Comment fonctionnent AWS Config les règles Types de déclencheurs Modes d'évaluation Métadonnées des règles

Composantes d'une AWS Config règle

AWS Config les règles évaluent les paramètres de configuration de vos AWS ressources. Cette page décrit les composants d'une règle.

Rubriques

Comment fonctionnent AWS Config les règles
Types de déclencheurs
Modes d'évaluation
Métadonnées des règles

Comment fonctionnent AWS Config les règles

Pendant qu' AWS Config surveille en permanence les changements de configuration de vos ressources, il vérifie si ces changements vont à l'encontre de l'une des conditions de vos règles. Si une ressource n'est pas conforme à la règle, AWS Config marque la ressource et la règle comme non conformes.

Il existe quatre résultats d'évaluation possibles pour une AWS Config règle.

Résultat de l'évaluation	Description
`COMPLIANT`	La règle satisfait aux conditions du contrôle de conformité.
`NON_COMPLIANT`	La règle ne satisfait pas aux conditions du contrôle de conformité.
`ERROR`	L'un des paramètres obligatoires/facultatifs n'est pas valide, n'est pas du type correct ou est mal formaté.
`NOT_APPLICABLE`	Utilisé pour filtrer les ressources auxquelles la logique de la règle ne peut pas être appliquée. Par exemple, la alb-desync-mode-checkrègle vérifie uniquement les équilibreurs de charge d'application et ignore les équilibreurs de charge réseau et les équilibreurs de charge de passerelle.

Par exemple, lorsqu'un EC2 volume est créé, AWS Config vous pouvez l'évaluer par rapport à une règle qui exige que les volumes soient chiffrés. Si le volume n'est pas chiffré, AWS Config marque le volume et la règle comme non conformes. AWS Config peut également vérifier toutes vos ressources pour vérifier les exigences relatives à l'ensemble du compte. Par exemple, AWS Config vous pouvez vérifier si le nombre de EC2 volumes d'un compte reste dans les limites du total souhaité ou si un compte les utilise à des AWS CloudTrail fins de journalisation.

Types de déclencheurs

Après avoir ajouté une règle à votre compte, AWS Config comparez vos ressources aux conditions de cette règle. Après cette évaluation initiale, AWS Config continue à exécuter des évaluations chaque fois qu'une évaluation est déclenchée. Les déclencheurs d'évaluation sont définis dans le cadre de la règle et peuvent inclure les types suivants.

Type de déclencheur	Description
Configuration changes	AWS Config exécute des évaluations pour la règle lorsqu'une ressource correspond au champ d'application de la règle et qu'il y a un changement de configuration de la ressource. L'évaluation s'exécute après l' AWS Config envoi d'une notification de modification d'élément de configuration. Vous choisissez quelles ressources déclenchent l'évaluation en définissant la portée de la règle. La portée peut inclure les éléments suivants : Un ou plusieurs types de ressources Une combinaison d'un type de ressource et d'un ID de ressource Une combinaison d'une clé de balise et d'une valeur Lorsqu'une ressource enregistrée est créée, mise à jour ou supprimée AWS Config exécute l'évaluation lorsqu'il détecte une modification apportée à une ressource correspondant au champ d'application de la règle. Vous pouvez utiliser la portée afin de définir les ressources qui déclenchent des évaluations.
Périodique	AWS Config exécute des évaluations de la règle à la fréquence que vous choisissez, par exemple toutes les 24 heures.
Hybride	Certaines règles comportent à la fois des changements de configuration et des déclencheurs périodiques. Pour ces règles, AWS Config évalue vos ressources lorsqu'il détecte un changement de configuration et également à la fréquence que vous spécifiez.

Type de déclencheur

Description

Configuration changes

AWS Config exécute des évaluations pour la règle lorsqu'une ressource correspond au champ d'application de la règle et qu'il y a un changement de configuration de la ressource. L'évaluation s'exécute après l' AWS Config envoi d'une notification de modification d'élément de configuration.

Vous choisissez quelles ressources déclenchent l'évaluation en définissant la portée de la règle. La portée peut inclure les éléments suivants :

Un ou plusieurs types de ressources
Une combinaison d'un type de ressource et d'un ID de ressource
Une combinaison d'une clé de balise et d'une valeur
Lorsqu'une ressource enregistrée est créée, mise à jour ou supprimée

AWS Config exécute l'évaluation lorsqu'il détecte une modification apportée à une ressource correspondant au champ d'application de la règle. Vous pouvez utiliser la portée afin de définir les ressources qui déclenchent des évaluations.

Périodique

AWS Config exécute des évaluations de la règle à la fréquence que vous choisissez, par exemple toutes les 24 heures.

Hybride

Certaines règles comportent à la fois des changements de configuration et des déclencheurs périodiques. Pour ces règles, AWS Config évalue vos ressources lorsqu'il détecte un changement de configuration et également à la fréquence que vous spécifiez.

Modes d'évaluation

Il existe deux modes d'évaluation des AWS Config règles.

Mode d'évaluation	Description
Proactif	Utilisez l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait CONFORME ou NON_COMPLIANT compte tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région.
Détective	Utilisez l'évaluation détective pour évaluer les ressources déjà déployées. Ce type d'évaluation vous permet d'évaluer les paramètres de configuration de vos ressources existantes.

Note

Les règles proactives ne corrigent pas les ressources marquées comme NON_COMPLIANT et n'empêchent pas leur déploiement.

Pour plus d'informations, voir Activer l'évaluation proactive des AWS Config règles.

Liste des règles gérées avec une évaluation proactive

Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation.

Liste des types de ressources pris en charge pour une évaluation proactive

Voici une liste des types de ressources pris en charge pour une évaluation proactive :

AWS::AutoScaling::AutoScalingGroup
AWS::EC2::EIP
AWS::Elasticsearch::Domain
AWS::Lambda::Function
AWS::RDS::DBInstance
AWS::Redshift::Cluster
AWS::S3::Bucket
AWS::SNS::Topic

AWS Config Métadonnées des règles

AWS Config les règles peuvent contenir les métadonnées modifiables suivantes :

defaultName

Le defaultName est le nom que les instances d'une règle recevront par défaut.

description

La description de la règle fournit le contexte de ce que la règle évalue. Une limite de 256 caractères est appliquée à la console AWS Config . En vertu des bonnes pratiques, la description de la règle doit commencer par « Vérifie si » et inclure une description du scénario NON_COMPLIANT. Les noms de service doivent être écrits en entier, en commençant par AWS ou Amazon lorsqu'ils sont mentionnés pour la première fois dans la description de la règle. Par exemple, AWS CloudTrail ou Amazon CloudWatch au lieu de CloudTrail ou CloudWatch pour la première utilisation. Les noms des services peuvent être abrégés après référence ultérieure.

scope

La portée détermine les types de ressources ciblés par la règle. Pour obtenir la liste des types de ressources pris en charge, consultez Types de ressources pris en charge.

compulsoryInputParameterDétails

Les compulsoryInputParameter détails sont utilisés pour les paramètres nécessaires à l'évaluation d'une règle. Par exemple, la règle access-keys-rotated gérée inclut le paramètre requis maxAccessKeyAge. Si un paramètre est obligatoire, il ne sera pas marqué (facultatif). Un type doit être spécifié pour chaque paramètre. Le type peut être « String », « int », « double », « CSV », « boolean » ou « ». StringMap

optionalInputParameterDétails

Les optionalInputParameter détails sont utilisés pour les paramètres facultatifs permettant à une règle de procéder à son évaluation. Par exemple, la règle elasticsearch-logs-to-cloudwatch gérée inclut le paramètre facultatif logTypes. Un type doit être spécifié pour chaque paramètre. Le type peut être « String », « int », « double », « CSV », « boolean » ou « ». StringMap

supportedEvaluationModes

Il supportedEvaluationModes détermine le moment où les ressources seront évaluées, soit avant qu'une ressource soit déployée, soit après le déploiement d'une ressource.

DETECTIVE est utilisé pour évaluer les ressources déjà déployées. