Centro para desarrolladores de Windows y .NET de AWS

210

Page 217: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Historial de revisiónEn la siguiente tabla se describe el historial de versiones de la documentación de AWS Config.

• Versión de la API: 2014-11-12• Última actualización de la documentación: 21 de enero de 2019

Característica Descripción Fecha de la versión

AWS Configadmitenuevas reglasadministradas

Esta versión admite las nuevasreglas administradas que se indican acontinuación:

• iam-user-mfa-enabled (p. 134)• s3-bucket-policy-grantee-

check (p. 147)

Para obtener más información, consulteLista de las reglas administradas deAWS Config (p. 103).

21 de enero de 2019

AWS Configadmite el tipo derecurso de AWSService Catalog

En esta versión, puede utilizar AWSConfig para registrar los cambiosde configuración en los siguientesrecursos de AWS Service Catalog;producto CloudFromation, productoaprovisionado y portfolio. Para obtenermás información, consulte Tipos derecursos de AWS admitidos por AWSConfig y relaciones de recursos (p. 9).

11 de enero de 2019

Compatibilidad dereglas de AWSConfig vinculadasa servicios

En esta versión, AWS Config añadeuna nueva regla de configuraciónadministrada compatible con otrosservicios de AWS para crear AWSConfig Rules en su cuenta. Paraobtener más información, consulteReglas de AWS Config vinculadas aservicios (p. 196).

20 de noviembre de 2018

AWS Configle permiteagregar datos deconfiguración derecursos de AWS

En esta versión, AWS Config presentala compatibilidad con la agregaciónde los datos de configuración de losrecursos de AWS. Para obtener másinformación, consulte Visualización dedatos de configuración y conformidad enla vista agregada (p. 179).

En esta versión, AWS Config añade lassiguientes API nuevas. Para obtenermás información, consulte la Referenciade la API de AWS Config:

19 de noviembre de 2018

211

Page 218: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión• BatchGetAggregateResourceConfig• GetAggregateDiscoveredResourceCounts• GetAggregateResourceConfig• ListAggregateDiscoveredResources

AWS Configadmitenuevas reglasadministradas

Esta versión admite las nuevasreglas administradas que se indican acontinuación:

• cloudformation-stack-drift-detection-check (p. 109)

• codepipeline-deployment-count-check (p. 115)

• codepipeline-region-fanout-check (p. 116)

Para obtener más información, consulteLista de las reglas administradas deAWS Config (p. 103).

19 de noviembre de 2018

AWS Configadmitenuevas reglasadministradas

Esta versión admite las nuevasreglas administradas que se indican acontinuación:

• access-keys-rotated (p. 107)• cloud-trail-cloud-watch-logs-

enabled (p. 110)• cloud-trail-encryption-enabled (p. 111)• cloud-trail-log-file-validation-

enabled (p. 111)• cmk-backing-key-rotation-

enabled (p. 114)• iam-policy-no-statements-with-admin-

access (p. 132)• iam-role-managed-policy-

check (p. 133)• iam-root-access-key-check (p. 133)• iam-user-unused-credentials-

check (p. 135)• mfa-enabled-for-iam-console-

access (p. 136)• multi-region-cloud-trail-

enabled (p. 137)• root-account-hardware-mfa-

enabled (p. 143)• vpc-flow-logs-enabled (p. 152)

Para obtener más información, consulteLista de las reglas administradas deAWS Config (p. 103).

12 de noviembre de 2018

212

Page 219: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

AWS Configadmitenuevas reglasadministradas

Esta versión admite las nuevasreglas administradas que se indican acontinuación:

• dynamodb-table-encryption-enabled (p. 119)

• elb-logging-enabled (p. 127)• rds-instance-public-access-

check (p. 138)• vpc-default-security-group-

closed (p. 152)

Para obtener más información, consulteLista de las reglas administradas deAWS Config (p. 103).

24 de octubre de 2018

Soporte dehistorial deconformidad

En esta versión, AWS Config ahoraadmite el almacenamiento del historialde conformidad de recursos segúnla evaluación de AWS Config Rules.Para obtener más información,consulte Visualización del historialde conformidad para recursossegún la evaluación de AWS ConfigRules (p. 42).

18 de octubre de 2018

Soporte de regiónde acumulaciónde datos de variascuentas y regiones

Con esta versión ahora Acumulaciónde datos de varias cuentas y regionesse admite en seis nuevas regiones.Para obtener más información, consulteAcumulación de datos de varias cuentasy regiones (p. 177).

