AWS - Config Enum

AWS Config

AWS Config captura cambios de recursos, por lo que cualquier cambio en un recurso compatible con Config puede ser registrado, lo que registrará lo que cambió junto con otros metadatos útiles, todo contenido dentro de un archivo conocido como un elemento de configuración, un CI. Este servicio es específico de la región.

Un elemento de configuración o CI como se le conoce, es un componente clave de AWS Config. Está compuesto por un archivo JSON que contiene la información de configuración, información de relaciones y otros metadatos como una vista de instantánea en un momento específico de un recurso compatible. Toda la información que AWS Config puede registrar para un recurso se captura dentro del CI. Se crea un CI cada vez que se realiza un cambio en la configuración de un recurso compatible de cualquier manera. Además de registrar los detalles del recurso afectado, AWS Config también registrará CIs para cualquier recurso directamente relacionado para asegurar que el cambio no afectó también a esos recursos.

• Metadata: Contiene detalles sobre el propio elemento de configuración. Un ID de versión y un ID de configuración, que identifican de manera única al CI. Otra información puede incluir un MD5Hash que te permite comparar otros CIs ya registrados contra el mismo recurso.

• Attributes: Esto contiene información común de atributos contra el recurso real. Dentro de esta sección, también tenemos un ID de recurso único y cualquier etiqueta de valor clave asociada al recurso. También se enumera el tipo de recurso. Por ejemplo, si este fuera un CI para una instancia EC2, los tipos de recursos enumerados podrían ser la interfaz de red o la dirección IP elástica para esa instancia EC2.

• Relationships: Esto contiene información para cualquier relación conectada que el recurso pueda tener. Así que dentro de esta sección, mostraría una descripción clara de cualquier relación con otros recursos que este recurso tuviera. Por ejemplo, si el CI fuera para una instancia EC2, la sección de relaciones podría mostrar la conexión a un VPC junto con la subred en la que reside la instancia EC2.

• Current configuration: Esto mostrará la misma información que se generaría si realizaras una llamada API de describe o list hecha por el AWS CLI. AWS Config usa las mismas llamadas API para obtener la misma información.

• Related events: Esto se relaciona con AWS CloudTrail. Esto mostrará el ID del evento de AWS CloudTrail que está relacionado con el cambio que desencadenó la creación de este CI. Se crea un nuevo CI para cada cambio realizado en un recurso. Como resultado, se crearán diferentes IDs de eventos de CloudTrail.

Configuration History: Es posible obtener el historial de configuración de los recursos gracias a los elementos de configuración. Un historial de configuración se entrega cada 6 horas y contiene todos los CIs para un tipo de recurso en particular.

Configuration Streams: Los elementos de configuración se envían a un SNS Topic para permitir el análisis de los datos.

Configuration Snapshots: Los elementos de configuración se utilizan para crear una instantánea en un momento específico de todos los recursos compatibles.

S3 se utiliza para almacenar los archivos de Configuration History y cualquier Configuration snapshot de tus datos dentro de un solo bucket, que se define dentro del Configuration recorder. Si tienes múltiples cuentas de AWS, es posible que desees agregar tus archivos de historial de configuración en el mismo bucket de S3 para tu cuenta principal. Sin embargo, necesitarás otorgar acceso de escritura para este principio de servicio, config.amazonaws.com, y tus cuentas secundarias con acceso de escritura al bucket de S3 en tu cuenta principal.

Funcionamiento

• Cuando se realizan cambios, por ejemplo, en el grupo de seguridad o en la lista de control de acceso del bucket —> se dispara como un Evento recogido por AWS Config

• Almacena todo en el bucket de S3

• Dependiendo de la configuración, tan pronto como algo cambie, podría desencadenar una función lambda O programar una función lambda para revisar periódicamente la configuración de AWS Config

• Lambda retroalimenta a Config

• Si se ha roto una regla, Config activa un SNS

Config Rules

Las reglas de Config son una excelente manera de ayudarte a hacer cumplir verificaciones de cumplimiento específicas y controles en tus recursos, y te permite adoptar una especificación de implementación ideal para cada uno de tus tipos de recursos. Cada regla es esencialmente una función lambda que, cuando se invoca, evalúa el recurso y realiza una lógica simple para determinar el resultado de cumplimiento con la regla. Cada vez que se realiza un cambio en uno de tus recursos compatibles, AWS Config verificará el cumplimiento contra cualquier regla de configuración que tengas en su lugar. AWS tiene una serie de reglas predefinidas que caen bajo el paraguas de seguridad que están listas para usar. Por ejemplo, Rds-storage-encrypted. Esto verifica si el cifrado de almacenamiento está activado por tus instancias de base de datos RDS. Encrypted-volumes. Esto verifica si algún volumen EBS que tiene un estado adjunto está cifrado.

• AWS Managed rules: Conjunto de reglas predefinidas que cubren muchas de las mejores prácticas, por lo que siempre vale la pena revisar estas reglas primero antes de configurar las tuyas propias, ya que existe la posibilidad de que la regla ya exista.

• Custom rules: Puedes crear tus propias reglas para verificar configuraciones personalizadas específicas.

Límite de 50 reglas de configuración por región antes de que necesites contactar a AWS para un aumento. Los resultados no conformes NO se eliminan.