Perguntas frequentes do Amazon Config

Geral

O AWS Config é um serviço totalmente gerenciado que oferece inventário de recursos, histórico de configuração e notificações de alteração de configuração para segurança e governança. O AWS Config permite descobrir recursos da AWS atuais, registrar configurações para recursos de terceiros, exportar um inventário completo dos seus recursos com todos os detalhes de configuração e saber como um recurso foi configurado em determinado momento. Esses recursos usam auditoria de conformidade, análise de segurança, rastreamento de alteração de recursos e solução de problemas.

Uma regra do AWS Config representa configurações desejadas para um recurso e é avaliada com relação às alterações na configuração de recursos relevantes, conforme o registrado pelo AWS Config. Os resultados da avaliação de uma regra em relação à configuração de um recurso são disponibilizados em um painel. Usando as regras do AWS Config, você pode avaliar sua conformidade geral e o status do risco sob a perspectiva da configuração, visualizar tendências de conformidade durante um período e apontar que alteração de conformidade fez com que um recurso ficasse fora de conformidade com uma regra.

Um pacote de conformidade é uma coleção de regras e ações de correção do AWS Config criadas usando um framework e um modelo de empacotamento comuns no AWS Config. Ao empacotar os artefatos precedentes do AWS Config, você pode simplificar os aspectos de implantação e geração de relatórios das políticas de governança e conformidade de configuração em várias contas e regiões e reduzir o tempo que um recurso é mantido em um estado não compatível.

O AWS Config facilita o monitoramento da configuração do seu recurso sem a necessidade de investimentos iniciais e evitando a complexidade de instalar e atualizar agentes para coleta de dados ou manutenção de bancos de dados grandes. Quando você habilita o AWS Config, é possível visualizar continuamente os detalhes atualizados de todos os atributos de configuração associados aos seus recursos da AWS. Você é notificado através do Amazon Simple Notification Service (SNS) de cada alteração de configuração.

O AWS Config oferece a você acesso ao histórico de configurações do recurso. Você pode relacionar as alterações de configuração com eventos do AWS CloudTrail que possivelmente contribuíram com a alteração da configuração. Essas informações garantem a você total visibilidade, diretamente dos detalhes, como “Quem fez a alteração?”, “De qual endereço IP?”, do efeito dessa alteração em recursos da AWS e nos recursos relacionados. Você pode usar essas informações para gerar relatórios para ajudar na auditoria e avaliação de conformidade durante determinado período de tempo.

Qualquer um de nossos clientes buscando melhorar seus procedimentos de segurança e governança na AWS ao avaliar continuamente a configuração de seus recursos se beneficiaria desse produto. Os administradores de grandes organizações que recomendam práticas recomendadas para a configuração de recursos podem codificar essas regras como regras do AWS Config e implementar a autogovernança entre os usuários. Os especialistas em segurança da informação que monitoram a atividade e as configurações de uso para detectar vulnerabilidades podem beneficiar-se das regras do AWS Config. Se você tem um workload que deve estar em conformidade com padrões específicos do setor (ex.: PCI-DSS ou HIPAA) pode usar esse recurso para avaliar a conformidade de suas configurações de infraestrutura da AWS, e também para gerar relatórios para seus auditores. Os operadores que gerenciarem grandes infraestruturas ou componentes da AWS alterados com frequência também podem se beneficiar das regras do AWS Config para a solução de problemas. Se você quiser monitorar alterações nas configurações de recursos, responder perguntas sobre configurações de recursos, demonstrar conformidade, solucionar problemas ou realizar análises de segurança, você deve usar o AWS Config.

Se você está procurando uma estrutura para criar e implantar pacotes de conformidade para suas configurações de recursos da AWS em várias contas, use pacotes de conformidade. Esse framework pode ser usado para criar pacotes personalizados para segurança, DevOps e outras funções, e você pode começar rapidamente usando um dos modelos de pacotes de conformidade de exemplo.

As regras do AWS Config e os pacotes de conformidade disponibilizam informações sobre se os seus recursos estão em conformidade com as regras de configuração que você especificou. Eles avaliarão as configurações de recursos em relação às regras do AWS Config periodicamente ou ao detectar alterações na configuração, ou ambas, dependendo de como você configurou a regra. Eles não garantem que os recursos estarão em conformidade, nem impedirão que usuários tomem medidas que não estejam em conformidade. No entanto, podem ser usados para trazer de volta à conformidade um recurso não compatível, configurando ações de correção apropriadas para cada regra do AWS Config.

As regras do AWS Config não influenciam diretamente o modo como os usuários finais utilizam a AWS. As regras do AWS Config só avaliam as configurações do recurso depois que uma alteração de configuração tenha sido concluída e registrada no AWS Config. As regras do AWS Config não impedem que o usuário faça alterações que possam não estar em conformidade. Para controlar o que você pode provisionar na AWS e saber quais parâmetros de configuração são usados durante o provisionamento, use as políticas do AWS Identity and Access Management (IAM) e o AWS Service Catalog, respectivamente.

Sim, as regras do AWS Config podem ser definidas como somente proativo, somente detectivo ou nos modos proativo e detectivo. Para obter uma lista completa dessas regras, consulte a documentação.

Você pode usar a API PutConfigRule existente ou o console do AWS Config para ativar o modo proativo em uma regra do AWS Config em sua conta.

O AWS Config ajuda você a registrar configurações para recursos de terceiros ou tipos de recursos personalizados, como servidores on-premises, ferramentas de monitoramento de software como serviço (SaaS) e sistemas de controle de versão. Para fazer isso, crie um esquema de provedor de recursos que esteja em conformidade e valide a configuração do tipo de recurso. Registre o recurso personalizado usando o AWS CloudFormation ou sua ferramenta de infraestrutura como código (IaC).

Se você configurou o AWS Config para registrar todos os tipos de recursos, os recursos de terceiros que são gerenciados (criados, atualizados ou excluídos) por meio do AWS CloudFormation são automaticamente rastreados no AWS Config como itens de configuração. Para se aprofundar nas etapas necessárias para isso e entender em quais regiões da AWS isso está disponível, consulte o Guia do desenvolvedor do AWS Config: Configurações de registro para recursos de terceiros.

O AWS CloudTrail registra a atividade de API do usuário em sua conta e ajuda você a acessar as informações sobre essa atividade. Você obtém detalhes completos sobre ações da API, como identidade do chamador, hora da chamada de API, parâmetros da solicitação e elementos de resposta retornados pelo serviço da AWS. O AWS Config registra detalhes de configurações dos seus recursos da AWS em determinados momentos como itens de configuração (CIs). Você pode usar um CI para responder “Como era meu recurso da AWS?” em um determinado momento. Você pode usar o CloudTrail para responder “Quem fez uma chamada de API para modificar esse recurso?” Por exemplo, você pode usar o Console de Gerenciamento da AWS para o AWS Config detectar se o grupo de segurança “Banco de dados de produção” estava configurado de forma errada no passado. Usando as informações integradas do CloudTrail, você pode especificar qual usuário desconfigurou o grupo de segurança “Banco de dados de produção”.

O AWS Config facilita o monitoramento do status de conformidade em várias contas e regiões por meio do recurso de agregação de várias contas e regiões. Você pode criar um agregador de configurações em qualquer conta e agregar os detalhes de conformidade de outras contas. Esse recurso também é utilizado no AWS Organizations. Assim, você pode agregar dados de todas as contas da organização.

