Aspectos generales

P: ¿Qué es AWS Config?

AWS Config es un servicio completamente administrado que ofrece un inventario de los recursos de AWS, así como el historial de configuración y las notificaciones de los cambios en la configuración, para garantizar seguridad y gobernanza. Con AWS Config, puede descubrir los recursos de AWS ya existentes, exportar el inventario completo de sus recursos de AWS con todos los detalles de configuración y determinar la forma en que se ha configurado un recurso en cualquier momento. Estas funciones permiten realizar auditorías de conformidad, análisis de seguridad, seguimiento de los cambios de los recursos y resolución de problemas.

P: ¿Qué es una regla de configuración?

Una regla de configuración recopila las configuraciones deseadas para un recurso y se evalúa con respecto a los cambios de configuración realizados en los recursos pertinentes según se registraron en AWS Config. Los resultados de la evaluación de una regla con respecto a la configuración de un recurso se encuentran disponibles en el panel. Mediante Config Rules, puede obtener acceso a su estado general de conformidad y riesgo desde el punto de vista de la configuración, ver las tendencias en el ámbito de la conformidad a lo largo del tiempo e identificar qué cambio en la configuración ha provocado que un recurso deje de ser conforme a la regla.

P: ¿Qué es un paquete de reglas?

Es un conjunto de reglas de AWS Config y acciones correctivas que se crea con un marco común y un modelo de paquete en AWS Config. Empaquetar los artefactos de Config mencionados anteriormente permite simplificar la implementación y la generación de informes de políticas de gobernanza y conformidad de la configuración en varias cuentas y regiones, así como también reducir el tiempo en el que un recurso se encuentra en un estado de no conformidad.

P: ¿Qué beneficios ofrece AWS Config?

AWS Config facilita el seguimiento de la configuración de los recursos sin necesidad de realizar inversiones iniciales y elimina la complejidad de instalar y actualizar agentes para la recopilación de datos o el mantenimiento de bases de datos de gran tamaño. Después de habilitar AWS Config, puede ver constantemente los detalles actualizados de todos los atributos de configuración asociados con los recursos de AWS. A través de Amazon Simple Notification Service (SNS) se le notifica cada cambio de la configuración.

P: ¿De qué manera AWS Config puede ayudar en las auditorías?

AWS Config le permite obtener acceso al historial de configuración de los recursos. Puede relacionar los cambios de configuración con los eventos de AWS CloudTrail que posiblemente contribuyen a dichos cambios. Esta información le proporciona una visión completa, desde detalles, como la persona que ha realizado el cambio y desde qué dirección IP, con respecto a los efectos de este cambio en los recursos de AWS y los recursos relacionados. Puede usar esta información para generar informes que ayuden a auditar y evaluar la conformidad durante un periodo de tiempo.

P: ¿Quién debería usar AWS Config y las reglas de Config?

Cualquier cliente de AWS que desee mejorar la seguridad y postura de gobernanza en AWS mediante la evaluación constante de la configuración de sus recursos se beneficiará de esta función. Los administradores de grandes organizaciones que establecen las prácticas recomendadas para la configuración de recursos pueden codificar estas reglas como reglas de Config y, con ellas, hacer posible la autogobernanza entre los usuarios. Los expertos en seguridad de la información que monitorean la actividad de uso y las configuraciones para detectar vulnerabilidades se pueden beneficiar de las reglas de Config. Clientes con cargas de trabajo que deban alcanzar estándares determinados (p. ej., PCI-DSS o HIPAA) pueden usar esta función para valorar la conformidad de la configuración de su infraestructura de AWS y generar informes para sus auditores. Los operadores que administran grandes infraestructuras de AWS o componentes que cambian con frecuencia también pueden beneficiarse de las reglas de Config para la solución de problemas. La activación de AWS Config deben realizarla los clientes que deseen hacer un seguimiento de los cambios producidos en la configuración de los recursos, responder preguntas sobre las configuraciones de los recursos, demostrar la conformidad, solucionar problemas o realizar análisis de seguridad.

P: ¿Quién debería usar los paquetes de reglas de AWS Config?

Si busca encontrar un marco para crear e implementar paquetes de conformidad para la configuración de sus recursos de AWS en varias cuentas y que este marco incluya reglas y acciones correctivas elaboradas por socios de AWS o incluso por usted, entonces debe utilizar los paquetes de reglas. Este marco puede utilizarse con el fin de crear paquetes personalizados para el área de seguridad, DevOps u otros equipos. Los clientes pueden comenzar a crear el primer paquete de reglas rápidamente con una de las plantillas de muestra.

P: ¿Este servicio garantiza que mis configuraciones siempre estarán en conformidad?

Las reglas de Config y los paquetes de reglas proporcionan información sobre el estado de conformidad de los recursos con respecto a las reglas de configuración establecidas. En función de cómo se haya configurado la regla, se evalúa la configuración de los recursos en comparación con las reglas de Config, ya sea de forma periódica, cuando se detecten cambios en la configuración o en ambos casos. No se garantiza la conformidad de los recursos ni tampoco se evita que los usuarios lleven a cabo acciones contrarias a las reglas. Sin embargo, sí es posible configurar las acciones correctivas adecuadas para cada regla de Config a fin de revertir el estado de incumplimiento de un recurso.

P: ¿El servicio impide que los usuarios lleven a cabo acciones no conformes con las reglas?

Las reglas de Config no intervienen directamente en el uso que los usuarios finales hacen de AWS. Las reglas de Config evalúan las configuraciones de los recursos después de que se hayan realizado cambios de configuración y estos cambios se hayan registrado en AWS Config. Las reglas de Config no impiden a los usuarios hacer cambios que puedan dar lugar a que la configuración no sea conforme. Para controlar qué puede aprovisionar un usuario en AWS y los parámetros de configuración permitidos durante el aprovisionamiento, use las Políticas de AWS Identity and Access Management (IAM) y el servicio AWS Service Catalog, respectivamente.

P: ¿Se pueden evaluar las reglas antes de aprovisionar un recurso?

Las reglas de Config evalúa las reglas una vez que AWS Config registra el elemento de configuración del recurso. No evalúa las reglas antes de aprovisionar un recurso ni antes de que se hagan cambios de configuración en el recurso.

P: ¿Cómo funciona AWS Config con AWS CloudTrail?

AWS CloudTrail registra la actividad del API del usuario en la cuenta y permite obtener acceso a la información relativa a esta actividad. Puede obtener todos los detalles sobre las acciones del API, como la identidad del intermediario, la hora de la llamada de API, los parámetros de la solicitud y los elementos de respuesta que devuelve el servicio de AWS. AWS Config registra los detalles de la configuración en un momento dado de los recursos de AWS como elementos de configuración. Puede usar un elemento de configuración para responder a la pregunta “¿Qué aspecto tenía mi recurso de AWS?” en un momento dado. Puede usar AWS CloudTrail para responder a la pregunta “¿Quién ha hecho la llamada de API para modificar este recurso?” Por ejemplo, puede usar la consola de administración de AWS para que AWS Config detecte que el grupo de seguridad “Production-DB” estaba mal configurado anteriormente. Con la información integrada de AWS CloudTrail puede identificar qué usuario ha configurado incorrectamente el grupo de seguridad "Production-DB".

P: ¿Puedo monitorizar la información de conformidad de varias cuentas y regiones mediante una cuenta central?

AWS Config facilita monitorizar el estado de conformidad entre regiones y cuentas múltiples al usar la capacidad de agregado de datos de regiones y cuentas múltiples. Puede crear un agregador de configuración en cualquier cuenta y agregar los detalles de conformidad desde otras cuentas. Esta capacidad también está integrada con AWS Organizations para que pueda agregar datos desde todas las cuentas de su organización.

P: ¿Puedo conectar mis instancias de ServiceNow y Jira Service Desk con AWS Config?

Sí. AWS Service Management Connector para ServiceNow y Jira Service Desk (anteriormente AWS Service Catalog Connector) permite que los usuarios finales de ServiceNow y Jira Service Desk aprovisionen, administren y operen en forma nativa los recursos de AWS a través de ServiceNow y Jira Service Desk. Los usuarios de ServiceNow pueden hacer un seguimiento de los recursos en una vista de elementos de configuración con tecnología AWS Config sin inconvenientes en ServiceNow con AWS Service Management Connector. Los usuarios de Jira Service Desk pueden hacer un seguimiento de los recursos dentro de la solicitud de emisión con AWS Service Management Connector. Esto simplifica las acciones de solicitud de productos de AWS para usuarios de ServiceNow y Jira Service Desk y ofrece a los administradores de ServiceNow y Jira Service Desk capacidades de supervisión y gobernanza en relación con los productos de AWS.

