AWS - Config Enum

Reading time: 6 minutes

AWS Config

AWS Config captura mudanças de recursos, então qualquer mudança em um recurso suportado pelo Config pode ser registrada, o que registra o que mudou junto com outros metadados úteis, todos mantidos dentro de um arquivo conhecido como item de configuração, um CI. Este serviço é específico da região.

Um item de configuração ou CI, como é conhecido, é um componente chave do AWS Config. É composto por um arquivo JSON que contém as informações de configuração, informações de relacionamento e outros metadados como uma visão instantânea de um recurso suportado. Todas as informações que o AWS Config pode registrar para um recurso são capturadas dentro do CI. Um CI é criado toda vez que um recurso suportado tem uma mudança feita em sua configuração de qualquer forma. Além de registrar os detalhes do recurso afetado, o AWS Config também registrará CIs para quaisquer recursos diretamente relacionados para garantir que a mudança não afetou esses recursos também.

• Metadados: Contém detalhes sobre o item de configuração em si. Um ID de versão e um ID de configuração, que identificam exclusivamente o CI. Outras informações podem incluir um MD5Hash que permite comparar outros CIs já registrados contra o mesmo recurso.
• Atributos: Isso contém informações comuns de atributo contra o recurso real. Dentro desta seção, também temos um ID de recurso exclusivo e quaisquer tags de valor chave que estão associadas ao recurso. O tipo de recurso também é listado. Por exemplo, se este fosse um CI para uma instância EC2, os tipos de recursos listados poderiam ser a interface de rede ou o endereço IP elástico para essa instância EC2.
• Relacionamentos: Isso contém informações sobre qualquer relação conectada que o recurso possa ter. Assim, dentro desta seção, mostraria uma descrição clara de qualquer relação com outros recursos que este recurso teve. Por exemplo, se o CI fosse para uma instância EC2, a seção de relacionamento poderia mostrar a conexão com uma VPC junto com a sub-rede em que a instância EC2 reside.
• Configuração atual: Isso exibirá as mesmas informações que seriam geradas se você realizasse uma chamada de API de descrição ou listagem feita pelo AWS CLI. O AWS Config usa as mesmas chamadas de API para obter as mesmas informações.
• Eventos relacionados: Isso se relaciona ao AWS CloudTrail. Isso exibirá o ID do evento do AWS CloudTrail que está relacionado à mudança que acionou a criação deste CI. Um novo CI é criado para cada mudança feita contra um recurso. Como resultado, diferentes IDs de eventos do CloudTrail serão criados.

Histórico de Configuração: É possível obter o histórico de configuração de recursos graças aos itens de configuração. Um histórico de configuração é entregue a cada 6 horas e contém todos os CIs para um tipo de recurso específico.

Fluxos de Configuração: Itens de configuração são enviados para um Tópico SNS para permitir a análise dos dados.

Instantâneas de Configuração: Itens de configuração são usados para criar uma instantânea de todos os recursos suportados em um determinado momento.

O S3 é usado para armazenar os arquivos de Histórico de Configuração e quaisquer instantâneas de Configuração dos seus dados dentro de um único bucket, que é definido dentro do gravador de configuração. Se você tiver várias contas AWS, pode querer agregar seus arquivos de histórico de configuração no mesmo bucket S3 para sua conta principal. No entanto, você precisará conceder acesso de gravação para este princípio de serviço, config.amazonaws.com, e suas contas secundárias com acesso de gravação ao bucket S3 em sua conta principal.

Funcionamento

• Ao fazer mudanças, por exemplo, em grupos de segurança ou listas de controle de acesso de buckets —> dispara como um Evento capturado pelo AWS Config
• Armazena tudo em um bucket S3
• Dependendo da configuração, assim que algo muda, pode acionar uma função lambda OU agendar uma função lambda para olhar periodicamente pelas configurações do AWS Config
• Lambda retorna para o Config
• Se uma regra foi quebrada, o Config dispara um SNS

Regras de Configuração

As regras de configuração são uma ótima maneira de ajudar você a impor verificações de conformidade específicas e controles em seus recursos, e permitem que você adote uma especificação de implantação ideal para cada um de seus tipos de recursos. Cada regra é essencialmente uma função lambda que, quando chamada, avalia o recurso e realiza alguma lógica simples para determinar o resultado de conformidade com a regra. Cada vez que uma mudança é feita em um de seus recursos suportados, o AWS Config verificará a conformidade em relação a quaisquer regras de configuração que você tenha em vigor.
A AWS tem um número de regras predefinidas que se enquadram na categoria de segurança e estão prontas para uso. Por exemplo, Rds-storage-encrypted. Isso verifica se a criptografia de armazenamento está ativada por suas instâncias de banco de dados RDS. Encrypted-volumes. Isso verifica se algum volume EBS que tem um estado anexado está criptografado.

• Regras gerenciadas pela AWS: Conjunto de regras predefinidas que cobrem muitas das melhores práticas, então sempre vale a pena navegar por essas regras primeiro antes de configurar as suas, pois há uma chance de que a regra já exista.
• Regras personalizadas: Você pode criar suas próprias regras para verificar configurações personalizadas específicas.

Limite de 50 regras de configuração por região antes de precisar entrar em contato com a AWS para um aumento.
Resultados não conformes NÃO são excluídos.