Sim. O AWS Service Management Connector para ServiceNow e Jira Service Desk ajuda os usuários finais do ServiceNow e do Jira Service Desk a provisionarem, gerenciarem e operarem nativamente recursos da AWS usando o ServiceNow e o Jira Service Desk. Os usuários do ServiceNow podem monitorar recursos em uma visão de itens de configuração baseada no AWS Config de forma transparente no ServiceNow com o AWS Service Management Connector. Os usuários do Jira Service Desk podem monitorar recursos dentro da solicitação de problema no AWS Service Management Connector. Isso simplifica as ações de solicitação de produtos da AWS para os usuários do ServiceNow e do Jira Service Desk, além de oferecer governança e supervisão dos produtos da AWS aos administradores do ServiceNow e do Jira Service Desk.

O AWS Service Management Connector para ServiceNow está disponível sem custo adicional na ServiceNow Store. Esse novo atributo está geralmente disponível em todas as regiões da AWS em que o AWS Service Catalog está disponível. Veja mais informações na documentação.

O AWS Service Management Connector para Jira Service Desk está disponível gratuitamente no Atlassian Marketplace. Esse novo atributo está geralmente disponível em todas as regiões da AWS em que o AWS Service Catalog está disponível. Veja mais informações na documentação.

Conceitos básicos

A maneira mais rápida de começar a usar o AWS Config é usar o Console de Gerenciamento da AWS. Você pode ativar o AWS Config com algumas seleções. Para obter mais detalhes, consulte a documentação sobre Conceitos básicos.

Você pode procurar as configurações atuais e históricas do seu recurso usando o Console de Gerenciamento da AWS, a Interface da linha de comando da AWS ou os SDKs.

Para obter mais detalhes, consulte a documentação do AWS Config.

Você deve ativar o AWS Config por região para sua conta.

Sim, você pode configurar o AWS Config para enviar atualizações de configurações de diferentes contas para um bucket do Amazon Simple Storage Service (S3), desde que as políticas do IAM adequadas sejam aplicadas a esse bucket do Amazon S3. Você também pode publicar notificações para o tópico do SNS, dentro da mesma região, desde que as políticas IAM adequadas sejam aplicadas ao tópico do SNS.

Sim. Todas as atividades de API do AWS Config, incluindo o uso das operações de APIs do AWS Config para ler dados de configuração, são registradas no CloudTrail.

O AWS Config exibe em um cronograma o horário em que os itens de configuração (CIs) de um recurso foram gravados. Todos os horários são capturados usando o tempo universal coordenado (UTC). Quando o cronograma é visualizado no console de gerenciamento, o serviço usa o fuso horário atual (ajustado para o horário de verão, se for o caso) para exibir todos os horários na visualização de cronograma.

Configuração de recursos

Um item de configuração (CI) é a configuração de um recurso em um determinado momento. Um CI consiste em cinco seções:

Informações básicas sobre o recurso, comuns em diferentes tipos de recursos (como nomes de recursos da Amazon, tags),

Dados de configuração específicos do recurso (como tipo de instância do EC2),

Mapa de relações com outros recursos (por exemplo, EC2::Volume vol-3434df43 está “conectado à instância” Instância do EC2 i-3432ee3a),

IDs de evento do CloudTrail relacionados a esse estado (apenas para recursos da AWS)

Metadados, que ajudam a identificar as informações sobre o CI, como versão do CI e quando ele foi capturado.

Saiba mais sobre os itens de configuração.

Um item de configuração (IC) personalizado é o IC para um recurso personalizado ou de terceiros. Os exemplos incluem bancos de dados on-premises, servidores do Diretório Ativo, sistemas de controle de versão como o GitHub e ferramentas de monitoramento de terceiros, como o Datadog.

O AWS Config considera as relações entre recursos ao registrar as alterações. Por exemplo, se um novo grupo de segurança do EC2 estiver associado a uma instância do EC2, o AWS Config registra as configurações atualizadas do recurso primário, do grupo de segurança do EC2, e dos recursos relacionados, se esses recursos forem alterados.

