Activación de la evaluación proactiva para reglas de AWS Config - AWS Config
Uso de la consolaUso de los AWS SDK

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Activación de la evaluación proactiva para reglas de AWS Config

Puede usar la consola de AWS Config o los AWS SDK para activar la evaluación proactiva en las reglas de evaluación. Para obtener una lista de tipos de recursos y reglas administradas que admiten evaluación proactiva, consulte Componentes de una regla | Modos de evaluación.

Activación de la evaluación proactiva (consola)

La página Reglas muestra las reglas y los resultados de conformidad actuales en una tabla. El resultado para cada regla es Evaluating... hasta que AWS Config acaba de evaluar los recursos con respecto a la regla. Puede actualizar los resultados con el botón de actualizar.

Cuando AWS Config termina las evaluaciones, puede ver las reglas y los tipos de recursos que son conformes o no conformes. Para obtener más información, consulte Visualización de la información de cumplimiento y los resultados de la evaluación de sus AWS recursos con AWS Config.

nota

AWS Config evalúa solo los tipos de recursos que está registrando. Por ejemplo, si añade la regla cloudtrail-enabled pero no registra el tipo de recurso de registro de seguimiento de CloudTrail, AWS Config no puede evaluar si los registros de seguimiento en la cuenta son o no conformes. Para obtener más información, consulte Registro de recursos de AWS con AWS Config.

Puede utilizar la evaluación proactiva para evaluar los recursos antes de que se implementen. De este modo, podrá evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un recurso de AWS, es COMPLIANT o NON_COMPLIANT dado el conjunto de reglas proactivas que tiene en su cuenta en su región.

El Esquema de tipos de recurso indica las propiedades de un recurso. El esquema de tipos de recurso está en extensiones de AWS públicas en el registro de AWS CloudFormation o con el siguiente comando de la CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obtener más información, consulte Administración de extensiones a través del registro de CloudFormation y la Referencia de tipos de recursos y propiedades de AWS en la Guía del usuario de AWS CloudFormation.

nota

Las reglas proactivas no corrigen los recursos que están marcados como NON_COMPLIANT ni impiden su implementación.

Para activar una evaluación proactiva

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://console.aws.amazon.com/config/home.

  2. En el menú de la Consola de administración de AWS, compruebe que el selector de región esté establecido en una región que admita reglas de AWS Config. Para ver una lista de las regiones de AWS admitidas, consulte AWS Config Regions and Endpoints en la Referencia general de Amazon Web Services.

  3. En el panel de navegación izquierdo, seleccione Rules (Reglas). Para obtener una lista de las reglas administradas que admiten la evaluación proactiva, consulte Lista de reglas de AWS Config administradas por modo de evaluación.

  4. Elija una regla y, a continuación, elija Editar la regla para la regla que desee actualizar.

  5. En Modo de evaluación, seleccione Active la evaluación proactiva para ejecutar evaluaciones de los valores de configuración de sus recursos antes de que se implementen.

  6. Seleccione Save.

Después de activar la evaluación proactiva, puede utilizar la API StartResourceEvaluation y la API GetResourceEvaluationSummary para comprobar si los recursos que especifique en estos comandos se marcarán como NON_COMPLIANT según las reglas proactivas de la cuenta en su región.

Por ejemplo, comience con la API StartResourceEvaluation:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Debería recibir el ResourceEvaluationId en el resultado:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

A continuación, utilice ResourceEvaluationId con la API getResourceEvaluationSummary para comprobar el resultado de la evaluación:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Debería obtener un resultado similar al siguiente:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver información adicional sobre el resultado de la evaluación, por ejemplo, qué regla ha marcado un recurso como NON_COMPLIANT, use la API GetComplianceDetailsByResource.

Activación de la evaluación proactiva (AWS SDK)

Puede utilizar la evaluación proactiva para evaluar los recursos antes de que se implementen. De este modo, podrá evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un recurso de AWS, es COMPLIANT o NON_COMPLIANT dado el conjunto de reglas proactivas que tiene en su cuenta en su región.

El Esquema de tipos de recurso indica las propiedades de un recurso. El esquema de tipos de recurso está en extensiones de AWS públicas en el registro de AWS CloudFormation o con el siguiente comando de la CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obtener más información, consulte Administración de extensiones a través del registro de CloudFormation y la Referencia de tipos de recursos y propiedades de AWS en la Guía del usuario de AWS CloudFormation.

nota

Las reglas proactivas no corrigen los recursos que están marcados como NON_COMPLIANT ni impiden su implementación.

Para activar la evaluación proactiva

Utilice el comando put-config-rule y active PROACTIVE para EvaluationModes.

Después de activar la evaluación proactiva, puede utilizar el comando de la CLI start-resource-evaluation y el comando de la CLI resource-evaluation-summary para comprobar si los recursos que especifique en estos comandos se marcarán como NON_COMPLIANT según las reglas proactivas de su cuenta en su región.

Por ejemplo, empiece con el comando start-resource-evaluation:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Debería recibir el ResourceEvaluationId en el resultado:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

A continuación, utilice el ResourceEvaluationId junto con el get-resource-evaluation-summary para comprobar el resultado de la evaluación:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Debería obtener un resultado similar al siguiente:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver información adicional sobre el resultado de la evaluación, por ejemplo, qué regla ha marcado un recurso como NON_COMPLIANT, use el comando de la CLI get-compliance-details-by-resource.

nota

Para obtener una lista de las reglas administradas que admiten la evaluación proactiva, consulte Lista de reglas de AWS Config administradas por modo de evaluación.

Puede utilizar la evaluación proactiva para evaluar los recursos antes de que se implementen. De este modo, podrá evaluar si un conjunto de propiedades de un recurso, si se utiliza para definir un recurso de AWS, es COMPLIANT o NON_COMPLIANT dado el conjunto de reglas proactivas que tiene en su cuenta en su región.

El Esquema de tipos de recurso indica las propiedades de un recurso. El esquema de tipos de recurso está en extensiones de AWS públicas en el registro de AWS CloudFormation o con el siguiente comando de la CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obtener más información, consulte Administración de extensiones a través del registro de CloudFormation y la Referencia de tipos de recursos y propiedades de AWS en la Guía del usuario de AWS CloudFormation.

nota

Las reglas proactivas no corrigen los recursos que están marcados como NON_COMPLIANT ni impiden su implementación.

Para activar la evaluación proactiva para una regla

Utilice la acción PutConfigRule y active PROACTIVE para EvaluationModes.

Después de activar la evaluación proactiva, puede utilizar la API StartResourceEvaluation y la API GetResourceEvaluationSummary para comprobar si los recursos que especifique en estos comandos se marcarán como NON_COMPLIANT según las reglas proactivas de la cuenta en su región. Por ejemplo, comience con la API StartResourceEvaluation:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Debería recibir el ResourceEvaluationId en el resultado:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

A continuación, utilice ResourceEvaluationId con la API getResourceEvaluationSummary para comprobar el resultado de la evaluación:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Debería obtener un resultado similar al siguiente:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver información adicional sobre el resultado de la evaluación, por ejemplo, qué regla ha marcado un recurso como NON_COMPLIANT, use la API GetComplianceDetailsByResource.

nota

Para obtener una lista de las reglas administradas que admiten la evaluación proactiva, consulte Lista de reglas de AWS Config administradas por modo de evaluación.