4 de octubre de 2018

AWS Configadmite permisosde nivel de recursopara las accionesde API de AWSConfig Rules

En esta versión, AWS Config admitepermisos de nivel de recursos paradeterminadas acciones de API deAWS Config Rules. Para obtener másinformación acerca de las API admitidas,consulte Permisos de nivel de recursoadmitidos para las acciones de la API deAWS Config Rules (p. 90).

1 de octubre de 2018

AWS Configadmite el tipo derecurso de AWSCodePipeline

Con esta versión, puede utilizar AWSConfig para registrar cambios deconfiguración en el tipo de recurso defunción de AWS CodePipeline. Paraobtener más información, consulte Tiposde recursos de AWS admitidos por AWSConfig y relaciones de recursos (p. 9).

12 de septiembre de 2018

213

Page 220: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

AWS Configadmitenuevas reglasadministradas

Esta versión admite las nuevasreglas administradas que se indican acontinuación:

• ec2-instance-managed-by-ssm (p. 121)

• ec2-managedinstance-association-compliance-status-check (p. 123)

• ec2-managedinstance-patch-compliance-status-check (p. 124)

• guardduty-enabled-centralized (p. 130)

• rds-snapshots-public-prohibited (p. 139)

• s3-blacklisted-actions-prohibited (p. 144)

• s3-bucket-policy-not-more-permissive (p. 144)

Para obtener más información, consulteLista de las reglas administradas deAWS Config (p. 103).

5 de septiembre de 2018

AWS Configadmite el tipode recursoAdministrador desistemas de AWS

Con esta versión, puede utilizar AWSConfig para registrar los cambios deconfiguración a los tipos de recursosde conformidad de asociación yde conformidad de parches deAdministrador de sistemas de AWS.Para obtener más información, consulteTipos de recursos de AWS admitidospor AWS Config y relaciones derecursos (p. 9).

9 de agosto de 2018

AWS Config lepermite eliminarsus datos deAWS Config conla Consola deadministración deAWS

En esta versión, AWS Config presentala compatibilidad con el periodo deretención mediante la Consola deadministración de AWS. En la Consolade administración de AWS, puedeseleccionar un periodo de retenciónde datos personalizados para suConfigurationItems. Para obtenermás información, consulte Eliminaciónde datos de AWS Config (p. 65).

7 de agosto de 2018

AWS Configadmite el tipo derecurso de AWSShield

Con esta versión, puede utilizar AWSConfig para registrar cambios deconfiguración en el tipo de recurso deprotección de AWS Shield. Para obtenermás información, consulte Tipos derecursos de AWS admitidos por AWSConfig y relaciones de recursos (p. 9).

7 de agosto de 2018

214

Page 221: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

AWS Config escompatible conAWS PrivateLink

En esta versión, AWS Config escompatible con AWS PrivateLink, lo quele permite dirigir datos entre su AmazonVirtual Private Cloud (VPC) AWS Configen su totalidad dentro de la red deAWS. Para obtener más información,consulte Uso de AWS Config con lospuntos de enlace de la VPC de tipointerfaz (p. 199).

31 de julio de 2018

AWS Config lepermite eliminarsus datos de AWSConfig

En esta versión, AWS Config presentasoporte del periodo de retención. AWSConfig le permite eliminar sus datosespecificando un período de retenciónpara su ConfigurationItems. Para obtener más información,consulte Eliminación de datos de AWSConfig (p. 65).

En esta versión, AWS Config añade lassiguientes API nuevas. Para obtenermás información, consulte la Referenciade la API de AWS Config:

• PutRetentionConfiguration• DescribeRetentionConfigurations• DeleteRetentionConfiguration

25 de mayo de 2018

AWS Configadmitenuevas reglasadministradas

Esta versión admite las dos nuevasreglas administradas que se indican acontinuación:

• lambda-function-settings-check (p. 135)

• s3-bucket-replication-enabled (p. 149)• iam-policy-blacklisted-check (p. 132)

Para obtener más información, consulteLista de las reglas administradas deAWS Config (p. 103).

10 de mayo de 2018

AWS Configadmite el tipo derecurso de AWS X-Ray

Con esta versión, puede utilizar AWSConfig para registrar cambios deconfiguración en el tipo de recursoEncryptionConfig de AWS X-Ray. Paraobtener más información, consulte Tiposde recursos de AWS admitidos por AWSConfig y relaciones de recursos (p. 9).

1 de mayo de 2018

215

Page 222: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

AWS Configadmite el tipo derecurso de tablade AWS Lambday una nueva reglaadministrada

Con esta versión, puede utilizar AWSConfig para registrar cambios deconfiguración en el tipo de recurso defunción de AWS Lambda. Para obtenermás información, consulte Tipos derecursos de AWS admitidos por AWSConfig y relaciones de recursos (p. 9).

Esta versión también admite la reglaadministrada lambda-function-public-access-prohibited (p. 136). Para obtenermás información, consulte Reglasadministradas de AWS Config (p. 103).

25 de abril de 2018

AWS Configadmite el tipo derecurso de AWSElastic Beanstalk

En esta versión, puede utilizar AWSConfig para registrar los cambios deconfiguración en la aplicación de AWSElastic Beanstalk, en la versión de laaplicación y en los recursos del entorno.

Para obtener más información, consulteTipos de recursos de AWS admitidospor AWS Config y relaciones derecursos (p. 9).

24 de abril de 2018

AWS Configadmitenuevas reglasadministradas

Esta versión admite las dos nuevasreglas administradas que se indican acontinuación:

• fms-webacl-resource-policy-check (p. 128)

• fms-webacl-rulegroup-association-check (p. 129)

Para obtener más información, consulteLista de las reglas administradas deAWS Config (p. 103).

4 de abril de 2018

216

Page 223: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

Acumulación dedatos de variascuentas y regiones

En esta versión, AWS Config introducela acumulación de datos de variascuentas y regiones. Esta característicale permite agregar datos de AWSConfig de varias cuentas o de unaorganización y de varias regionesen una cuenta de agregador. Paraobtener más información, consulteAcumulación de datos de varias cuentasy regiones (p. 177).

En esta versión, AWS Config añade lassiguientes API nuevas. Para obtenermás información, consulte la Referenciade la API de AWS Config:

• PutConfigurationAggregator• DescribePendingAggregationRequests• DeletePendingAggregationRequest• PutAggregationAuthorization• DescribeAggregationAuthorizations• GetAggregateConfigRuleComplianceSummary• DescribeAggregateComplianceByConfigRules• GetAggregateComplianceDetailsByConfigRule• DescribeConfigurationAggregators• DescribeConfigurationAggregatorSourcesStatus• DeleteAggregationAuthorization• DeleteConfigurationAggregator

4 de abril de 2018

Monitorizaciónde AWS Configcon AmazonCloudWatchEvents

En esta versión, es posible utilizarAmazon CloudWatch Events paradetectar cambios en el estado de loseventos de AWS Config y reaccionarante ellos.

Para obtener más información, consulteMonitorización de AWS Config conAmazon CloudWatch Events (p. 193).

29 de marzo de 2018

Nueva operaciónAPI

En esta versión, AWS Configañade compatibilidad con la APIBatchGetResourceConfig, que permiterecuperar el estado actual de uno ovarios recursos por lotes.

20 de marzo de 2018

217

Page 224: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

AWS Configadmite el tipo derecurso RuleGroupde AWS WAF

En esta versión, puede utilizar AWSConfig para registrar los cambios deconfiguración en el RuleGroup de AWSWAF y en los recursos regionales deRuleGroup de AWS WAF.

Para obtener más información, consulteTipos de recursos de AWS admitidospor AWS Config y relaciones derecursos (p. 9).

15 de febrero de 2018

AWS Configadmitenuevas reglasadministradas

Esta versión admite las nuevasreglas administradas que se indican acontinuación:

• elb-acm-certificate-required (p. 126)• elb-custom-security-policy-ssl-

check (p. 126)• elb-predefined-security-policy-ssl-

check (p. 127)• codebuild-project-envvar-awscred-

check (p. 115)• codebuild-project-source-repo-url-

check (p. 115)• iam-group-has-users-check (p. 130)• s3-bucket-server-side-encryption-

enabled (p. 150)

Para obtener más información, consulteLista de las reglas administradas deAWS Config (p. 103).

25 de enero de 2018

AWS Configadmite el tipo derecurso de ElasticLoad Balancing

Con esta versión, puede utilizar AWSConfig para registrar cambios deconfiguración en los Classic LoadBalancer de Elastic Load Balancing.

Para obtener más información, consulteTipos de recursos de AWS admitidospor AWS Config y relaciones derecursos (p. 9).

17 de noviembre de 2017

218

Page 225: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

AWS Configadmite el siguientetipo de recursode AmazonCloudFront y AWSWAF

Con esta versión, puede utilizarAWS Config para registrar cambiosde configuración en la distribuciónde streaming y la distribución deCloudFront.

Con esta versión, puede utilizar AWSConfig para registrar los cambios deconfiguración a los siguientes AWSWAF y recursos regionales de AWSWAF en la regla basada en frecuencia yen ACL web.

Para obtener más información, consulteTipos de recursos de AWS admitidospor AWS Config y relaciones derecursos (p. 9).

15 de noviembre de 2017

AWS Configadmite el siguientetipo de recurso deAWS CodeBuild

Con esta versión, puede utilizar AWSConfig para registrar cambios deconfiguración en los proyectos de AWSCodeBuild.

Para obtener más información, consulteTipos de recursos de AWS admitidospor AWS Config y relaciones derecursos (p. 9).

20 de octubre de 2017

AWS Configadmite recursos deAuto Scaling y unaregla administradanueva

Con esta versión, puede utilizar AWSConfig para registrar los cambios deconfiguración de los siguientes recursosde Auto Scaling: grupos, configuraciónde lanzamiento, acción programada, ypolítica de escalado.

Para obtener más información, consulteTipos de recursos de AWS admitidospor AWS Config y relaciones derecursos (p. 9).

Esta versión también admite la siguientenueva regla administrada:

• autoscaling-group-elb-healthcheck-required (p. 108)

Para obtener más información,consulte Reglas administradas de AWSConfig (p. 103).

18 de septiembre de 2017

219

Page 226: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

AWS Configadmite el siguientetipo de recurso deAWS CodeBuild

Con esta versión, puede utilizar AWSConfig para registrar cambios deconfiguración en los proyectos de AWSCodeBuild.

Para obtener más información, consulteTipos de recursos de AWS admitidospor AWS Config y relaciones derecursos (p. 9).

20 de octubre de 2017

AWS Configadmite recursos deAuto Scaling y unaregla administradanueva

Con esta versión, puede utilizar AWSConfig para registrar los cambios deconfiguración de los siguientes recursosde Auto Scaling: grupos, configuraciónde lanzamiento, acción programada, ypolítica de escalado.

Para obtener más información, consulteTipos de recursos de AWS admitidospor AWS Config y relaciones derecursos (p. 9).

Esta versión también admite la siguientenueva regla administrada:

• autoscaling-group-elb-healthcheck-required (p. 108)

Para obtener más información,consulte Reglas administradas de AWSConfig (p. 103).

18 de septiembre de 2017

AWS Configadmite el tipo derecurso de tablade DynamoDB yuna nueva reglaadministrada

Con esta versión, puede utilizar AWSConfig para registrar los cambiosde configuración de las tablas deDynamoDB.

Para obtener más información, consulteTipos de recursos de AWS admitidospor AWS Config y relaciones derecursos (p. 9).

Esta versión admite la siguiente nuevaregla administrada:

• dynamodb-autoscaling-enabled (p. 118)

Para obtener más información,consulte Reglas administradas de AWSConfig (p. 103).

8 de septiembre de 2017

220

Page 227: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

AWS Configadmite dosnuevas reglasadministradas paraAmazon S3

Esta versión admite dos nuevas reglasadministradas:

• s3-bucket-public-read-prohibited (p. 148)

• s3-bucket-public-write-prohibited (p. 149)

Para obtener más información,consulte Reglas administradas de AWSConfig (p. 103).

14 de agosto de 2017

Nueva página enla consola de AWSConfig

Puede utilizar Dashboard (Panel) dela consola de AWS Config para ver losiguiente:

• La cantidad total de recursos• Cantidad total de reglas• Cantidad de recursos no conformes• Cantidad de reglas no conformes

Para obtener más información, consulteVer el panel de AWS Config (p. 31).

17 de julio de 2017

Nueva operaciónAPI

Puede utilizar la operaciónGetDiscoveredResourceCounts paradevolver las cantidades de tipos derecursos, de cada tipo de recurso yel total de recursos que AWS Configregistra en una región de su cuentaAWS.

17 de julio de 2017

AWS Configadmite el tipode recurso depila de AWSCloudFormation yuna nueva reglaadministrada

Con esta versión, puede utilizar AWSConfig para registrar los cambios deconfiguración de las pilas de AWSCloudFormation.

Para obtener más información, consulteTipos de recursos de AWS admitidospor AWS Config y relaciones derecursos (p. 9).

Esta versión admite la siguiente nuevaregla administrada:

• cloudformation-stack-notification-check (p. 109)

Para obtener más información,consulte Reglas administradas de AWSConfig (p. 103).

6 de julio de 2017

221

Page 228: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

Contenido nuevo yactualizado

Esta versión incorpora soporte paralas reglas de AWS Config en RegiónCanadá (Central) y Región América delSur (São Paulo).

Para todas las regiones que admitenAWS Config y reglas de configuración,consulte Regiones y puntos de enlacede AWS en la AWS General Reference.

5 de julio de 2017

Contenido nuevo yactualizado

Las reglas de AWS Config estándisponibles en la región AWS GovCloud(US). Para obtener más información,consulte la AWS GovCloud (US) UserGuide.

Para las regiones que admiten AWSConfig, consulte Regiones y puntosde enlace de AWS en la AWS GeneralReference.

8 de junio de 2017

AWS Configadmite el tipode recurso dealarma de AmazonCloudWatch y tresnuevas reglasadministradas.

Con esta versión, puede utilizar AWSConfig para registrar los cambios deconfiguración en las alarmas de AmazonCloudWatch.

Para obtener más información, consulteTipos de recursos de AWS admitidospor AWS Config y relaciones derecursos (p. 9).

Esta versión admite tres nuevas reglasadministradas:

• cloudwatch-alarm-action-check (p. 112)

• cloudwatch-alarm-resource-check (p. 113)

• cloudwatch-alarm-settings-check (p. 113)

Para obtener más información,consulte Reglas administradas de AWSConfig (p. 103).

1 de junio de 2017

222

Page 229: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

Contenido nuevo yactualizado

Esta versión admite la especificación delnúmero de versión de la aplicación paralas siguientes reglas administradas:

• ec2-managedinstance-applications-blacklisted (p. 122)

• ec2-managedinstance-applications-required (p. 122)

Para obtener más información,consulte Reglas administradas de AWSConfig (p. 103).

1 de junio de 2017

Contenido nuevo yactualizado

Esta versión incorpora soporte parareglas de AWS Config en Región AsiaPacífico (Mumbai). Para obtener másinformación, consulte Regiones y puntosde enlace de AWS en la AWS GeneralReference.

27 de abril de 2017

Contenido nuevo yactualizado

Esta versión admite una consolaactualizada para añadir reglasadministradas de AWS Config a sucuenta por primera vez.

Al configurar reglas de AWS Config porprimera vez o en una nueva región,puede buscar las reglas administradasde AWS por nombre, descripcióno etiqueta. Puede elegir Select all(Seleccionar todas) para seleccionartodas las reglas o elegir Clear All (Borrartodas) para borrar todas las reglas.

Para obtener más información, consulteConfiguración de reglas de AWS Configcon la consola (p. 29).

5 de abril de 2017

223

Page 230: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

AWS Configadmitenuevas reglasadministradas

Esta versión admite las nuevasreglas administradas que se indican acontinuación:

• acm-certificate-expiration-check (p. 106)

• ec2-instance-detailed-monitoring-enabled (p. 121)

• ec2-managedinstance-inventory-blacklisted (p. 124)

• ec2-volume-inuse-check (p. 125)• iam-user-group-membership-

check (p. 133)• iam-user-no-policies-check (p. 134)• s3-bucket-ssl-requests-only (p. 150)

Para obtener más información, consulteLista de las reglas administradas deAWS Config (p. 103).

21 de febrero de 2017

Contenido nuevo yactualizado

Esta versión incorpora soporte parareglas de AWS Config en RegiónUE (Londres). Para obtener másinformación, consulte Regiones y puntosde enlace de AWS en la AWS GeneralReference.

21 de febrero de 2017

Contenido nuevo yactualizado

Esta versión añade plantillas AWSCloudFormation para las reglasadministradas de AWS Config. Puedeutilizar las plantillas para crear reglasadministradas para su cuenta. Paraobtener más información, consulteCreación de reglas administradas deAWS Config con plantillas de AWSCloudFormation (p. 154).

