O que é o AWS Config?

O AWS Config é um serviço totalmente gerenciado que proporciona um inventário de recursos da AWS, histórico de configuração e notificações de alteração de configuração para permitir segurança e governança. Com o AWS Config, você pode descobrir recursos existentes da AWS, exportar um inventário completo de seus recursos da AWS com todos os detalhes de configuração e saber como um recurso foi configurado em determinado momento. Esses recursos permitem auditoria de conformidade, análise de segurança, rastreamento de alteração de recursos e solução de problemas.

O que é uma regra de configuração?

Uma regra de configuração representa configurações desejadas para um recurso e é avaliada com relação às alterações na configuração de recursos relevantes, conforme o registrado pelo AWS Config. Os resultados da avaliação de uma regra em relação à configuração de um recurso são disponibilizados em um painel. Usando o Config Rules, você pode avaliar sua conformidade geral e o status do risco sob a perspectiva da configuração, visualizar tendências de conformidade durante um período e apontar que alteração de conformidade fez com que um recurso ficasse fora de conformidade com uma regra.

Quais são os benefícios do AWS Config?

O AWS Config facilita o monitoramento da configuração do seu recurso sem a necessidade de investimentos iniciais e evitando a complexidade de instalar e atualizar agentes para coleta de dados ou manutenção de bancos de dados grandes. Quando você habilita o AWS Config, é possível visualizar continuamente os detalhes atualizados de todos os atributos de configuração associados aos seus recursos da AWS. Você é notificado através do Amazon Simple Notification Service (SNS) de cada alteração de configuração.

 

Como o AWS Config pode me ajudar com as auditorias?

O AWS Config oferece a você acesso ao histórico de configurações do recurso. Você pode relacionar as alterações de configuração com eventos do AWS CloudTrail que possivelmente contribuíram com a alteração da configuração. Essas informações garantem a você total visibilidade, diretamente dos detalhes, como "Quem fez a alteração?", "De qual endereço IP?" para o efeito da alteração nos recursos da AWS e recursos relacionados. Você pode usar essas informações para gerar relatórios para ajudar na auditoria e avaliação de conformidade durante determinado período.

Quem deve usar o AWS Config e o Config Rules?

Qualquer um de nossos clientes buscando melhorar seus procedimentos de segurança e governança na AWS ao avaliar continuamente a configuração de seus recursos se beneficiaria desse produto. Os administradores de grandes empresas que recomendam melhores práticas para a configuração de recursos podem codificar essas regras como Config Rules e habilitar a autogovernança entre os usuários. Os especialistas em segurança da informação que monitoram a atividade e as configurações de uso para detectar vulnerabilidades podem beneficiar-se do Config Rules. Os clientes com cargas de trabalho que devem estar em conformidade com padrões específicos do setor (ex.: PCI-DSS ou HIPAA) podem usar esse recurso para avaliar a conformidade de suas configurações de infraestrutura da AWS, como também para gerar relatórios para seus auditores. Operadores que gerenciam uma grande infraestrutura da AWS ou componentes que mudam frequentemente também podem se beneficiar do Config Rules para solução de problemas. Os clientes que quiserem acompanhar alterações na configuração dos recursos, responder a dúvidas sobre configurações de recursos, demonstrar conformidade, solucionar problemas ou realizar análise de segurança devem ativar o AWS Config.

O serviço garante que minhas configurações nunca fiquem fora de conformidade?

O Config Rules disponibiliza informações sobre se os seus recursos estão em conformidade com as regras de configuração que você especificou. Ele avalia as regras assim que os Itens de configuração (CIs) atualizados do recurso são disponibilizados no AWS Config. Ele não garante que os recursos estarão em conformidade, nem impedirá que usuários tomem medidas que não estejam em conformidade. Além disso, o Config Rules não faz com que recursos que não estejam em conformidade voltem imediatamente à conformidade.

O serviço impede que usuários tomem medidas que não estejam em conformidade?

O Config Rules não influencia diretamente o modo como os usuários finais utilizam a AWS. Ele só avalia as configurações do recurso depois que uma alteração de configuração tenha sido concluída e registrada no AWS Config. O Config Rules não impede que o usuário faça alterações que possam não estar em conformidade. Para controlar o que um usuário pode provisionar na AWS e saber quais parâmetros de configuração são permitidos durante o provisionamento, use as políticas do AWS Identity and Access Management (IAM) e o AWS Service Catalog, respectivamente.

As regras podem ser avaliadas antes do provisionamento de um recurso?

O Config Rules avalia as regras depois que o item de configuração (CI) do recurso é capturado pelo AWS Config. Ele não avalia as regras antes de provisionar um recurso ou antes de realizar alterações de configuração no recurso.

Como o AWS Config funciona com o AWS CloudTrail?

O AWS CloudTrail registra a atividade da API do usuário em sua conta e permite que você acesse informações sobre essa atividade. Você obtém detalhes completos sobre ações da API, como identidade do chamador, hora da chamada de API, parâmetros da solicitação e elementos de resposta retornados pelo serviço da AWS. O AWS Config registra detalhes de configurações dos seus recursos da AWS em determinados momentos como itens de configuração (CIs). Você pode usar um CI para responder "Como era meu recurso da AWS?" em determinado momento. Você pode usar o AWS CloudTrail para responder "Quem fez uma chamada de API para modificar esse recurso?" Por exemplo, você pode usar o AWS Management Console para o AWS Config detectar se o grupo de segurança "Banco de dados de produção" estava configurado de forma errada no passado. Usando as informações integradas do AWS CloudTrail, você pode especificar qual usuário desconfigurou o grupo de segurança "Banco de dados de produção".

 

Comece a usar a AWS gratuitamente

Crie uma conta gratuita

 

Receba doze meses de acesso ao nível gratuito da AWS e aproveite os recursos do AWS Basic Support, incluindo atendimento ao cliente 24x7x365 e fóruns de suporte, entre outros recursos.

Saiba mais sobre a demonstração do AWS Config Rules

Como faço para começar a usar este serviço?

A maneira mais rápida de começar a usar o AWS Config é usar o AWS Management Console. Você pode ativar o AWS Config com alguns cliques. Para obter mais detalhes, consulte a documentação sobre Conceitos básicos.

Como eu acesso as configurações dos meus recursos?

Você pode procurar as configurações atuais e históricas do seu recurso usando o AWS Management Console, Interface de linha de comando da AWS ou SDKs.

Para obter mais detalhes, consulte a documentação do AWS Config.

Eu devo ativar o AWS Config regionalmente ou globalmente?

Você deve ativar o AWS Config por região para sua conta.

O AWS Config pode agregar dados em diferentes contas da AWS?

Sim, você pode configurar o AWS Config para enviar atualizações de configurações de diferentes contas para um bucket do S3, desde que as políticas do IAM adequadas sejam aplicadas a esse bucket do S3. Você também pode publicar notificações para o tópico do SNS, dentro da mesma região, desde que as políticas IAM adequadas sejam aplicadas ao tópico do SNS.

As atividades de API do próprio AWS Config são registradas no AWS CloudTrail?

Sim. Todas as atividades de API do AWS Config, incluindo o uso das APIs do AWS Config para ler dados de configuração, são registradas no AWS CloudTrail.

Quais horários e fusos horários são exibidos na visualização de cronograma de um recurso? E o horário de verão?

O AWS Config exibe em um cronograma o horário em que os itens de configuração (CIs) de um recurso foram gravados. Todos os horários são capturados usando o tempo universal coordenado (UTC). Quando o cronograma é visualizado no console de gerenciamento, os serviços usam o fuso horário atual (ajustado para o horário de verão, se for o caso) para exibir todos os horários na visualização de cronograma.

O que é a configuração de um recurso?

A configuração de um recurso é definida pelos dados inclusos no item de configuração (CI) do AWS Config. A versão inicial do Config Rules disponibiliza o CI de um recurso para as regras relevantes. O Config Rules pode usar essas informações junto com qualquer outra informação relevante, como outro recurso conectado, horário comercial etc. para avaliar a conformidade da configuração de um recurso.

O que é uma regra?

Uma regra representa os valores de atributo do item de configuração (CI) desejados para os recursos e são avaliados pela comparação desses valores de atributo com CIs registrados pelo AWS Config. Existem dois tipos de regras:

Regras gerenciadas pela AWS: são pré-concebidas e gerenciadas pela AWS. Basta escolher a regra que você deseja habilitar e, então, informar alguns parâmetros de configuração para começar. Saiba mais »

Regras gerenciadas pelo cliente: são regras personalizadas, definidas e concebidas por você. Você pode criar uma função no AWS Lambda que possa ser invocada como parte de uma regra personalizada, e essas funções são executadas na sua conta. Saiba mais »

A maneira mais rápida de começar a usar o AWS Config é usar o Console de Gerenciamento da AWS. Você pode ativar o AWS Config com alguns cliques. Para obter mais detalhes, consulte a documentação sobre Conceitos básicos.

Como as regras são criadas?

Geralmente, as regras são configuradas pelo administrador de conta da AWS. Elas podem ser criadas por meio da utilização das regras gerenciadas pela AWS, que são um conjunto predefinido de regras disponibilizado pela AWS, ou via regras gerenciadas do cliente. Com as regras gerenciadas pela AWS, as atualizações de regra são aplicadas automaticamente para qualquer conta que esteja utilizando essa regra. No modelo gerenciado pelo cliente, ele obtém uma cópia completa da regra e a executa dentro de sua própria conta. Essas regras são mantidas pelo cliente.

Quantas regras eu posso criar?

Por padrão, você pode criar até 50 regras na conta da AWS. Além disso, você pode solicitar um aumento do limite do número de regras em sua conta acessando a página AWS Service Limits.

Como as regras são avaliadas?

Qualquer regra pode ser configurada como uma regra acionada por alteração ou como uma regra periódica. Uma regra acionada por alteração é executada quando o AWS Config registra uma alteração de configuração em qualquer um dos recursos especificados. Além disso, uma das seguintes opções deve ser especificada:

Tag Key:(optional Value): Uma tag key:value significa que qualquer alteração na configuração de recursos com a tag key:value especificada acionará uma avaliação da regra.

Tipos de recurso: qualquer alteração de configuração registrada para qualquer recurso dentre os tipos de recursos especificados acionará uma avaliação da regra.

ID de recurso: qualquer alteração registrada no recurso especificada pelo tipo e ID do recurso acionará uma avaliação da regra.

Uma regra periódica é acionada com uma frequência especificada. As frequências disponíveis são 1h, 3h, 6h, 12h ou 24h. Uma regra periódica tem um snapshot completo dos Itens de configuração (CIs) atuais para todos os recursos disponíveis para a regra.

O que é uma avaliação?

A avaliação de uma regra determina se uma regra está em conformidade com um recurso em um momento específico. É o resultado da avaliação de uma regra em relação à configuração de um recurso. O Config Rules irá capturar e armazenar o resultado de cada avaliação. Esse resultado incluirá o recurso, a regra, o tempo de avaliação e um link para o item de configuração (CI) que provocou a falta de conformidade.

O que significa conformidade?

Um recurso está em conformidade caso ele esteja de acordo com todas as regras que se aplicam a ele. Caso contrário, ele não está em conformidade. Similarmente, uma regra está em conformidade caso todos os recursos avaliados pela regra estejam em conformidade com a regra. Caso contrário, ela não está em conformidade. Em alguns casos, como quando permissões inadequadas são disponibilizadas para a regra, pode ser que não exista uma avaliação para o recurso, o que resulta em um estado de dados insuficientes. Esse estado é isento de determinar o status de conformidade de um recurso ou uma regra.

Que informações o painel do Config Rules disponibiliza?

O painel do Config Rules oferece a você uma visão geral dos recursos monitorados pelo AWS Config e um resumo da conformidade atual por recurso e por regra. Quando você visualizar a conformidade por recurso, você poderá determinar se alguma regra que se aplique ao recurso não está em conformidade no momento. Você poderá visualizar a conformidade por regra, o que diz a você se algum recurso na esfera da regra não está em conformidade no momento. Ao usar essas visualizações de resumo, você poderá se aprofundar ainda mais na visualização de recursos do calendário do Config para determinar quais parâmetros de configuração foram alterados. Com a utilização desse painel você pode começar com uma visão geral e aprofundar sua análise com visualizações refinadas que disponibilizam a você informações completas sobre as alterações no status de conformidade, como também quais alterações provocaram a falta de conformidade.

Que tipos de recursos da AWS são cobertos pelo AWS Config?

Revise a nossa documentação para obter uma lista completa dos tipos de recursos compatíveis.

Em quais regiões o AWS Config está disponível?

Para obter detalhes sobre as regiões onde o AWS Config está disponível, acesse a página:

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

 

O que é um item de configuração?

Um item de configuração (CI) é a configuração de um recurso em um determinado momento. Um CI consiste em 5 seções:

  1. Informações básicas sobre o recurso, comuns em diferentes tipos de recursos (como nomes de recursos da AWS, tags),
  2. Dados de configuração específicos do recurso (como tipo de instância do EC2),
  3. Mapa de relações com outros recursos (por exemplo, EC2::Volume vol-3434df43 está "conectado à instância" Instância do EC2 i-3432ee3a),
  4. IDs de evento do AWS CloudTrail relacionados a esse estado,
  5. Metadados, que ajudam a identificar as informações sobre o CI, como versão do CI e quando ele foi capturado.

Saiba mais sobre os itens de configuração

O que são as relações do AWS Config e como elas são usadas?

O AWS Config considera as relações entre recursos ao registrar as alterações. Por exemplo, se um novo Security Group do Amazon EC2 for associado a uma instância do Amazon EC2, o AWS Config registrará as configurações atualizadas do recurso principal, o Security Group do Amazon EC2, e as dos recursos relacionados, como a instância do Amazon EC2, caso esses recursos realmente tenham sido alterados.

O AWS Config registra todos os estados pelos quais um recurso passou?

O AWS Config detecta alterações nas configurações do recurso e registra o estado da configuração resultante da alteração. Quando várias alterações de configuração são feitas em um recurso em rápida sucessão (por exemplo, no intervalo de alguns minutos), o Config registra apenas a configuração mais recente do recurso, que representa o impacto acumulado do conjunto de alterações. Nessas situações, o Config listará apenas a alteração mais recente no campo relatedEvents do item de configuração. Isso permite que usuários e programas continuem a alterar configurações de infraestrutura sem ter de esperar que o Config registre estados transientes intermediários.

O AWS Config registra alterações de configuração que não são resultado de atividades de API nesse recurso?

Sim, o AWS Config verifica regularmente a configuração dos recursos para detectar alterações que ainda não foram registradas e registra essas alterações. Os CIs registrados nessas verificações não têm o campo relatedEvent entre os dados. Apenas o estado mais recente diferente do estado já gravado é capturado.

O AWS Config registra alterações de configuração no software dentro das instâncias EC2?
Sim. O AWS Config permite registrar alterações de configuração no software dentro de instâncias EC2 na conta da AWS e também em VMs ou servidores no ambiente local. As informações de configuração registradas pelo AWS Config incluem atualizações do sistema operacional, configuração da rede, aplicações instaladas, etc. É possível avaliar se as instâncias, as VMs e os servidores estão cumprindo com as diretrizes estabelecidas usando o AWS Config Rules. Os recursos de visibilidade profunda e monitoramento contínuo disponibilizados pelo AWS Config permitem avaliar a conformidade e solucionar os problemas operacionais.

O AWS Config continuará a enviar notificações se um recurso anteriormente fora de conformidade continuar fora de conformidade depois de uma avaliação periódica de regras? O AWS Config somente envia notificações quando o status de conformidade é alterado. Se um recurso anteriormente fora de conformidade continuar fora de conformidade, o Config não enviará uma nova notificação. Se o status de conformidade mudar para "compliant", você receberá uma notificação da mudança de status.

Posso marcar ou isentar recursos para que não sejam avaliados pelas regras do Config? Quando você configura regras do Config, pode especificar se a regra executa avaliações em determinados tipos de recurso ou em recursos com uma tag específica.

Como será a cobrança desse serviço?

Com o AWS Config você recebe a cobrança baseada no número de itens de configuração (CIs) registrados para os recursos compatíveis em sua conta da AWS. Você é cobrado uma única vez pelo registro do CI. Não há taxa adicional para reter o CI ou qualquer compromisso antecipado. Você pode parar de registrar CIs a qualquer momento e continuar a acessar os CIs registrados anteriormente. As cobranças por CI são lançadas em sua fatura mensal. Consulte os detalhes de definição de preço.

Se você estiver usando o AWS Config Rules, será cobrado com base nas regras de configuração ativas nesse mês. Quando uma regra é comparada com um recurso da AWS, o resultado é registrado como uma avaliação. Uma regra fica ativa se tiver uma ou mais avaliações em um mês.

Os snapshots de configuração e os arquivos de histórico de configurações são enviados para você em um bucket do S3 que você seleciona, e as notificações de alteração são enviadas por meio do Amazon Simple Notification Service (SNS). As taxas padrão do Amazon S3 e do Amazon SNS se aplicam. As regras gerenciadas pelo cliente são criadas usando o AWS Lambda. As taxas padrão do AWS Lambda são aplicáveis.

A definição de preço do Config Rules inclui os custos das funções do AWS Lambda?

Você pode escolher dentre um conjunto de regras gerenciadas disponibilizadas pela AWS ou você pode criar suas próprias regras, redigidas como funções do AWS Lambda. As regras gerenciadas são totalmente gerenciadas e mantidas pela AWS e você não paga nenhuma cobrança adicional do AWS Lambda para executá-las. Apenas habilite as regras gerenciadas, disponibilize todos os parâmetros solicitados e pague uma taxa única para cada regra do AWS Config. Por outro lado, as regras gerenciadas pelo cliente oferecem a você controle total ao executar essas regras como funções do AWS Lambda na sua conta. Além de taxas mensais para uma regra ativa, o nível gratuito do AWS Lambda e taxas de execução de função são aplicáveis para as regras gerenciadas pelo cliente.

O que significa a cota compartilhada do Config Rules?

Você recebe uma cota de 20.000 avaliações por regra ativa por mês. Por exemplo, se você tiver 3 Config Rules, você obtém uma cota de 60.000 avaliações para a conta. É possível escolher distribuir essa cota nas regras da maneira que você desejar.

Avaliações não utilizadas são acumuladas para o próximo mês?

As avaliações não utilizadas expiram e são redefinidas a cada ciclo de faturamento.

É possível fornecer detalhamento das cobranças usando um exemplo?

Exemplo 1 de definição de preço:
O AWS Config registra cada alteração de recurso e configuração da AWS como um Item de configuração (CI). Suponha que você registrou 7.000 CIs por mês e criou 5 regras ativas (2 periódicas e 3 acionadas por alteração), registrando um total combinado de 150 avaliações por dia.

Custos do AWS Config: 7.000 vezes 0,003 USD = 21 USD
Custo de 5 regras ativas = 5 vezes 2 USD = 10 USD

Cota de resultados de avaliação = 5 X 20.000 = 100.000
Número de resultados de avaliação usados = 150 avaliações X 30 dias = 4.500 avaliações/mês
Cobranças adicionais de resultados de avaliação = 0 USD

Cobranças mensais totais do AWS Config = 31 USD

As cobranças do serviço que você recebe dependem do número de CIs recodificados pelos seus recursos. Isso depende do número de recursos na sua conta e das alterações de configurações que você fizer nos recursos. Para uma conta com centenas de recursos e atividade de alteração de configurações padrão, o AWS Config capturará menos de 3.000 CIs por mês, ou menos de 9 USD por mês.


Exemplo 2 de definição de preço:
Suponha que você registrou 50.000 CIs por mês e criou 2 regras ativas e cada uma delas é avaliada em cada CI e toda vez registra um resultado.

Custo do AWS Config: 50.000 vezes 0,003 USD = 150,00 USD
Custo de 2 regras ativas = 2 X 2 USD = 4 USD

Cota de resultados de avaliação = 2 X 20.000 = 40.000
Número de resultados de avaliação usados = 2 X 50.000 = 100.000
Cobranças adicionais de resultados de avaliação = (100.000 – 40.000) = 60.000 X 0,0001 = 6 USD

Cobranças mensais totais do AWS Config = 150 USD + 4 USD + 6 USD = 160 USD

Quais soluções de parceiros da AWS estão disponíveis para o AWS Config?

Parceiros de ecossistema, como Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks e RedHat CloudForms apresentam ofertas totalmente integradas com os dados do AWS Config. Provedores de serviços gerenciados, como 2nd Watch e CloudNexa também anunciaram integrações com o AWS Config. Além disso, com o Config Rules, parceiros como CloudHealth Technologies, AlertLogic e TrendMicro estão fornecendo ofertas integradas que podem ser usadas ​​pelos clientes. Essas soluções incluem recursos como gerenciamento de alteração e análise de segurança e permitem que você visualize, monitore e gerencie as configurações de recursos da AWS.

Para obter mais informações, consulte AWS Config partner solutions.