¿Cómo puedo volver a crear un canal de entrega de AWS Config?
He eliminado mi canal de entrega de AWS Config. ¿Cómo puedo volver a crearlo?
Breve descripción
Al configurar AWS Config mediante la consola de AWS Config, un proceso de configuración le guía para configurar los recursos de AWS a fin de enviar notificaciones al canal de entrega. La configuración de AWS Config incluye configurar un bucket de Amazon Simple Storage Service (Amazon S3), un tema de Amazon Simple Notification Service (Amazon SNS), un rol de AWS Identity and Access Management (IAM) y los tipos de recursos que se van a registrar.
Si elimina un canal de entrega de AWS Config mediante el comando delete-delivery-channel de la Interfaz de la línea de comandos de AWS (AWS CLI), el grabador de configuración se desactiva. Al intentar volver a activar el grabador de configuración, aparece el error «AWS Config no puede iniciar la grabación porque no se ha encontrado el canal de entrega».
Nota: No puede volver a crear el canal de entrega mediante la consola de AWS Config.
Solución
Siga estas instrucciones para volver a crear manualmente el canal de entrega de AWS Config y activar el grabador de configuración.
Nota: Si no ha eliminado el bucket de Amazon S3, el tema de S3 y el rol de IAM asociados al canal de entrega de AWS Config eliminado, puede omitir estos pasos.
Creación del bucket de Amazon S3
1. Abra la consola de Amazon S3 en la misma región que su servicio de AWS Config y seleccione Crear bucket.
2. En Nombre del bucket, introduzca un nombre para el bucket de S3 y, a continuación, seleccione Siguiente.
3. Seleccione Siguiente, Siguiente y, a continuación, Crear bucket.
4. En los buckets de S3, seleccione el bucket de S3 que acaba de crear en el paso 3.
5. Seleccione Permisos y, a continuación, Política de bucket.
6. Copie y pegue el siguiente ejemplo de política de bucket y, a continuación, seleccione Guardar.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSConfigBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::targetBucketName", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } }, { "Sid": "AWSConfigBucketExistenceCheck", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::targetBucketName", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } }, { "Sid": "AWSConfigBucketDelivery", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID/Config/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "AWS:SourceAccount": "sourceAccountID" } } } ] }
Creación del tema de SNS
1. Abra la consola de Amazon SNS en la misma región que su servicio de AWS Config y, a continuación, seleccione Temas.
2. Seleccione Crear tema.
3. En Nombre, introduzca un nombre para su tema de SNS. A continuación, seleccione Crear tema.
4. Seleccione Crear suscripción.
5. En Protocolo, seleccione Correo electrónico.
6. Para Punto de conexión, introduzca la dirección de correo electrónico que quiere asociar a este tema de SNS y, a continuación, seleccione Crear suscripción.
7. Compruebe su correo electrónico para ver la confirmación de la suscripción y, a continuación, seleccione Confirmar suscripción.
8. Se muestra el mensaje Suscripción confirmada.
Nota: Para usar su tema de SNS, asegúrese de tener los permisos necesarios.
Creación del rol de IAM
1. Abra la consola de IAM.
2. Seleccione Roles y, a continuación, Crear rol.
3. En Seleccionar tipo de entidad de confianza, elija Servicio de AWS.
4. En Casos de uso para otros servicios de AWS, seleccione Config.
5. En Seleccionar su caso de uso, elija Config: Personalizable y, a continuación, Siguiente: Permisos.
6. Seleccione Siguiente: Etiquetas y, a continuación, Siguiente: Revisar.
7. En Nombre de rol, introduzca un nombre y, a continuación, seleccione Crear rol.
8. Seleccione el rol que creó en el paso 7, elija Añadir política insertada y, a continuación, seleccione la pestaña JSON.
9. Copie y pegue el siguiente ejemplo de política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID-WithoutHyphens/*" ], "Condition": { "StringLike": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Effect": "Allow", "Action": [ "s3:GetBucketAcl" ], "Resource": "arn:aws:s3:::targetBucketName" }, { "Effect": "Allow", "Action": "sns:Publish", "Resource": "arn:aws:sns:region:account_number:targetTopicName" } ] }
Creación de la clave de KMS
Se recomienda utilizar el cifrado basado en AWS Key Management Service (AWS KMS) en los objetos entregados por AWS Config a un bucket de Amazon S3. Cree una clave de KMS en la misma región que su servicio de AWS Config. Asegúrese de tener los permisos necesarios para su clave de KMS.
Si decide no cifrar los objetos, omita estos pasos y continúe con la sección Creación del canal de entrega.
1. Abra la consola de AWS KMS.
2. En el panel de navegación, seleccione Claves administradas por el cliente.
3. Seleccione Crear clave.
4. En Tipo de clave, seleccione Simétrico para crear una clave de KMS de cifrado simétrico. Para obtener información sobre las claves de KMS asimétricas, consulte Creación de claves KMS asimétricas (consola).
5. En Uso de clave, la opción Cifrado y descifrado está seleccionada de forma predeterminada. Confirme esta opción y, a continuación, seleccione Siguiente.
6. Introduzca un alias para la clave de KMS. A continuación, seleccioneSiguiente. Nota: El nombre de su alias no puede empezar por aws/.
7. Seleccione los usuarios y roles de IAM que pueden administrar la clave de KMS. A continuación, seleccioneSiguiente.
8. Seleccione los usuarios y roles de IAM que pueden usar la clave en las operaciones criptográficas. A continuación, seleccione Siguiente.
9. Seleccione Terminar para crear la clave de KMS.
10. Seleccione Claves administradas por el cliente en el panel de navegación. A continuación, en Claves administradas por el cliente, seleccione la clave que acaba de crear.
11. En la pestaña Política de claves, seleccione Cambiar a la vista de política. A continuación, seleccione Editar.
12. Si utiliza un rol de IAM personalizado para AWS Config, copie y pegue esta instrucción de política como instrucción de política de claves adicional. A continuación, seleccione Guardar cambios.
{ "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "myKMSKeyARN", "Principal": { "AWS": [ "arn:aws:iam:account_id:role/my-config-role-name" ] } } ] }
Alternativa:
Si utiliza roles vinculados a servicios (SLR) para AWS Config, utilice la siguiente instrucción de política para actualizar la política de claves de KMS:
{ "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
Creación del canal de entrega
1. Con un editor de texto, copie y pegue la siguiente plantilla de ejemplo y guárdela como un archivo JSON. Puede cambiar el valor de deliveryFrequency para que coincida con su caso de uso. Si decide no activar el cifrado, omita el valor s3KmsKeyArn del archivo JSON.
Importante: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de utilizar la versión más reciente de AWS CLI.
{ "name": "default", "s3BucketName": "targetBucketName", "s3KeyPrefix": "Optionalprefix", "snsTopicARN": "arn:aws:sns:region:account_ID:targetTopicName", "s3KmsKeyArn": "arn:aws:kms:region:account_ID:KmsKey", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }
Nota: Se debe proporcionar el prefijo s3KeyPrefix si la política de bucket de S3 restringe PutObject a un prefijo concreto, en lugar del predeterminado.
2. Ejecute el siguiente comando de AWS CLI:
$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json
3. Ejecute el siguiente comando de AWS CLI para confirmar si se ha creado el canal de entrega:
$ aws configservice describe-delivery-channels
Inicio del grabador de configuración
1. Abra la consola de AWS Config.
2. En el panel de navegación, seleccione Configuración.
3. En El registro está desactivado, seleccione Activar y, a continuación, Continuar.
Alternativa:
Ejecute el siguiente comando de AWS CLI:
$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName
Para obtener más información, consulte Administración del grabador de configuración y Administración de las reglas de AWS Config.
Información relacionada
Configuración de AWS Config con la consola
¿Cómo puedo solucionar los mensajes de error de la consola de AWS Config?
Contenido relevante
- OFICIAL DE AWSActualizada hace 3 años
- OFICIAL DE AWSActualizada hace 3 años
- OFICIAL DE AWSActualizada hace un año