16 de febrero de 2017

Contenido nuevo yactualizado

Esta versión incorpora soporte paraun nuevo modo de prueba para la APIde PutEvaluations. Especifique elparámetro TestMode en true en la reglapersonalizada para verificar si la funciónAWS Lambda entregará los resultadosde la evaluación a AWS Config. Nose producen actualizaciones en lasevaluaciones existentes y los resultadosde las evaluaciones no se envían aAWS Config.

Para obtener más información, consultePutEvaluations en la AWS Config APIReference.

16 de febrero de 2017

224

Page 231: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

Contenido nuevo yactualizado

Esta versión incorpora soporte parareglas de AWS Config en las regionesAsia Pacífico (Seúl) y EE.UU. Oeste(Norte de California). Para obtener másinformación, consulte Regiones y puntosde enlace de AWS en la AWS GeneralReference.

21 de diciembre de 2016

Contenido nuevo yactualizado

Esta versión incorpora soporte paraAWS Config en Región UE (Londres).Para obtener más información, consulteRegiones y puntos de enlace de AWSen la AWS General Reference.

13 de diciembre de 2016

Contenido nuevo yactualizado

Esta versión incorpora soporte paraAWS Config en Región Canadá(Central). Para obtener más información,consulte Regiones y puntos de enlacede AWS en la AWS General Reference.

8 de diciembre de 2016

AWS Configadmite tiposde recursos deAmazon Redshifty dos reglasadministradasnuevas.

Con esta versión, puede utilizar AWSConfig para registrar cambios deconfiguración en clústeres de AmazonRedshift, grupos de parámetros declústeres, grupos de seguridad declústeres, instantáneas de clústeres,grupos de subred de clústeres ysuscripciones a eventos.

Para obtener más información, consulteTipos de recursos de AWS admitidospor AWS Config y relaciones derecursos (p. 9).

Esta versión admite dos nuevas reglasadministradas:

• redshift-cluster-configuration-check (p. 139)

• redshift-cluster-maintenancesettings-check (p. 140)

Para obtener más información, consulteLista de las reglas administradas deAWS Config (p. 103).

7 de diciembre de 2016

225

Page 232: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

Contenido nuevo yactualizado

Esta versión incorpora soporte para unanueva regla administrada:

• dynamodb-throughput-limit-check (p. 120)

Para obtener más información, consulteLista de las reglas administradas deAWS Config (p. 103).

7 de diciembre de 2016

Contenido nuevo yactualizado

Esta versión incorpora soporte paracrear hasta 50 reglas por cada regiónen una cuenta. Para obtener másinformación, consulte Límites de AWSConfig en la AWS General Reference.

7 de diciembre de 2016

AWS Configadmite el tipode recursode inventariode instanciasadministradasde AmazonEC2 SystemsManager y tresnuevas reglasadministradas.

Con esta versión, puede utilizar AWSConfig para registrar los cambiosde configuración del software ensus instancias administradas consoporte para el inventario de instanciasadministradas.

Para obtener más información, consulteRegistro de la configuración de softwarepara instancias administradas (p. 61).

Esta versión admite tres nuevas reglasadministradas:

• ec2-managedinstance-inventory-blacklisted (p. 124)

• ec2-managedinstance-applications-required (p. 122)

• ec2-managedinstance-platform-check (p. 125)

Para obtener más información, consulteLista de las reglas administradas deAWS Config (p. 103).

1 de diciembre de 2016

226

Page 233: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

AWS Configadmite el recursodel bucket deAmazon S3 y dosnuevas reglasadministradas

Con esta versión, puede utilizar AWSConfig para registrar los cambios deconfiguración en los buckets de AmazonS3. Para obtener más información,consulte Tipos de recursos de AWSadmitidos por AWS Config y relacionesde recursos (p. 9).

Esta versión admite dos nuevas reglasadministradas:

• s3-bucket-logging-enabled (p. 147)• s3-bucket-versioning-enabled (p. 151)

Para obtener más información,consulte Reglas administradas de AWSConfig (p. 103).

18 de octubre de 2016

Contenido nuevo yactualizado

Esta versión incorpora soporte para lasreglas de AWS Config y AWS Configen la Región EE.UU Este (Ohio). Paraobtener más información, consulteRegiones y puntos de enlace de AWSen la AWS General Reference.