O AWS Config detecta alterações nas configurações de um recurso e registra o estado da configuração resultante da alteração. Quando várias alterações de configuração são feitas em um recurso em rápida sucessão, o AWS Config registrará apenas a configuração mais recente do recurso, que representa o impacto acumulado do conjunto de alterações. Nessas situações, o AWS Config listará apenas a última mudança no campo relatedEvents do item de configuração. Isto ajudará os usuários e programas a continuarem a mudar as configurações de infraestrutura sem ter que esperar pelo AWS Config para registrar estados transientes intermediários.

A gravação periódica permite a você decidir com que frequência registrar as alterações em seu ambiente, reduzindo os itens de configuração dos recursos que mudam com frequência. Em vez de receber atualizações contínuas, você pode usar a gravação periódica para receber alterações de configuração a cada 24 horas para atender aos seus casos de uso. 

A gravação periódica oferece a opção de decidir a frequência de recebimento de atualizações sobre suas configurações de recursos. Quando ativado, o AWS Config só entregará a configuração mais recente de um recurso ao final de um período de 24 horas se ela tiver sido alterada, reduzindo a frequência dos dados de configuração e tornando o custo da coleta desses dados mais previsível para casos de uso, como planejamento operacional e auditoria. Se suas necessidades de segurança e conformidade exigirem monitoramento contínuo de seus recursos, a gravação contínua deverá ser usada.

Sim, o AWS Config verifica regularmente a configuração dos recursos para detectar alterações que ainda não foram registradas e registra essas alterações. Os CIs registrados nessas verificações não têm o campo relatedEvent na mensagem. Apenas o estado mais recente diferente do estado já gravado é selecionado.

Sim. O AWS Config ajuda a registrar alterações de configuração no software dentro de instâncias do EC2 na conta da AWS e também em máquinas virtuais (VMs) ou servidores no ambiente on-premises. As informações de configuração registradas pelo AWS Config incluem atualizações do sistema operacional, configuração da rede e aplicações instaladas. É possível avaliar se as instâncias, as VMs e os servidores estão cumprindo com as diretrizes estabelecidas usando o AWS Config Rules. Os recursos de visibilidade profunda e monitoramento contínuo disponibilizados pelo AWS Config ajudam a avaliar a conformidade e solucionar os problemas operacionais.

O AWS Config somente envia notificações quando o status de conformidade é alterado. Se um recurso anteriormente fora de conformidade continuar fora de conformidade, o AWS Config não enviará uma nova notificação. Se o status de conformidade mudar para “compliant”, você receberá uma notificação da mudança de status.

Sim, você pode excluir recursos navegando até a página de “configurações do gravador” do AWS Config no console, selecionando a opção “Excluir tipos de recursos” e especificando as exclusões desejadas. Como alternativa, você pode utilizar a API PutConfigurationRecorder para acessar esse atributo. Essa API desativará o registro de configuração para esse tipo de recurso. Além disso, quando você configura as regras do AWS Config, pode especificar se a regra executa avaliações em determinados tipos de recurso ou em recursos com uma tag específica.

AWS Config Rules

A configuração de um recurso é definida pelos dados inclusos no item de configuração (CI) do AWS Config. A versão inicial das regras AWS Config disponibiliza o CI de um recurso para as regras relevantes. As regras de AWS Config podem usar essas informações junto com qualquer outra informação relevante, como outro recurso conectado e horário comercial para avaliar a conformidade com a configuração de um recurso.

Uma regra representa os valores de atributo do Configuration Item (CI – Item de configuração) desejados para os recursos e é avaliada pela comparação desses valores de atributo com CIs registrados pelo AWS Config. Existem dois tipos de regras:

Regras gerenciadas pela AWS: são pré-concebidas e gerenciadas pela AWS. Você pode escolher a regra que você deseja habilitar e, então, informar alguns parâmetros de configuração para começar. Saiba mais »

Regras gerenciadas pelo cliente: são regras personalizadas, definidas e concebidas por você. Você pode criar uma função no AWS Lambda que possa ser invocada como parte de uma regra personalizada, e essas funções são aplicadas na sua conta. Saiba mais »

A maneira mais rápida de começar a usar o AWS Config é usar o Console de Gerenciamento da AWS. Você pode ativar o AWS Config com algumas seleções. Para obter mais detalhes, consulte a documentação sobre Conceitos básicos.

