Geral

P: O que é o AWS Config?

O AWS Config é um serviço totalmente gerenciado que oferece inventário de recursos, histórico de configuração e notificações de alteração de configuração da AWS para proporcionar segurança e governança. O AWS Config permite descobrir recursos da AWS atuais, exportar um inventário completo dos seus recursos da AWS com todos os detalhes de configuração e saber como um recurso foi configurado em determinado momento. Esses recursos permitem auditoria de conformidade, análise de segurança, rastreamento de alteração de recursos e solução de problemas.

P: O que é uma regra de configuração?

Uma regra de configuração representa configurações desejadas para um recurso e é avaliada com relação às alterações na configuração de recursos relevantes, conforme o registrado pelo AWS Config. Os resultados da avaliação de uma regra em relação à configuração de um recurso são disponibilizados em um painel. Usando o Config Rules, você pode avaliar sua conformidade geral e o status do risco sob a perspectiva da configuração, visualizar tendências de conformidade durante um período e apontar que alteração de conformidade fez com que um recurso ficasse fora de conformidade com uma regra.

P: O que é um pacote de conformidade?

Um pacote de conformidade é uma coleção de regras e ações de correção do Config criadas usando uma estrutura e um modelo de empacotamento comuns no AWS Config. Ao empacotar os artefatos acima do Config, você pode simplificar os aspectos de implantação e geração de relatórios das políticas de governança e da conformidade de configuração em várias contas e regiões e reduzir o tempo que um recurso permanece em um estado não compatível.

P: Quais são os benefícios do AWS Config?

O AWS Config facilita o monitoramento da configuração do seu recurso sem a necessidade de investimentos iniciais e evitando a complexidade de instalar e atualizar agentes para coleta de dados ou manutenção de bancos de dados grandes. Quando você habilita o AWS Config, é possível visualizar continuamente os detalhes atualizados de todos os atributos de configuração associados aos seus recursos da AWS. Você é notificado através do Amazon Simple Notification Service (SNS) de cada alteração de configuração.

P: Como o AWS Config pode me ajudar com as auditorias?

O AWS Config oferece a você acesso ao histórico de configurações do recurso. Você pode relacionar as alterações de configuração com eventos do AWS CloudTrail que possivelmente contribuíram com a alteração da configuração. Essas informações garantem a você total visibilidade, diretamente dos detalhes (como “Quem fez a alteração?”, “De qual endereço IP?”) do efeito dessa alteração em recursos da AWS e nos recursos relacionados. Você pode usar essas informações para gerar relatórios para ajudar na auditoria e avaliação de conformidade durante determinado período.

P: Quem deve usar o AWS Config e o Config Rules?

Qualquer um de nossos clientes buscando melhorar seus procedimentos de segurança e governança na AWS ao avaliar continuamente a configuração de seus recursos se beneficiaria desse produto. Os administradores de grandes empresas que recomendam melhores práticas para a configuração de recursos podem codificar essas regras como Config Rules e habilitar a autogovernança entre os usuários. Os especialistas em segurança da informação que monitoram a atividade e as configurações de uso para detectar vulnerabilidades podem beneficiar-se do Config Rules. Os clientes com cargas de trabalho que devem estar em conformidade com padrões específicos do setor (ex.: PCI-DSS ou HIPAA) podem usar esse recurso para avaliar a conformidade de suas configurações de infraestrutura da AWS, como também para gerar relatórios para seus auditores. Operadores que gerenciam uma grande infraestrutura da AWS ou componentes que mudam frequentemente também podem se beneficiar do Config Rules para solução de problemas. Os clientes que quiserem acompanhar alterações na configuração dos recursos, responder a dúvidas sobre configurações de recursos, demonstrar conformidade, solucionar problemas ou realizar análise de segurança devem ativar o AWS Config.

P: Quem deve usar os pacotes de conformidade do AWS Config?

Se você estiver procurando por uma estrutura para criar e implantar pacotes de conformidade para suas configurações de recursos da AWS em várias contas, o que inclui regras e ações de correção criadas pelos parceiros do APN da AWS ou até por si próprias, deverá usar pacotes de conformidade. Essa estrutura pode ser usada para criar pacotes personalizados para segurança, DevOps e outras funções, e os clientes podem começar rapidamente usando um dos modelos de pacotes de conformidade de exemplo.

P: O serviço garante que minhas configurações nunca fiquem fora de conformidade?

As regras do Config e os pacotes de conformidade disponibilizam informações sobre se os seus recursos estão em conformidade com as regras de configuração que você especificou. Eles avaliarão as configurações de recursos em relação às regras do Config periodicamente ou ao detectar alterações na configuração, ou ambas, dependendo de como você configurou a regra. Eles não garantem que os recursos estarão em conformidade, nem impedirão que usuários tomem medidas que não estejam em conformidade. No entanto, eles podem ser usados para trazer de volta à conformidade um recurso não compatível, configurando ações de correção apropriadas para cada regra do Config.

P: O serviço impede que usuários tomem medidas que não estejam em conformidade?

O Config Rules não influencia diretamente o modo como os usuários finais utilizam a AWS. Ele só avalia as configurações do recurso depois que uma alteração de configuração tenha sido concluída e registrada no AWS Config. O Config Rules não impede que o usuário faça alterações que possam não estar em conformidade. Para controlar o que um usuário pode provisionar na AWS e saber quais parâmetros de configuração são permitidos durante o provisionamento, use as políticas do AWS Identity and Access Management (IAM) e o AWS Service Catalog, respectivamente.

P: As regras podem ser avaliadas antes do provisionamento de um recurso?

O Config Rules avalia as regras depois que o item de configuração (CI) do recurso é capturado pelo AWS Config. Ele não avalia as regras antes de provisionar um recurso ou antes de realizar alterações de configuração no recurso.

P: Como o AWS Config funciona com o AWS CloudTrail?

O AWS CloudTrail registra a atividade de API do usuário em sua conta e permite que você acesse as informações sobre essa atividade. Você obtém detalhes completos sobre ações da API, como identidade do chamador, hora da chamada de API, parâmetros da solicitação e elementos de resposta retornados pelo serviço da AWS. O AWS Config registra detalhes de configurações dos seus recursos da AWS em determinados momentos como itens de configuração (CIs). Você pode usar um CI para responder “Como era meu recurso da AWS?” em um determinado momento. Você pode usar o AWS CloudTrail para responder “Quem fez uma chamada de API para modificar esse recurso?” Por exemplo, você pode usar o Console de Gerenciamento da AWS para o AWS Config detectar se o grupo de segurança “Banco de dados de produção” estava configurado de forma errada no passado. Usando as informações integradas do AWS CloudTrail, você pode especificar qual usuário desconfigurou o grupo de segurança “Banco de dados de produção”.

P: Posso monitorar informações de conformidade de várias contas e regiões usando uma conta central?

O AWS Config facilita o monitoramento do status de conformidade em várias contas e regiões por meio do recurso de agregação de várias contas e regiões. Você pode criar um agregador de configurações em qualquer conta e agregar os detalhes de conformidade de outras contas. Esse recurso também é integrado ao AWS Organizations. Assim, você pode agregar dados de todas as contas da organização.

P: Posso conectar instâncias do ServiceNow e do Jira Service Desk ao AWS Config?

Sim. O AWS Service Management Connector para ServiceNow e Jira Service Desk (anteriormente, AWS Service Catalog Connector) permite que usuários finais do Service Now e do Jira Service Desk provisionem, gerenciem e operem nativamente recursos da AWS usando o ServiceNow e o Jira Service Desk. Os usuários do ServiceNow podem monitorar recursos em uma visão de itens de configuração baseada no AWS Config de forma transparente no ServiceNow com o AWS Service Management Connector. Os usuários do Jira Service Desk podem monitorar recursos dentro da solicitação de problema no AWS Service Management Connector. Isso simplifica as ações de solicitação de produtos da AWS para os usuários do ServiceNow e do Jira Service Desk, além de oferecer governança e supervisão dos produtos da AWS aos administradores do ServiceNow e do Jira Service Desk.

O AWS Service Management Connector para ServiceNow está disponível gratuitamente na ServiceNow Store. Esse novo recurso está disponível de forma geral em todas as regiões da AWS em que o AWS Service Catalog está disponível. Para obter mais informações, consulte a documentação.

O AWS Service Management Connector para Jira Service Desk está disponível gratuitamente no Atlassian Marketplace. Esse novo recurso está disponível de forma geral em todas as regiões da AWS em que o AWS Service Catalog está disponível. Para obter mais informações, consulte a documentação.

Conceitos básicos

P: Como faço para começar a usar este serviço?

A maneira mais rápida de começar a usar o AWS Config é usar o Console de Gerenciamento da AWS. Você pode ativar o AWS Config com alguns cliques. Para obter mais detalhes, consulte a documentação sobre Conceitos básicos.

P: Como faço para acessar as configurações dos meus recursos?

Você pode procurar as configurações atuais e históricas do seu recurso usando o Console de Gerenciamento da AWS, a Interface da linha de comando da AWS ou os SDKs.

Para obter mais detalhes, consulte a documentação do AWS Config.

P: Eu devo ativar o AWS Config regionalmente ou globalmente?

Você deve ativar o AWS Config por região para sua conta.

P: O AWS Config pode agregar dados em diferentes contas da AWS?

Sim, você pode configurar o AWS Config para enviar atualizações de configurações de diferentes contas para um bucket do S3, desde que as políticas do IAM adequadas sejam aplicadas a esse bucket do S3. Você também pode publicar notificações para o tópico do SNS, dentro da mesma região, desde que as políticas IAM adequadas sejam aplicadas ao tópico do SNS.

P: As atividades de API do próprio AWS Config são registradas no AWS CloudTrail?

Sim. Todas as atividades de API do AWS Config, incluindo o uso das APIs do AWS Config para ler dados de configuração, são registradas no AWS CloudTrail.

P: Quais horários e fusos horários são exibidos na visualização de cronograma de um recurso? E o horário de verão?

O AWS Config exibe em um cronograma o horário em que os itens de configuração (CIs) de um recurso foram gravados. Todos os horários são capturados usando o tempo universal coordenado (UTC). Quando o cronograma é visualizado no console de gerenciamento, os serviços usam o fuso horário atual (ajustado para o horário de verão, se for o caso) para exibir todos os horários na visualização de cronograma.

Config Rules

P: O que é uma configuração de recurso?

A configuração de um recurso é definida pelos dados inclusos no item de configuração (CI) do AWS Config. A versão inicial do Config Rules disponibiliza o CI de um recurso para as regras relevantes. O Config Rules pode usar essas informações junto com qualquer outra informação relevante, como outro recurso conectado, horário comercial etc. para avaliar a conformidade com a configuração de um recurso.

P: O que é uma regra?

Uma regra representa os valores de atributo do Configuration Item (CI – Item de configuração) desejados para os recursos e são avaliados pela comparação desses valores de atributo com CIs registrados pelo AWS Config. Existem dois tipos de regras:

Regras gerenciadas pela AWS: são pré-concebidas e gerenciadas pela AWS. Basta escolher a regra que você deseja habilitar e, então, informar alguns parâmetros de configuração para começar. Saiba mais »

Regras gerenciadas pelo cliente: são regras personalizadas, definidas e concebidas por você. Você pode criar uma função no AWS Lambda que possa ser invocada como parte de uma regra personalizada, e essas funções são executadas na sua conta. Saiba mais »

A maneira mais rápida de começar a usar o AWS Config é usar o Console de Gerenciamento da AWS. Você pode ativar o AWS Config com alguns cliques. Para obter mais detalhes, consulte a documentação sobre Conceitos básicos.

P: Como as regras são criadas?

Geralmente, as regras são configuradas pelo administrador de conta da AWS. Elas podem ser criadas por meio da utilização das regras gerenciadas pela AWS, que são um conjunto predefinido de regras disponibilizado pela AWS, ou via regras gerenciadas do cliente. Com as regras gerenciadas pela AWS, as atualizações de regra são aplicadas automaticamente para qualquer conta que esteja utilizando essa regra. No modelo gerenciado pelo cliente, ele obtém uma cópia completa da regra e a executa dentro de sua própria conta. Essas regras são mantidas pelo cliente.

P: Quantas regras posso criar?

Por padrão, você pode criar até 150 regras na sua conta da AWS. Além disso, você pode solicitar um aumento do limite do número de regras em sua conta acessando a página AWS Service Limits.

