Config
📘 ¿Qué es AWS Config?
AWS Config es un servicio que permite auditar, monitorear y evaluar la configuración de los recursos en tu cuenta de AWS.
Te dice qué cambió, cuándo cambió, y quién lo hizo, ayudando a cumplir requisitos de seguridad y conformidad.
🎯 Casos de uso
-
Cumplimiento con regulaciones (HIPAA, PCI, ISO, etc.)
-
Auditorías internas o externas de seguridad
-
Monitoreo continuo de recursos y sus configuraciones
-
Automatización de acciones ante configuraciones no conformes
-
Integración con AWS Systems Manager o Lambda para remediación
🧱 Componentes clave
| Componente | Descripción |
|---|---|
| Recorder | Monitorea y graba los cambios en los recursos AWS |
| Delivery Channel | Envía la configuración y snapshots a S3 + notificaciones a SNS |
| Configuration Items | Representan el estado de un recurso en un punto en el tiempo |
| Rules | Evaluaciones que verifican si los recursos cumplen ciertas condiciones |
| Conformance Packs | Colecciones de reglas basadas en normativas específicas |
🔄 ¿Qué recursos puede auditar?
-
EC2, VPC, IAM, S3, RDS, Lambda, EBS, ELB, CloudTrail, Security Groups, etc.
-
Incluso recursos fuera de AWS mediante integración con terceros.
🔎 ¿Qué detecta AWS Config?
-
Cambios en configuraciones (ej. grupo de seguridad modificado)
-
Creación/eliminación de recursos
-
Cambios de relaciones entre recursos (ej. una instancia y su VPC)
-
Configuraciones fuera de cumplimiento con una regla
✅ Ejemplo de regla (rule)
| Tipo de regla | Ejemplo |
|---|---|
| AWS managed rule | s3-bucket-server-side-encryption-enabled |
| Custom rule | Lambda personalizada que evalúa si un recurso cumple lógica |
aws config put-config-rule \
--config-rule file://rule.jsonEjemplo de rule.json:
{
"ConfigRuleName": "ec2-managed-by-ssm",
"Source": {
"Owner": "AWS",
"SourceIdentifier": "EC2_INSTANCE_MANAGED_BY_SSM"
},
"Scope": {
"ComplianceResourceTypes": ["AWS::EC2::Instance"]
}
}📦 Conformance Packs
-
Colecciones predefinidas de reglas basadas en estándares de cumplimiento como:
-
CIS AWS Foundations Benchmark
-
NIST 800-53
-
PCI-DSS
-
aws config put-conformance-pack \
--conformance-pack-name my-pack \
--template-body file://template.yaml📈 Integración con otros servicios
| Servicio | Integración |
|---|---|
| S3 | Almacenamiento de snapshots y cambios |
| SNS | Notificaciones de cambios o violaciones de cumplimiento |
| CloudTrail | Traza quién hizo los cambios |
| Lambda | Acciones automáticas para remediación |
| Security Hub | Agrega findings de Config como parte del estado de seguridad |
| Systems Manager | Aplicar parches o cambios según resultado de reglas |
🔐 Seguridad y control
-
IAM para controlar quién puede ver y modificar reglas
-
Encriptación de datos con KMS para snapshots y registros
-
Seguimiento completo de auditoría vía CloudTrail
💲 Precios
| Elemento | Costo aproximado |
|---|---|
| Grabación de configuración | $0.003 por recurso registrado/mes |
| Evaluaciones de reglas | $0.001 por evaluación |
| Conformance packs | Se cobran por número de reglas evaluadas |
| Almacenamiento en S3 | Según tamaño de los snapshots |
| Notificaciones vía SNS | Costos mínimos si se usan pocas notificaciones |
AWS Config no entra en el Free Tier. El costo puede subir si auditas muchas reglas o recursos.
🧠 Preguntas tipo certificación
-
¿Qué servicio te ayuda a saber qué configuración tenía un recurso ayer?
- ✅ AWS Config
-
¿Cómo se puede remediar una configuración incorrecta?
- ✅ Con AWS Config + Lambda
-
¿Dónde se guardan los snapshots históricos de configuración?
- ✅ En un bucket de S3
-
¿Se pueden escribir reglas personalizadas?
- ✅ Sí, usando AWS Lambda
-
¿Qué servicio puedes usar para cumplir el estándar PCI-DSS automáticamente?
- ✅ Conformance Packs en AWS Config
🧪 Buenas prácticas
-
Habilitar Config en todas las regiones
-
Integrar con Security Hub y CloudTrail
-
Usar Conformance Packs para entornos multi cuenta
-
Automatizar la remediación con Lambda y Systems Manager
-
Revisión mensual de cumplimiento en Cost Explorer