Geralmente, as regras são configuradas pelo administrador de conta da AWS. Elas podem ser criadas por meio da utilização das regras gerenciadas pela AWS, que são um conjunto predefinido de regras disponibilizado pela AWS, ou via regras gerenciadas do cliente. Com as regras gerenciadas pela AWS, as atualizações de regra são aplicadas automaticamente para qualquer conta que esteja utilizando essa regra. No modelo gerenciado pelo cliente, os clientes têm uma cópia completa da regra e a aplicam em sua própria conta. Essas regras são mantidas pelos clientes.

Por padrão, você pode criar até 150 regras na sua conta da AWS. Além disso, você pode solicitar um aumento do limite do número de regras em sua conta acessando a página AWS Service Limits.

Qualquer regra pode ser configurada como uma regra acionada por alteração ou como uma regra periódica. Uma regra acionada por alteração é aplicada quando o AWS Config registra uma alteração de configuração em qualquer um dos recursos especificados. Além disso, uma das seguintes opções deve ser especificada:

Tag Key:(optional Value): Uma tag key:value significa que qualquer alteração na configuração de recursos com a tag key:value especificada iniciará uma avaliação da regra.

Tipos de recurso: qualquer alteração de configuração registrada para qualquer recurso dentre os tipos de recursos especificados iniciará uma avaliação da regra.

ID de recurso: qualquer alteração registrada no recurso especificada pelo tipo e ID do recurso iniciará uma avaliação da regra.

Uma regra periódica é iniciada com uma frequência especificada. As frequências disponíveis são de 1 hora, 3 horas, 6 horas, 12 horas ou 24 horas. Uma regra periódica tem um snapshot completo dos Itens de configuração (CIs) atuais para todos os recursos disponíveis para a regra.

A avaliação de uma regra determina se uma regra está em conformidade com um recurso em um momento específico. É o resultado da avaliação de uma regra em relação à configuração de um recurso. As regras do AWS Config vão capturar e armazenar o resultado de cada avaliação. Esse resultado incluirá o recurso, a regra, o tempo de avaliação e um link para o item de configuração (CI) que provocou a falta de conformidade.

Um recurso está em conformidade se observar todas as regras que se aplicam a ele; caso contrário, não está em conformidade. Similarmente, uma regra está em conformidade caso todos os recursos avaliados pela regra estejam em conformidade com a regra. Se algum recurso não estiver, a regra não estará em conformidade. Em alguns casos, como quando permissões inadequadas são disponibilizadas para a regra, uma avaliação para o recurso pode não existir, o que resulta em um estado de dados insuficientes. Esse estado é isento de determinar o status de conformidade de um recurso ou uma regra.

O painel das regras do AWS Config oferece a você uma visão geral dos recursos monitorados pelo AWS Config e um resumo da conformidade atual por recurso e por regra. Quando você visualizar a conformidade por recurso, você poderá determinar se alguma regra que se aplique ao recurso não está em conformidade no momento. Você poderá visualizar a conformidade por regra, o que diz a você se algum recurso na esfera da regra não está em conformidade no momento. Ao usar essas visualizações de resumo, você poderá explorar mais a visualização de recursos do calendário do AWS Config para determinar quais parâmetros de configuração foram alterados. Com a utilização desse painel você pode começar com uma visão geral e aprofundar sua análise com visualizações refinadas que disponibilizam a você informações completas sobre as alterações no status de conformidade, como também quais alterações provocaram a falta de conformidade.