AWS Service Management Connector para ServiceNow está disponible sin cargo en ServiceNow Store. Esta nueva característica está disponible de manera general en todas las regiones de AWS en las que se ofrece AWS Service Catalog. Para obtener más información, consulte la documentación.

AWS Service Management Connector para Jira Service Desk está disponible sin cargo en Atlassian Marketplace. Esta nueva característica está disponible de manera general en todas las regiones de AWS en las que se ofrece AWS Service Catalog. Para obtener más información, visite la documentación.

Introducción

P: ¿Cómo puedo comenzar a utilizar este servicio?

La manera más rápida de comenzar a utilizar AWS Config es mediante la consola de administración de AWS. Puede activar AWS Config con solo unos clics. Para obtener más detalles, consulte la documentación de introducción.

P: ¿Cómo puedo obtener acceso a la configuración de mis recursos?

Puede buscar la configuración actual e histórica de los recursos a través de la consola de administración, la interfaz de línea de comandos o los SDK de AWS.

Para obtener más detalles, consulte la documentación de AWS Config.

P: ¿Tengo que activar AWS Config a nivel regional o global?

Debe activar AWS Config a nivel regional para la cuenta.

P: ¿AWS Config puede agregar datos en diferentes cuentas de AWS?

Sí, puede configurar AWS Config para que envíe actualizaciones de la configuración de diferentes cuentas a un bucket de S3, pero una vez que se hayan aplicado las políticas de IAM apropiadas al bucket de S3. También puede publicar notificaciones en un tema de SNS, dentro de la misma región, una vez que se hayan aplicado las políticas apropiadas de IAM en el tema de SNS.

P: ¿La actividad de la API en AWS Config la registra AWS CloudTrail?

Sí. Toda la actividad del API de Config API, incluido el uso de las API de AWS Config para leer datos de configuración, las registra AWS CloudTrail.

P: ¿Qué horarios y husos horarios se muestran en la vista de escala de tiempo de un recurso? ¿Se tiene en cuenta el horario de verano?

AWS Config muestra la hora en la que se registraron los elementos de configuración de un recurso en una escala de tiempo. Todas las horas se registran en tiempo universal coordinado (UTC). Cuando se visualiza la escala de tiempo en la consola de administración, los servicios utilizan el huso horario actual (modificado en caso de que proceda el horario de verano) para mostrar todas las horas en la vista de escala de tiempo.

Reglas de Config

P: ¿En qué consiste la configuración de un recurso?

La configuración de un recurso la definen los datos incluidos en el elemento de configuración de AWS Config. La versión inicial de las reglas de Config pone el elemento de configuración de un recurso a disposición de las reglas aplicables. Las reglas de Config pueden usar esta información junto con cualquier otra información pertinente, como, por ejemplo, otros recursos conectados, horarios de trabajo, etc. para evaluar si la configuración de un recurso es conforme.

P: ¿Qué es una regla?

Una regla representa los valores de los atributos de un elemento de configuración deseados para los recursos. Estos valores de atributos se evalúan mediante la comparación con los de los elementos de configuración registrados en AWS Config. Existen dos tipos de reglas:

Las reglas administradas por AWS: son reglas predefinidas y administradas por AWS. Con este tipo de reglas, solo hay que seleccionar la que se quiere activar y definir algunos parámetros de configuración. Más información »

Las reglas administradas por el cliente: son reglas personalizadas que define y crea el usuario. El usuario puede crear una función en AWS Lambda para invocarla como parte de una regla personalizada y estas funciones se ejecutan en su cuenta. Más información »

La manera más rápida de comenzar a utilizar AWS Config es mediante la consola de administración de AWS. Puede activar AWS Config con solo unos clics. Para obtener más detalles, consulte la documentación de introducción.

P: ¿Cómo se crean las reglas?

Por lo general, es el administrador de cuentas de AWS quien crea las reglas. Se pueden crear a partir de las reglas administradas de AWS (un conjunto de reglas predefinidas que proporciona AWS) o con reglas administradas por el cliente. En este último caso, las actualizaciones de las reglas se aplican automáticamente a todas las cuentas que utilizan esas reglas. En el modelo administrado por el cliente, el cliente tiene una copia completa de la regla y ejecuta la regla en su propia cuenta. El mantenimiento de las reglas es responsabilidad del cliente.

P: ¿Cuántas reglas puedo crear?

