AWS Configuración

AWS Config captura cambios en recursos, por lo que cualquier cambio en un recurso compatible con Config puede ser registrado, lo que registrará qué cambió junto con otros metadatos útiles, todo contenido en un archivo conocido como un elemento de configuración, un CI. Este servicio es específico de región.

Un elemento de configuración o CI como se le conoce, es un componente clave de AWS Config. Está compuesto por un archivo JSON que contiene la información de configuración, información de relación y otros metadatos como una vista instantánea en un punto específico del tiempo de un recurso compatible. Toda la información que AWS Config puede registrar para un recurso se captura dentro del CI. Se crea un CI cada vez que se realiza un cambio en la configuración de un recurso compatible de alguna manera. Además de registrar los detalles del recurso afectado, AWS Config también registrará CIs para cualquier recurso directamente relacionado para asegurarse de que el cambio no afectó a esos recursos también.

• Metadatos: Contiene detalles sobre el propio elemento de configuración. Un ID de versión y un ID de configuración, que identifica de forma única al CI. Otra información puede incluir un MD5Hash que te permite comparar otros CIs ya registrados contra el mismo recurso.

• Atributos: Esto contiene información de atributos comunes contra el recurso real. Dentro de esta sección, también tenemos un ID de recurso único y cualquier etiqueta de clave-valor asociada al recurso. También se lista el tipo de recurso. Por ejemplo, si este fuera un CI para una instancia de EC2, los tipos de recursos listados podrían ser la interfaz de red, o la dirección IP elástica para esa instancia de EC2.

• Relaciones: Esto contiene información para cualquier relación conectada que el recurso pueda tener. Por lo tanto, en esta sección, se mostraría una descripción clara de cualquier relación con otros recursos que tenga este recurso. Por ejemplo, si el CI fuera para una instancia de EC2, la sección de relaciones podría mostrar la conexión a un VPC junto con la subred en la que reside la instancia de EC2.

• Configuración actual: Esto mostrará la misma información que se generaría si realizaras una llamada API de descripción o lista hecha por la CLI de AWS. AWS Config utiliza las mismas llamadas API para obtener la misma información.

• Eventos relacionados: Esto se relaciona con AWS CloudTrail. Esto mostrará el ID de evento de AWS CloudTrail que está relacionado con el cambio que desencadenó la creación de este CI. Se crea un nuevo CI por cada cambio realizado en un recurso. Como resultado, se crearán diferentes IDs de eventos de CloudTrail.

Historial de Configuración: Es posible obtener el historial de configuración de recursos gracias a los elementos de configuración. Se entrega un historial de configuración cada 6 horas y contiene todos los CIs para un tipo de recurso en particular.

Flujos de Configuración: Los elementos de configuración se envían a un Tema de SNS para habilitar el análisis de los datos.

Instantáneas de Configuración: Los elementos de configuración se utilizan para crear una instantánea en un momento específico de todos los recursos compatibles.

S3 se utiliza para almacenar los archivos de Historial de Configuración y cualquier instantánea de Configuración de tus datos dentro de un único bucket, que se define dentro del grabador de Configuración. Si tienes varias cuentas de AWS, es posible que desees agregar tus archivos de historial de configuración de configuración en el mismo bucket de S3 para tu cuenta principal. Sin embargo, deberás otorgar acceso de escritura para este principio de servicio, config.amazonaws.com, y tus cuentas secundarias con acceso de escritura al bucket de S3 en tu cuenta principal.

Funcionamiento

• Cuando se realizan cambios, por ejemplo en el grupo de seguridad o en la lista de control de acceso al bucket —> se dispara un Evento recogido por AWS Config

• Almacena todo en un bucket de S3

• Dependiendo de la configuración, tan pronto como algo cambie, podría activar una función lambda O programar una función lambda para revisar periódicamente la configuración de AWS Config

• Lambda devuelve a Config

• Si se ha incumplido una regla, Config activa un SNS

Reglas de Configuración

Las reglas de configuración son una excelente manera de ayudarte a aplicar controles y verificaciones de cumplimiento específicos en todos tus recursos, y te permite adoptar una especificación de implementación ideal para cada uno de tus tipos de recursos. Cada regla es esencialmente una función lambda que, cuando se llama, evalúa el recurso y realiza alguna lógica simple para determinar el resultado de cumplimiento con la regla. Cada vez que se realiza un cambio en uno de tus recursos compatibles, AWS Config verificará el cumplimiento con cualquier regla de configuración que tengas establecida. AWS tiene una serie de reglas predefinidas que caen bajo el paraguas de seguridad y que están listas para usar. Por ejemplo, Rds-storage-encrypted. Esto verifica si el cifrado de almacenamiento está activado por tus instancias de base de datos RDS. Encrypted-volumes. Esto verifica si hay volúmenes EBS que tienen un estado adjunto y están cifrados.

• Reglas administradas por AWS: Conjunto de reglas predefinidas que cubren muchas mejores prácticas, por lo que siempre vale la pena explorar estas reglas primero antes de configurar las tuyas, ya que existe la posibilidad de que la regla ya exista.

• Reglas personalizadas: Puedes crear tus propias reglas para verificar configuraciones personalizadas específicas.

Límite de 50 reglas de configuración por región antes de que necesites contactar a AWS para aumentar. Los resultados no conformes NO se eliminan.