Inicio de AWS Config con un registrador de configuración administrado por el cliente utilizando la AWS CLI

Consideraciones Paso 1: ejecución de put-configuration-recorder Paso 2: ejecutar el comando put-delivery-channel Paso 3: ejecutar el comando start-configuration-recorder

Puede iniciar AWS Config creando un registrador de configuración administrado por el cliente. Para crear un registrador de configuración administrado por el cliente con la AWS CLI, utilice los siguientes comandos: put-configuration-recorder, put-delivery-channel y start-configuration-recorder.

El comando put-configuration-recorder crea un registrador de configuración administrado por el cliente.
El comando put-delivery-channel crea un objeto de canal de entrega en el que AWS Config entrega información de configuración a un bucket de S3 y un tema de SNS.
El start-configuration-recorder inicia el registrador de configuración administrado por el cliente. El registrador de configuración administrado por el cliente comenzará a registrar los cambios de configuración de los tipos de recursos que especifique.

Temas

Consideraciones
Paso 1: ejecución de put-configuration-recorder
Paso 2: ejecutar el comando put-delivery-channel
Paso 3: ejecutar el comando start-configuration-recorder

Se requieren un bucket de S3, un tema de SNS y una rol de IAM

Para crear un registrador de configuración administrado por el cliente, debe crear un bucket de Amazon S3, un tema de Amazon SNS y un rol de IAM con políticas asociadas como requisitos previos. Para configurar los requisitos previos para AWS Config, consulte Requisitos previos.

Un registrador de configuración administrado por el cliente por cuenta y región

Solo puede tener un registrador de configuración administrado por el cliente para cada Cuenta de AWS y cada Región de AWS.

Un canal de entrega por cuenta y región

Solo puede tener una región de canal de entrega para cada Cuenta de AWS y cada Región de AWS.

Políticas y resultados de cumplimiento

Las políticas de IAM y otras políticas administradas en AWS Organizations pueden afectar a los permisos de AWS Config para registrar cambios de configuración para los recursos. Además, las reglas evalúan directamente la configuración de un recurso y no tienen en cuenta estas políticas al ejecutar las evaluaciones. Asegúrese de que las políticas en vigor se ajusten a la forma en que piensa utilizar AWS Config.

Utilice el comando put-configuration-recorder para crear un registrador de configuración administrado por el cliente:

Este comando usa los campos --configuration-recorder y ---recording-group.


$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

El campo configuration-recorder

El archivo configurationRecorder.json especifica el name y el roleArn, además de la frecuencia de registro predeterminada para el registro de la configuración (recordingMode). También puede usar este campo para anular la frecuencia de registro de tipos de recursos específicos.


{
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

El campo recording-group

El campo recordingGroup.json especifica los tipos de recursos que se registran.


{ 
    "allSupported": boolean,
    "exclusionByResourceTypes": { 
        "resourceTypes": [ Comma-separated list of resource types to exclude ]
    },
    "includeGlobalResourceTypes": boolean,
    "recordingStrategy": { 
        "useOnly": "Recording strategy for the configuration recorder"
    },
    "resourceTypes": [ Comma-separated list of resource types to include]
}

Para obtener más información acerca de estos campos, consulte put-configuration-recorder en la Referencia de comandos de la AWS CLI.

Utilice el comando put-delivery-channel para crear un canal de entrega:

Este comando usa el campo --delivery-channel.


$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

El campo delivery-channel

El archivo deliveryChannel.json especifica lo siguiente:

El name del canal de entrega.
El s3BucketName donde AWS Config envía las instantáneas de configuración.
El snsTopicARN donde AWS Config envía las notificaciones
configSnapshotDeliveryProperties que establece la frecuencia con la que AWS Config entrega instantáneas de configuración y con la que invoca las evaluaciones de reglas periódicas.


{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Para obtener más información acerca de estos campos, consulte put-delivery-channel en la Referencia de comandos de la AWS CLI.

Usa el comando start-configuration-recorder para iniciar AWS Config:


$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

Para obtener más información acerca de estos campos, consulte start-configuration-recorder en la Referencia de comandos de la AWS CLI.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Requisitos previos

Verificación de la configuración