AWS Config

Versión de la integración1.0.0

Información general

AWS Config proporciona una vista detallada de la configuración de recursos AWS en tu cuenta de AWS. Esto incluye cómo se relacionan los recursos entre sí y cómo fueron configurados en el pasado, para que puedas ver cómo cambian las configuraciones y las relaciones a lo largo del tiempo.

Habilita esta integración para ver todas las métricas de AWS Config en Datadog. Usa eventos para monitorizar los cambios en tus configuraciones detectados por AWS Config.

Configuración

Instalación

Si aún no lo has hecho, configura primero la integración Amazon Web Services.

Recopilación de cambios de recursos

Únete a la vista previa

La recopilación de cambios de recursos está en vista previa, pero puedes solicitar acceso de forma sencilla. Utiliza este formulario para enviar tu solicitud hoy mismo.

Request Access

Puedes recibir eventos en Datadog cuando AWS Config detecta cambios en tus snapshots y tu historial de configuración. Crea y configura los recursos necesarios con el siguiente stack tecnológico de CloudFormation o configura manualmente un Amazon Data Firehose para reenviar tus eventos de AWS Config.

    Puedes utilizar el módulo config-changes-datadog de Terraform para empezar a compartir tus datos de configuración de AWS con Datadog. Consulta el repositorio terraform-aws-config-changes-datadog para ver un ejemplo para empezar, así como descripciones detalladas de cada parámetro que puedes especificar.

    Launch Stack

    Nota: Si tu cuenta de Datadog no se encuentra en el sitio Datadog US1, selecciona el valor DatadogSite que corresponda a tu sitio Datadog:

    Sitio web de DatadogValor DatadogSite
    UEdatadoghq.eu
    US3us3.datadoghq.com
    US5us5.datadoghq.com
    AP1ap1.datadoghq.com

    Sigue estos pasos para configurar de manera manual el reenvío de eventos de AWS Config a través de Amazon Data Firehose.

    Requisitos previos

    1. Una cuenta de AWS integrada con Datadog.
      • El rol de IAM de la integración de Datadog debe tener el permiso s3:GetObject contra el bucket que contiene los datos de Config.
    2. Se configura un tema SNS para recibir los eventos de AWS Config.
    3. Se configura un bucket S3 para recibir eventos de más de 256 kB como copia de seguridad.
    4. Se configura una clave de acceso. Asegúrate de que dispones de tu clave de API Datadog.

    Crear un flujo (stream) de Amazon Data Firehose

    1. En la consola AWS, haz clic en Create Firehose stream (Crear flujo de Firehose).
      • En Source (Fuente), selecciona Direct PUT.
      • En Destination (Destino), selecciona Datadog.
    2. En la sección Destination Settings (Configuración del destino), elige la URL del endpoint HTTP que corresponda a tu sitio Datadog:
    Sitio web de DatadogURL de destino
    US1https://cloudplatform-intake.datadoghq.com/api/v2/cloudchanges?dd-protocol=aws-kinesis-firehose
    US3https://cloudplatform-intake.us3.datadoghq.com/api/v2/cloudchanges?dd-protocol=aws-kinesis-firehose
    US5https://cloudplatform-intake.us5.datadoghq.com/api/v2/cloudchanges?dd-protocol=aws-kinesis-firehose
    UEhttps://cloudplatform-intake.datadoghq.eu/api/v2/cloudchanges?dd-protocol=aws-kinesis-firehose
    AP1https://cloudplatform-intake.ap1.datadoghq.com/api/v2/cloudchanges?dd-protocol=aws-kinesis-firehose
    1. En Authentication (Autenticación), ingresa el valor de tu clave de API Datadog o selecciona un secreto de AWS Secrets Manager que contenga el valor.
    2. En Content encoding (Codificación del contenido), ingresa GZIP.
    3. En Retry duration (Duración del reintento), ingresa 300.
    4. Haz clic en Add parameter (Añadir parámetro).
      • En Key (Clave), ingresa dd-s3-bucket-auth-account-id.
      • En Value (Valor), ingresa tu ID de cuenta de 12 dígitos de AWS.
    5. En Buffer hints (Sugerencias de búfer), establece el Buffer size (Tamaño del búfer) en 4 MiB.
    6. En Backup settings (Configuración de copia de seguridad), selecciona un bucket de copia de seguridad de S3.
    7. Haz clic en Create Firehose stream (Crear flujo de Firehose).

    Configurar métodos de entrega para AWS Config

    1. En la página de AWS Config, abre el panel lateral izquierdo y haz clic en Settings (Configuración).
    2. Haz clic en Edit (Editar).
    3. En la sección Delivery Method (Método de entrega), selecciona o crea el bucket de S3 para recibir eventos de más de 256 kB como copia de seguridad.
    4. Haz clic en la casilla de verificación bajo Amazon SNS topic (Tema de Amazon SNS), y selecciona o crea el tema de SNS para recibir eventos de AWS Config.
    5. Haz clic en Save (Guardar).

    Suscribir el flujo de Amazon Data Firehose a un tema de SNS

    1. Sigue los pasos indicados en la Guía para desarrolladores de SNS. Asegúrate de que el rol de suscripción tiene los siguientes permisos:
      • firehose:DescribeDeliveryStream
      • firehose:ListDeliveryStreams
      • firehose:ListTagsForDeliveryStream
      • firehose:PutRecord
      • firehose:PutRecordBatch
    2. Confirma que los datos fluyan a Datadog en la pestaña Monitoring (Monitorización) de Firehose.

    Recopilación de métricas

    1. En la página de la integración de AWS, asegúrate de que Config está habilitado en la pestaña Metric Collection.
    2. Instala la integración Datadog - AWS Config.

    Datos recopilados

    Métricas

    aws.config.configuration_recorder_insufficient_permissions_failure
    (count)    		Número de intentos fallidos de acceso a permisos debido a que la política de roles IAM para el grabador de configuraciones no tiene permisos suficientes.
    aws.config.configuration_items_recorded
    (count)    		Número de elementos de configuración grabados para cada tipo de recurso o todos los tipos de recursos
    Se muestra como elemento
    aws.config.config_history_export_failed
    (count)    		Número de exportaciones fallidas del historial de configuración a tu bucket de Amazon S3.
    aws.config.config_snapshot_export_failed
    (count)    		Número de exportaciones fallidas de snapshots de configuración a tu bucket de Amazon S3.
    aws.config.change_notifications_delivery_failed
    (count)    		Número de entregas fallidas de notificaciones de cambio al tema de Amazon SNS para tu canal de entrega.
    aws.config.compliance_score
    (gauge)    		Porcentaje de combinaciones regla-recurso conformes en un paquete de conformidad en comparación con el total de combinaciones regla-recurso posibles
    Se muestra como porcentaje

    Validación

    Inspecciona los cambios de configuración en la pestaña Recent Changes (Cambios recientes) disponible en el panel lateral del recurso en el Catálogo de recursos. También puedes ir a la página Gestión de eventos y consultar source:amazon_config para validar que los datos fluyen a tu cuenta de Datadog.

    Checks de servicio

    La integración de AWS Config no incluye checks de servicio.

    Solucionar problemas

    ¿Necesitas ayuda? Ponte en contacto con el servicio de asistencia de Datadog.

    Referencias adicionales

    Documentación útil adicional, enlaces y artículos: