AWS Config Rules es un nuevo conjunto de funciones de gobernanza de la nube que permite a los administradores de TI definir directrices de aprovisionamiento y configuración de recursos de AWS, que les permite realizar una supervisión ulterior y constante de la conformidad con tales directrices. AWS Config Rules permite elegir de entre un conjunto de reglas preintegradas basadas en las prácticas recomendadas habituales de AWS, o bien en reglas personalizadas definidas por el usuario. Por ejemplo, asegúrese de que los volúmenes de EBS están cifrados, las instancias de EC2 están etiquetadas correctamente y las direcciones IP elásticas (EIP) están conectadas a las instancias. AWS Config Rules puede supervisar constantemente los cambios de configuración de los recursos de AWS y, además, presenta un nuevo panel desde donde se puede realizar un seguimiento del estado de conformidad. Gracias a Config Rules, un administrador de TI puede determinar rápidamente cuándo y cómo se interrumpió la conformidad de un recurso.
La vista previa de AWS Config Rules ya se encuentra disponible
Inscríbase para la vista previaPuede habilitar AWS Config Rules con tan solo unos clics en AWS Management Console. Use plantillas de reglas predefinidas o cree sus propias reglas con las funciones de AWS Lambda para poder ejecutar controles de conformidad, flujos de trabajo y notificaciones más avanzados. Puede acceder a la información relacionada con la configuración de cualquier recurso a través de AWS Management Console, la CLI o los SDK.
AWS Config Rules ofrece un panel visual con listas, tablas y gráficos, a fin de poder identificar rápidamente los recursos no conformes y adoptar las medidas apropiadas. También permite que los administradores de TI, los expertos en seguridad, los desarrolladores y los operadores tengan una visión compartida sobre la conformidad. Asimismo, Config Rules puede ayudar a las organizaciones sometidas a normas del sector establecidas a garantizar la conformidad.
AWS Config Rules ofrece una visión casi en tiempo real de la conformidad de los recursos de AWS con las políticas y las directrices de una organización. No es necesario realizar un análisis de conformidad para ver el estado de los recursos de AWS. Puede elegir entre evaluar las reglas cada vez que se produzca un cambio en un recurso de AWS, o bien a intervalos regulares. También puede habilitar Amazon SNS para enviar inmediatamente un correo electrónico o un mensaje de texto cuando se detecta un cambio de configuración.
AWS Config Rules integra una interfaz intuitiva para facilitar las auditorías de conformidad y la solución de problemas de configuración. Puede programar instantáneas de conformidad automáticas a nivel de cuenta directamente desde la consola, donde podrá obtener una visión de la conformidad a lo largo del tiempo.
Puede elegir entre numerosos socios de la red de socios de AWS (APN) que ofrecen soluciones que se pueden integrar con AWS Config Rules para la detección de recursos, la gestión de cambios, la conformidad o la seguridad.
En AWS Config Rules, los cargos se aplican en función del número de reglas activas de una cuenta. Cada vez que se compara un recurso de AWS con una regla, el resultado se registra como un resultado de evaluación. Puede optar por evaluar las reglas cuando cambian los recursos de AWS, o bien a intervalos periódicos, como por horas o por días. Una regla está activa si tiene una o varias evaluaciones en un mes.
Costes de Config Rules:
2 USD por regla activa al mes.
Por cada regla activa, la cuenta recibe sin ningún cargo adicional durante el mes en curso:
20 000 evaluaciones
Las evaluaciones no consumidas no son acumulables. Si necesita más evaluaciones de las reglas, el precio aplicable será:
0,10 USD por cada mil evaluaciones
Las instantáneas de la configuración y los archivos del historial de configuración se entregan en el depósito de Amazon S3 elegido por el usuario, y las notificaciones de los cambios de configuración se entregan a través de Amazon Simple Notification Service (SNS). Se aplican las tarifas estándar de Amazon S3 y Amazon SNS. Las reglas administradas por los clientes se crean con AWS Lambda. En este caso, se aplican las tarifas estándar de AWS Lambda.
A no ser que se especifique lo contrario, nuestros precios no incluyen los impuestos y gravámenes correspondientes, como el IVA, el GST (impuesto sobre bienes y servicios australiano) y cualquier otro impuesto sobre las ventas. Para obtener más información, consulte las preguntas frecuentes sobre los precios de Config Rules »
¿Qué es una regla de configuración?
Una regla de configuración representa las configuraciones deseadas de un recurso y se evalúa en relación con los cambios de configuración realizados en los recursos pertinentes, según los registros que constan en AWS Config. Los resultados de la evaluación de una regla en comparación con la configuración de un recurso se encuentran disponibles en un panel. Con Config Rules, puede evaluar el estado general de la conformidad y los riesgos desde el punto de vista de la configuración, consultar las tendencias de conformidad a lo largo del tiempo e identificar qué cambio de configuración ha provocado que un recurso deje de cumplir una regla.
¿Quién debe usar Config Rules?
