¿Qué es AWS Config?

AWS Config es un servicio completamente administrado que le ofrece un inventario de los recursos de AWS, así como el historial de configuración y las notificaciones de los cambios en la configuración, para asegurar la seguridad y la gobernanza. Con AWS Config, puede descubrir los recursos de AWS ya existentes, exportar el inventario completo de sus recursos de AWS con todos los detalles de configuración y determinar la forma en que se ha configurado un recurso en cualquier momento. Estas funciones permiten realizar auditorías de conformidad, análisis de seguridad, seguimiento de los cambios de los recursos y resolución de problemas.

¿Qué es una regla de configuración?

Una regla de configuración recopila las configuraciones deseadas para un recurso y se evalúa con respecto a los cambios de configuración realizados en los recursos pertinentes según fueron registrados por AWS Config. Los resultados de la evaluación de una regla con respecto a la configuración de un recurso se encuentran disponibles en un panel. Mediante Config Rules, puede obtener acceso a su estado general de conformidad y riesgo desde el punto de vista de la configuración, ver las tendencias en el ámbito de la conformidad a lo largo del tiempo e identificar qué cambio en la configuración ha provocado que un recurso deje de ser conforme a la regla.

¿Qué beneficios ofrece AWS Config?

AWS Config facilita el seguimiento de la configuración de los recursos sin necesidad de realizar inversiones iniciales y elimina la complejidad de instalar y actualizar agentes para la recopilación de datos o el mantenimiento de grandes bases de datos. Después de habilitar AWS Config, puede ver constantemente los detalles actualizados de todos los atributos de configuración asociados con los recursos de AWS. A través de Amazon Simple Notification Service (SNS) se le notifica cada cambio de la configuración.

 

¿En qué ayuda AWS Config en las auditorías?

AWS Config le permite obtener acceso al historial de configuración de los recursos. Puede relacionar los cambios de configuración con los eventos de AWS CloudTrail que posiblemente contribuyen a dichos cambios. Esta información le proporciona una visión completa, desde detalles, como la persona que ha realizado el cambio y desde qué dirección IP, hasta la repercusión que este cambio en los recursos de AWS y en recursos relacionados. Puede usar esta información para generar informes que ayuden a auditar y evaluar la conformidad durante un periodo de tiempo.

¿Quién debería usar AWS Config y Config Rules?

Cualquier cliente de AWS que desee mejorar la seguridad y postura de gobernanza en AWS mediante la evaluación constante de la configuración de sus recursos se beneficiará de esta función. Los administradores de grandes organizaciones que establecen las prácticas recomendadas para la configuración de recursos pueden codificar estas reglas como reglas de configuración y, con ellas, hacer posible la autogobernanza entre los usuarios. Los expertos en seguridad de la información que monitorizan la actividad de uso y las configuraciones para detectar vulnerabilidades se pueden beneficiar de Config Rules. Clientes con cargas de trabajo que deban alcanzar estándares determinados (p. ej., PCI-DSS o HIPAA) pueden usar esta función para valorar la conformidad de la configuración de su infraestructura de AWS y generar informes para sus auditores. Los operadores que administran infraestructuras de AWS de grandes dimensiones o componentes que cambian con frecuencia también se pueden beneficiar de Config Rules en la solución de problemas. A los clientes que quieran dejar constancia de los cambios realizados en la configuración de los recursos, responder a preguntas sobre las configuraciones de los recursos, demostrar la conformidad, solucionar problemas o realizar análisis de seguridad les interesa activar AWS Config.

¿Garantiza este servicio que mis configuraciones siempre serán conformes?

Config Rules proporciona información sobre si los recursos son o no conformes a las reglas de configuración que el usuario ha especificado. Evaluará las reglas en el momento en que se actualicen En AWS Config se incluyen elementos de configuración para el recurso. No garantiza que los recursos sean conformes ni impide a los usuarios llevar a cabo acciones contrarias a las reglas. Además, Config Rules no devuelve automáticamente los recursos no conformes al estado de conformidad.

¿Impide el servicio que los usuarios lleven a cabo acciones contrarias a las reglas?

Config Rules no interviene directamente en el uso que los usuarios finales hacen de AWS, sino que evalúa las configuraciones de los recursos después de que se hayan realizado cambios de configuración y estos cambios se hayan registrado en AWS Config. Config Rules no impide a los usuarios realizar cambios que puedan dar lugar a que la configuración no sea conforme. Para controlar qué puede aprovisionar un usuario en AWS y los parámetros de configuración permitidos durante el aprovisionamiento, use las Políticas de AWS Identity and Access Management (IAM) y el servicio AWS Service Catalog, respectivamente.

