Preguntas frecuentes sobre Amazon Config

La manera más rápida de comenzar a utilizar AWS Config es mediante la Consola de administración de AWS. Puede activar AWS Config con unas pocas selecciones. Para obtener más detalles, consulte la documentación de introducción.

Puede buscar la configuración de recursos actual e histórica mediante la Consola de administración de AWS, la interfaz de la línea de comandos de AWS o los SDK.

Para obtener más detalles, consulte la documentación de AWS Config.

Active AWS Config por región para su cuenta.

Sí, puede configurar AWS Config para entregar actualizaciones de configuración desde diferentes cuentas a un bucket de Amazon Simple Storage Service (S3), una vez que se aplican las políticas de IAM adecuadas al bucket de Amazon S3. También puede publicar notificaciones en un tema de SNS, dentro de la misma región, una vez que se hayan aplicado las políticas apropiadas de IAM en el tema de SNS.

Sí. CloudTrail registra toda la actividad de la API de AWS Config, incluido el uso de operaciones de la API de AWS Config para leer datos de configuración.

AWS Config muestra la hora en la que se registraron los elementos de configuración de un recurso en una escala de tiempo. Todas las horas se registran en tiempo universal coordinado (UTC). Cuando la escala de tiempo se visualiza en la consola de administración, el servicio usa la zona horaria actual (ajustada para el horario de verano, si corresponde) para mostrar todas las horas en la vista de escala de tiempo.

Un elemento de configuración (CI) es la configuración de un recurso en un momento concreto. Un CI consta de cinco secciones:

Información básica sobre el recurso que es común a diferentes tipos de recursos (como nombres de recursos de Amazon, etiquetas).

Datos de configuración específicos del recurso (como el tipo de instancia de EC2).

Mapa de relaciones con otros recursos (como EC2::Volume vol-3434df43 está “adjunto a la instancia” EC2 Instance i-3432ee3a).

ID de eventos de CloudTrail relacionados con este estado (solo para recursos de AWS).

Metadatos que ayudan a identificar información sobre el CI, como la versión del CI y cuándo se capturó dicho CI.

Obtenga más información sobre los elementos de configuración.

Es el elemento de configuración establecido para un recurso de terceros o un recurso personalizado. Algunos ejemplos son las bases de datos en las instalaciones, los servidores de Active Directory, los sistemas de control de versiones como GitHub y las herramientas de monitoreo de terceros como Datadog.

AWS Config tiene en cuenta las relaciones entre los recursos al registrar los cambios. Por ejemplo, si un nuevo grupo de seguridad de EC2 está asociado a una instancia de EC2, AWS Config registra las configuraciones actualizadas del recurso principal, el grupo de seguridad de EC2 y los recursos relacionados, si estos recursos han cambiado.

AWS Config detecta cambios en la configuración de un recurso y registra el estado de configuración resultante de ese cambio. En los casos en que se realicen varios cambios de configuración en un recurso en rápida sucesión, AWS Config registrará solo la última configuración de ese recurso que representa el impacto acumulativo del conjunto de cambios. En estas situaciones, AWS Config enumerará solo el último cambio en el campo de relatedEvents del elemento de configuración. Esto ayuda a los usuarios y programas a continuar cambiando las configuraciones de la infraestructura sin tener que esperar a que AWS Config registre estados transitorios intermedios.

El registro periódico le permite decidir con qué frecuencia registrar los cambios en su entorno, lo que reduce los elementos de configuración de los recursos que cambian con frecuencia. En lugar de recibir actualizaciones de forma continua, puede usar el registro periódico para recibir los cambios de configuración cada 24 horas para cumplir con sus casos de uso. 

El registro periódico le brinda la opción de decidir con qué frecuencia desea recibir actualizaciones sobre las configuraciones de sus recursos. Cuando está habilitada, AWS Config solo entregará la configuración más reciente de un recurso al final de un período de 24 horas si ha cambiado, lo que reduce la frecuencia de los datos de configuración y hace que el costo de recopilar estos datos sea más predecible para casos de uso como la planificación operativa y la auditoría. Si sus necesidades de seguridad y cumplimiento requieren una supervisión continua de los recursos, debe utilizar el registro continuo.

Sí, AWS Config analiza regularmente la configuración de los recursos en busca de cambios que aún no se hayan registrado y registra estos cambios. Los CI registrados a partir de estos análisis no tienen un campo de relatedEvent en el mensaje, y solo se selecciona el último estado que es diferente del estado ya seleccionado.

Sí. AWS Config lo ayuda a registrar los cambios de configuración del software dentro de las instancias de EC2 en su cuenta de AWS y también en las máquinas virtuales (VM) o servidores en su entorno en las instalaciones. La información de configuración registrada por AWS Config incluye actualizaciones del sistema operativo, configuración de red y aplicaciones instaladas. Con las reglas de AWS Config, puede evaluar si sus instancias, máquinas virtuales y servidores cumplen con sus instrucciones. Las capacidades de visibilidad profunda y supervisión continua proporcionadas por AWS Config lo ayudan a evaluar el cumplimiento y solucionar problemas operativos.

AWS Config envía notificaciones solo cuando cambia el estado de cumplimiento. Si un recurso no cumplió anteriormente y sigue sin cumplir, AWS Config no enviará una nueva notificación. Si el estado de cumplimiento cambia a “cumple”, recibirá una notificación del cambio de estado.

Sí, puede excluir recursos accediendo a la página de “recorder settings” (configuración del grabador) de AWS Config en la consola, y seleccionar la opción “Exclude Resource Types” (Excluir tipos de recursos), y especificar las exclusiones deseadas. También puede utilizar la API PutConfigurationRecorder para acceder a esta característica. Esta API deshabilitará el registro de la configuración para ese tipo de recurso. Además, cuando configura las reglas de AWS Config, puede especificar si su regla ejecuta evaluaciones contra tipos de recursos específicos o recursos con una etiqueta específica.

La configuración de un recurso la definen los datos incluidos en el elemento de configuración de AWS Config. El lanzamiento inicial de las reglas de AWS Config hace que el CI de un recurso esté disponible para las reglas relevantes. Las reglas de AWS Config pueden usar esta información junto con cualquier otra información relevante, como otros recursos adjuntos y el horario comercial, para evaluar el cumplimiento de la configuración de un recurso.

Una regla representa los valores de atributo de un elemento de configuración (CI) deseados para los recursos y se evalúa comparando esos valores de atributo con los CI registrados por AWS Config. Existen dos tipos de reglas:

Reglas administradas por AWS: las reglas administradas por AWS son creadas y administradas previamente por AWS. Puede elegir la regla que desea habilitar y luego proporcionar algunos parámetros de configuración para comenzar. Más información »

Reglas administradas por el cliente: las reglas administradas por el cliente son reglas personalizadas, definidas y creadas por usted. Puede crear una función en AWS Lambda que se puede invocar como parte de una regla personalizada y estas funciones se aplican en su cuenta. Más información »

La manera más rápida de comenzar a utilizar AWS Config es mediante la Consola de administración de AWS. Puede activar AWS Config con unas pocas selecciones. Para obtener más detalles, consulte la documentación de introducción.

Por lo general, es el administrador de cuentas de AWS quien crea las reglas. Se pueden crear al aprovechar las reglas administradas por AWS (un conjunto predefinido de reglas proporcionadas por AWS) o mediante reglas administradas por el cliente. Con las reglas administradas por AWS, las actualizaciones de la regla se aplican automáticamente a cualquier cuenta que utilice esa regla. En el modelo administrado por el cliente, los clientes tienen una copia completa de la regla y la aplican en su propia cuenta. El mantenimiento de estas reglas corre por cuenta de los clientes.

Puede crear hasta 150 reglas en su cuenta de AWS de forma predeterminada. Además, puede solicitar un aumento del límite para el número de reglas de su cuenta visitando la página de AWS Service Limits.

Cualquier regla se puede configurar como una regla activada por cambios o como una regla periódica. Se aplica una regla activada por cambios cuando AWS Config registra un cambio de configuración para cualquiera de los recursos especificados. Además, se ha de especificar uno de los elementos siguientes:

Etiqueta de clave:(valor opcional): una etiqueta de clave:valor implica que cualquier cambio de configuración registrado para los recursos con la etiqueta de clave:valor especificada iniciará una evaluación de la regla.

Tipos de recursos: cualquier cambio de configuración registrado para cualquier recurso dentro de los tipos de recursos especificados iniciará una evaluación de la regla.

ID de recurso: cualquier cambio registrado en el recurso especificado por el tipo de recurso y el ID de recurso iniciará una evaluación de la regla.

Una regla periódica se inicia a una frecuencia especificada. Las frecuencias disponibles son 1 hora, 3 horas, 6 horas, 12 horas o 24 horas. Las reglas periódicas tienen una instantánea completa de los elementos de configuración (CI) actuales de todos los recursos disponibles para la regla.

Con la evaluación de una regla se determina si una regla es conforme a un recurso en un momento determinado. Es el resultado de evaluar una regla con respecto a la configuración de un recurso. Las reglas de AWS Config capturarán y almacenarán el resultado de cada evaluación. Este resultado incluirá el recurso, la regla, el tiempo de evaluación y un enlace al elemento de configuración (CI) que provocó el incumplimiento.

Un recurso cumple con los requisitos si observa todas las reglas que se aplican; de lo contrario, no cumple con los requisitos. De manera similar, una regla es conforme si todos los recursos evaluados por la regla cumplen con la regla; de lo contrario, es no conforme. En algunos casos, como cuando hay permisos inadecuados disponibles para la regla, no puede existir una evaluación para el recurso, lo que lleva a un estado de datos insuficientes. Esta situación no permite determinar el estado de conformidad de un recurso o de una regla.

El panel de reglas de AWS Config le brinda una descripción general de los recursos rastreados por AWS Config y un resumen de la conformidad actual por recurso y por regla. Cuando se consulta la conformidad por recurso, se puede determinar si alguna de las reglas aplicables al recurso no es conforme en estos momentos. También se puede ver la conformidad por regla, lo que nos indica si alguno de los recursos a los que se aplica la regla no es conforme en estos momentos. Con estas vistas de resumen, puede explorar más a fondo la vista de línea de tiempo de los recursos de AWS Config para determinar qué parámetros de configuración cambiaron. Desde el panel, se puede comenzar con información general y profundizar en vistas detalladas que aportan información exhaustiva sobre los cambios en el estado de conformidad y qué cambios han provocado la no conformidad.

Puede utilizar reglas individuales de AWS Config para evaluar la conformidad de la configuración de los recursos en una o más cuentas. Los paquetes de conformidad brindan el beneficio adicional de empaquetar reglas junto con acciones correctivas en una sola entidad que se puede implementar en toda la organización con una sola selección. Los paquetes de conformidad están destinados a simplificar la administración del cumplimiento y la generación de informes a escala cuando administra varias cuentas. Los paquetes de conformidad están diseñados para proporcionar informes de cumplimiento agregados a nivel de paquete e inmutabilidad. Esto ayuda a que las cuentas de miembros individuales de una organización no modifiquen ni eliminen las reglas administradas de AWS Config y los documentos de corrección incluidos en el paquete de conformidad.

AWS Security Hub es un servicio que permite administrar posturas de conformidad y seguridad. Utiliza AWS Config y las reglas de AWS Config como mecanismo principal para evaluar la configuración de los recursos de AWS. Las reglas de AWS Config también se pueden utilizar para evaluar la configuración de los recursos directamente. Las reglas de AWS Config también las utilizan otros servicios de AWS, como AWS Control Tower y AWS Firewall Manager.

Si un estándar de cumplimiento, como PCI DSS, ya está presente en Security Hub, entonces el servicio Security Hub totalmente administrado es una forma más fácil de ponerlo en práctica. Puede investigar los resultados a través de la integración de Security Hub con Amazon Detective y puede crear acciones correctivas automatizadas o semiautomáticas al utilizar la integración de Security Hub con Amazon EventBridge. Sin embargo, si desea crear su propio estándar de cumplimiento o seguridad, que puede incluir comprobaciones de seguridad, operativas o de optimización de costos, los paquetes de conformidad de AWS Config son el camino a seguir. Los paquetes de conformidad de AWS Config simplifican la administración de las reglas de AWS Config al empaquetar un grupo de reglas de AWS Config y las acciones correctivas asociadas en una sola entidad. Este paquete simplifica la implementación de reglas y acciones correctivas en una organización. También habilita los informes agregados, como resúmenes de conformidad que pueden generarse como informes en el nivel de paquete. Puede comenzar con las muestras del paquete de conformidad de AWS Config que proporcionamos y personalizarlas como mejor le parezca.

Sí, tanto Security Hub como los paquetes de conformidad de AWS Config admiten la supervisión continua del cumplimiento, dada su dependencia de AWS Config y las reglas de AWS Config. Las reglas de AWS Config subyacentes pueden activarse de forma periódica o al detectar cambios en la configuración de los recursos. Esto lo ayuda a auditar y evaluar continuamente el cumplimiento general de sus configuraciones de recursos de AWS con las políticas y pautas de su organización.

La forma más rápida de comenzar es crear un paquete de conformidad con una de nuestras plantillas de muestra a través de la CLI o la consola de AWS Config. Algunas de las plantillas de muestra incluyen Mejores prácticas operativas de S3, Mejores prácticas operativas de Amazon DynamoDB y Mejores prácticas operativas para PCI. Estas plantillas se encuentran en lenguaje YAML. Puede descargarlas en nuestros sitios de documentación y utilizar su editor de texto favorito para modificarlas y adecuarlas a su entorno. Incluso puede agregar reglas personalizadas de AWS Config que podría haber escrito previamente en el paquete.

El uso de los paquetes de reglas se cobra en función de un modelo de precios por niveles. Para obtener más detalles, consulte la página de precios de AWS Config.

La agregación de datos en AWS Config lo ayuda a agregar datos de AWS Config de varias cuentas y regiones en una sola cuenta y una sola región. La agregación de datos de varias cuentas es útil para que los administradores de TI central supervisen la conformidad de varias cuentas de AWS en la empresa.

La capacidad de agregado de datos no se puede usar para aprovisionar reglas entre varias cuentas. Es solamente una capacidad de evaluación que ofrece visibilidad de su conformidad. Puede usar AWS CloudFormation StackSets para aprovisionar las reglas entre cuentas y regiones. Obtenga más información en este enlace del blog.

Una vez que AWS Config y las reglas de AWS Config están habilitadas en su cuenta y las cuentas se agregan, puede habilitar la agregación de datos al crear un agregador en su cuenta. Más información.

Un agregador es un tipo de recurso de AWS Config que recopila datos de AWS Config de varias cuentas y regiones. Utilice un agregador para ver la configuración de recursos y los datos de conformidad registrados en AWS Config para varias cuentas y regiones.

La vista agregada muestra el recuento total de reglas no conformes en toda la organización, las cinco reglas principales no conformes por número de recursos y las cinco cuentas de AWS principales que tienen la mayor cantidad de reglas no conformes. A continuación, puede desplazarse hacia abajo para ver más detalles sobre los recursos que no cumplen la regla y la lista de reglas que una cuenta infringe.

Puede especificar las cuentas para agregar los datos de AWS Config al cargar un archivo o al ingresar cuentas individualmente. Tenga en cuenta que, como estas cuentas no son parte de ninguna organización de AWS, debe autorizar explícitamente la cuenta del agregador. Más información.

La capacidad de agregación de datos también es útil para la agregación de varias regiones. Por lo tanto, puede agregar los datos de AWS Config para su cuenta en varias regiones al utilizar esta capacidad.

Para obtener más información sobre las regiones en las que está disponible la agregación de datos de varias cuentas y varias regiones, visite la Guía para desarrolladores de AWS Config: agregación de datos de varias cuentas y varias regiones.

Cuando crea un agregador, especifica las regiones desde donde puede agregar datos. Esta lista muestra solo las regiones donde esta característica está disponible. También puede seleccionar “todas las regiones”, en cuyo caso, tan pronto como se agregue soporte en otras regiones, se agregarán automáticamente los datos.

Consulte nuestra documentación para ver una lista completa de los tipos de recursos admitidos.

Para obtener más información sobre las regiones de AWS en las que está disponible AWS Config, consulte la tabla de región de AWS.

Con AWS Config, se le cobra en función de la cantidad de elementos de configuración registrados, la cantidad de evaluaciones de reglas de AWS Config activas y la cantidad de evaluaciones de paquetes de conformidad en su cuenta. Un elemento de configuración es un registro del estado de configuración de un recurso en su cuenta de AWS. Hay dos frecuencias en las que AWS Config puede entregar elementos de configuración: continua y periódica. El registro continuo registra y entrega los cambios de configuración cada vez que se produce un cambio. El registro periódico entrega los datos de configuración una vez cada 24 horas, solo si se ha producido un cambio. Una evaluación de regla de AWS Config es una evaluación del estado de cumplimiento de un recurso por parte de una regla de AWS Config en su cuenta de AWS. Una evaluación de paquete de conformidad es la evaluación de un recurso por parte de una regla de AWS Config dentro del paquete de conformidad. Para obtener más información y ejemplos, visite https://aws.amazon.com/config/pricing/.

Puede elegir entre un conjunto de reglas administradas proporcionadas por AWS o puede crear sus propias reglas, escritas como funciones de Lambda. AWS mantiene completamente las reglas administradas y usted no paga ningún cargo adicional de Lambda para ejecutarlas. Puede habilitar reglas administradas, proporcionar los parámetros necesarios y pagar una tarifa única por cada regla de AWS Config activa en un mes determinado. Las reglas personalizadas brindan control total, ya que se aplican como funciones de Lambda en su cuenta. Además de los cargos mensuales por una regla activa, se aplican tarifas de aplicación de función y nivel gratuito de Lambda* estándar a las reglas de AWS Config personalizadas.

* El nivel gratuito de AWS no se encuentra disponible en las regiones de AWS China (Pekín) ni AWS China (Ningxia).

Se incurre en cargos cada vez que se crea una nueva regla y se activa. Si debe actualizar o reemplazar la función de Lambda asociada con una regla, el enfoque recomendado es actualizar la regla en lugar de eliminarla y crear una nueva regla.

Las soluciones de socios de APN como Splunk, ServiceNow, Evident.io, CloudCheckr, Redseal y Red Hat CloudForms brindan ofertas que están completamente integradas con datos de AWS Config. Los proveedores de servicios administrados, como 2nd Watch y Cloudnexa, también han anunciado integraciones con AWS Config. Además, con las reglas de AWS Config, socios como CloudHealth Technologies, Alert Logic y Trend Micro ofrecen ofertas integradas que se pueden utilizar. Estas soluciones incluyen capacidades como administración de cambios y análisis de seguridad y lo ayudan a visualizar, supervisar y administrar configuraciones de recursos de AWS.