As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Avaliação de recursos com regras AWS Config
Use AWS Config para avaliar as configurações dos seus AWS recursos. Você faz isso criando AWS Config regras, que representam suas configurações ideais. AWS Config fornece regras personalizáveis e predefinidas, chamadas de regras gerenciadas, para ajudar você a começar.
**Topics**
+ [Considerações](#evaluate-config-considerations)
+ [Suporte regional](#region-support-config-rules)
+ [Componentes de uma regra](evaluate-config_components.md)
+ [Regras gerenciadas](evaluate-config_use-managed-rules.md)
+ [Regras personalizadas](evaluate-config_develop-rules.md)
+ [Regras vinculadas ao serviço](service-linked-awsconfig-rules.md)
+ [Regras organizacionais](config-rule-multi-account-deployment.md)
+ [Adicionar regras](evaluate-config_add-rules.md)
+ [Atualizar regras](evaluate-config_update-rules.md)
+ [Como excluir regras](evaluate-config_delete-rules.md)
+ [Como visualizar regras](evaluate-config_view-rules.md)
+ [Como ativar a avaliação proativa](evaluate-config_turn-on-proactive-rules.md)
+ [Enviando avaliações para o Security Hub CSPM](setting-up-aws-config-rules-with-console-integration.md)
+ [Avaliar recursos com regras](evaluating-your-resources.md)
+ [Exclusão de resultados de avaliação](deleting-evaluations-results.md)
+ [Solução de problemas](troubleshooting-rules.md)
## Considerações
------
#### [ Cost Considerations ]
Para obter detalhes sobre os custos associados à gravação de recursos, consulte [Preços do AWS Config](https://aws.amazon.com/config/pricing/).
**Recomendação: considere excluir o tipo de recurso `AWS::Config::ResourceCompliance` da gravação antes de excluir regras**.
A exclusão de regras cria itens de configuração (CIs) `AWS::Config::ResourceCompliance` que podem afetar seus custos com o gravador de configuração. Se você estiver excluindo regras que avaliam um grande número de tipos de recursos, isso pode levar a um aumento no número de CIs registros.
Para evitar os custos associados, você pode optar por desabilitar a gravação do tipo de recurso `AWS::Config::ResourceCompliance` antes de excluir regras e reabilitar a gravação após a exclusão das regras.
No entanto, como a exclusão de regras é um processo assíncrono, esse processo pode levar uma hora ou mais para ser concluído. Durante o período em que a gravação estiver desabilitada para `AWS::Config::ResourceCompliance`, as avaliações de regras não serão registradas no histórico do recurso correspondente.
AWS Config recomenda que você pondere esses fatores antes de case-by-case decidir como proceder com a exclusão das regras.
**Recomendação: adicione lógica para lidar com a avaliação dos recursos excluídos para regras lambda personalizadas**
Ao criar regras lambda AWS Config personalizadas, é altamente recomendável que você adicione lógica para lidar com a avaliação dos recursos excluídos.
Quando os resultados da avaliação forem marcados como `NOT_APPLICABLE`, eles serão marcados para exclusão e limpos. Se NÃO estiverem marcados como`NOT_APPLICABLE`, os resultados da avaliação permanecerão inalterados até que a regra seja excluída, o que pode causar um aumento inesperado na criação de CIs for `AWS::Config::ResourceCompliance` após a exclusão da regra.
Para obter informações sobre como definir regras lambda AWS Config personalizadas para retornar `NOT_APPLICABLE` para recursos excluídos, consulte [Gerenciamento de recursos excluídos com regras lambda AWS Config personalizadas](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html#evaluate-config_develop-rules-delete).
**Recomendação: forneça os recursos no escopo das regras lambda personalizadas**
AWS Config As regras personalizadas do Lambda podem causar um grande número de invocações de funções do Lambda se a regra não tiver como escopo um ou mais tipos de recursos. Para evitar o aumento da atividade associada é altamente recomendável fornecer recursos no escopo de suas regras personalizadas do Lambda. Se nenhum tipo de recurso for selecionado, a regra invocará a função do Lambda para todos os recursos na conta.
------
#### [ Other considerations ]
**Valores padrão para regras gerenciadas**
Os valores padrão especificados para regras gerenciadas são pré-preenchidos somente ao usar o AWS console. Os valores padrão não são fornecidos para a API, a CLI ou o SDK.
**Atrasos na gravação do item de configuração**
AWS Config geralmente registra as alterações de configuração em seus recursos logo após a detecção de uma alteração ou na frequência especificada por você. No entanto, isso é feito com base no melhor esforço e às vezes pode levar mais tempo. Por exemplo, um tipo de recurso com atrasos conhecidos é `AWS::SecretsManager::Secret`. Esse tipo de recurso é um exemplo, e essa lista não é exaustiva.
**Políticas e resultados de conformidade**
[As políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) e [outras políticas gerenciadas em AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html) podem afetar se você AWS Config tem permissões para registrar alterações na configuração de seus recursos. Além disso, as regras avaliam diretamente a configuração de um recurso e não levam em conta essas políticas ao executar avaliações. As políticas em vigor devem estar alinhadas com a forma como você pretende usar o AWS Config.