Todos los clientes de AWS que deseen mejorar su posición en términos de seguridad y gobernanza en AWS mediante una evaluación constante de la configuración de sus recursos pueden beneficiarse de esta funcionalidad. Los administradores de organizaciones más grandes que sugieran prácticas recomendadas para configurar recursos pueden codificar estas reglas como Config Rules, a fin de promover una gobernanza autónoma entre los usuarios. Los expertos en seguridad de la información que supervisan las configuraciones y la actividad de uso para detectar vulnerabilidades también pueden beneficiarse de Config Rules. Los clientes que soportan cargas de trabajo que deben estar en consonancia con normas específicas (por ejemplo, PCI-DSS o HIPAA) pueden utilizar esta funcionalidad para evaluar la conformidad de la configuración de la infraestructura de AWS y elaborar informes de las auditorías. Los operadores que gestionan una infraestructura grande de AWS o componentes que cambian con frecuencia también pueden utilizar Config Rules para solucionar problemas.
¿El servicio garantiza la conformidad de las configuraciones en todo momento?
Config Rules ofrece información sobre si los recursos se atienen a las reglas de configuración especificadas por el usuario. Evaluará las reglas en cuanto los elementos de configuración actualizados de un recurso se encuentren disponibles en AWS Config. No obstante, no garantiza la conformidad de los recursos ni impide que los usuarios adopten medidas no conformes. Además, Config Rules no convierte automáticamente en conformes los recursos no conformes.
¿El servicio impide que los usuarios adopten medidas para casos de no conformidad?
Config Rules no afecta directamente a la forma en que los usuarios finales consumen AWS. Evalúa las configuraciones de recursos solo después de que se haya completado un cambio de configuración y AWS Config lo haya registrado. Config Rules no impide que el usuario realice cambios que puedan derivar en una no conformidad. Para controlar lo que un usuario puede aprovisionar en AWS y los parámetros de configuración durante el aprovisionamiento, use las políticas de AWS Identity and Access Management (IAM) y AWS Service Catalog, respectivamente.
¿Las reglas se pueden evaluar antes de aprovisionar un recurso?
Config Rules evalúa las reglas después de que AWS Config haya capturado el elemento de configuración del recurso. No evalúa la reglas antes de aprovisionar un recurso o antes de realizar los cambios de configuración del recurso.
¿Qué es la configuración de un recurso?
La configuración de un recurso se define por los datos incluidos en el elemento de configuración de AWS Config. El lanzamiento inicial de Config Rules habilita el elemento de configuración de un recurso para las reglas pertinentes. Config Rules puede usar esta información junto con cualquier otra información pertinente, como otros recursos conectados, el horario laborable, etc. para evaluar la conformidad de la configuración de un recurso.
¿Qué es una regla?
Una regla representa los valores de los atributos del elemento de configuración deseado de los recursos, que se evalúan comparándolos con los valores de los atributos de los elementos de configuración registrados por AWS Config. Hay dos tipos de reglas:
- Reglas gestionadas por AWS: se trata de reglas preintegradas en AWS de cuya gestión también se encarga AWS. Solo hay que elegir la regla que se desea habilitar y, a continuación, indicar algunos parámetros de configuración para comenzar. Más información »
- Reglas gestionadas por clientes: se trata de normas personalizadas, definidas e integradas por el mismo usuario. Puede crear una función en AWS Lambda que se pueda invocar como parte de una regla personalizada, y estas funciones se ejecutan en la cuenta. Más información »
¿Cómo se crean las reglas?
Las reglas suele crearlas un administrador de cuentas de AWS. Se pueden crear a partir de las reglas gestionadas por AWS, un conjunto predefinido de reglas que ofrece AWS o mediante reglas gestionadas por clientes. Con las reglas gestionadas por AWS, las actualizaciones de dichas reglas se aplican automáticamente a todas las cuentas mediante la regla de la que se trate. En cambio, en el caso de las reglas gestionadas por clientes, el cliente dispone de una copia integral de la regla y ejecuta la regla en su propia cuenta. El cliente es el encargado del mantenimiento de tales reglas.
¿Cómo se evalúan las reglas?
Las reglas pueden configurarse como reglas derivadas de cambios o como una regla periódica. Una regla derivada de un cambio se ejecuta cuando AWS Config registra un cambio de configuración de alguno de los recursos especificados. Asimismo, se debe especificar alguno de los siguientes elementos:
- Etiqueta clave:(valor opcional): una etiqueta clave:valor implica que los cambios de configuración registrados para los recursos con la etiqueta clave:valor específica activarán la evaluación de la regla.
- Tipos de recursos: todos los cambios de configuración registrados para cualquier recurso dentro de un tipo de recurso específico activarán una evaluación de la regla.
- ID de recurso: todos los cambios registrados en el recurso especificado por el tipo de recurso y el ID de recurso activarán una evaluación de la regla.
Una regla periódica se activa con una frecuencia específica. Las frecuencias disponibles son 1 hora, 3 horas, 6 horas, 12 horas y 24 horas. Una regla periódica contiene una instantánea completa de los elementos de configuración actuales de todos los recursos disponibles en la regla.
¿Qué es una evaluación?
La evaluación de una regla determina si una regla es compatible con un recurso en un momento dado. Se trata del resultado de evaluar una regla con respecto a la configuración de un recurso. Config Rules capturará y almacenará el resultado de cada evaluación. Este resultado incluirá el recurso, la regla, el momento de la evaluación y un vínculo al elemento de configuración que ha causado la no conformidad.
¿A qué se refiere la conformidad?
Un recurso es conforme si cumple todas las reglas aplicables a él. De lo contrario, es no conforme. Asimismo, una regla es conforme si todos los recursos evaluados por la regla se atienen a ella. De lo contrario, es no conforme. En algunos casos, como cuando se encuentran disponibles recursos inadecuados para la regla, puede no existir una evaluación para el recurso, derivando en una condición de datos insuficientes. Este estado se excluye de la determinación del estado de conformidad de un recurso o una regla.
¿Qué información se muestra en el panel de Config Rules?
En el panel de Config Rules se ofrece información general de los recursos de los que AWS Config realiza un seguimiento, además de un resumen de la conformidad actual por recurso y regla. Si consulta la conformidad por recurso, puede determinar si alguna regla aplicable al recurso no es conforme en ese momento. También puede consultar la conformidad por regla, y de esta forma podrá saber si algún recurso contemplado en la regla no es conforme en ese momento. Con estas vistas de resumen, puede profundizar en la vista de escala de tiempo de los recursos, a fin de determinar qué parámetros de configuración han cambiado. En este panel, puede obtener información general y profundizar en las vistas minuciosas que proporcionan información integral sobre los cambios del estado de conformidad y qué cambios han ocasionado la no conformidad.
¿Los precios incluyen los costes de las funciones de AWS Lambda?
Puede elegir de entre un conjunto de reglas gestionadas proporcionadas por AWS o crear las suyas propias, escritas como funciones de AWS Lambda. AWS se encarga de la gestión y el mantenimiento integrales de las reglas gestionadas, por lo que no hay que pagar ningún cargo adicional de AWS Lambda para ejecutarlas. Solo hay que habilitar las reglas gestionadas, proporcionar los parámetros necesarios y pagar una tarifa única por cada regla de AWS Config. Por otra parte, las reglas gestionadas por clientes le permiten ejercer el control total, gracias a que puede ejecutarlas en la cuenta como funciones de AWS Lambda. Además de los cargos mensuales por una regla activa, se aplican las tarifas estándar de ejecución de funciones y la capa gratuita de AWS Lambda a las reglas gestionadas por clientes.
¿Qué es una regla activa?
Una regla está activa si hay al menos una evaluación registrada para la regla en un ciclo de facturación (mensual). Una evaluación se registra satisfactoriamente cuando se realiza una comparación entre un recurso de AWS y una regla, y el resultado se registra en AWS Config.
¿Qué significa la cuota compartida?
Recibe una cuota de 20 000 evaluaciones por regla activa al mes. Por ejemplo, si tiene tres reglas de configuración, dispone de una cuota de 60 000 evaluaciones para la cuenta. Tiene la opción de ampliar esta bonificación en todas las reglas de cualquier forma.
¿Las evaluaciones no consumidas se acumulan para el mes siguiente?
Las evaluaciones no consumidas caducan y se restablecen en cada ciclo de facturación.
¿Podría compartir ejemplos de precios para AWS Config Rules?
Ejemplo de precios 1:
AWS Config registra cada recurso y cambio de configuración de AWS como un elemento de configuración. Supongamos que registra 7 000 elementos de configuración al mes y que ha creado 5 reglas activas (2 periódicas y 3 activadas por cambios), obteniendo un total combinado de 150 evaluaciones al día.
Costes de AWS Config: 7 000 * 0,003 USD = 21,00 USD
Coste de 5 reglas activas = 5 * 2,00 USD = 10,00 USD
Cuota por los resultados de evaluación = 5 * 20 000 = 100 000
Número de resultados de evaluación utilizados = 150 evaluaciones * 30 días = 4 500 evaluaciones al mes
Cargos adicionales de los resultados de evaluación = 0,0 USD
Cargos totales de AWS Config al mes = 31,00 USD
Ejemplo de precios 2:
Supongamos que registra 50 000 elementos de configuración al mes, que ha creado 2 reglas activas y que cada una de ellas se evalúa con respecto a cada elemento de configuración y se registra cada resultado.
Costes de AWS Config: 50 000 * 0.003 USD = 150.00 USD
Coste de 2 reglas activas = 2 * 2,00 USD = 4,00 USD
Cuota por los resultados de evaluación = 2 * 20 000 = 40 000
Número de resultados de evaluación utilizados = 2 * 50 000 = 100 000
Cargos adicionales de los resultados de evaluación = (100 000 – 40 000) = 60 000 * 0,0001 = 6,00 USD
Cargos totales de AWS Config al mes = 150,00 USD + 4,00 USD + 6,00 USD = 160,00 USD