P: Como as regras são avaliadas?

Qualquer regra pode ser configurada como uma regra acionada por alteração ou como uma regra periódica. Uma regra acionada por alteração é executada quando o AWS Config registra uma alteração de configuração em qualquer um dos recursos especificados. Além disso, uma das seguintes opções deve ser especificada:

Tag Key:(optional Value): Uma tag key:value significa que qualquer alteração na configuração de recursos com a tag key:value especificada acionará uma avaliação da regra.

Tipos de recurso: qualquer alteração de configuração registrada para qualquer recurso dentre os tipos de recursos especificados acionará uma avaliação da regra.

ID de recurso: qualquer alteração registrada no recurso especificada pelo tipo e ID do recurso acionará uma avaliação da regra.

Uma regra periódica é acionada com uma frequência especificada. As frequências disponíveis são 1h, 3h, 6h, 12h ou 24h. Uma regra periódica tem um snapshot completo dos Itens de configuração (CIs) atuais para todos os recursos disponíveis para a regra.

P: O que é uma avaliação?

A avaliação de uma regra determina se uma regra está em conformidade com um recurso em um momento específico. É o resultado da avaliação de uma regra em relação à configuração de um recurso. O Config Rules capturará e armazenará o resultado de cada avaliação. Esse resultado incluirá o recurso, a regra, o tempo de avaliação e um link para o item de configuração (CI) que provocou a falta de conformidade.

P: O que significa conformidade?

Um recurso está em conformidade caso ele esteja de acordo com todas as regras que se aplicam a ele. Caso contrário, ele não está em conformidade. Similarmente, uma regra está em conformidade caso todos os recursos avaliados pela regra estejam em conformidade com a regra. Caso contrário, ele não está em conformidade. Em alguns casos, como quando permissões inadequadas são disponibilizadas para a regra, pode ser que não exista uma avaliação para o recurso, o que resulta em um estado de dados insuficientes. Esse estado é isento de determinar o status de conformidade de um recurso ou uma regra.

P: Que informações o painel do Config Rules disponibiliza?

O painel do Config Rules oferece a você uma visão geral dos recursos monitorados pelo AWS Config e um resumo da conformidade atual por recurso e por regra. Quando você visualizar a conformidade por recurso, você poderá determinar se alguma regra que se aplique ao recurso não está em conformidade no momento. Você poderá visualizar a conformidade por regra, o que diz a você se algum recurso na esfera da regra não está em conformidade no momento. Ao usar essas visualizações de resumo, você poderá se aprofundar ainda mais na visualização de recursos do calendário do Config para determinar quais parâmetros de configuração foram alterados. Com a utilização desse painel você pode começar com uma visão geral e aprofundar sua análise com visualizações refinadas que disponibilizam a você informações completas sobre as alterações no status de conformidade, como também quais alterações provocaram a falta de conformidade.

Pacotes de conformidade

P: Quando devo usar as regras do AWS Config e os pacotes de conformidade?

Você pode usar regras individuais do AWS Config para avaliar a conformidade da configuração de recursos em uma ou mais contas. Os pacotes de conformidade fornecem o benefício adicional das regras de empacotamento, juntamente com as ações de correção em uma única entidade que pode ser implantada em uma organização inteira com um único clique. Os pacotes de conformidade visam simplificar o gerenciamento de conformidade e os relatórios em escala quando você gerencia várias contas. Os pacotes de conformidade foram projetados para fornecer relatórios de conformidade agregados no nível do pacote, além de imutabilidade, para ajudar a garantir que as regras de gerenciamento da AWS Config e os documentos de correção no pacote de conformidade não possam ser modificados ou excluídos pelas contas individuais de uma organização.

P: Como as regras do AWS Config e do AWS Config estão relacionadas ao AWS Security Hub?

O AWS Security Hub é um serviço de segurança e conformidade que fornece gerenciamento de postura de segurança e conformidade como um serviço. Ele usa as regras do AWS Config e Config como mecanismo principal para avaliar a configuração dos recursos da AWS. As regras do AWS Config também podem ser usadas para avaliar a configuração de recursos diretamente. As regras de configuração também são usadas por outros serviços da AWS, como AWS Control Tower e AWS Firewall Manager.

P: Quando uso os pacotes de conformidade do AWS Security Hub e do AWS Config?

Se um padrão de conformidade, como o PCI DSS, já estiver presente no AWS Security Hub, o serviço do AWS Security Hub totalmente gerenciado é a maneira mais fácil de operacionalizá-lo. Você pode investigar descobertas via integração do Security Hub com o Amazon Detective e criar ações de correção automatizadas ou semi-automatizadas usando a integração do Security Hub com o Amazon EventBridge. No entanto, se você deseja montar seu próprio padrão de conformidade ou segurança, que pode incluir verificações de segurança, operacional ou de otimização de custos, os pacotes de conformidade do AWS Config são a resposta.. Os pacotes de conformidade do Config simplificam o gerenciamento das regras de configuração, agrupando um grupo de regras de configuração e ações de correção associadas em uma única entidade. Esse pacote simplifica a implantação de regras e ações de correção em uma organização. Ele também permite relatórios agregados, pois os resumos de conformidade podem ser relatados no nível do pacote. Você pode começar com os exemplos de pacotes de conformidade que fornecemos e personalizar conforme desejar.

P: Os pacotes de conformidade do AWS Security Hub e do AWS Config oferecem suporte ao monitoramento contínuo da conformidade?

Sim, os pacotes de conformidade do AWS Security Hub e do AWS Config oferecem suporte ao monitoramento de conformidade contínuo, dada a confiança nas regras do AWS Config e Config. As regras subjacentes do AWS Config podem ser acionadas periodicamente ou ao detectar alterações na configuração dos recursos. Isso permite fazer auditoria e avaliar, de forma contínua, a conformidade geral de suas configurações de recursos da AWS com base nas políticas e diretrizes da organização.

P: Como faço para começar a usar os pacotes de conformidade?

A maneira mais rápida de começar é criar um pacote de conformidade usando um de nossos modelos de exemplo por meio da CLI ou do console do AWS Config. Alguns dos modelos de exemplo incluem as melhores práticas operacionais do Amazon S3, do Amazon DynamoDB e do PCI. Esses modelos são escritos em YAML. Você pode fazer download desses modelos no site de documentação e modificá-los para se adequar ao seu ambiente usando o seu editor de texto favorito. Você pode até adicionar regras personalizadas do AWS Config que pode ter escrito anteriormente no pacote.

P: Existe algum custo associado ao uso desse recurso no Config?

Os Pacotes de conformidade serão cobrados usando um modelo de definição de preço em níveis. Para obter mais detalhes, acesse a página de definição de preço do AWS Config.

Agregação de dados de várias contas e regiões

P: O que é uma agregação de dados de várias contas e regiões?

A agregação de dados do AWS Config permite agregar dados do AWS Config de várias contas e regiões em uma única conta. A agregação de dados de várias contas ajuda os administradores de TI centralizada a monitorar a conformidade de várias contas da AWS na empresa.

P: Posso usar o recurso de agregação de dados para provisionar de forma centralizada Config Rules em várias contas?

O recurso de agregação de dados não pode ser usado para provisionar regras para várias contas. Esse recurso é apenas uma funcionalidade de geração de relatórios que oferece visibilidade sobre a conformidade. Você pode usar o CloudFormation StackSets para provisionar regras para várias contas e regiões. Este blog pode ajudar.

P: Como faço para habilitar a agregação de dados em uma conta?

Depois que o Config e as Config Rules estiverem habilitados na conta e nas contas sendo agregadas, você pode habilitar a agregação de dados criando um agregador na conta. Saiba mais.

P: O que é um agregador?

Um agregador é um recurso do AWS Config que coleta dados do AWS Config de várias contas e regiões. Use um agregador para visualizar a configuração de recursos e os dados de conformidade registrados no AWS Config para várias contas e regiões.

P: Quais as informações exibidas por uma visualização agregada?

A visualização agregada exibe a contagem total de regras que não estão em conformidade em toda a organização, as cinco principais regras que não estão em conformidade por número de recursos e as cinco principais contas da AWS com o maior número de regras que não estão em conformidade. Você pode visualizar mais detalhes sobre os recursos que violam a regra e a lista de regras que estão sendo violadas por uma conta.

P: Não sou um cliente do AWS Organizations. Posso usar o recurso de agregação de dados mesmo assim?

Você pode especificar as contas para as quais os dados do Config serão agregados fazendo upload de um arquivo ou inserindo individualmente as contas. Como essas contas não fazem parte de uma organização da AWS, será necessário que cada conta autorize explicitamente a conta agregadora. Saiba mais.

P: Eu tenho apenas uma única conta. Posso aproveitar o recurso de agregação de dados mesmo assim?

O recurso de agregação de dados também é útil para agregação de várias regiões. Portanto, você pode agregar os dados do Config de uma conta em várias regiões usando esse recurso.

P: Em quais regiões o recurso de agregação de dados de várias contas e regiões está disponível?

O recurso de agregação de dados está disponível nas seguintes nove regiões: Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon), Oeste dos EUA (San Francisco), UE (Irlanda), UE (Frankfurt), Ásia-Pacífico (Tóquio), Ásia-Pacífico (Sydney) e Ásia-Pacífico (Cingapura).

P: E se eu tiver uma conta que inclui uma região que não conta com o suporte desse recurso?

Quando você cria um agregador, especifica as regiões de onde quer agregar dados. A lista de regiões mostra apenas as regiões onde o recurso está disponível. Você também pode selecionar “todas as regiões”. Nesse caso, assim que o suporte ao recurso for adicionado a outras regiões, seus dados serão agregados automaticamente.

Suporte a serviços e regiões

P: Que tipos de recursos da AWS são cobertos pelo AWS Config?

Revise a nossa documentação para obter uma lista completa dos tipos de recursos compatíveis.

P: Em quais regiões o AWS Config está disponível?

Para obter detalhes sobre as regiões onde o AWS Config está disponível, acesse a página:

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

Configuração de recursos

P: O que é um item de configuração?

Um item de configuração (CI) é a configuração de um recurso em um determinado momento. Um CI consiste em 5 seções:

  1. Informações básicas sobre o recurso, comuns em diferentes tipos de recursos (como nomes de recursos da Amazon, tags),
  2. Dados de configuração específicos do recurso (como tipo de instância do EC2),
  3. Mapa de relações com outros recursos (por exemplo, EC2::Volume vol-3434df43 está “conectado à instância” Instância do EC2 i-3432ee3a),
  4. IDs de evento do AWS CloudTrail relacionados a esse estado (apenas para recursos da AWS)
  5. Metadados, que ajudam a identificar as informações sobre o CI, como versão do CI e quando ele foi capturado.

Saiba mais sobre os itens de configuração.

P: O que é um item de configuração personalizado?

Um item de configuração personalizado é o Item de configuração para um recurso personalizado ou de terceiros. Os exemplos incluem bancos de dados locais, servidores do Active Directory, sistemas de controle de versão como o GitHub e ferramentas de monitoramento de terceiros, como o Datadog.

P: O que são as relações do AWS Config e como elas são usadas?

O AWS Config considera as relações entre recursos ao registrar as alterações. Por exemplo, se um novo grupo de segurança do Amazon EC2 for associado a uma instância do Amazon EC2, o AWS Config registrará as configurações atualizadas do recurso principal, o grupo de segurança do Amazon EC2, e as dos recursos relacionados, como a instância do Amazon EC2, caso esses recursos realmente tenham sido alterados.

P: O AWS Config registra todos os estados pelos quais um recurso passou?

O AWS Config detecta alterações nas configurações do recurso e registra o estado da configuração resultante da alteração. Quando várias alterações de configuração são feitas em um recurso em rápida sucessão (por exemplo, no intervalo de alguns minutos), o Config registra apenas a configuração mais recente do recurso, que representa o impacto acumulado do conjunto de alterações. Nessas situações, o Config listará apenas a alteração mais recente no campo relatedEvents do item de configuração. Isso permite que usuários e programas continuem a alterar configurações de infraestrutura sem ter de esperar que o Config registre estados transientes intermediários.

P: O AWS Config registra alterações de configuração que não são resultado de atividades de API nesse recurso?

Sim, o AWS Config verifica regularmente a configuração dos recursos para detectar alterações que ainda não foram registradas e registra essas alterações. Os CIs registrados nessas verificações não têm o campo relatedEvent na carga útil. Apenas o estado mais recente diferente do estado já gravado é capturado.

P: O AWS Config registra alterações de configuração no software dentro de instâncias do EC2?

Sim. O AWS Config permite registrar alterações de configuração no software dentro de instâncias do EC2 na conta da AWS e também em VMs ou servidores no ambiente local. As informações de configuração registradas pelo AWS Config incluem atualizações do sistema operacional, configuração da rede, aplicativos instalados, etc. É possível avaliar se as instâncias, as VMs e os servidores estão cumprindo com as diretrizes estabelecidas usando o AWS Config Rules. Os recursos de visibilidade profunda e monitoramento contínuo disponibilizados pelo AWS Config permitem avaliar a conformidade e solucionar os problemas operacionais.

P: O AWS Config continuará a enviar notificações se um recurso anteriormente fora de conformidade continuar fora de conformidade depois de uma avaliação periódica de regras?

O AWS Config somente envia notificações quando o status de conformidade é alterado. Se um recurso anteriormente fora de conformidade continuar fora de conformidade, o Config não enviará uma nova notificação. Se o status de conformidade mudar para “compliant”, você receberá uma notificação da mudança de status.

P: Posso marcar ou isentar recursos para que não sejam avaliados pelo Config Rules?

Quando você configura o Config Rules, pode especificar se a regra executa avaliações em determinados tipos de recurso ou em recursos com uma tag específica.

Definição de preço

P: Como será a cobrança do AWS Config?

Com o AWS Config, você é cobrado com base no número de itens de configuração registrados, no número de avaliações de regras ativas do AWS Config e no número de avaliações do pacote de conformidade na conta. Um item de configuração é um registro do estado de configuração de um recurso na sua conta da AWS. Uma avaliação de regra do AWS Config é uma avaliação do estado de conformidade de um recurso por uma regra do AWS Config em sua conta da AWS, e uma avaliação do pacote de conformidade é a avaliação de um recurso por uma regra do AWS Config no pacote de conformidade. Para mais detalhes e exemplos, visite https://aws.amazon.com/config/pricing/

P: A definição de preço do AWS Config Rules inclui os custos das funções do AWS Lambda?

Você pode escolher dentre um conjunto de regras gerenciadas disponibilizadas pela AWS ou você pode criar suas próprias regras, redigidas como funções do AWS Lambda. As regras gerenciadas são totalmente mantidas pela AWS e você não paga nenhuma taxa adicional do AWS Lambda para executá-las. Apenas habilite as regras gerenciadas, disponibilize todos os parâmetros solicitados e pague uma taxa única para cada regra ativa do AWS Config em um determinado mês. As regras personalizadas oferecem controle completo, pois são executadas como funções do AWS Lambda na sua conta. Além de taxas mensais para uma regra ativa, o nível gratuito do AWS Lambda* e as taxas de execução de função são aplicáveis para as regras personalizadas do AWS Config.


*O nível gratuito da AWS não está disponível nas regiões China (Beijing) e China (Ningxia) da AWS.

P: Quero alterar a função do Lambda para minha regra personalizada do AWS Config. Qual é a abordagem recomendada?

As cobranças são incorridas sempre que uma nova regra é criada e se torna ativa. Se você precisar atualizar ou substituir a função do Lambda associada a uma regra, a abordagem recomendada é atualizar a regra, em vez de excluí-la e criar uma nova regra.

Soluções de parceiros

P: Quais soluções de parceiros da AWS estão disponíveis para o AWS Config?

Soluções de parceiros do APN, como Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks e RedHat CloudForms apresentam ofertas totalmente integradas com os dados do AWS Config. Provedores de serviços gerenciados, como 2ndWatch Watch e CloudNexa, também anunciaram integrações com o AWS Config. Além disso, com o Config Rules, parceiros como CloudHealth Technologies, AlertLogic e TrendMicro estão fornecendo ofertas integradas que podem ser usadas pelos clientes. Essas soluções incluem recursos como gerenciamento de alterações e análises de segurança e permitem que você visualize, monitore e gerencie as configurações de recursos da AWS.

Para obter mais informações, clique aqui.

Saiba mais sobre o AWS Config

Acesse a página de parceiros
Pronto para criar?
Comece a usar o AWS Config
Mais dúvidas?
Entre em contato conosco