Pacotes de conformidade

Você pode usar regras individuais do AWS Config para avaliar a conformidade da configuração de recursos em uma ou mais contas. Os pacotes de conformidade fornecem o benefício adicional das regras de empacotamento, juntamente com as ações de correção em uma única entidade que pode ser implantada em uma organização inteira com uma única seleção. Os pacotes de conformidade visam simplificar o gerenciamento de conformidade e os relatórios em escala quando você gerencia várias contas. Os pacotes de conformidade são projetados para fornecer relatórios de conformidade agregados no nível do pacote e na imutabilidade. Isso ajuda as regras gerenciadas do AWS Config e os documentos de remediação dentro do pacote de conformidade a não serem modificados ou excluídos pelas contas individuais dos membros de uma organização.

Se um padrão de conformidade, como o PCI DSS, já estiver presente no Security Hub, o serviço do Security Hub totalmente gerenciado é a maneira mais fácil de operacionalizá-lo. Você pode investigar descobertas por meio da integração do Security Hub com o Amazon Detective e criar ações de correção automatizadas ou semiautomatizadas usando a integração do Security Hub com o Amazon EventBridge. No entanto, se você deseja montar seu próprio padrão de conformidade ou segurança, que pode incluir verificações de segurança, operacional ou de otimização de custos, os pacotes de conformidade do AWS Config são a resposta. Os pacotes de conformidade do AWS Config simplificam o gerenciamento das regras do AWS Config, agrupando um grupo de regras do AWS Config e ações de correção associadas em uma única entidade. Esse pacote simplifica a implantação de regras e ações de correção em uma organização. Ele também permite relatórios agregados, pois os resumos de conformidade podem ser relatados no nível do pacote. Você pode começar com os exemplos de pacotes de conformidade do AWS Config que fornecemos e personalizar conforme desejar.

Sim, os pacotes de conformidade do Security Hub e do AWS Config oferecem suporte ao monitoramento de conformidade contínuo, dada a confiança nas regras do AWS Config e AWS Config. As regras subjacentes do AWS Config podem ser acionadas periodicamente ou ao detectar alterações na configuração dos recursos. Isso ajuda a fazer auditoria e avaliar, de forma contínua, a conformidade geral de suas configurações de recursos da AWS com base nas políticas e diretrizes da organização.

A maneira mais rápida de começar é criar um pacote de conformidade usando um de nossos modelos de exemplo por meio da CLI ou do console do AWS Config. Alguns dos modelos de exemplo incluem as melhores práticas operacionais do S3, do Amazon DynamoDB e do PCI. Esses modelos são escritos em YAML. Você pode fazer download desses modelos no site de documentação e modificá-los para se adequar ao seu ambiente usando o seu editor de texto favorito. Você pode até adicionar regras personalizadas do AWS Config que pode ter escrito anteriormente no pacote.

Os Pacotes de conformidade serão cobrados usando um modelo de definição de preço em níveis. Para obter mais detalhes, acesse a página de definição de preço do AWS Config.

Agregação de dados de várias contas e regiões

A agregação de dados do AWS Config ajuda você a agregar dados do AWS Config de várias contas e regiões em uma única conta e uma única região. A agregação de dados de várias contas ajuda os administradores de TI centralizada a monitorar a conformidade de várias contas da AWS na empresa.

O recurso de agregação de dados não pode ser usado para provisionar regras para várias contas. Esse recurso é apenas uma funcionalidade de geração de relatórios que oferece visibilidade sobre a conformidade. Você pode usar o AWS CloudFormation StackSets para provisionar regras para várias contas e regiões. Saiba mais neste link do blog.

Depois que o AWS Config e as regras do AWS Config estiverem habilitados na conta e nas contas sendo agregadas, você pode habilitar a agregação de dados criando um agregador na conta. Saiba mais.

Um agregador é um recurso do AWS Config que coleta dados do AWS Config de várias contas e regiões. Use um agregador para visualizar a configuração de recursos e os dados de conformidade registrados no AWS Config para várias contas e regiões.

