AWS Config - Guia do desenvolvedor...AWS Config Guia do desenvolvedor Formas de usar o AWS Config O que é o AWS Config? O AWS Config fornece uma visão detalhada da configuração

AWS ConfigGuia do desenvolvedor

AWS Config Guia do desenvolvedor

AWS Config: Guia do desenvolvedorCopyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

As marcas comerciais e o visual comercial da Amazon não podem ser usados em conexão com nenhum produtoou serviço que não seja da Amazon, nem de qualquer maneira que possa causar confusão entre os clientes ou quedeprecie ou desacredite a Amazon. Todas as outras marcas comerciais que não pertencem à Amazon pertencem aseus respectivos proprietários, que podem ou não ser afiliados, conectados ou patrocinados pela Amazon.


Table of ContentsO que é o AWS Config? ..................................................................................................................... 1

Maneiras de usar o AWS Config ................................................................................................... 1Administração de recursos ................................................................................................... 1Auditoria e Compatibilidade .................................................................................................. 1Gerenciar e solucionar problemas de alteração de configuração ................................................ 2Análise de segurança .......................................................................................................... 2

Concepts ................................................................................................................................... 2AWS Config ....................................................................................................................... 3Regras gerenciadas e personalizadas do AWS Config ............................................................. 4Agregação de dados de várias regiões e várias contas ............................................................ 5Gerenciamento do AWS Config ............................................................................................ 5Controle o acesso ao AWS Config ........................................................................................ 6Soluções para parceiros ...................................................................................................... 6

Como funciona o AWS Config ...................................................................................................... 7Entregar itens de configuração ............................................................................................. 7

Tipos de recursos compatíveis ..................................................................................................... 9Amazon API Gateway ......................................................................................................... 9Amazon CloudFront .......................................................................................................... 10Amazon CloudWatch ......................................................................................................... 10Amazon DynamoDB .......................................................................................................... 10Amazon Elastic Block Store ................................................................................................ 10Amazon Elastic Compute Cloud .......................................................................................... 11Amazon Elastic Container Registry ...................................................................................... 12Amazon Elastic Container Service ....................................................................................... 12Amazon Elastic File System ............................................................................................... 13Amazon Elastic Kubernetes Service ..................................................................................... 13Amazon Elasticsearch Service ............................................................................................ 13Amazon Quantum Ledger Database (QLDB) ......................................................................... 13Amazon Redshift .............................................................................................................. 13Amazon Relational Database Service ................................................................................... 14Atributos do Amazon S3 .................................................................................................... 15Amazon Simple Notification Service ..................................................................................... 15Amazon Simple Queue Service ........................................................................................... 16Amazon Simple Storage Service ......................................................................................... 16Amazon Virtual Private Cloud ............................................................................................. 16AWS Auto Scaling ............................................................................................................ 17AWS Certificate Manager ................................................................................................... 17AWS CloudFormation ........................................................................................................ 18AWS CloudTrail ................................................................................................................ 18AWS CodeBuild ................................................................................................................ 18AWS CodePipeline ............................................................................................................ 18AWS Config ..................................................................................................................... 19AWS Elastic Beanstalk ...................................................................................................... 19AWS Identity and Access Management ................................................................................ 20AWS Key Management Service .......................................................................................... 20Função do AWS Lambda ................................................................................................... 20AWS Network Firewall ...................................................................................................... 21AWS Secrets Manager ...................................................................................................... 21AWS Service Catalog ........................................................................................................ 21AWS Shield ..................................................................................................................... 21AWS Systems Manager ..................................................................................................... 22AWS WAF ....................................................................................................................... 22AWS X-Ray ..................................................................................................................... 23Elastic Load Balancing ...................................................................................................... 23

iii


Service Limits ........................................................................................................................... 24Conceitos básicos ............................................................................................................................. 26

Configuração do AWS Config (console) ........................................................................................ 26Configurar o AWS Config (AWS CLI) ........................................................................................... 29

Prerequisites .................................................................................................................... 29Habilitar o AWS Config ...................................................................................................... 32Verifique se o AWS Config está ligado ................................................................................. 33

Configurar regras do AWS Config (console) .................................................................................. 35Visualizando o painel do AWS Config .......................................................................................... 36

AWS Config ..................................................................................................................................... 37Suporte regional ....................................................................................................................... 37Componentes de um item de configuração ................................................................................... 39Configurações de registro para recursos de terceiros ..................................................................... 40

Etapa 1: Configurar seu ambiente de desenvolvimento ........................................................... 40Etapa 2: Modelar seu recurso ............................................................................................. 41Etapa 3: Gerar Artefatos .................................................................................................... 42Etapa 4: Registrar seu recurso ........................................................................................... 42Etapa 5: Configuração de publicação de recursos .................................................................. 42Registrar e excluir um estado de configuração para recursos de terceiros usando a CLI da AWS .... 43Gerenciar um estado de configuração para os tipos de recursos de terceiros usando APIs ............ 45Suporte regional ............................................................................................................... 45

Exibir histórico e configurações de recursos da AWS ..................................................................... 46Pesquisa de recursos descobertos ...................................................................................... 46Visualizar detalhes da configuração ..................................................................................... 48Exibir histórico de compatibilidade ....................................................................................... 52Fornecer snapshot de configuração ..................................................................................... 53

Gerenciamento do AWS Config .................................................................................................. 58Gerenciar o canal de entrega ............................................................................................. 59Atualizações da função do IAM ........................................................................................... 61Gerenciar o gravador de configurações ................................................................................ 63Seleção de quais recursos são registrados ........................................................................... 64Registrar a configuração de software para instâncias gerenciadas ............................................ 68Consultas avançadas ........................................................................................................ 70Como excluir dados .......................................................................................................... 83

Exemplo de notificações ............................................................................................................ 86Exemplos de notificações de alteração de item de configuração ............................................... 87Exemplo de notificação de entrega de histórico de configuração ............................................... 94Exemplo de notificação de entrega de snapshot de configuração iniciada .................................. 95Exemplo de notificação de entrega de snapshot de configuração .............................................. 95Exemplo de notificação de alteração de compatibilidade ......................................................... 96Exemplo de notificação de avaliação de regras iniciada .......................................................... 97Exemplo de notificação de alteração de item de configuração superdimensionado ....................... 98Exemplo de notificação de falha na entrega .......................................................................... 99

Regras do AWS Config .................................................................................................................... 100Suporte regional ...................................................................................................................... 101Exibir compatibilidade de configuração ....................................................................................... 103Especificar triggers .................................................................................................................. 106

Tipos de trigger .............................................................................................................. 106Exemplo de regras com triggers ........................................................................................ 107Avaliações de regras quando o gravador de configuração está desativado ............................... 107

Regras gerenciadas ................................................................................................................. 108Lista de regras gerenciadas do ......................................................................................... 108Trabalhar com as regras gerenciadas do ............................................................................ 197Criar regras gerenciadas do com modelos do AWS CloudFormation ........................................ 198

Regras personalizadas do ........................................................................................................ 199Conceitos básicos das regras personalizadas ...................................................................... 200Desenvolvimento de uma regra personalizada ..................................................................... 202

iv


Exemplos de funções e eventos ........................................................................................ 206Gerenciando suas regras do AWS Config ................................................................................... 214

Adicionar, visualizar, atualizar e excluir regras (console) ........................................................ 214Visualizar, atualizar e excluir regras (AWS CLI) ................................................................... 216Visualizar, atualizar e excluir regras (API) ........................................................................... 217

Avaliar seus recursos .............................................................................................................. 218Avaliar seus recursos (console) ......................................................................................... 218Avaliar seus recursos (CLI) .............................................................................................. 218Avaliar seus recursos (API) .............................................................................................. 219

Exclusão de resultados de avaliação .......................................................................................... 219Excluir os resultados de avaliação (console) ....................................................................... 219Excluir os resultados de avaliação (CLI) ............................................................................. 219Excluir os resultados de avaliação (API) ............................................................................. 219

Habilitar regras do AWS Config em todas as contas na sua organização ......................................... 220Suporte regional .............................................................................................................. 220

