運用管理

AWS Config

Servicio que registra y evalúa continuamente los cambios de configuración de recursos AWS, logrando auditoría automatizada basada en reglas de compliance y seguimiento del historial de configuración

Unos 5 min de lectura

Descripción general

AWS Config es un servicio que registra continuamente la configuración de recursos AWS y evalúa automáticamente la conformidad basándose en reglas definidas. Rastrea los cambios de configuración de más de 300 tipos de recursos, incluyendo instancias EC2, grupos de seguridad, buckets S3 y políticas IAM. Cada vez que ocurre un cambio de configuración, se registra un snapshot de configuración, permitiendo verificar la configuración de cualquier recurso en cualquier momento. Las reglas de AWS Config evalúan automáticamente si las configuraciones cumplen con las políticas organizacionales.

Registro de configuración e historial de cambios

AWS Config registra continuamente el estado de configuración de los recursos AWS y mantiene un historial completo de cambios. Cada vez que un recurso se crea, modifica o elimina, Config captura un snapshot de configuración que incluye todas las propiedades del recurso, relaciones con otros recursos y políticas asociadas. La línea temporal de configuración permite visualizar cómo ha cambiado un recurso a lo largo del tiempo, siendo invaluable para investigaciones de seguridad y resolución de problemas. Por ejemplo, se puede determinar exactamente cuándo se modificó una regla de grupo de seguridad y quién realizó el cambio (correlacionando con CloudTrail). El Configuration Recorder se puede configurar para registrar todos los tipos de recursos o solo tipos específicos, controlando los costos. Los datos de configuración se almacenan en un bucket S3 designado y opcionalmente se pueden enviar notificaciones a un topic SNS con cada cambio. La función de agregación permite consolidar datos de Config de múltiples cuentas y regiones en una vista centralizada.

Reglas de compliance y remediación automática

Las reglas de AWS Config evalúan automáticamente si los recursos cumplen con las políticas definidas. AWS proporciona más de 300 reglas administradas que cubren escenarios comunes de compliance: verificar que los buckets S3 no sean públicos, que los volúmenes EBS estén encriptados, que los grupos de seguridad no permitan acceso SSH desde 0.0.0.0/0, que las instancias EC2 tengan tags obligatorios, etc. Las reglas personalizadas permiten definir lógica de evaluación propia mediante funciones Lambda, adaptándose a requisitos específicos de la organización. Los Conformance Packs agrupan múltiples reglas en paquetes desplegables, facilitando la aplicación de frameworks de compliance completos (CIS Benchmarks, PCI DSS, HIPAA). La remediación automática permite configurar acciones correctivas que se ejecutan automáticamente cuando se detecta una violación: por ejemplo, eliminar reglas de grupo de seguridad que permiten acceso público, habilitar encriptación en buckets S3 o añadir tags faltantes. Las acciones de remediación se implementan mediante documentos de Systems Manager Automation.

Patrones de uso en la práctica

En la práctica, AWS Config se utiliza en varios patrones clave. Para auditoría de seguridad, se configuran reglas que verifican continuamente el cumplimiento de políticas de seguridad y generan reportes de compliance para auditorías internas y externas. Para gestión de cambios, el historial de configuración proporciona trazabilidad completa de quién cambió qué y cuándo, esencial para entornos regulados. Para gestión de inventario, Config mantiene un inventario actualizado de todos los recursos AWS con sus configuraciones y relaciones. La integración con Organizations permite desplegar reglas de Config de forma centralizada en todas las cuentas de la organización mediante Organization Config Rules. Los costos se basan en el número de elementos de configuración registrados y evaluaciones de reglas ejecutadas. Para optimizar costos, se recomienda registrar solo los tipos de recursos relevantes y configurar la frecuencia de evaluación apropiada (triggered vs periodic). La integración con Security Hub permite consolidar los hallazgos de Config con otros servicios de seguridad en un panel centralizado.

共有するXB!

Términos relacionados

Amazon CloudWatchAmazon GuardDutyAWS IAM

Servicios relacionados

AWS Systems ManagerAWS Organizations

Artículos relacionados

Monitoreo continuo de cumplimiento con AWS Config - Evaluación de reglas y remediación automáticaExplicamos el registro de configuración de recursos con AWS Config, la evaluación de cumplimiento con reglas de Config y la configuración de acciones de remediación automática.Implementación de Feature Flags con AWS AppConfig - Despliegue seguro de configuración y rollbackDespliega cambios de configuración de forma independiente al código mediante estrategias Linear y Exponential. Garantiza la seguridad con rollback automático activado por alarmas de CloudWatch.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.

Términos y artículos similares

Monitoreo continuo de cumplimiento con AWS Config - Evaluación de reglas y remediación automáticaExplicamos el registro de configuración de recursos con AWS Config, la evaluación de cumplimiento con reglas de Config y la configuración de acciones de remediación automática.AWS ConfigUn servicio que registra y evalúa cambios de configuración de recursos AWS y monitorea el cumplimiento continuamenteDiseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.Cadena de herramientas de respuesta a incidentes de AWS - Plataforma de investigación integrada desde CloudTrail hasta Security HubExplicamos la cadena de herramientas de respuesta a incidentes de AWS que combina CloudTrail, Config, Detective y Security Hub, comparando las diferencias en el enfoque de investigación con Azure Sentinel.Gestión centralizada de la postura de seguridad con AWS Security Hub - Agregación de hallazgos y respuesta automatizadaAgregamos los hallazgos de GuardDuty, Inspector y Macie en formato ASFF, cuantificamos la puntuación mediante la evaluación automática de estándares de seguridad y presentamos la remediación automática con integración de EventBridge.