Evaluación de recursos con reglas de AWS Config

Para obtener más información sobre los costos asociados al registro de recursos, consulte Precios de AWS Config.

Recomendación: considere excluir el tipo de recurso AWS::Config::ResourceCompliance del registro antes de eliminar reglas

Al eliminar las reglas, se crean elementos de configuración (CI) para AWS::Config::ResourceCompliance, lo que puede afectar a los costos del registrador de configuración. Si elimina reglas que evalúan una gran cantidad de tipos de recursos, esto puede provocar un aumento en el número de elementos de configuración registrados.

Para evitar los costos asociados, puede optar por deshabilitar el registro para el tipo de recurso AWS::Config::ResourceCompliance antes de eliminar reglas y volver a habilitarlo una vez eliminadas las reglas.

Sin embargo, dado que la eliminación de reglas es un proceso asincrónico, puede tardar una hora o más en completarse. Durante el tiempo en que el registro esté deshabilitado para AWS::Config::ResourceCompliance, las evaluaciones de reglas no se registrarán en el historial de recursos asociado.

AWS Config recomienda sopesar estos factores caso por caso antes de decidir cómo proceder a eliminar reglas.

Recomendación: Añada lógica para gestionar la evaluación de los recursos eliminados para reglas de Lambda personalizadas

Al crear reglas de Lambda de AWS Config personalizadas, se recomienda encarecidamente añadir lógica para gestionar la evaluación de los recursos eliminados.

Cuando los resultados de la evaluación se identifiquen como NOT_APPLICABLE, significa que se eliminarán y depurarán. Si NO están marcados como NOT_APPLICABLE, los resultados de la evaluación permanecerán sin cambios hasta que se elimine la regla, lo que puede provocar un aumento inesperado en la creación de elementos de configuración (CI) para AWS::Config::ResourceCompliance al eliminar la regla.

Para obtener información sobre cómo configurar reglas de Lambda de AWS Config personalizadas para devolver NOT_APPLICABLE para los recursos eliminados, consulte Managing deleted resources with AWS Config custom lambda rules.

Recomendación: Proporcione los recursos disponibles para las reglas de Lambda personalizadas

Las reglas de Lambda personalizadas de AWS Config pueden provocar un número elevado de invocaciones de funciones de Lambda si la regla no se limita a uno o más tipos de recursos. Para evitar el aumento de actividad asociado a su cuenta, es muy recomendable que proporcione recursos disponibles para las reglas de Lambda personalizadas. Si no selecciona ningún tipo de recurso, la regla invocará la función de Lambda para todos los recursos de la cuenta.

Valores predeterminados para las reglas administradas

Los valores predeterminados especificados para las reglas administradas solo se rellenan previamente cuando se utiliza la consola de AWS. No se proporcionan valores predeterminados para la API, la CLI o el SDK.

Retrasos en el registro de elementos de configuración

Normalmente, AWS Config registra los cambios de configuración en los recursos justo después de detectar el cambio, o con la frecuencia que usted especifique. Aunque el sistema hace todo lo posible porque sea así, a veces puede tardar más tiempo. Por ejemplo, un tipo de recurso con retrasos conocidos es AWS::SecretsManager::Secret. Este tipo de recurso es un ejemplo y esta lista no es exhaustiva.

Políticas y resultados de cumplimiento

Las políticas de IAM y otras políticas administradas en AWS Organizations pueden afectar a los permisos de AWS Config para registrar cambios de configuración para los recursos. Además, las reglas evalúan directamente la configuración de un recurso y no tienen en cuenta estas políticas al ejecutar las evaluaciones. Asegúrese de que las políticas en vigor se ajusten a la forma en que piensa utilizar AWS Config.

Compatibilidad con el etiquetado para tipos de recursos

Si un tipo de recurso no admite etiquetado o no incluye información sobre etiquetas en la respuesta de descripción de la API, AWS Config no capturará datos de las etiquetas en los elementos de configuración (CI) para ese tipo de recurso. AWS Config seguirá registrando estos recursos. Sin embargo, cualquier funcionalidad que dependa de los datos de las etiquetas no funcionará. Esto afecta al filtrado, la agrupación o la evaluación del cumplimiento que se basan en los datos de las etiquetas.

Los buckets de directorio no están admitidos

Las reglas administradas solo admiten buckets de uso general al evaluar los recursos de Amazon Simple Storage Service (Amazon S3). Para obtener más información sobre los buckets de uso general y los buckets de directorio, consulte la información general sobre los buckets y los buckets de directorio en la Guía del usuario de Amazon S3.

Reglas administradas y tipos de recursos de IAM globales

Los tipos de recursos de IAM globales incorporados antes de febrero de 2022 (AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role y AWS::IAM::User) solo pueden ser registrados por AWS Config en todas las regiones de AWS donde AWS Config estuviera disponible antes de febrero de 2022. Estos tipos de recursos no se pueden registrar en las regiones admitidas por AWS Config después de febrero de 2022. Para obtener una lista de esas regiones, consulte Recording AWS Resources | Global Resources.

Si registra los tipos de recursos de IAM globales en al menos una región, las reglas periódicas que informan del cumplimiento de los tipos de recursos de IAM globales realizarán evaluaciones en todas las regiones en las que se añada la regla periódica, aunque no haya activado el registro de tipos de recursos de IAM globales en la región en la que se ha añadido la regla periódica.

A fin de evitar evaluaciones innecesarias, solo debería implementar reglas periódicas que informen del cumplimiento en un tipo de recurso de IAM global en una de las regiones compatibles. Para saber qué reglas administradas son compatibles en cada región, consulte la lista List of AWS Config Managed Rules by Region Availability.