17 de octubre de 2016

Reglasadministradasnuevas yactualizadas

Esta actualización añade soporte paraocho nuevas reglas administradas:

• approved-amis-by-id (p. 107)• approved-amis-by-tag (p. 108)• db-instance-backup-enabled (p. 117)• desired-instance-type (p. 118)• ebs-optimized-instance (p. 120)• iam-password-policy (p. 131)• rds-multi-az-support (p. 138)• rds-storage-encrypted (p. 139)

Puede especificar varios valores deparámetros para las reglas siguientes:

• desired-instance-tenancy (p. 117)• required-tags (p. 141)

Para obtener más información, consulteLista de las reglas administradas deAWS Config (p. 103).

4 de octubre de 2016

227

Page 234: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

Contenido nuevoy actualizado parala consola AWSConfig

Esta actualización incorpora soportepara la visualización de la actividad dela API de AWS CloudTrail en la líneatemporal de AWS Config. Si CloudTrailrealiza registros en su cuenta, puedever, crear, actualizar y eliminar loseventos de API para cambios deconfiguración de los recursos. Paraobtener más información, consulteVisualización de los detalles de laconfiguración (p. 36).

06 de septiembre de 2016

AWS Configadmite el tipo derecurso de ElasticLoad Balancing

Con esta versión, puede utilizar AWSConfig para registrar cambios deconfiguración en sus balanceadoresde carga de aplicaciones de ElasticLoad Balancing. Para obtener másinformación, consulte Tipos de recursosde AWS admitidos por AWS Config yrelaciones de recursos (p. 9).

31 de agosto de 2016

Contenido nuevo yactualizado

Esta versión incorpora soporte parareglas de AWS Config en las regionesAsia Pacífico (Singapur) y Asia Pacífico(Sídney). Para obtener más información,consulte Regiones y puntos de enlacede AWS en la AWS General Reference.

18 de agosto de 2016

Contenido nuevoy actualizado parareglas de AWSConfig

Esta actualización incorpora soportepara la creación de una regla quese puede activar mediante cambiosde configuración y con la frecuenciaperiódica que se elija. Para obtener másinformación, consulte Especificaciónde los disparadores de reglas de AWSConfig (p. 101).

Esta actualización también incorporasoporte para evaluar manualmentelos recursos con respecto a la regla yeliminar los resultados de la evaluación.Para obtener más información, consulteEvaluación de sus recursos (p. 174).

Esta actualización también incorporasoporte para evaluar tipos de recursosadicionales con reglas personalizadas.Para obtener más información, consulteEvaluación de tipos de recursosadicionales (p. 161).

25 de julio de 2016

228

Page 235: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

AWS Configadmite los tiposde recursosAmazon RDS yAWS CertificateManager (ACM).

Con esta versión, puede utilizarAWS Config para registrar cambiosde configuración en instancias debase de datos de Amazon RelationalDatabase Service (Amazon RDS),grupos de seguridad de base dedatos, instantáneas de base de datos,grupos de subred de base de datosy suscripciones a eventos. Tambiénpuede utilizar AWS Config para registrarcambios de configuración en loscertificados que proporciona ACM.

Para obtener más información, consulteTipos de recursos de AWS admitidospor AWS Config y relaciones derecursos (p. 9).

21 de julio de 2016

Informaciónactualizada sobrela administracióndel registro deconfiguración

Esta actualización añade pasos paracambiar de nombre y eliminar el registrode configuración para Administración delregistro de configuración (p. 55).

07 de julio de 2016

Creaciónsimplificada deroles y políticasactualizadas

Con esta actualización, se simplifica lacreación de un rol de IAM para AWSConfig. Esta mejora está disponibleen las regiones que admiten reglasde configuración. Para permitir estamejora, se han actualizado los pasosde Configuración de AWS Config conla consola (p. 21), el ejemplo de políticade Permisos para el bucket de AmazonS3 (p. 94) y el ejemplo de política deOtorgar permisos personalizados a losusuarios de AWS Config (p. 84).

31 de marzo de 2016

Ejemplo defunciones yeventos de reglasde configuración

En esta actualización, se proporcionanfunciones de ejemplo actualizadasen Funciones SW AWS Lambda deejemplo para reglas de AWS Config(Node.js) (p. 162) y esta actualizaciónincorpora eventos de ejemplo enEventos de ejemplos para reglas deAWS Config (p. 167).

