AWS Config es un servicio completamente administrado que proporciona visibilidad continua de la configuración de los recursos de AWS en su cuenta. Este servicio permite evaluar, auditar y examinar las configuraciones de los recursos de AWS, lo que ayuda con el cumplimiento normativo, la gobernanza de la seguridad y la gestión operativa.
Características Principales
1. Inventario de Recursos
AWS Config mantiene un inventario completo de los recursos de AWS en su cuenta, incluyendo:
- Tipos de recursos (EC2, S3, RDS, etc.)
- Configuraciones detalladas de cada recurso
- Relaciones entre recursos
- Historial de cambios en las configuraciones
2. Seguimiento de Cambios
El servicio registra todos los cambios en la configuración de los recursos, proporcionando:
- Una línea de tiempo de cambios
- Quién realizó el cambio (mediante integración con AWS CloudTrail)
- Qué cambió exactamente en cada modificación
3. Evaluación de Cumplimiento
AWS Config permite:
- Definir reglas de configuración deseada (AWS Config Rules)
- Evaluar automáticamente el cumplimiento de estas reglas
- Identificar recursos no conformes
- Generar informes de cumplimiento
4. Integraciones
Se integra con otros servicios AWS como:
- AWS CloudTrail para auditoría de cambios
- AWS Lambda para evaluaciones personalizadas
- Amazon SNS para notificaciones
- AWS Security Hub para gestión centralizada de seguridad
Componentes Clave de AWS Config
1. Config Rules
Las reglas de AWS Config definen la configuración deseada de los recursos. Existen dos tipos:
- Reglas administradas por AWS: Predefinidas por AWS (ej. «s3-bucket-public-read-prohibited»)
- Reglas personalizadas: Creadas por el usuario usando AWS Lambda
2. Configuration Items
Son instantáneas de la configuración de un recurso en un momento específico, que incluyen:
- Metadatos del recurso
- Atributos de configuración
- Relaciones con otros recursos
- Configuración actual
3. Configuration Recorder
Componente que registra los cambios de configuración y los envía a un bucket de S3 designado.
4. Configuration History
Base de datos que almacena todos los Configuration Items a lo largo del tiempo.
5. Configuration Snapshot
Exportación completa de todos los Configuration Items en un momento dado.
Casos de Uso Comunes
1. Cumplimiento Normativo
- Automatización de evaluaciones para estándares como HIPAA, PCI-DSS, GDPR
- Generación de evidencias para auditorías
- Monitoreo continuo de controles de seguridad
2. Gestión de Cambios
- Identificación de cambios no autorizados
- Investigación de incidentes mediante el historial de cambios
- Revertir configuraciones no deseadas
3. Operaciones de Seguridad
- Detección de configuraciones inseguras (ej. buckets S3 públicos)
- Monitoreo de políticas de seguridad
- Identificación de desviaciones de las mejores prácticas
4. Optimización de Costos
- Detección de recursos no utilizados
- Identificación de instancias sobredimensionadas
- Verificación de políticas de etiquetado para asignación de costos
Implementación y Configuración
Pasos para Configurar AWS Config
- Habilitar AWS Config en la consola de administración de AWS
- Configurar el Configuration Recorder para especificar qué recursos rastrear
- Establecer un bucket S3 para almacenar los registros de configuración
- Definir reglas (managed o custom) según los requisitos de cumplimiento
- Configurar notificaciones mediante SNS para alertas sobre cambios o incumplimientos
Mejores Prácticas
- Habilitar AWS Config en todas las regiones
- Configurar entrega continua a S3 para retención a largo plazo
- Usar reglas administradas por AWS como punto de partida
- Crear reglas personalizadas para requisitos específicos de la organización
- Integrar con AWS Organizations para gestión multi-cuenta
Precios y Consideraciones de Costo
AWS Config tiene un modelo de precios basado en:
- Número de elementos de configuración grabados
- Número de evaluaciones de reglas ejecutadas
- Almacenamiento en S3 para el historial de configuración
Las estrategias para optimizar costos incluyen:
- Limitar la grabación solo a tipos de recursos críticos
- Ajustar la frecuencia de evaluación de reglas
- Configurar políticas de ciclo de vida en S3 para archivar datos antiguos
Limitaciones y Consideraciones
- No todos los servicios de AWS son compatibles (consultar documentación actual)
- Retraso en la detección de cambios (generalmente minutos, pero puede ser mayor)
- Límites en el número de reglas por cuenta/región
- Costos pueden aumentar significativamente en entornos muy grandes
Integración con Otros Servicios AWS
AWS Config se integra profundamente con:
- AWS CloudFormation: Para gestionar configuraciones como código
- AWS Systems Manager: Para remediación automatizada
- AWS Control Tower: Para gobernanza multi-cuenta
- AWS Security Hub: Para vista unificada de hallazgos de seguridad
Ejemplos de Reglas Útiles
Algunas reglas administradas populares incluyen:
iam-password-policy: Verifica que la política de contraseñas cumpla con requisitosrestricted-ssh: Detecta grupos de seguridad con SSH abierto a 0.0.0.0/0rds-storage-encrypted: Comprueba que los volúmenes RDS estén cifradoscloudtrail-enabled: Verifica que CloudTrail esté activado
Conclusión
AWS Config es una herramienta poderosa para mantener la visibilidad y el control sobre los recursos de AWS. Proporciona capacidades esenciales para:
- Cumplimiento normativo continuo
- Gestión de cambios y configuración
- Seguridad y gobernanza en la nube
- Operaciones eficientes
Al implementar AWS Config correctamente, las organizaciones pueden obtener una comprensión profunda de su entorno AWS, detectar problemas de configuración proactivamente y mantener un estado seguro y conforme en todo momento.
Integración con AWS Control Tower y Aspectos de Precio del Panel
Integración Profunda con AWS Control Tower
AWS Config está totalmente integrado con AWS Control Tower, el servicio de gobierno multi-cuenta de AWS, y juega un papel fundamental en su arquitectura:
1. Habilitación Automática
- Cuando se configura AWS Control Tower, activa automáticamente AWS Config en todas las cuentas miembro de la organización.
- Establece configuraciones consistentes para AWS Config en toda la landing zone.
2. Reglas de Gobernanza
- Control Tower aprovecha AWS Config Rules para implementar guardrails (barreras de protección):
- Guardrails preventivos: Bloquean acciones no conformes (usando SCPs y AWS Config)
- Guardrails detectivos: Monitorean configuraciones mediante AWS Config Rules
3. Agregación Multi-Cuenta
- Control Tower utiliza AWS Config Aggregator para:
- Consolidar datos de cumplimiento de todas las cuentas miembro
- Proporcionar una vista unificada del estado de gobernanza
- Identificar desviaciones en toda la organización
4. Configuraciones Predefinidas
- Al implementar Control Tower, configura automáticamente:
- Reglas de AWS Config esenciales para cumplimiento
- Configuración estándar para el registro de recursos
- Integración con AWS Security Hub para hallazgos de seguridad
Acceso al Panel de AWS Config y Consideraciones de Precio
Visualización del Panel de AWS Config
- Acceso al panel:
- No hay costo adicional por acceder a la interfaz de AWS Config en la consola de AWS.
- El panel es visible para usuarios con los permisos IAM adecuados sin cargos adicionales.