A visualização agregada exibe a contagem total de regras que não estão em conformidade em toda a organização, as cinco principais regras que não estão em conformidade por número de recursos e as cinco principais contas da AWS com o maior número de regras que não estão em conformidade. Você pode visualizar mais detalhes sobre os recursos que violam a regra e a lista de regras que estão sendo violadas por uma conta.

Você pode especificar as contas para as quais os dados do AWS Config serão agregados fazendo upload de um arquivo ou inserindo individualmente as contas. Como essas contas não fazem parte de uma organização da AWS, será necessário que cada conta autorize explicitamente a conta agregadora. Saiba mais.

O recurso de agregação de dados também é útil para agregação de várias regiões. Portanto, você pode agregar os dados do AWS Config de uma conta em várias regiões usando esse recurso.

Para detalhes sobre as regiões em que a agregação de dados de várias contas e várias regiões está disponível, visite o Guia do desenvolvedor do AWS Config: Agregação de dados de várias contas e regiões.

Quando você cria um agregador, especifica as regiões de onde quer agregar dados. A lista de regiões mostra apenas as regiões onde o atributo está disponível. Você também pode selecionar “todas as regiões”. Nesse caso, assim que o suporte ao recurso for adicionado a outras regiões, seus dados serão agregados automaticamente.

Serviços e suporte regional

Revise a nossa documentação para obter uma lista completa dos tipos de recursos compatíveis.

Para obter mais informações sobre todas as regiões da AWS em que o AWS Config está disponível, consulte a tabela de regiões da AWS.

Preços

Com o AWS Config, a cobrança é feita com base no número de itens de configuração registrados, no número de avaliações de regras ativas do AWS Config e no número de avaliações do pacote de conformidade na conta. Um item de configuração é um registro do estado de configuração de um recurso na sua conta da AWS. Há duas frequências nas quais o AWS Config pode entregar itens de configuração: contínua e periódica. A gravação contínua registra e fornece alterações de configuração sempre que uma alteração ocorre. A gravação periódica fornece dados de configuração uma vez a cada 24 horas somente se uma alteração tiver ocorrido. Uma avaliação de regra do AWS Config é uma avaliação do estado de conformidade de um recurso pela regra do AWS Config na sua conta da AWS. Uma avaliação do pacote de conformidade é a avaliação de um recurso por uma regra do AWS Config dentro do pacote de conformidade. Para mais detalhes e exemplos, visite https://aws.amazon.com/config/pricing/.

Você pode escolher dentre um conjunto de regras gerenciadas disponibilizadas pela AWS ou você pode criar suas próprias regras, redigidas como funções do Lambda. As regras gerenciadas são totalmente mantidas pela AWS e você não paga nenhuma taxa adicional do Lambda para executá-las. Você pode habilitar as regras gerenciadas, disponibilizar todos os parâmetros solicitados e pagar uma taxa única para cada regra ativa do AWS Config em um determinado mês. As regras personalizadas oferecem controle completo, pois são aplicadas como funções do Lambda na sua conta. Além de taxas mensais para uma regra ativa, o nível gratuito do Lambda* e as taxas de aplicação de função são aplicáveis para as regras personalizadas do AWS Config.

*O nível gratuito da AWS não está disponível nas regiões China (Beijing) e China (Ningxia) da AWS.

Soluções de parceiros

Soluções de parceiros do APN, como Splunk, ServiceNow, Evident.io, CloudCheckr, Redseal e Red Hat CloudForms apresentam ofertas totalmente integradas com os dados do AWS Config. Provedores de serviços gerenciados, como 2nd Watch e CloudNexa também anunciaram integrações com o AWS Config. Além disso, com as regras do AWS Config, parceiros como CloudHealth Technologies, AlertLogic e TrendMicro estão fornecendo ofertas integradas que podem ser usadas. Essas soluções incluem recursos como gerenciamento de alterações e análises de segurança e ajudam você a visualizar, monitorar e gerenciar as configurações de recursos da AWS.