AWS Config

O AWS Config captura alterações de recursos, então qualquer alteração em um recurso suportado pelo Config pode ser registrada, o que registra o que mudou juntamente com outros metadados úteis, tudo mantido em um arquivo conhecido como um item de configuração, um CI. Esse serviço é específico da região.

Um item de configuração ou CI, como é conhecido, é um componente chave do AWS Config. É composto por um arquivo JSON que mantém as informações de configuração, informações de relacionamento e outros metadados como uma visualização instantânea de um recurso suportado. Todas as informações que o AWS Config pode registrar para um recurso são capturadas dentro do CI. Um CI é criado sempre que um recurso suportado tem uma alteração feita em sua configuração de qualquer maneira. Além de registrar os detalhes do recurso afetado, o AWS Config também registrará CIs para quaisquer recursos diretamente relacionados para garantir que a alteração não afetou esses recursos também.

• Metadados: Contém detalhes sobre o próprio item de configuração. Um ID de versão e um ID de configuração, que identifica unicamente o CI. Outras informações podem incluir um MD5Hash que permite comparar outros CIs já registrados contra o mesmo recurso.

• Atributos: Isso mantém informações de atributos comuns em relação ao recurso real. Dentro desta seção, também temos um ID de recurso único e quaisquer tags de chave valor associadas ao recurso. O tipo de recurso também é listado. Por exemplo, se este fosse um CI para uma instância EC2, os tipos de recursos listados poderiam ser a interface de rede ou o endereço IP elástico para aquela instância EC2.

• Relacionamentos: Isso mantém informações para qualquer relacionamento conectado que o recurso possa ter. Portanto, nesta seção, seria mostrada uma descrição clara de qualquer relacionamento com outros recursos que este recurso tinha. Por exemplo, se o CI fosse para uma instância EC2, a seção de relacionamento poderia mostrar a conexão com uma VPC juntamente com a sub-rede em que a instância EC2 reside.

• Configuração atual: Isso exibirá as mesmas informações que seriam geradas se você realizasse uma chamada de API de descrição ou lista feita pelo AWS CLI. O AWS Config usa as mesmas chamadas de API para obter as mesmas informações.

• Eventos relacionados: Isso se refere ao AWS CloudTrail. Isso exibirá o ID do evento do AWS CloudTrail relacionado à alteração que acionou a criação deste CI. Um novo CI é feito para cada alteração feita em um recurso. Como resultado, diferentes IDs de eventos do CloudTrail serão criados.

Histórico de Configuração: É possível obter o histórico de configuração de recursos graças aos itens de configuração. Um histórico de configuração é entregue a cada 6 horas e contém todos os CIs para um tipo de recurso específico.

Streams de Configuração: Os itens de configuração são enviados para um Tópico SNS para permitir a análise dos dados.

Instantâneos de Configuração: Os itens de configuração são usados para criar um instantâneo em um determinado momento de todos os recursos suportados.

O S3 é usado para armazenar os arquivos de Histórico de Configuração e quaisquer Instantâneos de Configuração de seus dados em um único bucket, que é definido no gravador de configuração. Se você tiver várias contas da AWS, pode querer agregar seus arquivos de histórico de configuração em um único bucket S3 para sua conta principal. No entanto, você precisará conceder acesso de gravação para este princípio de serviço, config.amazonaws.com, e suas contas secundárias com acesso de gravação ao bucket S3 em sua conta principal.

Funcionamento

• Ao fazer alterações, por exemplo, em um grupo de segurança ou lista de controle de acesso de um bucket —> dispara um Evento captado pelo AWS Config

• Armazena tudo em um bucket S3

• Dependendo da configuração, assim que algo muda, pode acionar uma função lambda OU agendar uma função lambda para procurar periodicamente as configurações do AWS Config

• Lambda retorna ao Config

• Se uma regra foi violada, o Config dispara um SNS

Regras de Configuração

As regras de configuração são uma ótima maneira de ajudá-lo a aplicar verificações de conformidade específicas e controles em seus recursos, e permite que você adote uma especificação de implantação ideal para cada um de seus tipos de recursos. Cada regra é essencialmente uma função lambda que, quando chamada, avalia o recurso e realiza alguma lógica simples para determinar o resultado de conformidade com a regra. Cada vez que uma alteração é feita em um de seus recursos suportados, o AWS Config verificará a conformidade em relação a quaisquer regras de configuração que você tenha em vigor. A AWS possui uma série de regras predefinidas que se enquadram no guarda-chuva de segurança e estão prontas para uso. Por exemplo, Rds-storage-encrypted. Isso verifica se a criptografia de armazenamento está ativada por suas instâncias de banco de dados RDS. Encrypted-volumes. Isso verifica se algum volume EBS que tenha um estado anexado está criptografado.

• Regras gerenciadas pela AWS: Conjunto de regras predefinidas que abrangem muitas melhores práticas, então sempre vale a pena navegar por essas regras primeiro antes de configurar as suas próprias, pois existe a chance de a regra já existir.

• Regras personalizadas: Você pode criar suas próprias regras para verificar configurações personalizadas específicas.

Limite de 50 regras de configuração por região antes de precisar entrar em contato com a AWS para um aumento. Resultados não conformes NÃO são excluídos.