Correção de recursos e regras .................................................................................................. 222Prerequisite .................................................................................................................... 222Configurar a correção manual (console) ............................................................................. 222Configurar a correção automática (console) ........................................................................ 223Excluir ação de correção (console) .................................................................................... 224Gerenciar remediação (API) .............................................................................................. 224

Marcar os recursos do ............................................................................................................. 224Restrições relacionadas à marcação .................................................................................. 225Gerenciar tags com ações de API do AWS Config ............................................................... 225

Pacotes de conformidade ................................................................................................................. 226Prerequisites .......................................................................................................................... 226

Iniciar o AWS Config Recording ........................................................................................ 226Pré-requisitos para usar um pacote de conformidade com correção ........................................ 226Pré-requisitos para usar um pacote de conformidade com uma ou mais regras do AWS Config .... 227Pré-requisitos para pacotes de conformidade da organização ................................................ 229

Suporte regional ...................................................................................................................... 230Verificações do Processo ......................................................................................................... 232

Modelo de Pacote de Conformidade de Exemplo para Criação de Verificações de Processo ........ 233Incluir Verificações de Processo em um Pacote de Conformidade ........................................... 233Alterar o status de conformidade de uma verificação de processo ........................................... 234Exibir e Editar a Verificação do Processo (Console) ............................................................. 235

Exemplos de modelos de pacote de conformidade ....................................................................... 235Pacote de conformidade de proteções de detecção do AWS Control Tower .............................. 237Práticas recomendadas operacionais para cargas de trabalho de materiais ABS CCIG 2.0 ......... 237Práticas recomendadas operacionais para cargas de trabalho padrão ABS CCIG 2.0 ................ 334Melhores práticas operacionais para o CIS 8 ..................................................................... 401Melhores práticas operacionais do CIS .............................................................................. 430Melhores práticas operacionais para o IA e o ML ................................................................. 456Melhores práticas operacionais do Amazon DynamoDB ........................................................ 456Melhores práticas operacionais do Amazon S3 .................................................................... 456Melhores práticas operacionais do APRA CPG 234 ............................................................. 456Melhores práticas operacionais para o gerenciamento de ativos ............................................. 564Melhores práticas operacionais para o AWS Identity And Access Management ......................... 564Práticas recomendadas operacionais para o AWS Well-Architected Framework ........................ 564Práticas recomendadas operacionais para o AWS Well-Architected Framework ........................ 572Melhores práticas operacionais para o BCP e o DR ............................................................. 625Melhores práticas operacionais do BNM RMIT .................................................................... 625Práticas recomendadas operacionais para o CIS AWS Foundations Benchmark v1.3 Nível 1 ...... 759Práticas recomendadas operacionais para o CIS AWS Foundations Benchmark v1.3 Nível 2 ...... 775Melhores práticas operacionais do CIS Top 20 do CIS ......................................................... 794Melhores práticas operacionais para o CMMC Nível 1 ......................................................... 840Operational Best Practices for CMMC Level 2 .................................................................... 885

v


Operational Best Practices for CMMC Level 3 .................................................................... 991Operational Best Practices for CMMC Level 4 ................................................................... 1125Operational Best Practices for CMMC Level 5 ................................................................... 1269Operational Best Practices for Compute Services .............................................................. 1431Operational Best Practices for Data Resiliency ................................................................... 1431Operational Best Practices for Databases Services ............................................................ 1432Operational Best Practices for Data Lakes and Analytics Services ......................................... 1432Operational Best Practices for EC2 .................................................................................. 1432Operational Best Practices for Encryption and Key Management ........................................... 1432Operational Best Practices for Esquema Nacional de Seguridad (ENS) Low ........................... 1433Operational Best Practices for Esquema Nacional de Seguridad (ENS) Medium ...................... 1506Operational Best Practices for FDA Title 21 CFR Part 11 .................................................... 1597Operational Best Practices for FedRAMP(Low) ................................................................. 1741Operational Best Practices for FedRAMP(Moderate) .......................................................... 1772Operational Best Practices for FFIEC .............................................................................. 1930Operational Best Practices for HIPAA Security .................................................................. 2017Operational Best Practices for K-ISMS ............................................................................ 2114Operational Best Practices for Load Balancing ................................................................... 2159Operational Best Practices for Logging ............................................................................. 2159Operational Best Practices for Management and Governance Services ................................. 2159Operational Best Practices for MAS Notice 655 ................................................................. 2160Operational Best Practices for MAS TRMG June 2013 ....................................................... 2175Operational Best Practices for Monitoring .......................................................................... 2318Operational Best Practices for NBC TRMG ....................................................................... 2318Operational Best Practices for NERC CIP ........................................................................ 2579Operational Best Practices for NCSC Cloud Security Principles ............................................ 2642Operational Best Practices for NCSC Cyber Assesment Framework ..................................... 2664Operational Best Practices for Networking and Content Delivery Services .............................. 2713Operational Best Practices for NIST 800-53 rev 4 .............................................................. 2713Operational Best Practices for NIST 800 171 ..................................................................... 2872Melhores práticas operacionais do NIST CSF .................................................................... 3003Operational Best Practices for NYDFS 23 ........................................................................ 3101Operational Best Practices for PCI DSS 3.2.1 .................................................................... 3170Operational Best Practices for Publicly Accessible Resources ............................................... 3224Operational Best Practices for RBI Cyber Security Framework for UCBs ................................ 3224Operational Best Practices for RBI MD-ITF ....................................................................... 3242Operational Best Practices for Security, Identity, and Compliance Services ............................ 3296Operational Best Practices for Serverless .......................................................................... 3296Operational Best Practices for Storage Services ................................................................ 3296Modelos de exemplo com ação de correção ...................................................................... 3296Pacote de conformidade personalizado ............................................................................. 3296

Exibir dados de conformidade no painel de conformidade dos pacotes de conformidade ................... 3297Navegando na Página Principal de Pacotes de Conformidade .............................................. 3297Saiba mais ................................................................................................................... 3297

Implantar um pacote de conformidade (console) ........................................................................ 3297Implantar um pacote de conformidade usando modelos de exemplo ...................................... 3298Editar um pacote de conformidade ................................................................................... 3299Excluir um pacote de conformidade .................................................................................. 3299

Implantar um pacote de conformidade (CLI da AWS) .................................................................. 3299Implantar um pacote de conformidade .............................................................................. 3299Visualizar um pacote de conformidade .............................................................................. 3300Visualizar o status do pacote de conformidade ................................................................... 3300Visualizar o status de conformidade do pacote de conformidade ........................................... 3301Obter detalhes de conformidade de um pacote de conformidade específico ............................ 3301Excluir um pacote de conformidade .................................................................................. 3302

Gerenciar pacotes de conformidade (API) ................................................................................. 3302Gerenciar pacotes de conformidade em todas as contas na organização ........................................ 3303

vi


Suporte regional ............................................................................................................ 3303Exibir histórico de compatibilidade ............................................................................................ 3305

Exibindo a Linha do Tempo de ........................................................................................ 3305Consulta ao histórico de compatibilidade ........................................................................... 3306

Troubleshooting ..................................................................................................................... 3307Agregação de dados de várias regiões e várias contas ....................................................................... 3309

Suporte regional .................................................................................................................... 3309Saiba mais ........................................................................................................................... 3311Visualizar dados de conformidade no painel do agregador ........................................................... 3311

Usar o Painel do Agregador ............................................................................................ 3312Saiba mais ................................................................................................................... 3313

Configuração de um agregador (console) .................................................................................. 3313Criar um agregador ....................................................................................................... 3314Editar um agregador ...................................................................................................... 3315Excluir um agregador ..................................................................................................... 3315Saiba mais ................................................................................................................... 3313

Configuração de um agregador usando (CLI da AWS) ................................................................ 3316Adicionar um agregador usando contas individuais ............................................................. 3316Adicionar um agregador usando o AWS Organizations ........................................................ 3317Registrar um administrador delegado ............................................................................... 3318Visualizar um agregador ................................................................................................. 3319Editar um agregador ...................................................................................................... 3320Excluir um agregador ..................................................................................................... 3321Saiba mais ................................................................................................................... 3313

Autorização de contas de agregador (console) ........................................................................... 3321Adicionar autorização para contas e regiões do agregador ................................................... 3322Autorizar uma solicitação pendente para uma conta do agregador ......................................... 3322Exclua uma autorização para uma conta de agregador existente. .......................................... 3322Saiba mais ................................................................................................................... 3313

Autorização de contas de agregador (CLI da AWS) .................................................................... 3323Adicionar autorização para contas e regiões do agregador ................................................... 3323Excluir uma conta de autorização .................................................................................... 3324Saiba mais ................................................................................................................... 3313

Solução de problemas ............................................................................................................ 3324Saiba mais ................................................................................................................... 3313

Segurança .................................................................................................................................... 3326Proteção de dados ................................................................................................................ 3326

Criptografia de dados em trânsito .................................................................................... 3327Criptografia de dados em trânsito .................................................................................... 3327

Identity and Access Management ............................................................................................. 3327Permissões para administração do AWS Config ................................................................. 3328Permissões personalizadas para usuários do AWS Config ................................................... 3330Permissões no nível do recurso compatíveis para ações de APIs do AWS Config Rules ............ 3336Permissões para a função do IAM ................................................................................... 3338Permissões para o bucket do Amazon S3 ......................................................................... 3341Permissões para a chave KMS ....................................................................................... 3343Permissões do tópico do Amazon SNS ............................................................................. 3344Regras do AWS Config vinculadas ao serviço .................................................................... 3346

Políticas gerenciadas pela AWS .............................................................................................. 3348AWSConfigServiceRolePolicy .......................................................................................... 3348AWS_ConfigRole ........................................................................................................... 3352Atualizações de políticas ................................................................................................ 3356

Registro em log e monitoramento ............................................................................................ 3357Registro do AWS Config ................................................................................................. 3357Monitoramento .............................................................................................................. 3364Uso do Amazon SQS ..................................................................................................... 3365Como usar Amazon CloudWatch Events ........................................................................... 3366

vii


Interface com endpoints da Amazon VPC ................................................................................. 3368Availability .................................................................................................................... 3369Criar um VPC endpoint para o AWS Config ...................................................................... 3369

Resposta a incidentes ............................................................................................................ 3369Validação de conformidade ..................................................................................................... 3370Resiliência ............................................................................................................................ 3370Segurança da infraestrutura .................................................................................................... 3370

Análise de configuração e vulnerabilidade ......................................................................... 3371Melhores práticas .................................................................................................................. 3371

Recursos do AWS Config ............................................................................................................... 3372Kits de desenvolvimento de software da AWS Config .................................................................. 3372

Perguntas frequentes ..................................................................................................................... 3374Alterações nos relacionamentos de recursos do AWS Config ....................................................... 3374

Qual é a nova alteração nos Relacionamentos de recursos do AWS Config? ........................... 3374O que é uma relação direta e direta com relação a um recurso? ........................................... 3374Qual é o benefício dessa alteração para os assinantes do AWS Config? ................................ 3375Quais relacionamentos de recursos estão sendo removidos? ............................................... 3375Como as regras gerenciadas do AWS Config são afetadas? ................................................ 3374Qual é o impacto exato das regras personalizadas do AWS Config que usam o gatilho deconfiguração para esses tipos de recursos? ...................................................................... 3374Devo esperar um atraso na emissão de relatórios de resultados de avaliação para uma regragerenciada com alterações de configuração? ..................................................................... 3374Qual é o impacto nos dados históricos? Ele ainda exibiria detalhes sobre relacionamentosindiretos? ..................................................................................................................... 3374Existe uma alteração na saída gerada peloGetResourceConfigHistoryAPI? ..................... 3374Existe alguma alteração no esquema de recursos de um Item de Configuração? ..................... 3374Existem outras alternativas para recuperar relações indiretas? ............................................. 3374

Histórico do documento .................................................................................................................. 3378Atualizações anteriores .......................................................................................................... 3382

Glossário da AWS ......................................................................................................................... 3425......................................................................................................................................... mmmcdxxvi

viii

AWS Config Guia do desenvolvedorManeiras de usar o AWS Config

O que é o AWS Config?O AWS Config oferece uma exibição detalhada da configuração dos recursos da AWS em sua conta daAWS. Isso inclui como os recursos estão relacionados um com o outro e como eles foram configurados nopassado, de modo que você possa ver como os relacionamentos e as configurações foram alterados aolongo do tempo.

Uma AWSrecursoé uma entidade com a qual você pode trabalhar na AWS, como uma instância doAmazon Elastic Compute Cloud (EC2), um volume do Amazon Elastic Block Store (EBS), um securitygroup ou uma Amazon Virtual Private Cloud (VPC). Para obter uma lista completa de recursos da AWScom suporte no AWS Config, consulteTipos de recursos compatíveis (p. 9).

Com o AWS Config, você pode fazer o seguinte:

• Avaliar as configurações de recursos da AWS para as configurações desejadas.• Obtenha um snapshot das configurações atuais dos recursos com suporte, associados à sua conta da

AWS da.• Recuperar configurações de um ou mais recursos existentes em sua conta.• Recuperar históricos de configuração de um ou mais recursos.• Receber uma notificação sempre que um recurso é criado, modificado ou excluído.• Exibir relacionamentos entre recursos. Por exemplo, você pode querer encontrar todos os recursos que

usam um determinado grupo de segurança.

Maneiras de usar o AWS ConfigAo executar seus aplicativos na AWS, normalmente, você usa recursos da AWS, que é necessário criare gerenciar coletivamente. À medida que a demanda para seu aplicativo continue crescendo, mais vocêprecisa monitorar seus recursos da AWS. O AWS Config foi projetado para ajudá-lo a supervisionar seusrecursos de aplicativos nos seguintes cenários:

Administração de recursosPara ter melhor governança sobre as configurações de recursos e para detectar erros de configuração,você precisa de visibilidade minuciosa, a qualquer momento, sobre os recursos existentes e como elesestão configurados. Você pode usar o AWS Config para notificá-lo sempre que os recursos forem criados,modificados ou excluídos, sem a necessidade de monitorar essas alterações através das chamadas feitaspara cada recurso.

Você pode usar as regras do AWS Config para avaliar as definições de configuração de seus recursosda AWS. Quando o AWS Config detecta que um recurso viola as condições de uma de suas regras,o AWS Config sinaliza o recurso como não compatível e envia uma notificação. O AWS Config avaliacontinuamente seus recursos à medida que eles são criados, modificados ou excluídos.

Auditoria e CompatibilidadeVocê pode estar trabalhando com dados que exijam auditorias frequentes para garantir a compatibilidadecom políticas internas e práticas recomendadas. Para demonstrar compatibilidade, você precisa acessar ohistórico de configurações de seus recursos. Essas informações são fornecidas pelo AWS Config.

1

AWS Config Guia do desenvolvedorGerenciar e solucionar problemas

de alteração de configuração

Gerenciar e solucionar problemas de alteração deconfiguraçãoQuando você usa vários recursos da AWS que dependem um do outro, uma alteração na configuraçãode um recurso pode ter consequências inesperadas em recursos relacionados. Com o AWS Config, vocêpode visualizar como o recurso que você pretende modificar está relacionado com outros recursos eavaliar o impacto de sua alteração.

Você também pode usar o histórico de configurações de seus recursos, fornecido pelo AWS Config, parasolucionar problemas e para acessar a última configuração válida de um recurso com problema.

Análise de segurançaPara analisar possíveis falhas de segurança, você precisa obter informações históricas detalhadas sobreas configurações de recursos da AWS, como as permissões AWS Identity and Access Management (IAM)que são concedidas a seus usuários, ou as regras do grupo de segurança do Amazon EC2 que controlamo acesso a seus recursos.

Você pode usar o AWS Config para visualizar a política do IAM que foi atribuída a um usuário, grupo oufunção do IAM, a qualquer momento em que o AWS Config estiver registrando. Essas informações podemajudar você a saber quais as permissões que pertenciam a um usuário em um momento específico: porexemplo, você pode visualizar se o usuárioJohn Doetinha permissão para modificar as configurações daAmazon VPC em 1º de janeiro de 2015.

Você também pode usar o AWS Config para visualizar a configuração de seus grupos de segurançaEC2, incluindo as regras de portas que estavam abertas em um momento específico. Essas informaçõespodem ajudar você a saber se um grupo de segurança bloqueou tráfego TCP de entrada para uma portaespecífica.

ConceptsO AWS Config fornece uma visualização detalhada dos recursos associados à sua conta da AWS,incluindo como eles são configurados, como eles se relacionam entre si e como as configurações e seusrelacionamentos foram alterados ao longo do tempo. Vamos analisar os conceitos do AWS Config.

Sumário• AWS Config (p. 3)

• Recursos da AWS (p. 3)• Histórico de configuração (p. 3)• Itens de configuração (p. 3)• Gravador de configuração (p. 3)• Snapshot de configuração (p. 4)• Stream de configuração (p. 4)• Relacionamento de recursos (p. 4)

• Regras gerenciadas e personalizadas do AWS Config (p. 4)• Regras personalizadas do AWS config (p. 4)

• Agregação de dados de várias regiões e várias contas (p. 5)• Conta de origem (p. 5)• Região de origem (p. 5)• Aggregator (p. 5)

2

AWS Config Guia do desenvolvedorAWS Config

• Conta de agregador (p. 5)• Authorization (p. 5)

• Gerenciamento do AWS Config (p. 5)• Console do AWS config (p. 5)• ILC do AWS config (p. 6)• APIs do AWS config (p. 6)• SDKs da AWS (p. 6)

• Controle o acesso ao AWS Config (p. 6)• Soluções para parceiros (p. 6)

AWS ConfigEntender os componentes básicos do AWS Config ajudará você a rastrear o inventário de recursos ealterações e avaliar as configurações de seus recursos da AWS.

Recursos da AWSRecursos da AWSAs entidades que você cria e gerencia usando o Console de Gerenciamento da AWS,a Interface de Linhas de Comando (ILC) da AWS, os AWS SDKs ou ferramentas de parceiros da AWS.Exemplos de recursos da AWS incluem instâncias do Amazon EC2, grupos de segurança, Amazon VPCse Amazon Elastic Block Store. O AWS config refere-se a cada recurso usando seu identificador exclusivo,como o ID do recurso ou umAmazon Resource Name (ARN). Para obter mais detalhes, consulte Tipos derecursos compatíveis (p. 9).

Histórico de configuraçãoUm histórico de configuração é uma coleção de itens de configuração para determinado recurso duranteum período de tempo. Um histórico de configuração pode ajudar a responder perguntas sobre, porexemplo, quando o recurso foi criado, como o recurso foi configurado no decorrer do último mês, e quealterações de configuração foram feitas ontem, às 9h. O histórico de configuração está disponível emvários formatos. O AWS Config fornece automaticamente um arquivo de histórico de configuração paracada tipo de recurso que está sendo registrado em um bucket do Amazon S3 que você especificar.Você pode selecionar um recurso específico no console AWS config e navegar para todos os itens deconfiguração anteriores para aquele recurso usando a linha do tempo. Além disso, você pode acessar ohistórico de itens de configuração para um recurso a partir da API.

Itens de configuraçãoAItem de configuraçãoO representa uma visualização point-in-time dos vários atributos de um recursoda AWS com suporte existente em sua conta. Os componentes de um item de configuração incluemmetadados, atributos, relacionamentos, configuração atual e eventos relacionados. O AWS config cria umitem de configuração sempre que detecta uma alteração em um tipo de recurso que ele esteja registrando.Por exemplo, se o AWS Config está registrando buckets do Amazon S3, o AWS Config criará um item deconfiguração sempre que um bucket é criado, atualizado ou excluído.

Para obter mais informações, consulte Components of a Configuration Item (p. 39).

Gravador de configuraçãoO gravador de configuração armazena as configurações dos recursos com suporte na sua conta comoitens de configuração. Você deve primeiro criar e, em seguida, iniciar o gravador de configuração antes decomeçar a gravação. Você pode interromper e reiniciar o gravador de configuração a qualquer momento.Para obter mais informações, consulte Gerenciar o gravador de configurações (p. 63).

3

https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#ARN

AWS Config Guia do desenvolvedorRegras gerenciadas e personalizadas do AWS Config

Por padrão, o gravador de configuração registra todos os recursos com suporte na região em que o AWSConfig está em execução. Você pode criar um gravador de configuração personalizado que registraapenas os tipos de recursos que você especificar. Para obter mais informações, consulte Selecionar querecursos o AWS Config registra (p. 64).

Se você usar o Console de Gerenciamento da AWS ou a CLI para ativar o serviço, o AWS Config criará einiciará automaticamente um gravador de configuração para você.

Snapshot de configuraçãoUm snapshot de configuração é uma coleção de itens de configuração para os recursos com suporteexistentes em sua conta. Esse snapshot de configuração é uma imagem completa dos recursos queestão sendo registrados e suas configurações. O snapshot de configuração pode ser uma ferramentaútil para validar sua configuração. Por exemplo, talvez você queira examinar o snapshot de configuraçãoregularmente para recursos que são configurados incorretamente ou que potencialmente não devemexistir. O snapshot de configuração está disponível em vários formatos. O snapshot de configuração podeser entregue a um bucket do Amazon Simple Storage Service (Amazon S3) que você especificar. Alémdisso, você pode selecionar um point-in-time no console AWS config e navegar pelos itens de snapshot deconfiguração usando os relacionamentos entre os recursos.

Stream de configuraçãoUm stream de configuração é uma lista atualizada automaticamente de todos os itens de configuraçãopara os recursos que o AWS Config está registrando. Toda vez que um recurso é criado, modificados ouexcluídos, o AWS Config cria um item de configuração e o adiciona ao stream de configuração. O streamde configuração funciona usando um tópico do Amazon Simple Notification Service (Amazon SNS) desua escolha. O stream de configuração é útil para observar alterações de configuração no momento emque elas ocorrem, de modo que você possa identificar problemas em potencial, gerar notificações sedeterminados recursos são alterados, ou atualizar sistemas externos que precisem refletir a configuraçãode seus recursos da AWS.

Relacionamento de recursosO AWS Config descobre recursos da AWS em sua conta e cria um mapa de relacionamentosentre os recursos da AWS. Por exemplo, um relacionamento pode incluir um volume do AmazonEBSvol-123ab45dConectado a uma instância do Amazon EC2i-a1b2c3d4que está associado aogrupo de segurançasg-ef678hk.

Para obter mais informações, consulte Tipos de recursos compatíveis (p. 9).

Regras gerenciadas e personalizadas do AWS ConfigUma regra do AWS config representa a configuração desejada para recursos da AWS específicos oupara toda uma conta da AWS Config. O AWS Config fornece regras predefinidas personalizáveis paraajudá-lo a começar. Se um recurso viola uma regra, o AWS Config sinaliza o recurso e a regra como nãocompatíveis, e o notifica por meio do Amazon SNS.

Regras personalizadas do AWS configCom o AWS Config, você também pode criar regras personalizadas. Enquanto o AWS Config monitoracontinuamente as alterações de configuração do seu recurso, ele verifica se essas alterações violamalguma das condições em suas regras.

Após a ativação de uma regra, o AWS Config compara os recursos em relação às condições da regra.Após essa avaliação inicial, o AWS Config continua a executar avaliações a cada vez que uma é acionada.Os triggers de avaliação são definidos como parte da regra e podem incluir os seguintes tipos:

4

AWS Config Guia do desenvolvedorAgregação de dados de várias regiões e várias contas

• Alterações de configuração – O AWS Config aciona a avaliação quando algum recurso que atenda aoescopo da regra tem a configuração alterada. A avaliação é executada depois que o AWS Config enviauma notificação de alteração de item de configuração.

• Periódico – O AWS Config executa avaliações para a regra a uma periodicidade por você definida (porexemplo, a cada 24 horas).

Para obter mais informações, consulte Avaliar recursos com o AWS Config Rules (p. 100).

Agregação de dados de várias regiões e várias contasA agregação de dados de várias regiões e várias contas no AWS Config permite agregar dadosde configuração e compatibilidade do AWS Config de várias contas e regiões em uma única conta.A agregação de dados de várias regiões e várias contas é útil para administradores centrais de TImonitorarem a conformidade de várias contas da AWS na empresa.

Conta de origemUma conta de origem é a conta da AWS a partir da qual você quer agregar a configuração de recursosdo AWS Config e dados de conformidade. Uma conta de origem pode ser uma conta individual ouuma organização em Organizações da AWS. Você pode fornecer contas de origem individualmente ourecuperá-las por meio de organizações da AWS.

Região de origemUma região de origem é a região da AWS da qual você quer agregar dados de configuração ecompatibilidade do AWS Config.

AggregatorUm agregador é um novo tipo de recurso no AWS Config que coleciona dados de configuração ecompatibilidade do AWS Config de várias contas e regiões de origem. Crie um agregador na região ondevocê deseja ver os dados agregados de configuração e compatibilidade do AWS Config.

Conta de agregadorUma conta de agregador é uma conta na qual você cria um agregador.

AuthorizationComo proprietário de uma conta de origem, a autorização se refere às permissões que você concedea uma conta de agregador e à região para coletar dados de configuração e compatibilidade do AWSConfig. A autorização não é necessária se você estiver agregando contas de origem que fazem parte dasOrganizações da AWS.

Para mais informações, consulte os tópicos na seção Multi-Account Multi-Region DataAggregation (p. 3309).

Gerenciamento do AWS ConfigConsole do AWS configVocê pode gerenciar o serviço usando o console AWS config. O console fornece uma interface de usuáriopara realizar muitas tarefas do AWS Config, como:

5

AWS Config Guia do desenvolvedorControle o acesso ao AWS Config

• Especificar os tipos de recurso da AWS para a gravação.• Configurar recursos para registrar, incluindo:

• Selecionar um bucket do Amazon S3.• Selecionar um tópico do Amazon SNS.• Criação da função AWS Config.

• Criar regras gerenciadas e regras personalizadas que representam a configuração desejada pararecursos da AWS específicos ou para uma conta da AWS inteira.

• Criar e gerenciar agregadores de configuração para agregar dados em várias contas e regiões.• Visualizar um snapshot das configurações atuais dos recursos com suporte.• Visualizar relacionamentos entre recursos da AWS.

Para obter mais informações sobre o Console de Gerenciamento da AWS, consulteConsole degerenciamento da AWS.

ILC do AWS configA Interface de Linhas de Comando da AWS é uma ferramenta unificada que você pode usar para interagircom o AWS Config a partir da linha de comando. Para obter mais informações, consulte o .Guia do usuárioda interface de comando da AWS. Para obter uma lista completa dos comandos da CLI do AWS Config,consulteComandos disponíveis.

APIs do AWS configAlém do console e da CLI, você também pode usar as APIs RESTful do AWS Config para programar oAWS Config. Para obter mais informações, consulte a Referência da API do AWS Config.

SDKs da AWSComo alternativa ao uso da API do AWS config, você pode usar um dos SDKs da AWS. Cada SDKconsiste em bibliotecas e código de exemplo para várias plataformas e linguagens de programação.Os SDKs são uma forma conveniente de criar acesso programático ao AWS Config. Por exemplo,você pode usar os SDKs para assinar solicitações de maneira criptográfica, gerenciar erros e realizarautomaticamente novas tentativas de solicitações. Para obter mais informações, consulte o .Ferramentaspara a Amazon Web Services.

Controle o acesso ao AWS ConfigO AWS Identity e Access Management é um serviço web que permite aos clientes da Amazon WebServices (AWS) gerenciar usuários e permissões de usuário. Use o IAM para criar usuários individuaispara qualquer pessoa que precisa acessar o AWS Config. Crie um usuário do IAM para você, atribuaa ele privilégios administrativos e use esse usuário do IAM para todos os seus trabalhos. Ao criarusuários individuais do IAM para as pessoas que acessam sua conta, você pode dar a cada usuáriodo IAM um conjunto exclusivo de credenciais de segurança. Você também pode conceder permissõesdiferentes a cada usuário do IAM. Se necessário, você pode alterar ou revogar a qualquer momentoas permissões de um usuário do IAM. Para obter mais informações, consulte AWS Identity and AccessManagement (p. 3327).

Soluções para parceirosA AWS tem parceria com especialistas externos no registro e na análise para fornecer soluções queutilizam os resultados do AWS Config. Para obter mais informações, acesse a página de detalhes do AWSConfig emAWS Config.

6

https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.htmlhttps://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.htmlhttps://docs.aws.amazon.com/cli/latest/userguide/https://docs.aws.amazon.com/cli/latest/userguide/https://docs.aws.amazon.com/cli/latest/reference/configservice/index.htmlhttps://docs.aws.amazon.com/config/latest/APIReference/http://aws.amazon.com/tools/http://aws.amazon.com/tools/http://aws.amazon.com/config

AWS Config Guia do desenvolvedorComo funciona o AWS Config

Como funciona o AWS ConfigQuando você ativa o AWS Config, primeiro ele descobre os recursos da AWS compatíveis que existem emsua conta e gera umitem de configuração (p. 3)Para cada recurso.

O AWS Config também gera itens de configuração quando a configuração de um recurso muda, e mantémregistros históricos dos itens de configuração dos seus recursos a partir do momento que você inicia ogravador de configuração. Por padrão, o AWS Config cria itens de configuração para todos os recursoscom suporte na região. Se não quiser que o AWS Config crie itens de configuração para todos os recursossuportados, você pode especificar os tipos de recursos que deseja rastrear.

O AWS Config controla todas as alterações em seus recursos chamando o Describe ou a chamada ListAPI para cada recurso em sua conta. O serviço usa essas mesmas chamadas de API para capturardetalhes de configuração para todos os recursos relacionados.

Por exemplo, remover uma regra de saída de um grupo de segurança VPC faz com que o AWS Configefetue uma chamada Describe API no grupo de segurança. O AWS Config então efetua uma chamadaDescribe API em todas as instâncias associadas ao grupo de segurança. As configurações atualizadas dogrupo de segurança (o recurso) e de cada instância (os recursos relacionados) são registradas como itensde configuração e entregues em um stream de configuração para um bucket do Amazon Simple StorageService (Amazon S3).

O AWS Config também monitora as alterações de configuração que não foram iniciadas pela API. OAWS Config examina as configurações de recursos periodicamente e gera itens de configuração para asconfigurações que foram alteradas.

Se você estiver usando regras do AWS Config, o AWS Config avaliará continuamente as configurações derecursos da AWS para as configurações desejadas. Dependendo da regra, o AWS Config avaliará seusrecursos ou em resposta a alterações de configuração ou periodicamente. Cada regra é associada a umafunção do AWS Lambda, que contém a lógica de avaliação para a regra. Quando o AWS Config avaliaseus recursos, ele chama a função AWS Lambda da regra. A função retorna o status de compatibilidadedos recursos avaliados. Se um recurso viola as condições de uma regra, o AWS Config sinaliza o recursoe a regra como não compatíveis. Quando muda o status de compatibilidade de um recurso, o AWS Configenvia uma notificação para o seu tópico do Amazon SNS.

Entregar itens de configuraçãoO AWS Config pode entregar itens de configuração através de um dos seguintes canais:

7

AWS Config Guia do desenvolvedorEntregar itens de configuração

Bucket do Amazon S3O AWS Config monitora as alterações na configuração dos seus recursos da AWS e envia regularmentedetalhes atualizados da configuração para um bucket do Amazon S3 que você especificar. Para cada tipode recurso que o AWS Config registre, ele envia umArquivo de histórico de configuraçãoA cada seis horas.Cada arquivo de histórico de configuração contém detalhes sobre os recursos alterados naquele períodode seis horas. Cada arquivo inclui recursos de um tipo, como instâncias do Amazon EC2 ou volumes doAmazon EBS. Se não houver alterações de configuração, o AWS Config não envia um arquivo.

O AWS Config envia umsnapshot de configuração daPara o seu bucket do Amazon S3quando você usa o comandodeliver-config-snapshotcom a CLI da AWS, ou quando você usa ocomandoDeliverConfigSnapshotAção com a AWS Config. Um snapshot de configuração contém detalhesde configuração para todos os recursos que o AWS Config registra em sua conta da AWS AWS AWS AWSO arquivo de histórico de configuração e o snapshot de configuração estão no formato JSON.

Note

O AWS Config entrega apenas os snapshots de configuração e os arquivos de histórico deconfigurações para o bucket do S3 especificado; o AWS Config não modifica as políticas de ciclode vida para objetos no bucket do S3. Você pode usar políticas de ciclo de vida para especificarse deseja excluir ou arquivar objetos no Amazon S3 Glacier. Para obter mais informações,consulteGerenciamento da configuração do ciclo de vidanoGuia de usuário do console de serviçode armazenamento simples do. Você também pode ver oArquivamento de dados do Amazon S3no S3 GlacierPublicação no blog no

Tópico do Amazon SNSUm tópico do Amazon Simple Notification Service (Amazon SNS) é um canal de comunicação usadopelo Amazon SNS para entregar mensagens (ouNotificações do) para endpoints de assinatura, comoum endereço de e-mail ou clientes. Outros tipos de notificações do Amazon SNS incluem as mensagensde notificação push para aplicativos em telefones celulares, notificações de SMS (Short MessageService) para celulares e smartphones com o SMS ativo, e solicitações HTTP POST. Para obter melhoresresultados, use o Amazon SQS como a notificação endpoint para o tópico SNS e, em seguida, processe asinformações da notificação de forma programática.

O AWS Config usa o tópico do Amazon SNS que você especifica para enviar as notificações. O tipode notificação que você está recebendo é indicado pelo valor para a chave messageType no corpo damensagem, como no exemplo a seguir:

"messageType": "ConfigurationHistoryDeliveryCompleted"

As notificações podem ser qualquer um dos seguintes tipos de mensagem:

ComplianceChangeNotification

O tipo de compatibilidade de um recurso que o AWS Config avalia foi alterado. O tipo decompatibilidade indica se o recurso está em compatibilidade com uma regra AWS Config específica,e é representado pelo método de compatibilidade do AWS Config.ComplianceTypena mensagem. Amensagem inclui os objetos newEvaluationResult e oldEvaluationResult para comparação.

ConfigRulesEvaluationStarted

O AWS Config começou a avaliar sua regra em relação aos recursos especificados.ConfigurationSnapshotDeliveryStarted

O AWS Config começou a entregar o snapshot de configuração para o seu bucket do Amazon S3. Onome do bucket do Amazon S3 é fornecido para os3Bucketna mensagem.

8

https://docs.aws.amazon.com/cli/latest/reference/configservice/deliver-config-snapshot.htmlhttps://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.htmlhttps://docs.aws.amazon.com/AmazonS3/latest/user-guide/LifecycleConfiguration.htmlhttp://aws.amazon.com/blogs/aws/archive-s3-to-glacier/http://aws.amazon.com/blogs/aws/archive-s3-to-glacier/

AWS Config Guia do desenvolvedorTipos de recursos compatíveis

ConfigurationSnapshotDeliveryCompleted

O AWS Config entregou com sucesso o snapshot de configuração em seu bucket do Amazon S3.ConfigurationSnapshotDeliveryFailed

O AWS Config não conseguiu entregar o snapshot de configuração para o seu bucket do Amazon S3.ConfigurationHistoryDeliveryCompleted

O AWS Config entregou com sucesso o histórico de configuração para o seu bucket do Amazon S3.ConfigurationItemChangeNotification

Um recurso foi criado, excluído ou alterado na configuração. Esta mensagem inclui os detalhes doitem de configuração que o AWS Config cria para essa mudança, e inclui o tipo de alteração. Essasnotificações são entregues minutos após uma alteração e são coletivamente conhecidas como streamde configuração.

OversizedConfigurationItemChangeNotification

Esse tipo de mensagem é entregue quando uma notificação de alteração de item de configuraçãoexcedeu o tamanho máximo permitido pelo Amazon SNS. A mensagem inclui um resumo do itemde configuração. Você pode visualizar a notificação completa no local do bucket do Amazon S3especificado.

OversizedConfigurationItemChangeDeliveryFailed

O AWS Config não conseguiu entregar a notificação de alteração de item de configuração para o seubucket do Amazon S3.

Por exemplos de notificação, consulte Notificações que o AWS Config envia para um tópico do AmazonSNS (p. 86).

Para obter mais informações sobre o Amazon SNS, consulte oGuia do desenvolvedor do Amazon SimpleNotification Service.

Tipos de recursos compatíveisO AWS Config tem suporte para os seguintes tipos de recurso da AWS e relacionamentos de recursos.

Amazon API Gateway

Serviço da AWS Valor de tipo de recurso Relacionamento Recurso relacionado

está contido em API REST ApiGatewayAWS::ApiGateway::Stage

está associado a WebACL doWAFRegional

AWS::ApiGatewayV2::Stageestá contido em API ApiGatewayV2

AWS::ApiGateway::RestApicontém Estágio ApiGateway

API Gateway

AWS::ApiGatewayV2::Apicontém Estágio ApiGatewayV2

Para saber mais sobre como o AWS Config se integra ao Amazon API Gateway, consulteMonitorar aconfiguração da API Gateway com o AWS Config.

9

https://docs.aws.amazon.com/sns/latest/dg/https://docs.aws.amazon.com/sns/latest/dg/https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-config.htmlhttps://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-config.html

AWS Config Guia do desenvolvedorAmazon CloudFront

Amazon CloudFront


WebACL do AWS WAF

Certificado do ACM

S3 Bucket

AWS::CloudFront::Distributionestá associado a

Certificado de servidordo IAM

WebACL do AWS WAF

Certificado do ACM

S3 Bucket

Amazon CloudFront *

AWS::CloudFront::StreamingDistributionestá associado a

Certificado de servidordo IAM

*O suporte do AWS Config para o Amazon CloudFront está disponível apenas na região Leste dos EUA(Norte da Virgínia).

Amazon CloudWatch


Amazon CloudWatch AWS::CloudWatch::AlarmNA NA

Amazon DynamoDB


Amazon DynamoDB AWS::DynamoDB::TableNA NA

Amazon Elastic Block Store


Amazon Elastic BlockStore

AWS::EC2::Volume é anexado a Instância do EC2

10

AWS Config Guia do desenvolvedorAmazon Elastic Compute Cloud

Amazon Elastic Compute Cloud


AWS::EC2::Host* contém Instância do EC2

Instância do EC2AWS::EC2::EIP é anexado a

Interface de rede

contém Interface de rede EC2

está associado a Security group EC2

Volume do AmazonEBS

é anexado a

IP elástico EC2 (EIP)

Host dedicado EC2

Tabela de rotas

Sub-rede

AWS::EC2::Instance

está contido em

Virtual private cloud(VPC)

está associado a Security group EC2

IP elástico EC2 (EIP)é anexado a

Instância do EC2

Tabela de rotas

Sub-rede

AWS::EC2::NetworkInterface

está contido em


Instância do EC2

Interface de rede EC2

AWS::EC2::SecurityGroupestá associado a


está contido em Virtual private cloud(VPC)

AWS::EC2::NatGateway

está contido em Sub-rede

AWS::EC2::EgressOnlyInternetGatewayé anexado a Virtual private cloud(VPC)

AWS::EC2::FlowLog NA NA

Amazon ElasticCompute Cloud

AWS::EC2::VPCEndpointestá contido em Virtual private cloud(VPC)

11

AWS Config Guia do desenvolvedorAmazon Elastic Container Registry


é anexado a Interface de rede

está contido em Sub-rede

está contido em Tabela de rotas

AWS::EC2::VPCEndpointServiceestá associado a LoadBalancerElasticLoadBalancingV2

AWS::EC2::VPCPeeringConnectionestá associado a Virtual private cloud(VPC)

*O AWS Config registra os detalhes de configuração dos hosts dedicados e as instâncias que vocêexecutar neles. Como resultado, você pode usar o AWS Config como uma fonte de dados quando reportara compatibilidade com suas licenças de software de servidor. Por exemplo, você pode visualizar o históricode configuração de uma instância e determinar em que Imagem de máquina da Amazon (AMI) ele ébaseado. Em seguida, você pode examinar o histórico de configuração do host, que inclui detalhes como onúmero de soquetes e núcleos, para verificar se o host é compatível com os requisitos de licença da AMI.Para obter mais informações, consulteAcompanhar alterações de configuração com o AWS ConfignoGuiado usuário do Amazon EC2 para instâncias do Linux.

Amazon Elastic Container Registry


Amazon ElasticContainer Registry

AWS::ECR::RepositoryNA NA

Amazon Elastic Container Service


AWS::ECS::Cluster NA NA

AWS::ECS::TaskDefinitionNA NA

AWS::ECS::Service* NA NA

Amazon ElasticContainer Service

AWS::ECS::TaskSet NA NA

*No momento, esse serviço tem suporte para o novo formato de nome de recurso da Amazon (ARN). Paraobter mais informações, consulteNomes de recursos da Amazon (ARNs) e IDsno guia do desenvolvedorECS.

Antiga (não suportada):arn:aws:ecs:region:aws_account_id:service/service-name

Novo (suportado):arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name

12

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-hosts-aws-config.htmlhttps://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-account-settings.html#ecs-resource-ids

AWS Config Guia do desenvolvedorAmazon Elastic File System

Amazon Elastic File SystemServiço da AWS Valor de tipo de recurso Relacionamento Recurso relacionado

AWS::EFS::FileSystemNA NAAmazon Elastic FileSystem

AWS::EFS::AccessPointNA NA

Amazon Elastic Kubernetes ServiceServiço da AWS Valor de tipo de recurso Relacionamento Recurso relacionado

Amazon ElasticKubernetes Service

AWS::EKS::Cluster NA NA

Amazon Elasticsearch ServiceServiço da AWS Valor de tipo de recurso Relacionamento Recurso relacionado

Chave do KMS

Security group EC2

Sub-rede EC2

Amazon ElasticsearchService

AWS::Elasticsearch::Domainestá associado a


Amazon Quantum Ledger Database (QLDB)Serviço da AWS Valor de tipo de recurso Relacionamento Recurso relacionado

Amazon QLDB AWS::QLDB::Ledger NA NA

Amazon RedshiftServiço da AWS Valor de tipo de recurso Relacionamento Recurso relacionado

Grupo de parâmetros docluster

Security group decluster

Grupo de sub-rede decluster

Amazon Redshift AWS::Redshift::Clusterestá associado a

Grupo de segurança

13

AWS Config Guia do desenvolvedorAmazon Relational Database Service



AWS::Redshift::ClusterParameterGroupNA NA

AWS::Redshift::ClusterSecurityGroupNA NA

ClusterAWS::Redshift::ClusterSnapshotestá associado a


Sub-redeAWS::Redshift::ClusterSubnetGroupestá associado a


AWS::Redshift::EventSubscriptionNA NA

Amazon Relational Database Service


Security group EC2

Grupo de segurança debanco de dados do RDS

AWS::RDS::DBInstanceestá associado a

Grupo de sub-rede debanco de dados do RDS

Security group EC2AWS::RDS::DBSecurityGroupestá associado a


AWS::RDS::DBSnapshotestá associado a Virtual private cloud(VPC)

Security group EC2AWS::RDS::DBSubnetGroupestá associado a


AWS::RDS::EventSubscriptionNA NA

contém Instância de banco dedados do RDS

Grupo de sub-rede debanco de dados do RDS

AWS::RDS::DBCluster

está associado a

Security group EC2

Amazon RelationalDatabase Service

AWS::RDS::DBClusterSnapshotEstá associado a Cluster de banco dedados do RDS

14

AWS Config Guia do desenvolvedorAtributos do Amazon S3



Atributos do Amazon S3O AWS Config também registra os seguintes atributos para o tipo de recurso bucket do Amazon S3.

Atributos. Descrição

AccelerateConfiguration Aceleração para transferência de dados em longas distâncias entre ocliente e um bucket.

BucketAcl Lista de controle de acesso usada para gerenciar o acesso a bucketse objetos.

BucketPolicy Política que define as permissões para o bucket.

CrossOriginConfiguration Permite solicitações de origem cruzada para o bucket.

LifecycleConfiguration Regras que definem o ciclo de vida de objetos em seu bucket.

LoggingConfiguration Registro usado para acompanhar as solicitações de acesso aobucket.

NotificationConfiguration Notificações de eventos usadas para enviar alertas ou acionar fluxosde trabalho para eventos do bucket especificado.

ReplicationConfiguration Cópia assíncrona automática de objetos em buckets, em diferentesregiões da AWS.

RequestPaymentConfiguration Pagamento pelo solicitante está habilitado.

TaggingConfiguration Tags adicionadas ao bucket para classificar. Você também podeusar tags para acompanhar o faturamento.

WebsiteConfiguration Hospedagem de site estático está habilitada para o bucket.

VersioningConfiguration O versionamento está habilitado para objetos no bucket.

Para obter mais informações sobre os atributos, consulteOpções de configuração de bucketnoGuia dodesenvolvedor do Amazon Simple Storage Service.

Amazon Simple Notification Service


Amazon SimpleNotification Service

AWS::SNS::Topic NA NA

15

https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingBucket.html#bucket-config-options-intro

AWS Config Guia do desenvolvedorAmazon Simple Queue Service

Amazon Simple Queue ServiceServiço da AWS Valor de tipo de recurso Relacionamento Recurso relacionado

Amazon Simple QueueService

AWS::SQS::Queue NA NA

Amazon Simple Storage ServiceServiço da AWS Valor de tipo de recurso Relacionamento Recurso relacionado

AWS::S3::Bucket* NA NAAmazon Simple StorageService

AWS::S3::AccountPublicAccessBlockNA NA

*Se você configurou o AWS Config para registrar seus buckets do S3 e não está recebendo notificações dealteração de configuração, verifique se as políticas de bucket do S3 tem as permissões necessárias. Paraobter mais informações, consulte Gerenciar permissões para o S3 Bucket Recorder (p. 3340).

Amazon Virtual Private CloudServiço da AWS Valor de tipo de recurso Relacionamento Recurso relacionado

AWS::EC2::CustomerGatewayé anexado a conexão VPN

AWS::EC2::InternetGatewayé anexado a Virtual private cloud(VPC)

AWS::EC2::NetworkAclNA NA

Instância do EC2


Sub-rede

contém

gateway VPN

AWS::EC2::RouteTable

está contido em Virtual private cloud(VPC)

Instância do EC2contém


é anexado a Conexão ACL

Tabela de rotas

AWS::EC2::Subnet

está contido em


Instância do EC2

Amazon Virtual PrivateCloud

AWS::EC2::VPC contém


16

AWS Config Guia do desenvolvedorAWS Auto Scaling


Conexão ACL

Tabela de rotas

Sub-rede

está associado a Grupo de segurança

Gateway da Interneté anexado a

gateway VPN

Gateway do clienteAWS::EC2::VPNConnectioné anexado a

gateway VPN


é anexado a

conexão VPN

AWS::EC2::VPNGateway

está contido em Tabela de rotas

AWS Auto Scaling


contém Instância do AmazonEC2

Classic Load Balancer

Configuração deexecução de AutoScaling

AWS::AutoScaling::AutoScalingGroup

está associado a

Sub-rede

AWS::AutoScaling::LaunchConfigurationestá associado a Grupo de segurança doAmazon EC2

Grupo de Auto ScalingAWS::AutoScaling::ScalingPolicyestá associado a

Alarme

Auto Scaling

AWS::AutoScaling::ScheduledActionestá associado a Grupo de Auto Scaling

AWS Certificate Manager


AWS CertificateManager

AWS::ACM::CertificateNA NA

17

AWS Config Guia do desenvolvedorAWS CloudFormation

AWS CloudFormation


AWS CloudFormation AWS::CloudFormation::Stack*contém Tipos de recurso daAWS com suporte

*O AWS Config registra alterações de configuração nas pilhas do AWS CloudFormation e nos tipos derecursos compatíveis nas pilhas. O AWS Config não registra alterações de configuração nos tipos derecursos na pilha que ainda não são compatíveis. Os tipos de recursos não compatíveis são exibidos naseção de configurações complementares do item de configuração da pilha.

