Perguntas frequentes do Amazon Config

A maneira mais rápida de começar a usar o AWS Config é usar o Console de Gerenciamento da AWS. Você pode ativar o AWS Config com algumas seleções. Para obter mais detalhes, consulte a documentação sobre Conceitos básicos.

Você pode procurar as configurações atuais e históricas do seu recurso usando o Console de Gerenciamento da AWS, a Interface da linha de comando da AWS ou os SDKs.

Para obter mais detalhes, consulte a documentação do AWS Config.

Você deve ativar o AWS Config por região para sua conta.

Sim, você pode configurar o AWS Config para enviar atualizações de configurações de diferentes contas para um bucket do Amazon Simple Storage Service (S3), desde que as políticas do IAM adequadas sejam aplicadas a esse bucket do Amazon S3. Você também pode publicar notificações para o tópico do SNS, dentro da mesma região, desde que as políticas IAM adequadas sejam aplicadas ao tópico do SNS.

Sim. Todas as atividades de API do AWS Config, incluindo o uso das operações de APIs do AWS Config para ler dados de configuração, são registradas no CloudTrail.

O AWS Config exibe em um cronograma o horário em que os itens de configuração (CIs) de um recurso foram gravados. Todos os horários são capturados usando o tempo universal coordenado (UTC). Quando o cronograma é visualizado no console de gerenciamento, o serviço usa o fuso horário atual (ajustado para o horário de verão, se for o caso) para exibir todos os horários na visualização de cronograma.

Um item de configuração (CI) é a configuração de um recurso em um determinado momento. Um CI consiste em cinco seções:

Informações básicas sobre o recurso, comuns em diferentes tipos de recursos (como nomes de recursos da Amazon, tags),

Dados de configuração específicos do recurso (como tipo de instância do EC2),

Mapa de relações com outros recursos (por exemplo, EC2::Volume vol-3434df43 está “conectado à instância” Instância do EC2 i-3432ee3a),

IDs de evento do CloudTrail relacionados a esse estado (apenas para recursos da AWS)

Metadados, que ajudam a identificar as informações sobre o CI, como versão do CI e quando ele foi capturado.

Saiba mais sobre os itens de configuração.

Um item de configuração (IC) personalizado é o IC para um recurso personalizado ou de terceiros. Os exemplos incluem bancos de dados on-premises, servidores do Diretório Ativo, sistemas de controle de versão como o GitHub e ferramentas de monitoramento de terceiros, como o Datadog.

O AWS Config considera as relações entre recursos ao registrar as alterações. Por exemplo, se um novo grupo de segurança do EC2 estiver associado a uma instância do EC2, o AWS Config registra as configurações atualizadas do recurso primário, do grupo de segurança do EC2, e dos recursos relacionados, se esses recursos forem alterados.

O AWS Config detecta alterações nas configurações de um recurso e registra o estado da configuração resultante da alteração. Quando várias alterações de configuração são feitas em um recurso em rápida sucessão, o AWS Config registrará apenas a configuração mais recente do recurso, que representa o impacto acumulado do conjunto de alterações. Nessas situações, o AWS Config listará apenas a última mudança no campo relatedEvents do item de configuração. Isto ajudará os usuários e programas a continuarem a mudar as configurações de infraestrutura sem ter que esperar pelo AWS Config para registrar estados transientes intermediários.

A gravação periódica permite a você decidir com que frequência registrar as alterações em seu ambiente, reduzindo os itens de configuração dos recursos que mudam com frequência. Em vez de receber atualizações contínuas, você pode usar a gravação periódica para receber alterações de configuração a cada 24 horas para atender aos seus casos de uso. 

A gravação periódica oferece a opção de decidir a frequência de recebimento de atualizações sobre suas configurações de recursos. Quando ativado, o AWS Config só entregará a configuração mais recente de um recurso ao final de um período de 24 horas se ela tiver sido alterada, reduzindo a frequência dos dados de configuração e tornando o custo da coleta desses dados mais previsível para casos de uso, como planejamento operacional e auditoria. Se suas necessidades de segurança e conformidade exigirem monitoramento contínuo de seus recursos, a gravação contínua deverá ser usada.

Sim, o AWS Config verifica regularmente a configuração dos recursos para detectar alterações que ainda não foram registradas e registra essas alterações. Os CIs registrados nessas verificações não têm o campo relatedEvent na mensagem. Apenas o estado mais recente diferente do estado já gravado é selecionado.

Sim. O AWS Config ajuda a registrar alterações de configuração no software dentro de instâncias do EC2 na conta da AWS e também em máquinas virtuais (VMs) ou servidores no ambiente on-premises. As informações de configuração registradas pelo AWS Config incluem atualizações do sistema operacional, configuração da rede e aplicações instaladas. É possível avaliar se as instâncias, as VMs e os servidores estão cumprindo com as diretrizes estabelecidas usando o AWS Config Rules. Os recursos de visibilidade profunda e monitoramento contínuo disponibilizados pelo AWS Config ajudam a avaliar a conformidade e solucionar os problemas operacionais.

O AWS Config somente envia notificações quando o status de conformidade é alterado. Se um recurso anteriormente fora de conformidade continuar fora de conformidade, o AWS Config não enviará uma nova notificação. Se o status de conformidade mudar para “compliant”, você receberá uma notificação da mudança de status.

Sim, você pode excluir recursos navegando até a página de “configurações do gravador” do AWS Config no console, selecionando a opção “Excluir tipos de recursos” e especificando as exclusões desejadas. Como alternativa, você pode utilizar a API PutConfigurationRecorder para acessar esse atributo. Essa API desativará o registro de configuração para esse tipo de recurso. Além disso, quando você configura as regras do AWS Config, pode especificar se a regra executa avaliações em determinados tipos de recurso ou em recursos com uma tag específica.

A configuração de um recurso é definida pelos dados inclusos no item de configuração (CI) do AWS Config. A versão inicial das regras AWS Config disponibiliza o CI de um recurso para as regras relevantes. As regras de AWS Config podem usar essas informações junto com qualquer outra informação relevante, como outro recurso conectado e horário comercial para avaliar a conformidade com a configuração de um recurso.

Uma regra representa os valores de atributo do Configuration Item (CI – Item de configuração) desejados para os recursos e é avaliada pela comparação desses valores de atributo com CIs registrados pelo AWS Config. Existem dois tipos de regras:

Regras gerenciadas pela AWS: são pré-concebidas e gerenciadas pela AWS. Você pode escolher a regra que você deseja habilitar e, então, informar alguns parâmetros de configuração para começar. Saiba mais »

Regras gerenciadas pelo cliente: são regras personalizadas, definidas e concebidas por você. Você pode criar uma função no AWS Lambda que possa ser invocada como parte de uma regra personalizada, e essas funções são aplicadas na sua conta. Saiba mais »

A maneira mais rápida de começar a usar o AWS Config é usar o Console de Gerenciamento da AWS. Você pode ativar o AWS Config com algumas seleções. Para obter mais detalhes, consulte a documentação sobre Conceitos básicos.

Geralmente, as regras são configuradas pelo administrador de conta da AWS. Elas podem ser criadas por meio da utilização das regras gerenciadas pela AWS, que são um conjunto predefinido de regras disponibilizado pela AWS, ou via regras gerenciadas do cliente. Com as regras gerenciadas pela AWS, as atualizações de regra são aplicadas automaticamente para qualquer conta que esteja utilizando essa regra. No modelo gerenciado pelo cliente, os clientes têm uma cópia completa da regra e a aplicam em sua própria conta. Essas regras são mantidas pelos clientes.

Por padrão, você pode criar até 150 regras na sua conta da AWS. Além disso, você pode solicitar um aumento do limite do número de regras em sua conta acessando a página AWS Service Limits.

Qualquer regra pode ser configurada como uma regra acionada por alteração ou como uma regra periódica. Uma regra acionada por alteração é aplicada quando o AWS Config registra uma alteração de configuração em qualquer um dos recursos especificados. Além disso, uma das seguintes opções deve ser especificada:

Tag Key:(optional Value): Uma tag key:value significa que qualquer alteração na configuração de recursos com a tag key:value especificada iniciará uma avaliação da regra.

Tipos de recurso: qualquer alteração de configuração registrada para qualquer recurso dentre os tipos de recursos especificados iniciará uma avaliação da regra.

ID de recurso: qualquer alteração registrada no recurso especificada pelo tipo e ID do recurso iniciará uma avaliação da regra.

Uma regra periódica é iniciada com uma frequência especificada. As frequências disponíveis são de 1 hora, 3 horas, 6 horas, 12 horas ou 24 horas. Uma regra periódica tem um snapshot completo dos Itens de configuração (CIs) atuais para todos os recursos disponíveis para a regra.

A avaliação de uma regra determina se uma regra está em conformidade com um recurso em um momento específico. É o resultado da avaliação de uma regra em relação à configuração de um recurso. As regras do AWS Config vão capturar e armazenar o resultado de cada avaliação. Esse resultado incluirá o recurso, a regra, o tempo de avaliação e um link para o item de configuração (CI) que provocou a falta de conformidade.

Um recurso está em conformidade se observar todas as regras que se aplicam a ele; caso contrário, não está em conformidade. Similarmente, uma regra está em conformidade caso todos os recursos avaliados pela regra estejam em conformidade com a regra. Se algum recurso não estiver, a regra não estará em conformidade. Em alguns casos, como quando permissões inadequadas são disponibilizadas para a regra, uma avaliação para o recurso pode não existir, o que resulta em um estado de dados insuficientes. Esse estado é isento de determinar o status de conformidade de um recurso ou uma regra.

O painel das regras do AWS Config oferece a você uma visão geral dos recursos monitorados pelo AWS Config e um resumo da conformidade atual por recurso e por regra. Quando você visualizar a conformidade por recurso, você poderá determinar se alguma regra que se aplique ao recurso não está em conformidade no momento. Você poderá visualizar a conformidade por regra, o que diz a você se algum recurso na esfera da regra não está em conformidade no momento. Ao usar essas visualizações de resumo, você poderá explorar mais a visualização de recursos do calendário do AWS Config para determinar quais parâmetros de configuração foram alterados. Com a utilização desse painel você pode começar com uma visão geral e aprofundar sua análise com visualizações refinadas que disponibilizam a você informações completas sobre as alterações no status de conformidade, como também quais alterações provocaram a falta de conformidade.

Você pode usar regras individuais do AWS Config para avaliar a conformidade da configuração de recursos em uma ou mais contas. Os pacotes de conformidade fornecem o benefício adicional das regras de empacotamento, juntamente com as ações de correção em uma única entidade que pode ser implantada em uma organização inteira com uma única seleção. Os pacotes de conformidade visam simplificar o gerenciamento de conformidade e os relatórios em escala quando você gerencia várias contas. Os pacotes de conformidade são projetados para fornecer relatórios de conformidade agregados no nível do pacote e na imutabilidade. Isso ajuda as regras gerenciadas do AWS Config e os documentos de remediação dentro do pacote de conformidade a não serem modificados ou excluídos pelas contas individuais dos membros de uma organização.

O AWS Security Hub é um serviço de segurança e conformidade que fornece gerenciamento de postura de segurança e conformidade como um serviço. Ele usa as regras do AWS Config e o AWS Config como mecanismo principal para avaliar a configuração dos recursos da AWS. As regras do AWS Config também podem ser usadas para avaliar a configuração de recursos diretamente. As regras do AWS Config também são usadas por outros serviços da AWS, como AWS Control Tower e AWS Firewall Manager.

Se um padrão de conformidade, como o PCI DSS, já estiver presente no Security Hub, o serviço do Security Hub totalmente gerenciado é a maneira mais fácil de operacionalizá-lo. Você pode investigar descobertas por meio da integração do Security Hub com o Amazon Detective e criar ações de correção automatizadas ou semiautomatizadas usando a integração do Security Hub com o Amazon EventBridge. No entanto, se você deseja montar seu próprio padrão de conformidade ou segurança, que pode incluir verificações de segurança, operacional ou de otimização de custos, os pacotes de conformidade do AWS Config são a resposta. Os pacotes de conformidade do AWS Config simplificam o gerenciamento das regras do AWS Config, agrupando um grupo de regras do AWS Config e ações de correção associadas em uma única entidade. Esse pacote simplifica a implantação de regras e ações de correção em uma organização. Ele também permite relatórios agregados, pois os resumos de conformidade podem ser relatados no nível do pacote. Você pode começar com os exemplos de pacotes de conformidade do AWS Config que fornecemos e personalizar conforme desejar.

Sim, os pacotes de conformidade do Security Hub e do AWS Config oferecem suporte ao monitoramento de conformidade contínuo, dada a confiança nas regras do AWS Config e AWS Config. As regras subjacentes do AWS Config podem ser acionadas periodicamente ou ao detectar alterações na configuração dos recursos. Isso ajuda a fazer auditoria e avaliar, de forma contínua, a conformidade geral de suas configurações de recursos da AWS com base nas políticas e diretrizes da organização.

A maneira mais rápida de começar é criar um pacote de conformidade usando um de nossos modelos de exemplo por meio da CLI ou do console do AWS Config. Alguns dos modelos de exemplo incluem as melhores práticas operacionais do S3, do Amazon DynamoDB e do PCI. Esses modelos são escritos em YAML. Você pode fazer download desses modelos no site de documentação e modificá-los para se adequar ao seu ambiente usando o seu editor de texto favorito. Você pode até adicionar regras personalizadas do AWS Config que pode ter escrito anteriormente no pacote.

Os Pacotes de conformidade serão cobrados usando um modelo de definição de preço em níveis. Para obter mais detalhes, acesse a página de definição de preço do AWS Config.

A agregação de dados do AWS Config ajuda você a agregar dados do AWS Config de várias contas e regiões em uma única conta e uma única região. A agregação de dados de várias contas ajuda os administradores de TI centralizada a monitorar a conformidade de várias contas da AWS na empresa.