Puede crear hasta 150 reglas en su cuenta de AWS de forma predeterminada. Además, puede solicitar un aumento del límite para el número de reglas de su cuenta visitando la página de AWS Service Limits.

P: ¿Cómo se evalúan las reglas?

Las reglas se pueden definir como reglas activadas por un cambio o como reglas periódicas. Las reglas que se activan por un cambio se ejecutan cuando AWS Config registra un cambio de configuración en alguno de los recursos especificados. Además, se ha de especificar uno de los elementos siguientes:

Tag Key:(optional Value): si se incluye un "tag key:value", cualquier cambio de configuración que se registre en los recursos que contengan ese "tag key:value" específico iniciará la evaluación de la regla.

Tipo(s) de recursos: cualquier cambio de configuración que se registre en cualquier recurso perteneciente al tipo (o los tipos) de recursos especificado iniciará la evaluación de la regla.

ID de recurso: cualquier cambio registrado en el recurso especificado mediante el tipo y el ID de recurso iniciará una evaluación de la regla.

Las reglas periódicas se activan con la frecuencia especificada. Las frecuencias disponibles son: 1 h, 3 h, 6 h, 12 h y 24 h. Las reglas periódicas tienen una instantánea completa de los elementos de configuración (CI) actuales de todos los recursos disponibles para la regla.

P: ¿Qué es una evaluación?

Con la evaluación de una regla se determina si una regla es conforme a un recurso en un momento determinado. Es el resultado de evaluar una regla con respecto a la configuración de un recurso. Las reglas de Config registran y guardan el resultado de todas las evaluaciones. Este resultado incluye el recurso, la regla, la hora en que se ha realizado la evaluación y un vínculo al elemento de configuración que provoca el estado de no conformidad.

P: ¿Qué significa conformidad?

Un recurso es conforme si cumple con todas las reglas que le son de aplicación. En caso contrario, no es conforme. Del mismo modo, una regla es conforme si todos los recursos evaluados mediante la regla cumplen con la regla. En caso contrario, no es conforme. En algunos casos, como, por ejemplo, cuando hay permisos disponibles para la regla que no son adecuados, puede no haber una evaluación para el recurso, lo que conduce a una situación en la que los datos no son suficientes. Esta situación no permite determinar el estado de conformidad de un recurso o de una regla.

P: ¿Qué información proporciona el panel de las reglas de Config?

El panel de las reglas de Config ofrece información general de los recursos que AWS Config supervisa y un resumen del estado de conformidad actual por recursos y por regla. Cuando se consulta la conformidad por recurso, se puede determinar si alguna de las reglas aplicables al recurso no es conforme en estos momentos. También se puede ver la conformidad por regla, lo que nos indica si alguno de los recursos a los que se aplica la regla no es conforme en estos momentos. Con estas vistas resumidas, se puede profundizar en la vista de escala de tiempo de los recursos para determinar qué parámetros de configuración se han modificado. Desde el panel, se puede comenzar con información general y profundizar en vistas detalladas que aportan información exhaustiva sobre los cambios en el estado de conformidad y qué cambios han provocado la no conformidad.

Paquetes de reglas

P: ¿En qué casos debería utilizar reglas individuales de AWS Config en lugar de paquetes de reglas?

Puede utilizar reglas individuales de AWS Config para evaluar la conformidad de la configuración de los recursos en una o más cuentas. Los paquetes de reglas otorgan el beneficio adicional de poder combinar reglas con acciones correctivas en una única entidad que puede implementarse en toda una organización con solo un clic. El objetivo de los paquetes de reglas es simplificar la administración de la conformidad y la generación de informes a escala cuando se administran diversas cuentas. Están diseñados para proporcionar informes de conformidad agregados a nivel paquete, así como también garantizar la inmutabilidad a fin de asegurar que las reglas de AWS Config y los documentos correctivos administrados dentro del paquete no puedan modificarse o eliminarse desde las cuentas miembros individuales de una organización.

P: ¿Cómo se relacionan AWS Config y las reglas de AWS Config con AWS Security Hub?

AWS Security Hub es un servicio que permite administrar posturas de conformidad y seguridad. El servicio utiliza AWS Config y sus reglas como mecanismo principal para evaluar la configuración de los recursos de AWS. Las reglas de AWS Config también se pueden utilizar para evaluar la configuración de los recursos directamente. Además, las reglas de Config también las utilizan otros servicios de AWS, como AWS Control Tower y AWS Firewall Manager.

P: ¿Cuándo debo utilizar los paquetes de conformidad de AWS Config y AWS Security Hub?

Si un estándar de conformidad, como PCI DSS, ya figura en AWS Security Hub, entonces el servicio completamente administrado de AWS Security Hub es la forma más fácil de ponerlo en práctica. Puede investigar hallazgos mediante la integración de Security Hub con Amazon Detective, y puede crear acciones correctivas automatizadas o semiautomatizadas mediante la integración de Security Hub con Amazon EventBridge. Sin embargo, si quiere crear su propio estándar de seguridad o conformidad, que puede incluir comprobaciones de seguridad, operaciones u optimización de costos, los paquetes de conformidad de AWS Config son la solución. Los paquetes de conformidad de Config simplifican la administración de las reglas de Config al empaquetar un grupo de reglas de Config y acciones correctivas asociadas en una única entidad. Este paquete simplifica la implementación de reglas y acciones correctivas en una organización. También habilita los informes agregados, como resúmenes de conformidad que pueden generarse como informes en el nivel de paquete. Puede comenzar con los paquetes de conformidad de Config de ejemplo que le ofrecemos, y personalizarlos según considere.

P: ¿Admiten los paquetes de conformidad de AWS Security Hub y AWS Config monitoreo de conformidad continuo?

Sí, los paquetes de conformidad de AWS Security Hub y AWS Config admiten monitoreo de conformidad continuo, puesto que se basan en reglas de Config y AWS Config. Las reglas de AWS Config subyacentes pueden activarse de forma periódico o al detectar cambios en la configuración de los recursos. Esto le permite auditar y evaluar continuamente la conformidad general de las configuraciones de sus recursos de AWS con respecto a las políticas y pautas de su organización.

P: ¿Cómo comienzo a utilizar los paquetes de reglas?

La forma más rápida de comenzar es mediante la creación de un paquete de reglas con una de nuestras plantillas de muestra en la CLI o la consola de AWS Config. Algunas de estas son las plantillas de prácticas recomendadas operativas con PCI y las plantillas de prácticas recomendadas operativas de Amazon S3 y Amazon DynamoDB. Estas plantillas se encuentran en lenguaje YAML. Puede descargarlas en nuestros sitios de documentación y utilizar su editor de texto favorito para modificarlas y adecuarlas a su entorno. Incluso puede agregar reglas personalizadas de AWS Config que ya haya configurado previamente en el paquete.

P: ¿Hay algún costo asociado al uso de esta característica de AWS Config?

El uso de los paquetes de reglas se cobra en función de un modelo de precios por niveles. Para obtener más detalles, consulte la página de precios de AWS Config.

Incorporación de datos en varias cuentas y regiones

P: ¿Qué es la incorporación de varias regiones y cuentas?

La agregación de datos en AWS Config le permite agregar datos de AWS Config desde cuentas y regiones múltiples en una sola cuenta y una sola región. La agregación de datos de cuentas múltiples es útil para que los administradores de TI central monitoreen la conformidad de cuentas múltiples de AWS en la empresa.

P: ¿Puedo usar la capacidad de incorporación de datos para aprovisionar reglas de Config en varias cuentas de manera centralizada?

La capacidad de agregado de datos no se puede usar para aprovisionar reglas entre cuentas múltiples. Es solamente una capacidad de evaluación que ofrece visibilidad en su conformidad. Puede usar CloudFormation StackSets para aprovisionar las reglas en las cuentas y las regiones. Aquí hay un blog útil.

P: ¿Cómo habilito la incorporación de datos en mi cuenta?

Cuando se hayan habilitado la configuración y las reglas de configuración en su cuenta y se hayan agregado las cuentas, puede habilitar el agregado de datos al crear un agregador en su cuenta. Más información.

P: ¿Qué es un agregador?

Un agregador es un tipo de recursos de AWS Config que recopila datos desde cuentas y regiones múltiples. Use un agregador para ver la configuración del recurso y los datos de conformidad registrados en AWS Config para cuentas y regiones múltiples.

P: ¿Qué información ofrece la vista de agregación?

La vista de agregación muestra la cantidad total de reglas no conformes en la organización, las cinco reglas principales sin cumplimiento por cantidad de recursos y las cinco cuentas principales de AWS que tienen la mayor cantidad de reglas de no conformidad. A continuación, puede desplazarse hacia abajo para ver más detalles sobre los recursos que no cumplen la regla y la lista de reglas que una cuenta infringe.

P: No soy un cliente de AWS Organizations. ¿Aún así puedo usar la capacidad de agregado de datos?

Puede especificar las cuentas para agregar los datos de configuración al cargar un archivo o al ingresar las cuentas de manera individual. Tenga en consideración que como estas cuentas no son parte de ninguna organización de AWS, debe explícitamente autorizar la cuenta del agregador. Más información.

P: Tengo una sola cuenta. ¿Aún así puedo aprovechar la capacidad de incorporación de datos?

La capacidad de agregado de datos es útil también para agregar regiones múltiples. De manera que puede agregar los datos de configuración de su cuenta a través de regiones múltiples al usar esta capacidad.

P: ¿En qué regiones está disponible la capacidad de incorporación de datos en varias cuentas y regiones?

Para obtener información sobre dónde está disponible la capacidad de incorporación de datos en varias cuentas y regiones, consulte en:

https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html

P: ¿Qué sucede si tengo una cuenta que incluye una región que no admite esta característica?

Cuando crea un agregador, especifica las regiones en las que puede agregar datos. Esta lista solo muestra las regiones donde está disponible esta característica. También puede seleccionar “todas las regiones”, en cuyo caso apenas se agregue soporte en las otras regiones, automáticamente se agregarán los datos.

Compatibilidad con servicios y disponibilidad en regiones

P: ¿Qué tipos de recursos de AWS abarca AWS Config?

Consulte nuestra documentación para ver una lista completa de los tipos de recursos admitidos.

P: ¿En qué regiones se encuentra disponible AWS Config?

Para obtener más detalles sobre las regiones en las que AWS Config está disponible, visite esta página:

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

Configuración de recursos

P: ¿Qué es un elemento de configuración?

Un elemento de configuración es la configuración de un recurso en un momento concreto. Un elemento de configuración se compone de cinco secciones:

  1. Información básica sobre el recurso que es común para los diferentes tipos de recursos (por ejemplo, etiquetas o nombres de recursos de Amazon)
  2. Datos de configuración específicos del recurso (por ejemplo, el tipo de instancia EC2)
  3. Mapa de las relaciones con otros recursos (por ejemplo, el recurso EC2::Volume vol-3434df43 está asociado a la instancia EC2 i-3432ee3a)
  4. Identificadores de eventos de AWS CloudTrail que están relacionados con este estado (solo para recursos de AWS)
  5. Metadatos que ayudan a identificar información sobre el elemento de configuración, como la versión del elemento y cuándo se capturó dicho elemento

Más información acerca de los elementos de configuración.

P: ¿Qué es un elemento de configuración personalizado?

Es el elemento de configuración establecido para un recurso de terceros o un recurso personalizado. Algunos ejemplos son las bases de datos en las instalaciones, los servidores de Active Directory, los sistemas de control de versiones como GitHub y las herramientas de monitoreo de terceros como Datadog.

P: ¿Qué son las relaciones de AWS Config y cómo se usan?

AWS Config tiene en cuenta las relaciones entre los recursos al registrar los cambios. Por ejemplo, si un nuevo grupo de seguridad de Amazon EC2 se asocia con una instancia de Amazon EC2, AWS Config registra las configuraciones actualizadas del recurso principal, el grupo de seguridad de Amazon EC2 y los recursos relacionados, como la instancia de Amazon EC2, si dichos recursos han cambiado.

P: ¿AWS Config registra todos los estados de un recurso?

AWS Config detecta los cambios de configuración de un recurso y registra el estado de la configuración resultante de dicho cambio. En los casos en que se hagan varios cambios de configuración en un recurso con una sucesión rápida (por ejemplo, dentro de un intervalo de pocos minutos), Config solo registrará la última configuración de dicho recurso que representa el impacto acumulativo del conjunto de cambios. En estas situaciones, Config solo enumerará el último cambio en el campo relatedEvents del elemento de configuración. Esto permite a los usuarios y a los programas seguir cambiando las configuraciones de la infraestructura sin tener que esperar a que Config registre los estados transitorios intermedios.

P: ¿AWS Config registra los cambios de configuración no derivados de la actividad de la API en dicho recurso?

Sí, AWS Config analizará regularmente la configuración de los recursos para registrar los cambios que aún no se hayan registrado. Los elementos de configuración de estos análisis no dispondrán de un campo relatedEvent en la carga y solo se seleccionará el último estado que difiera con respecto al estado que ya está registrado.

