¿Cómo puedo volver a crear un canal de entrega de AWS Config?

7 minutos de lectura
0

He eliminado mi canal de entrega de AWS Config y quiero volver a crearlo.

Descripción breve

Cuando utilizas la consola de AWS Config para configurar AWS Config, debes seguir un proceso guiado para configurar los recursos de AWS. Los recursos están configurados para enviar notificaciones al canal de entrega. La configuración de AWS Config incluye la configuración de los siguientes recursos:

  • Un bucket de Amazon Simple Storage Service (Amazon S3)
  • Un tema de Amazon Simple Notification Service (Amazon SNS)
  • Un rol de AWS Identity and Access Management (IAM)
  • Los tipos de recursos que se van a registrar

Si utilizas el comando delete-delivery-channel de la Interfaz de la línea de comandos de AWS (AWS CLI) para eliminar un canal de entrega de AWS Config, el grabador de configuración se apaga. Si intentas encender el grabador de configuración, aparece el siguiente error:

“Delivery channel is not available to start configuration recorder”.

Nota: No puedes usar la consola de AWS Config para recrear el canal de entrega.

Resolución

Nota: Si se muestran errores al ejecutar comandos de la AWS CLI, consulte Errores de solución de problemas de la AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

Sigue estas instrucciones para volver a crear manualmente el canal de entrega de AWS Config y activar el grabador de configuración.

Nota: Si no has eliminado el bucket de Amazon S3, el tema de S3 y el rol de IAM asociados al canal de entrega de AWS Config eliminado, puedes omitir estos pasos.

Creación del bucket de Amazon S3

Sigue estos pasos:

  1. Abre la consola de Amazon S3 en la misma región de AWS que tu servicio de AWS Config.
  2. En el panel de navegación, selecciona Crear bucket.
  3. En Nombre del bucket, introduce un nombre para el bucket de S3 y, a continuación, selecciona Crear bucket.
  4. En los buckets de S3, selecciona el bucket de S3 que acabas de crear.
  5. Selecciona Permisos y, a continuación, Política del bucket.
  6. Introduce el siguiente ejemplo de política de bucket y, a continuación, selecciona Guardar:
    {
     "Version": "2012-10-17",
     "Statement": [
      {
       "Sid": "AWSConfigBucketPermissionsCheck",
       "Effect": "Allow",
       "Principal": {
        "Service": "config.amazonaws.com"
       },
       "Action": "s3:GetBucketAcl",
       "Resource": "arn:aws:s3:::targetBucketName",
       "Condition": {
        "StringEquals": {
         "AWS:SourceAccount": "sourceAccountID"
        }
       }
      },
      {
       "Sid": "AWSConfigBucketExistenceCheck",
       "Effect": "Allow",
       "Principal": {
        "Service": "config.amazonaws.com"
       },
       "Action": "s3:ListBucket",
       "Resource": "arn:aws:s3:::targetBucketName",
       "Condition": {
        "StringEquals": {
         "AWS:SourceAccount": "sourceAccountID"
        }
       }
      },
      {
       "Sid": "AWSConfigBucketDelivery",
       "Effect": "Allow",
       "Principal": {
        "Service": "config.amazonaws.com"
       },
       "Action": "s3:PutObject",
       "Resource": "arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
       "Condition": {
        "StringEquals": {
         "s3:x-amz-acl": "bucket-owner-full-control",
         "AWS:SourceAccount": "sourceAccountID"
        }
       }
      }
     ]
    }

Creación del tema de SNS

Sigue estos pasos:

  1. Abre la consola de Amazon SNS en la misma región que tu servicio de AWS Config.
  2. En el panel de navegación, selecciona Temas y, a continuación, selecciona Crear tema.
  3. En Nombre, introduce un nombre para tu tema de SNS. A continuación, selecciona Crear tema.
  4. Selecciona Crear suscripción.
  5. En Protocolo, selecciona Correo electrónico.
  6. En Punto de conexión, introduce la dirección de correo electrónico que quieres asociar a este tema de SNS y, a continuación, selecciona Crear suscripción.
  7. Comprueba tu correo electrónico para ver la confirmación de la suscripción y, a continuación, selecciona Confirmar suscripción.

Después de confirmar la suscripción, recibirás el mensaje Subscription confirmed! (Suscripción confirmada).

Nota: Para usar el tema de SNS, asegúrate de tener los permisos necesarios.

Creación del rol de IAM

Sigue estos pasos:

  1. Abre la consola de IAM.

  2. Selecciona Roles y, a continuación, Crear rol.

  3. En Select type of trusted entity (Selecciona el tipo de entidad de confianza), selecciona Servicio de AWS.

  4. En Use cases for other AWS services (Casos de uso para otros servicios de AWS), selecciona Config.

  5. En Seleccione su caso de uso, selecciona Config - Customizable (Config: personalizable) y, a continuación, Next: Permissions (Siguiente: permisos).

  6. Selecciona Siguiente, introduce un nombre de rol y, a continuación, selecciona Crear rol.

  7. Selecciona el rol que creaste, selecciona Crear política insertada y, a continuación, selecciona la pestaña JSON.

  8. Observa el siguiente ejemplo de política:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "s3:PutObject",
            "s3:PutObjectAcl"
          ],
          "Resource": [
            "arn:aws:s3:::arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID-WithoutHyphens/*"
          ],
          "Condition": {
            "StringLike": {
              "s3:x-amz-acl": "bucket-owner-full-control"
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": [
            "s3:GetBucketAcl"
          ],
          "Resource": "arn:aws:s3:::targetBucketName"
        },
        {
          "Effect": "Allow",
          "Action": "sns:Publish",
          "Resource": "arn:aws:sns:region:account_number:targetTopicName"
        }
      ]
    }
  9. En Nombre de la política, introduce un nombre y, a continuación, selecciona Crear política.

Creación de la clave de KMS

Se recomienda utilizar el cifrado basado en AWS Key Management Service (AWS KMS) en los objetos entregados por AWS Config a un bucket de Amazon S3. Crea una clave de KMS en la misma región que tu servicio de AWS Config.

Sigue estos pasos:

  1. Abre la consola de AWS KMS.
  2. En el panel de navegación, selecciona Claves administradas por el cliente y, a continuación, selecciona Crear clave.
  3. En Tipo de clave, selecciona Simétrico para crear una clave de KMS de cifrado simétrico.
  4. En Uso de clave, selecciona la opción Cifrar y descifrar y, a continuación, selecciona Siguiente.
  5. Introduce un alias para la clave de KMS. Después, selecciona Siguiente.
    Nota: El nombre de tu alias no puede empezar por aws/.
  6. Selecciona los usuarios y roles de IAM que pueden administrar la clave de KMS. Después, selecciona Siguiente.
  7. Selecciona los usuarios y roles de IAM que pueden usar la clave en las operaciones criptográficas. A continuación, selecciona Siguiente.
  8. Selecciona Terminar para crear la clave de KMS.
  9. En el panel de navegación, selecciona Claves administradas por el cliente. A continuación, en Claves administradas por el cliente, selecciona la clave que has creado.
  10. En la pestaña Política de claves, selecciona Cambiar a la vista de política. A continuación, selecciona Editar.
  11. Si utilizas un rol de IAM personalizado para AWS Config, introduce la siguiente instrucción de política como instrucción de política de claves adicional. A continuación, selecciona Guardar cambios.
{
  "Statement": [
    {
      "Sid": "AWSConfigKMSPolicy",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Effect": "Allow",
      "Resource": "myKMSKeyARN",
      "Principal": {
        "AWS": [
          "arn:aws:iam:account_id:role/my-config-role-name"
        ]
      }
    }
  ]
}

O bien, si utilizas roles vinculados a servicios (SLR) para AWS Config, utiliza la siguiente instrucción de política para actualizar la política de claves de KMS:

{
  "Statement": [
    {
      "Sid": "AWSConfigKMSPolicy",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "myKMSKeyARN",
      "Condition": {
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

Creación del canal de entrega

Sigue estos pasos:

  1. Introduce la siguiente plantilla de ejemplo en un editor de texto y, a continuación, guárdala como un archivo JSON:

    {
        "name": "default",
        "s3BucketName": "targetBucketName",
        "s3KeyPrefix": "Optionalprefix",
        "snsTopicARN": "arn:aws:sns:region:account_ID:targetTopicName",
        "s3KmsKeyArn": "arn:aws:kms:region:account_ID:KmsKey",
        "configSnapshotDeliveryProperties": {
            "deliveryFrequency": "Twelve_Hours"
        }
    }

    Nota: Debes proporcionar el s3KeyPrefix si la política del bucket de S3 restringe PutObject a un prefijo determinado en lugar del prefijo predeterminado. Cambia el valor de deliveryFrequency para que coincida con tu caso de uso. Si decides no activar el cifrado, omite el valor de s3KmsKeyArn del archivo JSON.

  2. Ejecuta el comando put-delivery-channel de la AWS CLI:

    $ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json
  3. Para confirmar que se creó el canal de entrega, ejecuta el comando describe-delivery-channels de la AWS CLI:

    $ aws configservice describe-delivery-channels

Inicio del grabador de configuración

Sigue estos pasos:

  1. Abre la consola de AWS Config.
  2. En el panel de navegación, selecciona Configuración.
  3. En El registro está desactivado, selecciona Activar y, a continuación, Continuar. O bien, ejecuta el comando start-configuration-recorder de la AWS CLI:
    $ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

Para obtener más información, consulta Managing the configuration recorder (Administración del grabador de configuración) y Evaluating resources with AWS Config rules (Evaluación de recursos con reglas de AWS Config).

Información relacionada

Configuración de AWS Config con la consola

¿Cómo puedo solucionar los mensajes de error de la consola de AWS Config?

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 5 meses