O recurso de agregação de dados não pode ser usado para provisionar regras para várias contas. Esse recurso é apenas uma funcionalidade de geração de relatórios que oferece visibilidade sobre a conformidade. Você pode usar o AWS CloudFormation StackSets para provisionar regras para várias contas e regiões. Saiba mais neste link do blog.

Depois que o AWS Config e as regras do AWS Config estiverem habilitados na conta e nas contas sendo agregadas, você pode habilitar a agregação de dados criando um agregador na conta. Saiba mais.

Um agregador é um recurso do AWS Config que coleta dados do AWS Config de várias contas e regiões. Use um agregador para visualizar a configuração de recursos e os dados de conformidade registrados no AWS Config para várias contas e regiões.

A visualização agregada exibe a contagem total de regras que não estão em conformidade em toda a organização, as cinco principais regras que não estão em conformidade por número de recursos e as cinco principais contas da AWS com o maior número de regras que não estão em conformidade. Você pode visualizar mais detalhes sobre os recursos que violam a regra e a lista de regras que estão sendo violadas por uma conta.

Você pode especificar as contas para as quais os dados do AWS Config serão agregados fazendo upload de um arquivo ou inserindo individualmente as contas. Como essas contas não fazem parte de uma organização da AWS, será necessário que cada conta autorize explicitamente a conta agregadora. Saiba mais.

O recurso de agregação de dados também é útil para agregação de várias regiões. Portanto, você pode agregar os dados do AWS Config de uma conta em várias regiões usando esse recurso.

Para detalhes sobre as regiões em que a agregação de dados de várias contas e várias regiões está disponível, visite o Guia do desenvolvedor do AWS Config: Agregação de dados de várias contas e regiões.

Quando você cria um agregador, especifica as regiões de onde quer agregar dados. A lista de regiões mostra apenas as regiões onde o atributo está disponível. Você também pode selecionar “todas as regiões”. Nesse caso, assim que o suporte ao recurso for adicionado a outras regiões, seus dados serão agregados automaticamente.

Revise a nossa documentação para obter uma lista completa dos tipos de recursos compatíveis.

Para obter mais informações sobre todas as regiões da AWS em que o AWS Config está disponível, consulte a tabela de regiões da AWS.

Com o AWS Config, a cobrança é feita com base no número de itens de configuração registrados, no número de avaliações de regras ativas do AWS Config e no número de avaliações do pacote de conformidade na conta. Um item de configuração é um registro do estado de configuração de um recurso na sua conta da AWS. Há duas frequências nas quais o AWS Config pode entregar itens de configuração: contínua e periódica. A gravação contínua registra e fornece alterações de configuração sempre que uma alteração ocorre. A gravação periódica fornece dados de configuração uma vez a cada 24 horas somente se uma alteração tiver ocorrido. Uma avaliação de regra do AWS Config é uma avaliação do estado de conformidade de um recurso pela regra do AWS Config na sua conta da AWS. Uma avaliação do pacote de conformidade é a avaliação de um recurso por uma regra do AWS Config dentro do pacote de conformidade. Para mais detalhes e exemplos, visite https://aws.amazon.com/config/pricing/.

Você pode escolher dentre um conjunto de regras gerenciadas disponibilizadas pela AWS ou você pode criar suas próprias regras, redigidas como funções do Lambda. As regras gerenciadas são totalmente mantidas pela AWS e você não paga nenhuma taxa adicional do Lambda para executá-las. Você pode habilitar as regras gerenciadas, disponibilizar todos os parâmetros solicitados e pagar uma taxa única para cada regra ativa do AWS Config em um determinado mês. As regras personalizadas oferecem controle completo, pois são aplicadas como funções do Lambda na sua conta. Além de taxas mensais para uma regra ativa, o nível gratuito do Lambda* e as taxas de aplicação de função são aplicáveis para as regras personalizadas do AWS Config.

*O nível gratuito da AWS não está disponível nas regiões China (Beijing) e China (Ningxia) da AWS.

As cobranças são incorridas sempre que uma nova regra é criada e se torna ativa. Se você precisar atualizar ou substituir a função do Lambda associada a uma regra, a abordagem recomendada é atualizar a regra, em vez de excluí-la e criar uma nova regra.

Soluções de parceiros do APN, como Splunk, ServiceNow, Evident.io, CloudCheckr, Redseal e Red Hat CloudForms apresentam ofertas totalmente integradas com os dados do AWS Config. Provedores de serviços gerenciados, como 2nd Watch e CloudNexa também anunciaram integrações com o AWS Config. Além disso, com as regras do AWS Config, parceiros como CloudHealth Technologies, AlertLogic e TrendMicro estão fornecendo ofertas integradas que podem ser usadas. Essas soluções incluem recursos como gerenciamento de alterações e análises de segurança e ajudam você a visualizar, monitorar e gerenciar as configurações de recursos da AWS.