P: ¿AWS Config registra cambios de configuración en el software de instancias EC2?

Sí. AWS Config le permite registrar cambios en la configuración de software de instancias de EC2 de su cuenta de AWS y también máquinas virtuales o servidores en su entorno on-premise. La información sobre la configuración registrada por AWS Config incluye actualizaciones en el sistema operativo, la configuración de red, las aplicaciones instaladas, etc. Con las reglas de AWS Config, puede evaluar si sus instancias, máquinas virtuales y servidores cumplen con sus instrucciones. Las capacidades exhaustivas de visibilidad y monitoreo constante de AWS Config le permiten evaluar la seguridad y solucionar problemas operativos.

P: ¿AWS Config continúa enviando notificaciones si un recurso que antes no era conforme sigue siéndolo tras una evaluación normativa periódica?

AWS Config envía notificaciones solo cuando cambia el estado de conformidad normativa. Si un recurso no era conforme antes y continúa siéndolo, Config no enviará ninguna notificación nueva. Si el estado de conformidad normativa cambia a “conforme”, recibirá una notificación del cambio de estado.

P: ¿Puedo marcar o eximir a los recursos para que las reglas de Config no los evalúen?

Al configurar reglas de Config, puede elegir entre que su regla evalúe a unos tipos de recurso concretos o a recursos con una etiqueta concreta.

Precios

P: ¿Qué cargos se me aplicarán por utilizar AWS Config?

Con AWS Config, se le cobrará en función de la cantidad de elementos de configuración registrados y la cantidad de evaluaciones de reglas activas y de paquetes de reglas de AWS Config en su cuenta. Un elemento de configuración es un registro de la configuración de un recurso en su cuenta de AWS. Una evaluación de regla de AWS Config es una evaluación del estado de conformidad de un recurso en función de una regla de AWS Config en su cuenta de AWS; y una evaluación de un paquete de reglas es la evaluación de un recurso en función de una regla de AWS Config perteneciente al paquete de reglas. Para obtener más información y ejemplos, visite https://aws.amazon.com/config/pricing/

P: ¿Los precios de las reglas de AWS Config incluyen los costos de las funciones de AWS Lambda?

Puede elegir entre un conjunto de reglas administradas que proporciona AWS o puede crear sus propias reglas, escritas en la forma de funciones de AWS Lambda. El mantenimiento de las reglas administradas es responsabilidad de AWS y el usuario no tiene que pagar ningún cargo adicional por AWS Lambda al ejecutarlas. Solo tiene que activar las reglas administradas, indicar los parámetros obligatorios y pagar una tarifa única por cada regla de AWS Config activa en un mes. Las reglas personalizadas le dan control total, ya que se ejecutan como funciones de AWS Lambda en su cuenta. Además de los cargos mensuales por regla activa, a las reglas de AWS Config personalizadas se les aplican el nivel gratuito de AWS Lambda* y las tarifas de ejecución de funciones.


*La capa gratuita de AWS no se encuentra disponible en las regiones AWS China (Pekín) o AWS China (Ningxia).

P: Quiero cambiar la función Lambda para mi AWS Config rule personalizada. ¿Cuál es el enfoque recomendado?

Se incurre en cargos cada vez que se crea una nueva regla y se activa. Si necesita actualizar o reemplazar la función Lambda asociada con una regla, el enfoque recomendado es actualizar la regla en lugar de eliminarla y crear una nueva regla.

Soluciones de socios

P: ¿Qué soluciones de socios de AWS están disponibles para AWS Config? >>

Las soluciones de socios de APN, como Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks y RedHat CloudForms, proporcionan ofertas totalmente integradas a los datos de AWS Config. Los proveedores de servicios administrados, como 2ndWatch Watch y CloudNexa, también han anunciado integraciones a AWS Config. Además, con Config Rules, socios como CloudHealth Technologies, AlertLogic y TrendMicro están presentando ofertas integradas que pueden usar los clientes. Estas soluciones comprenden funcionalidades como la administración de cambios y los análisis de seguridad y le permiten visualizar, monitorizar y administrar las configuraciones de los recursos de AWS.

Para obtener más información, haga clic aquí.

Más información sobre AWS Config

Visite la página de socios
¿Listo para crear?
Comience a utilizar AWS Config
¿Tiene más preguntas?
Contacte con nosotros