AWS - Config Enum

AWS Config

AWS Config captura mudanças de recursos, então qualquer alteração em um recurso suportado pelo Config pode ser registrada, o que registrará o que mudou junto com outros metadados úteis, todos mantidos em um arquivo conhecido como item de configuração, um CI. Este serviço é específico da região.

Um item de configuração ou CI, como é conhecido, é um componente chave do AWS Config. É composto por um arquivo JSON que contém as informações de configuração, informações de relacionamento e outros metadados como uma visão instantânea de um recurso suportado. Todas as informações que o AWS Config pode registrar para um recurso são capturadas dentro do CI. Um CI é criado toda vez que um recurso suportado tem uma alteração feita em sua configuração de qualquer forma. Além de registrar os detalhes do recurso afetado, o AWS Config também registrará CIs para quaisquer recursos diretamente relacionados para garantir que a alteração não afetou esses recursos também.

• Metadados: Contém detalhes sobre o próprio item de configuração. Um ID de versão e um ID de configuração, que identificam exclusivamente o CI. Outras informações podem incluir um MD5Hash que permite comparar outros CIs já registrados contra o mesmo recurso.

• Atributos: Isso contém informações comuns de atributos contra o recurso real. Dentro desta seção, também temos um ID de recurso exclusivo e quaisquer tags de valor chave associadas ao recurso. O tipo de recurso também é listado. Por exemplo, se este fosse um CI para uma instância EC2, os tipos de recursos listados poderiam ser a interface de rede ou o endereço IP elástico para essa instância EC2.

• Relacionamentos: Isso contém informações para qualquer relacionamento conectado que o recurso possa ter. Então, dentro desta seção, mostraria uma descrição clara de qualquer relacionamento com outros recursos que este recurso tinha. Por exemplo, se o CI fosse para uma instância EC2, a seção de relacionamento poderia mostrar a conexão com um VPC junto com a sub-rede em que a instância EC2 reside.

• Configuração atual: Isso exibirá as mesmas informações que seriam geradas se você realizasse uma chamada de API de descrição ou lista feita pelo AWS CLI. O AWS Config usa as mesmas chamadas de API para obter as mesmas informações.

• Eventos relacionados: Isso se relaciona ao AWS CloudTrail. Isso exibirá o ID do evento do AWS CloudTrail que está relacionado à alteração que desencadeou a criação deste CI. Há um novo CI feito para cada alteração feita em um recurso. Como resultado, diferentes IDs de eventos do CloudTrail serão criados.

Histórico de Configuração: É possível obter o histórico de configuração dos recursos graças aos itens de configuração. Um histórico de configuração é entregue a cada 6 horas e contém todos os CIs para um tipo de recurso específico.

Streams de Configuração: Itens de configuração são enviados para um Tópico SNS para permitir a análise dos dados.

Snapshots de Configuração: Itens de configuração são usados para criar um snapshot de ponto no tempo de todos os recursos suportados.

S3 é usado para armazenar os arquivos de Histórico de Configuração e quaisquer snapshots de Configuração dos seus dados dentro de um único bucket, que é definido dentro do gravador de Configuração. Se você tiver várias contas AWS, pode querer agregar seus arquivos de histórico de configuração no mesmo bucket S3 para sua conta principal. No entanto, você precisará conceder acesso de gravação para este princípio de serviço, config.amazonaws.com, e suas contas secundárias com acesso de gravação ao bucket S3 em sua conta principal.

Funcionamento

• Quando fizer alterações, por exemplo, na lista de controle de acesso do grupo de segurança ou do bucket —> dispara como um Evento captado pelo AWS Config

• Armazena tudo no bucket S3

• Dependendo da configuração, assim que algo mudar, pode acionar uma função lambda OU agendar uma função lambda para periodicamente examinar as configurações do AWS Config

• Lambda alimenta de volta ao Config

• Se uma regra foi quebrada, o Config aciona um SNS

Regras de Configuração

Regras de configuração são uma ótima maneira de ajudar você a impor verificações de conformidade específicas e controles em seus recursos, e permite que você adote uma especificação de implantação ideal para cada um dos seus tipos de recursos. Cada regra é essencialmente uma função lambda que, quando chamada, avalia o recurso e realiza alguma lógica simples para determinar o resultado de conformidade com a regra. Cada vez que uma alteração é feita em um dos seus recursos suportados, o AWS Config verificará a conformidade contra quaisquer regras de configuração que você tenha em vigor. A AWS possui várias regras predefinidas que se enquadram no guarda-chuva de segurança e estão prontas para uso. Por exemplo, Rds-storage-encrypted. Isso verifica se a criptografia de armazenamento está ativada pelas suas instâncias de banco de dados RDS. Encrypted-volumes. Isso verifica se algum volume EBS que tem um estado anexado está criptografado.

• Regras gerenciadas pela AWS: Conjunto de regras predefinidas que cobrem muitas das melhores práticas, então sempre vale a pena navegar por essas regras primeiro antes de configurar as suas próprias, pois há uma chance de que a regra já exista.

• Regras personalizadas: Você pode criar suas próprias regras para verificar configurações personalizadas específicas.

Limite de 50 regras de configuração por região antes de você precisar entrar em contato com a AWS para um aumento. Resultados não conformes NÃO são excluídos.