Componentes de una regla de AWS Config - AWS Config
Funcionamiento de las reglas de AWS ConfigTipos de desencadenadoresModos de evaluaciónMetadatos de las reglas

Componentes de una regla de AWS Config

Las reglas de AWS Config evalúan los ajustes de configuración de los recursos de AWS. En esta página se describen los componentes de una regla.

Funcionamiento de las reglas de AWS Config

Aunque AWS Config realiza un seguimiento continuo de los cambios de configuración que se producen en los recursos, comprueba si estos cambios infringen alguna de las condiciones de las reglas. Si un recurso infringe una regla, AWS Config marca el recurso y la regla como no conformes.

Hay cuatro resultados posibles de la evaluación de una regla de AWS Config.

Resultado de la evaluación Descripción
COMPLIANT La regla cumple las condiciones de la comprobación de cumplimiento.
NON_COMPLIANT La regla no cumple las condiciones de la comprobación de cumplimiento.
ERROR Uno de los parámetros obligatorios u opcionales no es válido, no es del tipo correcto o tiene un formato incorrecto.
NOT_APPLICABLE Se utiliza para filtrar los recursos a los que no se puede aplicar la lógica de la regla. Por ejemplo, la regla alb-desync-mode-check solo comprueba los equilibradores de carga de aplicación e ignora los equilibradores de carga de red y de puerta de enlace.

Por ejemplo, cuando se crea un volumen de EC2, AWS Config puede evaluar el volumen con respecto a una regla que requiere que los volúmenes se cifren. Si el volumen no está cifrado, AWS Config marca el volumen y la regla como no conformes. AWS Config también puede comprobar todos los recursos para determinar si cumplen los requisitos de toda la cuenta. Por ejemplo, AWS Config puede comprobar si el número de volúmenes de EC2 en una cuenta permanece dentro de un total deseado, o si una cuenta utiliza AWS CloudTrail para iniciar sesión.

Tipos de desencadenadores

Después de agregar una regla a la cuenta, AWS Config compara sus recursos con las condiciones de la regla. Después de esta evaluación inicial, AWS Config continúa realizando evaluaciones cada vez que se activa una. Los desencadenadores de evaluaciones están definidos como parte de la regla, y pueden incluir los siguientes tipos.

Tipo de desencadenador Descripción
Cambios de configuración AWS Config ejecuta evaluaciones de la regla cuando hay un recurso que coincide con el alcance de la regla y hay un cambio en la configuración del recurso. La evaluación se realiza después de que AWS Config envía una notificación sobre un cambio de elementos de configuración.

Usted elige qué recursos activan la evaluación al definir el ámbito de la regla. El ámbito puede incluir lo siguiente:

  • Uno o varios tipos de recursos

  • Una combinación de un tipo de recurso y un ID de recurso

  • Una combinación de una clave de etiqueta y un valor

  • Cuando se crea, se actualiza o se elimina cualquier recurso registrado

AWS Config ejecuta la evaluación cuando detecta un cambio en un recurso que coincide con el ámbito de la regla. Puede utilizar el ámbito para definir los recursos que activan evaluaciones.
Periódico AWS Config ejecuta evaluaciones de la regla con la frecuencia que elija (por ejemplo, cada 24 horas).
Híbrido Algunas reglas tienen cambios de configuración y desencadenadores periódicos. En el caso de estas reglas, AWS Config evalúa los recursos cuando detecta un cambio de configuración y también con la frecuencia que especifique.

Modos de evaluación

Hay dos modos de evaluación para las reglas de AWS Config.

Modo de evaluación Descripción
Proactiva

Utilice una evaluación proactiva para evaluar los recursos antes de que se implementen. De este modo, podrá evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un recurso de AWS, es COMPLIANT o NON_COMPLIANT dado el conjunto de reglas proactivas que tiene en su cuenta en su región.
Detective Utilice la evaluación de detectives para evaluar los recursos que ya se han implementado. Esto le permite evaluar los ajustes de configuración de los recursos existentes.
nota

Las reglas proactivas no corrigen los recursos que están marcados como NON_COMPLIANT ni impiden su implementación.

Para obtener más información, consulte Activación de la evaluación proactiva de reglas de AWS Config.

Lista de reglas administradas con una evaluación proactiva

Para obtener una lista de las reglas administradas que admiten la evaluación proactiva, consulte Lista de reglas de AWS Config administradas por modo de evaluación.

Lista de tipos de recursos compatibles para la evaluación proactiva

La siguiente es una lista de los tipos de recursos que se admiten para la evaluación proactiva:

  • AWS::EC2::EIP

  • AWS::EC2::Instance

  • AWS::Lambda::Function

  • AWS::RDS::DBInstance

  • AWS::Redshift::Cluster

  • AWS::S3::Bucket

  • AWS::SNS::Topic

Metadatos de reglas de AWS Config

Las reglas de AWS Config contienen los siguientes metadatos mutables:

defaultName

El defaultName es el nombre que recibirán las instancias de una regla de forma predeterminada.

Descripción de

La description de la regla proporciona el contexto de lo que evalúa la regla. La consola de AWS Config tiene un límite de 256 caracteres. Como práctica recomendada, la descripción de la regla debería empezar por “Comprueba si” e incluir una descripción del supuesto NON_COMPLIANT. Los nombres de los servicios deben escribirse completos y empezar con AWS o Amazon cuando se mencionen por primera vez en la descripción de la regla. Por ejemplo, AWS CloudTrail o Amazon CloudWatch en lugar de CloudTrail o CloudWatch para el primer uso. Los nombres de los servicios se pueden abreviar después.

scope

El scope determina los tipos de recursos a los que se dirige la regla. Para obtener una lista de tipos de recursos compatibles, consulte Tipos de recursos compatibles.

compulsoryInputParameterDetails

Los compulsoryInputParameterDetails se utilizan para los parámetros necesarios para que una regla realice su evaluación. Por ejemplo, la regla de access-keys-rotated administrada incluye maxAccessKeyAge como parámetro obligatorio. Si un parámetro es obligatorio, no se marcará como (opcional). Para cada parámetro, se debe especificar un tipo que puede ser String, int, double, CSV, boolean y StringMap.

optionalInputParameterDetails

Los optionalInputParameterDetails se utilizan para los parámetros que son opcionales para que una regla realice su evaluación. Por ejemplo, la regla de elasticsearch-logs-to-cloudwatch administrada incluye logTypes como parámetro opcional. Para cada parámetro, se debe especificar un tipo que puede ser String, int, double, CSV, boolean y StringMap.

supportedEvaluationModes

Los supportedEvaluationModes determinan cuándo se evaluarán los recursos, ya sea antes de que se haya implementado un recurso o después.

DETECTIVE se utiliza para evaluar los recursos que ya se han implementado. Esto le permite evaluar los valores de configuración de los recursos existentes. PROACTIVE se utiliza para evaluar los recursos antes de que se hayan implementado.

De este modo, podrá evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un recurso de AWS, es COMPLIANT o NON_COMPLIANT dado el conjunto de reglas proactivas que tiene en su cuenta en su región.

Puede especificar los supportedEvaluationModes como DETECTIVE, PROACTIVE o ambos DETECTIVE y PROACTIVE. Debe especificar un modo de evaluación; este campo no puede permanecer vacío.

nota

Las reglas proactivas no corrigen los recursos que están marcados como NON_COMPLIANT ni impiden su implementación.