AWS CloudTrail


AWS CloudTrail AWS::CloudTrail::TrailNA NA

AWS CodeBuild


S3 bucketAWS CodeBuild AWS::CodeBuild::Project*está associado a

IAM role (Função doIAM)

*Para saber mais sobre como o AWS Config se integra ao AWS CodeBuild, consulteExemplo de uso doAWS Config com AWS CodeBuild.

AWS CodePipeline


é anexado a Bucket do S3


Projeto de código

Função Lambda

Pilha doCloudFormation

AWS CodePipeline AWS::CodePipeline::Pipeline*

está associado a

AplicativoElasticBeanstalk

18

https://docs.aws.amazon.com/codebuild/latest/userguide/how-to-integrate-config.htmlhttps://docs.aws.amazon.com/codebuild/latest/userguide/how-to-integrate-config.html

AWS Config Guia do desenvolvedorAWS Config

*O AWS Config registra alterações de configuração nos pipelines do CodePipelines e nos tipos de recursoscompatíveis nos pipelines. O AWS Config não registra alterações de configuração nos tipos de recursosnos pipelines que ainda não são compatíveis. Os tipos de recursos não compatíveis, como CodeCommitrepository, CodeDeploy application, ECS cluster, e ECS service, são exibidos na seçãode configurações complementares do item de configuração da pilha.

AWS Config


AWS::Config::ResourceCompliance*está associado a Todos os recursos*AWS Config

AWS::Config::ConformancePackComplianceNA NA

*A relação entreAWS::Config::ResourceCompliancee um recurso relacionado depende decomoAWS::Config::ResourceComplianceO relata a compatibilidade do tipo de recurso específico.

Note

Gravação doAWS::Config::ConformancePackComplianceO tipo de recurso está disponívelsem custo adicional.

AWS Elastic Beanstalk


Versão do aplicativo doElastic Beanstalk

contém

Ambiente do ElasticBeanstalk

AWS::ElasticBeanstalk::Application

está associado a IAM role (Função doIAM)

está contido em Aplicativo do ElasticBeanstalk

Ambiente do ElasticBeanstalk

AWS::ElasticBeanstalk::ApplicationVersion

está associado a

S3 bucket

está contido em Aplicativo do ElasticBeanstalk

Versão do aplicativo doElastic Beanstalk

está associado a


AWS Elastic Beanstalk

AWS::ElasticBeanstalk::Environment

contém Pilha doCloudFormation

19

AWS Config Guia do desenvolvedorAWS Identity and Access Management

AWS Identity and Access Management


Grupo do IAMAWS::IAM::User* é anexado a

Política do IAMgerenciada pelo cliente

contém Usuário do IAMAWS::IAM::Group*

é anexado a Política do IAMgerenciada pelo cliente

AWS::IAM::Role* é anexado a Política do IAMgerenciada pelo cliente

Usuário do IAM

Grupo do IAM

AWS Identity andAccess Management

AWS::IAM::Policy é anexado a


*Os recursos do AWS Identity and Access Management (IAM) sãorecursos globais. Os recursos globaisnão estão vinculados a uma região individual e podem ser usados em todas as regiões. Os detalhes deconfiguração para um recurso global são os mesmos em todas as regiões. Para obter mais informações,consulte Selecionar que recursos o AWS Config registra (p. 64).

O AWS Config inclui políticas em linha com os detalhes de configuração que ele registra.

AWS Key Management Service


AWS Key ManagementService

AWS::KMS::Key NA NA

Função do AWS Lambda



está associado a

Security group EC2

Função do AWSLambda

AWS::Lambda::Function

contém Sub-rede EC2

20

AWS Config Guia do desenvolvedorAWS Network Firewall

AWS Network Firewall


é anexado a Sub-rede EC2AWS::NetworkFirewall::Firewall

está associado a FirewallPolicy

AWS::NetworkFirewall::FirewallPolicyestá associado a Grupo de RuleGroup doNetworkFirewall

AWS Network Firewall

AWS::NetworkFirewall::RuleGroupNA NA

O suporte do AWS Config para o Network Firewall está disponível apenas nas regiões Leste dos EUA(Norte da Virgínia), Europa (Irlanda) e Oeste dos EUA (Oregon).

AWS Secrets Manager


está associado a Função LambdaAWS SecretsManager AWS::SecretsManager::Secret

está associado a Chave do KMS

AWS Service Catalog


está contido em PortfólioAWS::ServiceCatalog::CloudFormationProduct

está associado a CloudFormationProvisionedProduct

Portfólio

CloudFormationProduct

AWS::ServiceCatalog::CloudFormationProvisionedProductestá associado a

CloudFormationStack

AWS Service Catalog

AWS::ServiceCatalog::Portfoliocontém CloudFormationProduct

AWS Shield


AWS::Shield::Protectionestá associado a Distribuição do AmazonCloudFront

está associado a EC2 EIP

AWS Shield*

AWS::ShieldRegional::Protection

está associado a Balanceador doElasticLoadBalancing

21

AWS Config Guia do desenvolvedorAWS Systems Manager


está associado a LoadBalancerElasticLoadBalancingV2

*Suporte do AWS Config paraAWS::Shield::Protectionestá disponível apenas na região Leste dosEUA (Norte da Virgínia). O AWS::ShieldRegional::Protection está disponível em todas as regiõescom suporte ao AWS Shield.

AWS Systems ManagerServiço da AWS Valor de tipo de recurso Relacionamento Recurso relacionado

AWS::SSM::ManagedInstanceInventory*está associado a Instância do EC2

AWS::SSM::PatchComplianceestá associado a Inventário de instânciagerenciada

AWS::SSM::AssociationComplianceestá associado a Inventário de instânciagerenciada

AWS Systems Manager

AWS::SSM::FileData está associado a Inventário de instânciagerenciada

*Para saber mais sobre o inventário de instância gerenciada, consulte Recording Software Configurationfor Managed Instances (p. 68).

AWS WAFServiço da AWS Valor de tipo de recurso Relacionamento Recurso relacionado

AWS::WAF::RateBasedRuleNA NA

AWS::WAF::Rule NA NA

Regra do WAF

Regra com base emtaxa do WAF

AWS::WAF::WebACL está associado a

Grupo de regras doWAF

AWS::WAF::RuleGroup está associado a Regra do WAF

AWS::WAFRegional::RateBasedRuleNA NA

AWS::WAFRegional::RuleNA NA

LoadBalancerElasticLoadBalancingV2

Regra do WAFRegional

AWS WAF*

AWS::WAFRegional::WebACLestá associado a

Regra com base emtaxa do WAFRegional

22

AWS Config Guia do desenvolvedorAWS X-Ray


Grupo de regras doWAFRegional

AWS::WAFRegional::RuleGroupestá associado a Regra do WAFRegional

*Os valores de tipo de recurso do AWS WAF estão disponíveis somente na região Leste dos EUA (Norteda Virgínia).OAWS::WAFRegional::RateBasedRule,AWS::WAFRegional::Rule,AWS::WAFRegional::WebACL,eAWS::WAFRegional::RuleGroupestão disponíveis em todas as regiões com suporte ao AWS WAF.


LoadBalancerElasticLoadBalancingV2

Estágio ApiGateway

IPSet WAFv2

WAFv2RegExPatternSet

Grupo de RuleGroup doWAFv2

AWS::WAFv2::WebACL está associado a

Conjunto do WAFv2

IPSet WAFv2AWS::WAFv2::RuleGroupestá associado a

WAFv2RegExPatternSet

AWS WAFv2*

AWS::WAFv2::ManagedRuleSetestá associado a Grupo de RuleGroup doWAFv2

*Os valores do tipo de recurso do AWS Wafv2 estão disponíveis em todas as regiões da AWS onde o AWSWafv2 é compatível.

AWS X-RayServiço da AWS Valor de tipo de recurso Relacionamento Recurso relacionado

AWS X-Ray AWS::XRay::EncryptionConfigNA NA

Elastic Load BalancingServiço da AWS Valor de tipo de recurso Relacionamento Recurso relacionado

Documents

AWS Config - Guia do desenvolvedor...AWS Config Guia do desenvolvedor Formas de usar o AWS Config O que é o AWS Config? O AWS Config fornece uma visão detalhada da configuração