29 de marzo de 2016

Repositorio GitHubde reglas de AWSConfig

Esta actualización incorpora informaciónsobre el AWS Config Rules GitHubrepository en Evaluación de recursoscon reglas (p. 98). Este repositorioofrece funciones de ejemplo para reglaspersonalizadas que han desarrollado yofrecido usuarios de AWS Config.

1 de marzo de 2016

229

Page 236: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

Reglas de AWSConfig

Esta versión introduce reglas deAWS Config. Con las reglas, puedeutilizar AWS Config para evaluar silos recursos de AWS cumplen susconfiguraciones deseadas. Para obtenermás información, consulte Evaluaciónde recursos con reglas (p. 98).

18 de diciembre de 2015

AWS Configadmite los tipos derecursos de IAM

Con esta versión, puede utilizarAWS Config para registrar cambiosde configuración en los usuarios,los grupos, los roles y las políticasadministradas por el cliente de IAM.Para obtener más información, consulteTipos de recursos de AWS admitidospor AWS Config y relaciones derecursos (p. 9).

10 de diciembre de 2015

AWS Configadmite el hostdedicado de EC2

Con esta versión, puede utilizar AWSConfig para registrar cambios deconfiguración en los hosts dedicadosde EC2. Para obtener más información,consulte Tipos de recursos de AWSadmitidos por AWS Config y relacionesde recursos (p. 9).

23 de noviembre de 2015

Informaciónde permisosactualizada

Esta actualización incorpora informaciónsobre las siguientes políticasadministradas de AWS para AWSConfig:

• AWSConfigRole: concede permisoa AWS Config para obtener losdetalles de la configuración sobrelos recursos. Para obtener másinformación, consulte Política deroles de IAM para obtener datos deconfiguración (p. 93).

• AWSConfigUserAccess: concedeacceso de solo lectura a un usuariode AWS Config. Para obtenermás información, consulte Otorgarpermisos personalizados a losusuarios de AWS Config (p. 84).

19 de octubre de 2015

Vista previa de lasreglas de AWSConfig

Esta versión introduce la vista previade las reglas de AWS Config. Conlas reglas, puede utilizar AWS Configpara evaluar si los recursos de AWScumplen sus configuraciones deseadas.Para obtener más información,consulte Evaluación de recursos conreglas (p. 98).

7 de octubre de 2015

230

Page 237: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

Característica Descripción Fecha de la versión

Contenido nuevo yactualizado

Esta versión añade la posibilidad debuscar recursos que AWS Configha descubierto. Para obtener másinformación, consulte Búsquedade recursos que detecta AWSConfig (p. 35).

27 de agosto de 2015

Contenido nuevo yactualizado

Esta versión añade la posibilidad deseleccionar qué tipos de recursosregistra AWS Config. Para obtener másinformación, consulte Selección delos recursos que debe registrar AWSConfig (p. 57).

23 de junio de 2015

Contenido nuevo yactualizado

Esta versión incorpora compatibilidadcon las siguientes regiones: AsiaPacífico (Tokio), Asia Pacífico(Singapur), UE (Fráncfort), Américadel Sur (São Paulo) y EE.UU. Oeste(Norte de California). Para obtener másinformación, consulte Regiones y puntosde enlace de AWS.

6 de abril de 2015

Contenido nuevo yactualizado

Esta versión incorpora soporte parala creación de una suscripción decorreo electrónico opcional a su temade Amazon SNS. También puedeutilizar filtros de correo electrónicopara monitorizar cambios de recursosespecíficos. Para obtener másinformación, consulte Monitorización decambios de recursos de AWS Config porcorreo electrónico (p. 62).

27 de marzo de 2015

Contenido nuevo yactualizado

Esta versión admite la integración conAWS CloudTrail para el registro de todala actividad de la API de AWS Config.Para obtener más información, consulteRegistro de llamadas a la API de AWSConfig con AWS CloudTrail (p. 201).

Esta versión incorpora soporte para lasregiones EE.UU. Oeste (Oregón), UE(Irlanda) y Asia Pacífico (Sídney).

Esta versión también incluye lassiguientes actualizaciones de ladocumentación:

• Información sobre la monitorizaciónde las configuraciones de AWS Config

• Varias correcciones a lo largo deldocumento

10 de febrero de 2015

Nueva guía Esta versión introduce AWS Config. 12 de noviembre de 2014

231

Page 238: AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

AWS Config Guía del desarrollador

AWS GlossaryFor the latest AWS terminology, see the AWS Glossary in the AWS General Reference.

232