- Componentes con costo:
- Configuración Recorder: Se cobra por los elementos de configuración grabados ($0.003 por elemento/mes)
- Evaluación de reglas: Costo por cada evaluación de regla ($0.001 por evaluación de regla/región)
- Almacenamiento en S3: Costos estándar de S3 por almacenar el historial de configuración
- Entrega continua: Opcional a S3 para retención a largo plazo (costos de S3 aplican)
Detalles de Precios (Ejemplo para 2023)
| Componente | Costo |
|---|---|
| Elementos de configuración grabados | $0.003 por elemento/mes |
| Evaluación de regla administrada | $0.001 por regla/región/evaluación |
| Evaluación de regla personalizada | $0.001 por regla/región/evaluación + costos de Lambda |
| Almacenamiento S3 | Varía según región (aprox. $0.023/GB/mes) |
Optimización de Costos en el Panel
- Filtrado de recursos:
- Grabar solo tipos de recursos críticos para reducir elementos configurados
- Excluir recursos temporales o menos importantes
- Frecuencia de evaluación:
- Ajustar evaluaciones continuas vs periódicas según necesidad
- Reglas activadas por cambios son más económicas que evaluaciones periódicas
- Retención de datos:
- Configurar políticas de ciclo de vida en S3 para archivar o eliminar datos antiguos
- Considerar la entrega continua solo para cuentas críticas
- Uso de agregadores:
- En entornos multi-cuenta, usar AWS Config Aggregator para evitar duplicar evaluaciones
Comparación: AWS Config vs AWS Control Tower
| Característica | AWS Config | AWS Control Tower |
|---|---|---|
| Enfoque | Monitoreo de configuración | Gobierno multi-cuenta |
| Alcance | Cuenta individual o agregada | Toda la organización AWS |
| Panel principal | Consola de AWS Config | Dashboard de Control Tower |
| Costo de visualización | Gratuito | Gratuito (se pagan servicios subyacentes) |
| Integración | Servicio independiente | Utiliza AWS Config como componente clave |
Recomendaciones para Implementación Conjunta
- Estrategia de habilitación:
- Implementar Control Tower primero para establecer la base de gobernanza
- Luego complementar con reglas adicionales de AWS Config según necesidades específicas
- Jerarquía de reglas:
- Usar Control Tower para guardrails fundamentales
- Implementar reglas específicas de AWS Config a nivel de cuenta OU según necesidades
- Monitoreo centralizado:
- Utilizar el aggregator de Control Tower para ver el estado de cumplimiento
- Configurar notificaciones centralizadas para incumplimientos críticos
- Remediación automatizada:
- Combinar AWS Config con AWS Systems Manager para corrección automática
- Usar Control Tower para flujos de trabajo de corrección organizacional
Conclusión Final
La integración entre AWS Config y AWS Control Tower proporciona un potente marco para la gobernanza de la nube, donde:
- AWS Config ofrece las capacidades técnicas de monitoreo de configuración
- Control Tower proporciona el marco organizacional y multi-cuenta
- El panel de AWS Config es accesible sin costos adicionales (se pagan solo los servicios subyacentes utilizados)
Esta combinación permite a las organizaciones escalar sus prácticas de cumplimiento y seguridad en entornos AWS complejos y distribuidos, manteniendo visibilidad completa y controles consistentes en todas sus cuentas.
🧭 Administración Centralizada de AWS Config (Con Aggregator)
Cuando usas AWS Config en un entorno de múltiples cuentas (como en AWS Organizations), puedes designar una cuenta central para actuar como aggregator. Esta cuenta recopila y centraliza los datos de cumplimiento y configuración de todas las cuentas miembro.
🟡 ¿Qué cuenta usar como aggregator?
Puedes usar cualquier cuenta de la organización, pero si estás utilizando AWS Control Tower, lo más recomendable es reutilizar la cuenta Audit. Esta cuenta ya suele centralizar servicios como Security Hub, GuardDuty y CloudTrail, por lo que también es ideal para centralizar AWS Config. Así evitas dispersión de la información de seguridad y cumplimiento.
Desde esta cuenta agregadora, podrás visualizar el estado de recursos y reglas de cumplimiento de toda la organización, sin necesidad de entrar una por una.
Para habilitar esto:
- Se debe configurar un aggregator en AWS Config, eligiendo la opción «Organización completa».
- Las cuentas miembro deben permitir la agregación mediante permisos adecuados de AWS Config y AWS Organizations.
✅ Permisos mínimos necesarios para ver el panel
Para que un usuario o rol de IAM acceda al panel de AWS Config, necesita permisos como estos:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"config:*",
"organizations:DescribeOrganization",
"iam:Get*",
"iam:List*"
],
"Resource": "*"
}
]
}
Para un acceso de solo lectura, usa acciones como "config:Describe*", "config:Get*" y "config:List*".