AWS Config のアイコン

AWS Config Popular2014年〜

Un servicio que registra y evalúa cambios de configuración de recursos AWS y monitorea el cumplimiento continuamente

Unos 3 min de lectura

Qué hace

AWS Config es un servicio que registra continuamente las configuraciones de tus recursos AWS y evalúa si cumplen con las reglas definidas. Mantiene un historial completo de cambios de configuración, permitiendo ver el estado de cualquier recurso en cualquier momento pasado. Las Config Rules evalúan automáticamente si los recursos cumplen con políticas de seguridad y mejores prácticas, y pueden activar acciones de remediación automática.

Casos de uso

Se utiliza para auditoría de cumplimiento continuo (SOC 2, PCI DSS, HIPAA), detección de configuraciones inseguras (buckets S3 públicos, security groups abiertos), seguimiento del historial de cambios de recursos, remediación automática de configuraciones no conformes, y generación de informes de cumplimiento para auditores.

Analogía cotidiana

Piensa en él como un inspector de edificios continuo. En lugar de inspeccionar el edificio (infraestructura) una vez al año, el inspector (Config) monitorea constantemente, registra cada cambio (nueva puerta, ventana modificada) y verifica que todo cumple con el código de construcción (reglas de cumplimiento). Si algo no cumple, puede ordenar la corrección automáticamente.

¿Qué es AWS Config?

AWS Config es un servicio de gestión de configuración y cumplimiento que registra continuamente el estado de tus recursos AWS. Cada vez que se crea, modifica o elimina un recurso, Config registra el cambio. Esto proporciona un historial completo de la configuración de tu infraestructura y permite evaluar si cumple con tus políticas de seguridad y operativas.

Config Rules

Las Config Rules son reglas que definen la configuración deseada de tus recursos. AWS proporciona más de 300 reglas administradas predefinidas (por ejemplo, 's3-bucket-public-read-prohibited', 'ec2-instance-no-public-ip'). También puedes crear reglas personalizadas con Lambda. Config evalúa continuamente los recursos contra estas reglas y marca los no conformes.

Remediación automática

Cuando Config detecta un recurso no conforme, puede ejecutar automáticamente una acción de remediación usando documentos de Systems Manager Automation. Por ejemplo, si un bucket S3 se hace público accidentalmente, Config puede detectarlo y revertir automáticamente la configuración. Puedes configurar remediación automática o manual (con aprobación). Para más detalles sobre remediación, los libros en Amazon son un buen recurso.

Cómo empezar

Activa AWS Config en la consola, seleccionando los tipos de recursos a registrar (se recomienda todos). Elige un bucket S3 para almacenar el historial de configuración. Añade Config Rules: comienza con reglas administradas populares como 'required-tags', 's3-bucket-ssl-requests-only' y 'root-account-mfa-enabled'. Revisa el dashboard de cumplimiento para ver el estado.

Aspectos a tener en cuenta

  • Config は記録対象のリソース数と Config ルールの評価回数に応じて課金される。記録対象を必要なリソースタイプに絞ることでコストを最適化できる
  • Config ルールの評価結果は「準拠」「非準拠」の 2 値。非準拠の原因を特定するには、リソースの構成詳細を確認する必要がある
  • AWS Organizations と連携して組織全体の Config ルールを一元管理できる。マルチアカウント環境ではアグリゲーターを使って全アカウントのコンプライアンス状況を集約すること
共有するXB!

Servicios relacionados

AWS CloudTrail iconoAWS CloudTrailUn servicio que registra y monitorea la actividad de API en cuentas AWSAWS Security Hub iconoAWS Security HubGestione centralmente la postura de seguridad de AWS y verifique automáticamente el cumplimiento de mejores prácticasAWS Systems Manager iconoAWS Systems ManagerServicio unificado para gestionar y operar recursos de AWS e infraestructura híbridaAWS Organizations iconoAWS OrganizationsServicio para gestionar centralmente múltiples cuentas de AWS

Artículos relacionados

Revisión de arquitectura - Evaluación sistemática de cargas de trabajo con AWS Well-Architected ToolExplica la revisión de arquitectura de cargas de trabajo usando AWS Well-Architected Tool. Presenta la evaluación basada en 6 pilares, la elaboración de planes de mejora y el uso de lentes personalizados.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.

Más en esta categoría

AWS AppFabric iconoAWS AppFabric NewUn servicio que estandariza y agrega registros de auditoría de aplicaciones SaaSAWS AppConfig iconoAWS AppConfig SpecializedUn servicio para desplegar y gestionar de forma segura la configuración de aplicacionesAWS Chatbot iconoAWS Chatbot EspecializadoUn agente interactivo que envía notificaciones y permite operar recursos AWS desde Slack y Microsoft TeamsAWS CloudFormation iconoAWS CloudFormation ClásicoUn servicio de IaC que define y aprovisiona recursos AWS como código mediante plantillasAWS CloudTrail iconoAWS CloudTrail ClásicoUn servicio que registra y monitorea la actividad de API en cuentas AWSAmazon CloudWatch iconoAmazon CloudWatch ClásicoUn servicio que proporciona monitoreo, gestión de logs y alarmas para recursos AWS y aplicacionesAWS Control Tower iconoAWS Control Tower PopularUn servicio que automatiza la configuración y gobernanza de entornos multi-cuentaAmazon CloudWatch RUM iconoAmazon CloudWatch RUM Nuevo servicioUn servicio de monitoreo de usuarios reales que recopila rendimiento del lado del cliente y errores de aplicaciones web

Artículos y servicios similares

Monitoreo continuo de cumplimiento con AWS Config - Evaluación de reglas y remediación automáticaExplicamos el registro de configuración de recursos con AWS Config, la evaluación de cumplimiento con reglas de Config y la configuración de acciones de remediación automática.AWS ConfigServicio que registra y evalúa continuamente los cambios de configuración de recursos AWS, logrando auditoría automatizada basada en reglas de compliance y seguimiento del historial de configuraciónDiseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.Cadena de herramientas de respuesta a incidentes de AWS - Plataforma de investigación integrada desde CloudTrail hasta Security HubExplicamos la cadena de herramientas de respuesta a incidentes de AWS que combina CloudTrail, Config, Detective y Security Hub, comparando las diferencias en el enfoque de investigación con Azure Sentinel.Gestión centralizada de la postura de seguridad con AWS Security Hub - Agregación de hallazgos y respuesta automatizadaAgregamos los hallazgos de GuardDuty, Inspector y Macie en formato ASFF, cuantificamos la puntuación mediante la evaluación automática de estándares de seguridad y presentamos la remediación automática con integración de EventBridge.