**Suporte à marcação para tipos de recurso**
Se um tipo de recurso não oferecer suporte à marcação ou não incluir informações de tag em sua resposta de descrição da API, AWS Config não capturará dados de tag nos itens de configuração (CIs) desse tipo de recurso. AWS Config ainda registrará esses recursos. No entanto, qualquer funcionalidade que dependa de dados de tags não funcionará. Isso afeta a filtragem baseada em tags, o agrupamento ou a avaliação de conformidade que depende dos dados da tag.
**Os buckets de diretório não são compatíveis**
As regras gerenciadas só são compatíveis com buckets de uso geral ao avaliar os recursos do Amazon Simple Storage Service (Amazon S3). Para obter mais informações sobre buckets de uso geral e buckets de diretório, consulte [Visão geral dos buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingBucket.html) e [Buckets de diretório](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-buckets-overview.html) no Guia do usuário do Amazon S3.
**Regras gerenciadas e tipos de recursos globais do IAM**
Os tipos de recursos globais do IAM integrados antes de fevereiro de 2022 (`AWS::IAM::Group`,, `AWS::IAM::Policy``AWS::IAM::Role`, e`AWS::IAM::User`) só podem ser registrados AWS nas regiões AWS Config em que AWS Config estavam disponíveis antes de fevereiro de 2022. Esses tipos de recursos não podem ser registrados nas regiões com suporte AWS Config após fevereiro de 2022. Para obter uma lista dessas regiões, consulte [AWS Recursos de gravação \| Recursos globais](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all).
Se você gravar um tipo de recurso global do IAM em pelo menos uma Região, as regras periódicas que relatam conformidade no tipo de recurso global do IAM executarão avaliações em todas as Regiões onde a regra periódica é adicionada, mesmo que você não tenha habilitado a gravação do tipo de recurso global do IAM na Região onde a regra periódica foi adicionada.
Para evitar avaliações desnecessárias, você só deve implantar regras periódicas que informem a conformidade do tipo global de recursos do IAM em uma das regiões compatíveis. Para obter uma lista de quais regras gerenciadas são suportadas em quais regiões, consulte [Lista de regras AWS Config gerenciadas por disponibilidade regional](https://docs.aws.amazon.com/config/latest/developerguide/managing-rules-by-region-availability.html).
------
## Suporte regional
Atualmente, o recurso de AWS Config regra é suportado nas seguintes AWS regiões. Para obter uma lista de quais AWS Config regras individuais são suportadas em quais regiões, consulte [Lista de regras AWS Config gerenciadas por disponibilidade regional](https://docs.aws.amazon.com/config/latest/developerguide/managing-rules-by-region-availability.html).
| Nome da região | Região | Endpoint | Protocolo |
| --- | --- | --- | --- |
| Leste dos EUA (Ohio) | us-east-2 | config.us-east-2.amazonaws.com
config-fips.us-east-2.amazonaws.com | HTTPS
HTTPS |
| Leste dos EUA (Norte da Virgínia) | us-east-1 | config.us-east-1.amazonaws.com
config-fips.us-east-1.amazonaws.com | HTTPS
HTTPS |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | config.us-west-1.amazonaws.com
config-fips.us-west-1.amazonaws.com | HTTPS
HTTPS |
| Oeste dos EUA (Oregon) | us-west-2 | config.us-west-2.amazonaws.com
config-fips.us-west-2.amazonaws.com | HTTPS
HTTPS |
| África (Cidade do Cabo) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Ásia-Pacífico (Malásia) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
| Ásia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Ásia-Pacífico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Nova Zelândia) | ap-southeast-6 | config.ap-southeast-6.amazonaws.com | HTTPS |
| Ásia-Pacífico (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| Ásia-Pacífico (Seul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Taipei) | ap-east-2 | config.ap-east-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Tailândia) | ap-southeast-7 | config.ap-southeast-7.amazonaws.com | HTTPS |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canadá (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Oeste do Canadá (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (Milão) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Espanha) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Europa (Zurique) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| Israel (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| México (Central) | mx-central-1 | config.mx-central-1.amazonaws.com | HTTPS |
| Oriente Médio (Barém) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| Oriente Médio (Emirados Árabes Unidos) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| América do Sul (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
A implantação de AWS Config regras em contas de membros em uma AWS organização é suportada nas seguintes regiões.
| Nome da região | Região | Endpoint | Protocolo |
| --- | --- | --- | --- |
| Leste dos EUA (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| Leste dos EUA (Norte da Virgínia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| Oeste dos EUA (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| África (Cidade do Cabo) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Ásia-Pacífico (Malásia) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
| Ásia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Ásia-Pacífico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Nova Zelândia) | ap-southeast-6 | config.ap-southeast-6.amazonaws.com | HTTPS |
| Ásia-Pacífico (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| Ásia-Pacífico (Seul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Taipei) | ap-east-2 | config.ap-east-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Tailândia) | ap-southeast-7 | config.ap-southeast-7.amazonaws.com | HTTPS |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canadá (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Oeste do Canadá (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (Milão) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Espanha) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Europa (Zurique) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| Israel (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| México (Central) | mx-central-1 | config.mx-central-1.amazonaws.com | HTTPS |
| Oriente Médio (Barém) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| Oriente Médio (Emirados Árabes Unidos) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| América do Sul (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |