O AWS Config Rules é um novo conjunto de recursos de governança na nuvem que permite que administradores de TI definam diretrizes para o provisionamento e a configuração de recursos da AWS e monitorem continuamente a conformidade com essas diretrizes. O AWS Config Rules permite que você escolha entre um conjunto de regras pré-concebido com base nas melhores práticas comuns da AWS ou nas regras personalizadas que você mesmo define. Por exemplo, ele garante que os volumes do EBS sejam criptografados, as instâncias do EC2 sejam marcadas adequadamente e os endereços IP elásticos (EIPs) sejam incorporados às instâncias. O AWS Config Rules pode monitorar continuamente as alterações de configuração nos seus recursos da AWS e disponibilizar um novo painel para rastrear o status de conformidade. Usando o Config Rules, um administrador de TI pode determinar rapidamente quando e como um recurso deixou de estar em conformidade.
A demonstração do AWS Config Rules já está disponível
Cadastre-se para a demonstração
Você pode habilitar o AWS Config Rules com alguns cliques no Console de Gerenciamento da AWS. Use modelos de regra predefinidos ou crie suas próprias regras usando as funções do AWS Lambda para habilitar verificações, fluxos de trabalho e notificações de conformidade mais avançadas. Você pode acessar informações sobre a configuração de qualquer recurso usando o Console de Gerenciamento da AWS, CLI ou SDKs.
Clique para aumentar
O AWS Config Rules oferece a você um painel visual com listas, tabelas e gráficos para ajudá-lo a identificar rapidamente recursos fora de conformidade e tomar as medidas necessárias. Administradores, especialistas em segurança, desenvolvedores e operadores de TI podem consultar uma visualização compartilhada da conformidade. O Config Rules pode ajudar a verificar a conformidade de empresas submetidas a padrões estabelecidos do setor.
O AWS Config Rules disponibiliza uma visualização praticamente em tempo real da conformidade de seus recursos da AWS com as políticas e diretrizes da empresa. Não há necessidade de começar uma verificação de conformidade para saber o status dos seus recursos da AWS. Você pode optar por avaliar regras toda vez que um recurso da AWS for alterado ou escolher um intervalo contínuo. Também é possível habilitar o Amazon SNS para que ele envie imediatamente um e-mail ou mensagem de texto quando uma alteração de configuração for detectada.
O AWS Config Rules oferece uma interface de fácil navegação para apoiar as auditorias de conformidade e a solução de problemas de configuração. Você também pode programar snapshots de conformidade para toda a conta diretamente do console, o que dará a você visualizações sobre a conformidade ao longo do tempo.
Você pode escolher entre vários parceiros da Rede de parceiros da AWS (APN) que disponibilizam soluções que se integram com o AWS Config Rules para identificar recursos, gerenciar alterações, conformidade ou segurança.
Com o AWS Config Rules, você é cobrado com base no número de regras ativas na sua conta. Cada vez que um recurso da AWS for comparado a uma regra, o resultado será registrado como um resultado de avaliação. Você pode optar por avaliar regras quando os recursos da AWS forem alterados ou em intervalos periódicos, como por hora ou diariamente. Uma regra fica ativa se tiver uma ou mais avaliações em um mês.
Custos do Config Rules:
2 USD por regra ativa por mês.
Para cada regra ativa, a sua conta recebe sem cobranças extras no mês especificado:
20.000 avaliações
As avaliações não utilizadas não se acumulam. Se você precisar de mais avaliações das suas regras, as avaliações adicionais serão cobradas no valor de:
0,10 USD a cada mil avaliações
Os snapshots de configuração e os arquivos de histórico de configurações são enviados para você em um bucket do S3 que você seleciona, e as notificações de alteração são enviadas por meio do Amazon Simple Notification Service (SNS). As taxas padrão do Amazon S3 e do Amazon SNS se aplicam. As regras gerenciadas pelo cliente são criadas usando o AWS Lambda. As taxas padrão do AWS Lambda são aplicáveis.
Exceto onde informado de outra forma, nossos preços não incluem impostos e taxas (inclusive ICMS e imposto sobre vendas) aplicáveis. Para saber mais, consulte as Perguntas frequentes sobre definição de preço do Config Rules »
O que é uma regra de configuração?
Uma regra de configuração representa configurações desejadas para um recurso e é avaliada em relação às alterações na configuração de recursos relevantes, conforme o recodificado pelo AWS Config. Os resultados da avaliação de uma regra em relação à configuração de um recurso são disponibilizados em um painel. Usando o Config Rules, você pode avaliar sua conformidade geral e o status do risco sob a perspectiva da configuração, visualizar tendências de conformidade durante um período e apontar que alteração de conformidade fez com que um recurso ficasse fora de conformidade com uma regra.
Quem deveria usar o Config Rules?
Qualquer um de nossos clientes buscando melhorar seus procedimentos de segurança e governança na AWS ao avaliar continuamente a configuração de seus recursos se beneficiaria desse produto. Os administradores de grandes empresas que recomendam melhores práticas para a configuração de recursos podem codificar essas regras como Config Rules e habilitar a autogovernança entre os usuários. Os especialistas em segurança da informação que monitoram a atividade e as configurações de uso para detectar vulnerabilidades podem beneficiar-se do Config Rules. Os clientes com cargas de trabalho que devem estar em conformidade com padrões específicos do setor (ex.: PCI-DSS ou HIPAA) podem usar esse recurso para avaliar a conformidade de suas configurações de infraestrutura da AWS, como também para gerar relatórios para seus auditores. Os operadores que gerenciarem grandes infraestruturas ou componentes da AWS alterados com frequência também podem se beneficiar do Config Rules para a solução de problemas.
O serviço garante que minhas configurações nunca fiquem fora de conformidade?
O Config Rules disponibiliza informações sobre se os seus recursos estão em conformidade com as regras de configuração que você especificou. Ele avalia as regras assim que os Itens de configuração (CIs) atualizados do recurso são disponibilizados no AWS Config. Ele não garante que os recursos estarão em conformidade, nem impedirá que usuários tomem medidas que não estejam em conformidade. Além disso, o Config Rules não faz com que recursos que não estejam em conformidade voltem imediatamente à conformidade.
O serviço impede que usuários tomem medidas que não estejam em conformidade?
O Config Rules não influencia diretamente o modo como os usuários finais utilizam a AWS. Ele só avalia as configurações do recurso depois que uma alteração de configuração tenha sido concluída e registrada no AWS Config. O Config Rules não impede que o usuário faça alterações que possam não estar em conformidade. Para controlar o que um usuário pode provisionar na AWS e saber quais parâmetros de configuração são permitidos durante o provisionamento, use as políticas do AWS Identity and Access Management (IAM) e o AWS Service Catalog, respectivamente.
As regras podem ser avaliadas antes do provisionamento de um recurso?
O Config Rules avalia as regras depois que o Item de configuração (CI) do recurso é capturado pelo AWS Config. Ele não avalia as regras antes de provisionar um recurso ou antes de realizar alterações de configuração no recurso.
Qual é a configuração de um recurso?
A configuração de um recurso é definida pelos dados inclusos no Item de configuração (CI) do AWS Config. A versão inicial do Config Rules disponibiliza o CI de um recurso para as regras relevantes. O Config Rules pode usar essas informações junto a quaisquer outras informações relevantes, como as associadas a recursos, horário comercial, etc., para avaliar a conformidade da configuração de um recurso.
O que é uma regra?
A regra representa os valores de atributo do Item de configuração (CI) desejados para recursos e são avaliados pela comparação desses valores de atributo com CIs registrados pelo AWS Config. Existem dois tipos de regras:
- Regras gerenciadas pela AWS: são pré-concebidas e gerenciadas pela AWS. Basta escolher a regra que você deseja habilitar e, então, informar alguns parâmetros de configuração para começar. Saiba mais »
- Regras gerenciadas pelo cliente: são regras personalizadas, definidas e concebidas por você. Você pode criar uma função no AWS Lambda que possa ser solicitada como parte de uma regra personalizada e essas funções são executadas na sua conta. Saiba mais »
Como as regras são criadas?
Geralmente, as regras são configuradas pelo administrador de conta da AWS. Elas podem ser criadas por meio da utilização das regras gerenciadas pela AWS, que são um conjunto predefinido de regras disponibilizado pela AWS, ou via regras gerenciadas do cliente. Com as regras gerenciadas pela AWS, as atualizações de regra são aplicadas automaticamente para qualquer conta que esteja utilizando essa regra. No modelo gerenciado pelo cliente, ele obtém uma cópia completa da regra e a executa dentro de sua própria conta. Essas regras são mantidas pelo cliente.
Como as regras são avaliadas?
Qualquer regra pode ser configurada como uma regra acionada por alteração ou como uma regra periódica. Uma regra acionada por alteração é executada quando o AWS Config registra uma alteração de configuração em qualquer um dos recursos especificados. Além disso, uma das seguintes opções deve ser especificada:
- Tag Key:(optional Value): Uma tag key:value significa que qualquer alteração na configuração de recursos com a tag key:value especificada acionará uma avaliação da regra.
- Tipos de recurso: Qualquer alteração de configuração registrada para qualquer recurso dentre os tipos de recursos especificados acionarão uma avaliação da regra.
- ID de recurso: Qualquer alteração registrada no recurso especificada pelo tipo e ID do recurso acionará uma avaliação da regra.
Uma regra periódica é acionada com uma frequência especificada. As frequências disponíveis são 1h, 3h, 6h, 12h ou 24h. Uma regra periódica tem um snapshot completo dos Itens de configuração (CIs) atuais para todos os recursos disponíveis para a regra.
O que é uma avaliação?
A avaliação de uma regra determina se uma regra está em conformidade com um recurso em um momento específico. É o resultado da avaliação de uma regra em relação à configuração de um recurso. O Config Rules irá capturar e armazenar o resultado de cada avaliação. Esse resultado incluirá o recurso, a regra, o tempo de avaliação e um link para o Item de configuração (CI) que provocou a falta de conformidade.
O que significa conformidade?
Um recurso está em conformidade caso ele esteja de acordo com todas as regras que se aplicam a ele. Caso contrário, ele não está em conformidade. Similarmente, uma regra está em conformidade caso todos os recursos avaliados pela regra estejam em conformidade com a regra. Caso contrário, ela não está em conformidade. Em alguns casos, como quando permissões inadequadas são disponibilizadas para a regra, pode ser que não exista uma avaliação para o recurso, o que resulta em um estado de dados insuficientes. Esse estado é isento de determinar o status de conformidade de um recurso ou uma regra.
Que informações o painel do Config Rules disponibiliza?
O painel do Config Rules oferece a você uma visão geral dos recursos monitorados pelo AWS Config e um resumo da conformidade atual por recurso e por regra. Quando você visualizar a conformidade por recurso, você poderá determinar se alguma regra que se aplique ao recurso não está em conformidade no momento. Você poderá visualizar a conformidade por regra, o que diz a você se algum recurso na esfera da regra não está em conformidade no momento. Ao usar essas visualizações de resumo, você poderá se aprofundar ainda mais na visualização de recursos do calendário do Config para determinar quais parâmetros de configuração foram alterados. Com a utilização desse painel você pode começar com uma visão geral e aprofundar sua análise com visualizações refinadas que disponibilizam a você informações completas sobre as alterações no status de conformidade, como também quais alterações provocaram a falta de conformidade.
A definição de preço inclui os custos das funções do AWS Lambda?
Você pode escolher dentre um conjunto de regras gerenciadas disponibilizadas pela AWS ou você pode criar suas próprias regras, redigidas como funções do AWS Lambda. As regras gerenciadas são totalmente gerenciadas e mantidas pela AWS e você não paga nenhuma cobrança adicional do AWS Lambda para executá-las. Apenas habilite as regras gerenciadas, disponibilize todos os parâmetros solicitados e pague uma taxa única para cada regra do AWS Config. Por outro lado, as regras gerenciadas pelo cliente oferecem a você controle total ao executar essas regras como funções do AWS Lambda na sua conta. Além de taxas mensais para uma regra ativa, o nível gratuito do AWS Lambda e taxas de execução de função são aplicáveis para as regras gerenciadas pelo cliente.
O que é uma regra ativa?
Uma regra é considerada ativa se pelo menos 1 avaliação for registrada para a regra em um ciclo de faturamento (mês). Uma avaliação é registrada com êxito quando um recurso da AWS é comparado com uma regra, e o resultado é registrado pelo AWS Config.
O que significa uma cota compartilhada?
Você recebe uma cota de 20.000 avaliações por regra ativa por mês. Por exemplo, se você tiver 3 Config Rules, você obtém uma cota de 60.000 avaliações para a conta. É possível escolher distribuir essa cota nas regras da maneira que você desejar.
Avaliações não utilizadas são acumuladas para o próximo mês?
As avaliações não utilizadas expiram e são redefinidas a cada ciclo de faturamento.
Você poderia compartilhar exemplos de definição de preço do AWS Config Rules?
Exemplo 1 de definição de preço:
O AWS Config registra cada alteração de recurso e configuração da AWS como um Item de configuração (CI). Suponha que você registrou 7.000 CIs por mês e criou 5 regras ativas (2 periódicas e 3 acionadas por alteração), registrando um total combinado de 150 avaliações por dia.
Custos do AWS Config: 7.000 vezes 0,003 USD = 21 USD
Custo de 5 regras ativas = 5 vezes 2 USD = 10 USD
Cota de resultados de avaliação = 5 vezes 20.000 = 100.000
Número de resultados de avaliação usados = 150 avaliações vezes 30 dias = 4.500 avaliações por mês
Cobranças adicionais de resultados de avaliação = 0 USD
Cobranças mensais totais do AWS Config = 31 USD
Exemplo 2 de definição de preço:
Suponha que você registrou 50.000 CIs por mês e criou 2 regras ativas e cada uma delas é avaliada em cada CI e toda vez registra um resultado.
Custo do AWS Config: 50.000 vezes 0,003 USD = 150,00 USD
Custo de 2 regras ativas = 2 vezes 2 USD = 4 USD
Cota para resultados de avaliação = 2 vezes 20.000 = 40.000
Número de resultados de avaliação usados = 2 vezes 50.000 = 100.000
Cobranças adicionais de resultados de avaliação = (100.000 – 40.000) = 60.000 vezes 0,0001 = 6 USD
Cobranças mensais totais do AWS Config = 150 USD + 4 USD + 6 USD = 160 USD