¿Se pueden evaluar las reglas antes de suministrar un recurso?

Config Rules evalúa las reglas una vez que AWS Config registra el elemento de configuración del recurso. No evalúa las reglas antes de suministrar un recurso ni antes de que se realicen cambios de configuración en el recurso.

¿Cómo funciona AWS Config con AWS CloudTrail?

AWS CloudTrail registra la actividad del API del usuario en la cuenta y permite obtener acceso a la información relativa a esta actividad. Puede obtener todos los detalles sobre las acciones del API, como la identidad del intermediario, la hora de la llamada de API, los parámetros de la solicitud y los elementos de respuesta que devuelve el servicio de AWS. AWS Config registra los detalles de la configuración en un momento dado de los recursos de AWS como elementos de configuración. Puede usar un elemento de configuración para responder a la pregunta “¿Qué aspecto tenía mi recurso de AWS?” en un momento dado. Puede usar AWS CloudTrail para responder a la pregunta “¿Quién ha hecho la llamada de API para modificar este recurso?” Por ejemplo, puede usar la consola de administración de AWS para que AWS Config detecte que el grupo de seguridad “Production-DB” estaba mal configurado anteriormente. Con la información integrada de AWS CloudTrail puede identificar qué usuario ha configurado incorrectamente el grupo de seguridad "Production-DB".

 

Comience con AWS de forma gratuita

Cree una cuenta gratuita

 

Disfrute de doce meses de acceso a la capa gratuita de AWS y de otras características del nivel Basic de AWS Support, entre otras, un servicio ininterrumpido de soporte al cliente, foros de soporte y muchas más.

Obtenga más información acerca de la vista previa de AWS Config Rules.

¿Cómo puedo comenzar a utilizar este servicio?

La manera más rápida de comenzar a utilizar AWS Config es mediante la consola de administración de AWS. Puede activar AWS Config en solo unos clics. Para obtener más detalles, consulte la documentación de introducción.

¿Cómo puedo obtener acceso a la configuración de mis recursos?

Puede buscar la configuración actual e histórica de los recursos a través de la consola de administración de AWS, la interfaz de línea de comandos de AWS o los SDK.

Para obtener más detalles, consulte la documentación de AWS Config.

¿Tengo que activar AWS Config a nivel regional o global?

Debe activar AWS Config a nivel regional para la cuenta.

¿AWS Config puede agregar datos entre diferentes cuentas de AWS?

Sí, puede configurar AWS Config para que envíe actualizaciones de la configuración de diferentes cuentas a un bucket de S3, pero una vez que se hayan aplicado las políticas de IAM apropiadas al bucket de S3. También puede publicar notificaciones en un tema de SNS, dentro de la misma región, una vez que se hayan aplicado las políticas apropiadas de IAM en el tema de SNS.

¿La actividad del API en AWS Config la registra AWS CloudTrail?

Sí. Toda la actividad del API de Config API, incluido el uso de las API de AWS Config para leer datos de configuración, las registra AWS CloudTrail.

¿Qué horas y husos horarios se muestran en la vista de escala de tiempo de un recurso? ¿Se tiene en cuenta el horario de verano?

AWS Config muestra la hora en la que se registraron los elementos de configuración de un recurso en una escala de tiempo. Todas las horas se registran en tiempo universal coordinado (UTC). Cuando se visualiza la escala de tiempo en la consola de administración, los servicios utilizan el huso horario actual (modificado en caso de que proceda el horario de verano) para mostrar todas las horas en la vista de escala de tiempo.

¿Qué es la configuración de un recurso

La configuración de un recurso la definen los datos incluidos en el elemento de configuración de AWS Config. La versión inicial de Config Rules pone el elemento de configuración de un recurso a disposición de las reglas aplicables. Config Rules puede usar esta información junto con cualquier otra información pertinente, como, por ejemplo, otros recursos conectados, horarios de trabajo, etc. para evaluar si la configuración de un recurso es conforme.

¿Qué es una regla?

Una regla representa los valores de los atributos de un elemento de configuración deseados para los recursos. Estos valores de atributos se evalúan comparándolos con los de los elementos de configuración registrados en AWS Config. Existen dos tipos de reglas:

Las reglas administradas por AWS: son reglas predefinidas y administradas por AWS. Con este tipo de reglas, solo hay que seleccionar la que se quiere activar y definir algunos parámetros de configuración. Más información »

Las reglas administradas por el cliente: son reglas personalizadas que define y crea el usuario. El usuario puede crear una función en AWS Lambda para invocarla como parte de una regla personalizada y estas funciones se ejecutan en su cuenta. Más información »

La manera más rápida de comenzar a utilizar AWS Config es mediante la consola de administración de AWS. Puede activar AWS Config en solo unos clics. Para obtener más detalles, consulte la documentación de introducción.

¿Cómo se crean las reglas?

Por lo general, es el administrador de cuentas de AWS quien crea las reglas. Se pueden crear a partir de las reglas administradas de AWS (un conjunto de reglas predefinidas que proporciona AWS) o con reglas administradas por el cliente. En este último caso, las actualizaciones de las reglas se aplican automáticamente a todas las cuentas que utilizan esas reglas. En el modelo administrado por el cliente, el cliente tiene una copia completa de la regla y ejecuta la regla en su propia cuenta. El mantenimiento de las reglas es responsabilidad del cliente.

¿Cuántas reglas puedo crear?

Puede crear hasta 50 reglas en su cuenta de AWS de forma predeterminada. Además, puede solicitar un aumento del límite para el número de reglas de su cuenta visitando la página de AWS Service Limits.

¿Cómo se evalúan las reglas?

Las reglas se pueden definir como reglas activadas por un cambio o como reglas periódicas. Las reglas que se activan por un cambio se ejecutan cuando AWS Config registra un cambio de configuración en alguno de los recursos especificados. Además, se ha de especificar uno de los elementos siguientes:

Tag Key:(optional Value): si se incluye un "tag key:value", cualquier cambio de configuración que se registre en los recursos que contengan ese "tag key:value" específico iniciará la evaluación de la regla.

Tipo(s) de recursos: cualquier cambio de configuración que se registre en cualquier recurso perteneciente al tipo (o los tipos) de recursos especificado iniciará la evaluación de la regla.

ID de recurso: cualquier cambio registrado en el recurso especificado mediante el tipo y el ID de recurso iniciará una evaluación de la regla.

Las reglas periódicas se activan con la frecuencia especificada. Las frecuencias disponibles son: 1 h, 3 h, 6 h, 12 h y 24 h. Las reglas periódicas tienen un snapshot completo de los elementos de configuración actuales de todos los recursos disponibles para la regla.

¿Qué es una evaluación?

Con la evaluación de una regla se determina si una regla es conforme a un recurso en un momento determinado. Es el resultado de evaluar una regla con respecto a la configuración de un recurso. Config Rules registra y guarda el resultado de todas las evaluaciones. Este resultado incluye el recurso, la regla, la hora en que se ha realizado la evaluación y un vínculo al elemento de configuración que provoca el estado de no conformidad.

¿Qué significa conformidad?

Un recurso es conforme si cumple con todas las reglas que le son de aplicación. En caso contrario, no es conforme. Del mismo modo, una regla es conforme si todos los recursos evaluados mediante la regla cumplen con la regla. En caso contrario, no es conforme. En algunos casos, como, por ejemplo, cuando hay permisos disponibles para la regla que no son adecuados, puede no haber una evaluación para el recurso, lo que conduce a una situación en la que los datos no son suficientes. Esta situación no permite determinar el estado de conformidad de un recurso o de una regla.

¿Qué información proporciona el panel de Config Rules?

El panel de Config Rules ofrece información general de los recursos que está supervisando AWS Config y un resumen del estado de conformidad actual por recursos y por regla. Cuando se consulta la conformidad por recurso, se puede determinar si alguna de las reglas aplicables al recurso no es conforme en estos momentos. También se puede ver la conformidad por regla, lo que nos indica si alguno de los recursos a los que se aplica la regla no es conforme en estos momentos. Con estas vistas resumidas, se puede profundizar en la vista de escala de tiempo de los recursos para determinar qué parámetros de configuración se han modificado. Desde el panel, se puede comenzar con información general y profundizar en vistas detalladas que aportan información exhaustiva sobre los cambios en el estado de conformidad y qué cambios han provocado la no conformidad.

¿Qué tipos de recursos de AWS abarca AWS Config?

Consulte nuestra documentación para ver una lista completa de tipos de recursos admitidos.

¿En qué regiones se encuentra disponible AWS Config?

Para obtener más detalles sobre las regiones donde AWS Config está disponible, visite esta página:

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

 

¿Qué es un elemento de configuración?

Un elemento de configuración es la configuración de un recurso en un momento concreto. Un elemento de configuración se compone de cinco secciones:

  1. Información básica sobre el recurso que es común para los diferentes tipos de recursos (por ejemplo, etiquetas o nombres de recursos de Amazon)
  2. Datos de configuración específicos del recurso (por ejemplo, el tipo de instancia EC2)
  3. Mapa de las relaciones con otros recursos (por ejemplo, el volumen de EC2 vol-3434df43 está conectado a la instancia EC2 i-3432ee3a)
  4. Los identificadores de eventos de AWS CloudTrail que están relacionados con este estado
  5. Metadatos que le ayudan a identificar información sobre el elemento de configuración, como la versión del elemento y cuándo se capturó dicho elemento.

Más información acerca de los elementos de configuración

¿Qué son las relaciones de AWS Config y cómo se usan?

AWS Config tiene en cuenta las relaciones entre los recursos al registrar los cambios. Por ejemplo, si un nuevo grupo de seguridad de Amazon EC2 se asocia con una instancia de Amazon EC2, AWS Config registra las configuraciones actualizadas del recurso principal, el grupo de seguridad de Amazon EC2 y los recursos relacionados, como la instancia de Amazon EC2, si dichos recursos han cambiado.

¿AWS Config registra todos los estados de un recurso?

AWS Config detecta los cambios de configuración de un recurso y registra el estado de la configuración resultante de dicho cambio. En los casos en que se realicen varios cambios de configuración a un recurso con una sucesión rápida (por ejemplo, dentro de un intervalo de pocos minutos), Config solo registrará la última configuración de dicho recurso que representa el impacto acumulativo del conjunto de cambios. En estas situaciones, Config solo indicará el último cambio en el campo relatedEvents del elemento de configuración. Esto permite que usuarios y programas puedan realizar cambios en la infraestructura sin tener que esperar a que Config registre los estados temporales intermediarios.

¿AWS Config registra los cambios de configuración no derivados de la actividad del API en dicho recurso?

Sí, AWS Config analizará regularmente la configuración de los recursos para registrar los cambios que aún no se hayan registrado. Los elementos de configuración de estos análisis no dispondrán de un campo relatedEvent en la carga y solo se seleccionará el último estado que difiera con respecto al estado que ya está registrado.

¿Registra AWS Config cambios en el software de instancias de EC2?
Sí. AWS Config le permite registrar cambios en la configuración de software de instancias de EC2 de su cuenta de AWS y también máquinas virtuales o servidores en su entorno on-premise. La información sobre la configuración registrada por AWS Config incluye actualizaciones en el sistema operativo, la configuración de red, las aplicaciones instaladas, etc. Con AWS Config Rules, puede evaluar si sus instancias, máquinas virtuales y servidores cumplen con sus orientaciones. Las capacidades exhaustivas de visibilidad y monitorización constante de AWS Config Rules le permiten evaluar su seguridad y resolver problemas operativos.

¿AWS Config continúa enviando notificaciones si un recurso que antes no era conforme sigue siéndolo tras una evaluación normativa periódica? AWS Config envía notificaciones solo cuando cambia el estado de conformidad normativa. Si un recurso no era conforme antes y continúa siéndolo, Config no enviará ninguna notificación nueva. Si el estado de conformidad normativa cambia a “conforme”, recibirá una notificación del cambio de estado.

¿Puedo marcar o eximir a los recursos para que las reglas de Config no los evalúen? Al configurar reglas de Config, puede elegir entre que su regla evalúe a unos tipos de recurso concretos o a recursos con una etiqueta concreta.

¿Qué cargos se me aplicarán por utilizar este servicio?

Con AWS Config, los cargos se le aplicarán en función del número de elementos de configuración registrados para los recursos soportados en la cuenta de AWS. Solo se le aplicarán los cargos una vez por registrar los elementos de configuración. No se cargan cuotas adicionales por mantener el elemento de configuración ni cuotas por adelantado por compromisos de uso. Puede dejar de registrar los elementos de configuración en cualquier momento y continuará teniendo acceso a los elementos de configuración que haya grabado hasta entonces. Los cargos por los elementos de configuración se acumulan en la factura mensual. Consulte la información sobre precios.

Si utiliza AWS Config Rules, se le aplicarán los cargos correspondientes a las reglas de configuración que tenga activas ese mes. Cuando se compara una regla con un recurso de AWS, el resultado se registra en una evaluación. Una regla está activa si tiene al menos una evaluación en el mes en cuestión.

Los snapshots de la configuración y los archivos del historial de configuración se entregan en el bucket de Amazon S3 que el usuario elija. Las notificaciones de los cambios de configuración se entregan a través de Amazon Simple Notification Service (SNS). Se aplican las tarifas estándar de Amazon S3 y Amazon SNS. Las reglas administradas por clientes se crean mediante AWS Lambda. Se aplican las tarifas estándar para AWS Lambda.

¿Incluyen los precios de Config Rules los costos de las funciones de AWS Lambda?

Puede elegir entre un conjunto de reglas administradas que proporciona AWS o puede crear sus propias reglas, escritas en la forma de funciones de AWS Lambda. La administración y el mantenimiento de las reglas administradas es responsabilidad de AWS y el usuario no tiene que pagar ningún cargo adicional por AWS Lambda al ejecutarlas. Solo tiene que activar las reglas administradas, indicar los parámetros obligatorios y pagar una tarifa única por cada regla de AWS Config. Por otro lado, las reglas administradas por el cliente ofrecen control total mediante la ejecución de estas reglas en la forma de funciones de AWS Lambda en su cuenta. A las reglas administradas por el cliente se le aplicarán, además de los cargos mensuales por cada regla activa, las tarifas estándar de ejecución de funciones y capa gratuita de AWS Lambda.

¿Qué es la cuota compartida de Config Rules?

Tiene una cuota de 20 000 evaluaciones por regla activa al mes. Por ejemplo, si tiene 3 reglas de configuración, le corresponde una cuota de 60 000 evaluaciones para la cuenta. Si lo desea, puede repartir las evaluaciones libremente entre las reglas hasta alcanzar la cuota total.

¿Se acumulan las evaluaciones no utilizadas a las del mes siguiente?

Las evaluaciones no utilizadas caducan y el número se restablece al comienzo de cada nuevo ciclo de facturación.

¿Puede ofrecer un desglose de los cargos mediante un ejemplo?

Ejemplo de precios 1:
AWS Config registra cada recurso de AWS y cambio en la configuración en la forma de un elemento de configuración. Suponga que registra 7 000 elementos de configuración al mes y que ha creado 5 reglas activas (2 periódicas y 3 que se activan con los cambios), lo que supone un total combinado de 150 evaluaciones diarias.

Costos de AWS Config: 7 000 * 0,003 USD = 21,00 USD
Costo de 5 reglas activas = 5 * 2,00 USD = 10,00 USD

Cuota para resultados de evaluación = 5 * 20 000 = 100 000
Número de resultados de evaluación usados = 150 evaluaciones * 30 días = 4 500 evaluaciones/mes
Cargos adicionales por resultados de evaluación = 0,0 USD

Cargos mensuales totales de AWS Config = 31,00 USD

Los cargos del servicio en los que incurra dependerán del número de elementos de configuración que registren los recursos. Esto depende del número de recursos de la cuenta y de los cambios de configuración que realice en estos recursos. Para una cuenta con varios cientos de recursos y una actividad de cambio de configuración estándar, AWS Config capturaría menos de 3 000 elementos de configuración al mes o supondría menos de 9 USD mensuales.


Ejemplo de precios 2:
Suponga que registra 50 000 elementos de configuración al mes y que ha creado 2 reglas activas. Ambas se evalúan en cada elemento de configuración y presentan resultados con cada evaluación.

Costos de AWS Config: 50 000 * 0,003 USD = 150,00 USD
Costo de 2 reglas activas = 2 * 2,00 USD = 4,00 USD

Cuota para resultados de evaluación = 2 * 20 000 = 40 000
Número de resultados de evaluación usados = 2 * 50 000 = 100 000
Cargos adicionales por resultados de evaluación = (100 000 – 40 000) = 60 000 * 0,0001 = 6,00 USD

Cargos mensuales totales de AWS Config = 150,00 USD + 4,00 USD + 6,00 USD = 160,00 USD

¿Qué soluciones de socios de AWS están disponibles para AWS Config?

Los socios del ecosistema, como Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks y RedHat CloudForms, proporcionan ofertas totalmente integradas con los datos de AWS Config. Los proveedores de servicios administrados, como 2nd Watch y CloudNexa, también han anunciado integraciones con AWS Config. Además, con Config Rules, socios como CloudHealth Technologies, AlertLogic y TrendMicro están presentando ofertas integradas que pueden usar los clientes. Estas soluciones comprenden funcionalidades como la administración de cambios y los análisis de seguridad y le permiten visualizar, monitorizar y administrar las configuraciones de los recursos de AWS.

Para obtener más información, consulte las soluciones de socios de AWS Config.