AWS Config

Es un servicio que ofrece Auditoría y registro de cumplimiento de los recursos de AWS, ya que registra todas las configuraciones y cambios realizados durante el tiempo. Estos registros se pueden almacenar en S3, para ser analizados por Athena. También se pueden recibir alertas (SNS) cada vez que ocurra cualquier cambio.

Es un servicio asociado a una Región, pero puede agregarse a otras regiones y cuentas AWS.

Preguntas típicas que puede resolver AWS Config:

  • Hay algún acceso SSH no restringido en mis Security Groups?
  • Tienen mis buckets de S3 algún tipo de acceso público?
  • Cuáles son los cambios que se han realizado en un ALB en el tiempo.

Como podrás imaginar, también se puede integrar con CloudTrail para saber quién ha hecho cada cambio registrado en AWS Config.

Las reglas que se definen en AWS Config tienen las siguientes características:

  • Se pueden utilizar las reglas de configuración gestionadas por AWS (unas 75) o se pueden crear reglas personalizadas.
  • Las reglas pueden ser evaluadas en cada cambio de configuración que se realice, o a intervalos periódicos.
  • Las reglas pueden activar eventos CloudWatch si la regla no cumple lo definido.
  • Pueden activar medidas de remediación, como parar instancias que no sean compliance. Pero no pueden evitar que los cambios sean realizados.
  • 2$ por regla activa por región por mes, no hay Free Tier.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.