Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso del registrador de configuración
El grabador de configuración almacena los cambios de configuración en los tipos de recursos incluidos en el ámbito como elementos de configuración (CIs).
Existen dos tipos de registradores de configuración.
| Tipo | Descripción |
|---|---|
| Registrador de configuración administrado por el cliente | Un registrador de configuración que administra usted. Usted establece los tipos de recursos incluidos en el ámbito. De forma predeterminada, un grabador de configuración administrado por el cliente registra todos los recursos compatibles en el Región de AWS lugar donde AWS Config se están ejecutando. |
| Registrador de configuración vinculado a servicios | Un grabador de configuración que está vinculado a un archivo específico Servicio de AWS. Los tipos de recursos incluidos en el ámbito los establece el servicio vinculado. |
Temas
Consideraciones sobre el registrador de configuración administrado por el cliente
Consideraciones sobre los registradores de configuración vinculados a servicios
Detección de desviaciones para el registrador de configuración
Inicio del registrador de configuración administrado por el cliente
Detención del registrador de configuración administrado por el cliente
Cambio de la frecuencia de registro del registrador de configuración administrado por el cliente
Cambio del nombre del registrador de configuración administrado por el cliente
Consideraciones sobre el registrador de configuración administrado por el cliente
Un registrador de configuración administrado por el cliente por cuenta y región
Solo puede tener un grabador de configuración gestionado por el cliente Cuenta de AWS para cada uno de ellos Región de AWS.
El valor predeterminado es registrar todos los tipos de recursos admitidos, excepto los tipos de recursos de IAM globales
El valor predeterminado de un registrador de configuración administrado por el cliente es registrar todos los tipos de recursos admitidos, excepto los siguientes tipos de recursos de IAM globales: AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role y AWS::IAM::User. Puede especificar qué tipos de recursos desea incluir o excluir del registro.
Para obtener más información, consulte Registro de recursos de AWS con AWS Config.
Se le cobrarán las tarifas de uso del servicio del registrador de configuración administrado por el cliente
Se le cobrarán tarifas de uso del servicio cuando AWS Config comience a grabar las configuraciones con el grabador de configuraciones administrado por el cliente.
Para obtener información acerca de los precios, consulte Precios de AWS Config
Se utiliza AWS Systems Manager para crear un grabador de configuración gestionado por el cliente en toda la organización
Puedes usar AWS Systems Manager Quick Setup para crear un registrador de configuración gestionado por el cliente en varias unidades organizativas (OUs) y Regiones de AWS siguiendo las prácticas AWS recomendadas.
Para obtener más información, consulte Creación de un grabador de AWS Config configuración mediante Quick Setup en la Guía del usuario de Systems Manager.
importante
Políticas y resultados de cumplimiento
Las políticas de IAM y otras políticas gestionadas AWS Organizations pueden afectar a la disponibilidad AWS Config de permisos para registrar los cambios de configuración de sus recursos. Además, las reglas evalúan directamente la configuración de un recurso y no tienen en cuenta estas políticas al ejecutar las evaluaciones. Asegúrese de que las políticas en vigor se ajusten a la forma en que piensa utilizar AWS Config.
Los resultados de la evaluación de los recursos obsoletos pueden persistir si el registrador de configuración está desactivado
Si el registrador de configuración administrado por el cliente está desactivado, se deshabilita la posibilidad de que AWS Config Config realice un seguimiento de los cambios en la configuración de los recursos, incluida su eliminación. Esto significa que es posible que vea resultados de evaluación obsoletos en el caso de los recursos que se eliminan al desactivar el registrador de configuración gestionado por el cliente, ya que AWS Config no puede capturar los eventos de eliminación si el registro no está activado.
Consideraciones sobre los registradores de configuración vinculados a servicios
Se debe AWS Config utilizar la función vinculada al servicio
El rol AWS Config vinculado al servicio es obligatorio para los grabadores de configuración vinculados al servicio.
Para obtener más información, consulte Uso de roles vinculados a servicios para AWS Config.
Los registradores de configuración vinculados a servicios siempre registran
Los registradores vinculados a servicios son fijos. No puede cambiar directamente la configuración de un registrador vinculado a servicios. Para modificar la configuración de la grabadora, como iniciar, detener o actualizar la grabadora, realice estos cambios a través del AWS servicio asociado que utiliza la grabadora vinculada al servicio.
Para obtener más información, consulte Eliminación del registrador de configuración.
El ámbito de registro determina si recibe elementos de configuración
El alcance del registro lo establece el Servicio de AWS que está vinculado a la grabadora de configuración y determina si se reciben los elementos de configuración (CIs) en el canal de entrega. Si el ámbito de grabación es INTERNO, no lo recibirá CIs en el canal de entrega.
El ámbito de registro determina si se le cobra una tarifa de servicio
El alcance del registro lo establece el Servicio de AWS que está vinculado al registrador de configuración y determina si los elementos de configuración (CIs) incluidos en el alcance se graban de forma gratuita (INTERNO) o si esto repercute en los costes de la factura (PAGADO).
Prioridad de frecuencia de registro entre registradores
Si tiene un registrador de configuración administrado por el cliente y un registrador de configuración vinculado a servicios con un ámbito de registro de “DE PAGO” que registra los mismos tipos de recursos, tiene prioridad el registrador con la frecuencia de registro más alta. Por ejemplo, si su grabadora gestionada por el cliente está configurada para la grabación diaria, pero usted habilita un AWS servicio que utiliza una grabadora vinculada a un servicio con un alcance de grabación «de pago» y grabación continua, los tipos de recursos afectados se grabarán de forma continua.
Esto significa que, aunque la configuración del registrador administrado por el cliente siga mostrando “Registro diario”, se le cobrará por el registro continuo para los tipos de recursos disponibles para ambos registradores. Esto solo afecta a los tipos de recursos que registran ambos registradores.
nota
Solo se le cobrará una vez por elemento de configuración, independientemente del número de elementos de configuración generados por un registrador de configuración administrado por el cliente o por los registradores de configuración vinculados a servicios que pague.
ejemplo Ejemplo: prioridad de frecuencia de registro
Has configurado tu grabadora gestionada por el cliente para grabar EC2 instancias de Amazon con una frecuencia de grabación diaria. Más adelante, habilitas una función de AWS servicio que utiliza una grabadora vinculada a un servicio con un alcance de grabación de «PAID» y una grabación continua que también graba instancias de Amazon EC2. En este escenario:
La configuración del registrador administrado por el cliente seguirá mostrando “Registro diario”
EC2 Las instancias de Amazon se graban de forma continua y proporciona más, CIs ya que la grabadora vinculada al servicio con un alcance de grabación de «PAID» tiene una frecuencia de grabación más alta.
Se te cobrará por la grabación continua de las EC2 instancias de Amazon
Otros tipos de recursos que solo administra su registrador administrado por el cliente seguirán registrándose con frecuencia diaria
Servicios admitidos
Los registradores de configuración vinculados a servicios son compatibles con los siguientes servicios:
| AWS service | Entidad principal de servicio | Ventajas de usarlo con AWS Config | Más información |
|---|---|---|---|
| Amazon CloudWatch | observabilityadmin.amazonaws.com,
telemetry-enablement.observabilityadmin.amazonaws.com |
Puede utilizar Amazon CloudWatch Observability Admin para descubrir y comprender el estado de la configuración de telemetría de su AWS organización o cuenta. CloudWatch | Para obtener más información, consulte Auditar las configuraciones de CloudWatch telemetría en la Guía del usuario. CloudWatch |
| AWS Security Hub CSPM | securityhub.amazonaws.com |
Puede utilizarla AWS Security Hub CSPM para gestionar de forma centralizada las conclusiones de seguridad y realizar evaluaciones de seguridad en todas sus AWS cuentas. El registrador vinculado a servicios permite utilizar un enfoque basado en eventos para obtener los elementos de configuración de los recursos necesarios para la cobertura del análisis de la exposición. | Para obtener más información, consulte Habilitar Security Hub en la Guía del usuario de Security Hub CSPM. |
Detección de desviaciones para el registrador de configuración
El tipo de recurso AWS::Config::ConfigurationRecorder es un elemento de configuración (CI, por sus siglas en inglés) para el registrador de configuración que realiza el seguimiento de todos los cambios del estado del registrador de configuración. Puede usar este CI para comprobar si el estado del registrador de configuración es diferente o se ha desviado del estado anterior.
Por ejemplo, este CI registra si hay actualizaciones en los tipos de recursos que ha permitido que siga AWS Config, si ha detenido o iniciado el registrador de configuración o si ha eliminado o desinstalado el registrador de configuración. Un registrador de configuración desviado indica que no está detectando con precisión los cambios en los tipos de recursos previstos. Si el registrador de configuración está desviado, es posible que los resultados de conformidad sean falsos negativos o falsos positivos.
El tipo de AWS::Config::ConfigurationRecorder recurso es un tipo de recurso del sistema AWS Config y el registro de este tipo de recurso está habilitado de forma predeterminada en todas las regiones compatibles. El registro de este tipo de recurso AWS::Config::ConfigurationRecorder no tiene costo adicional.
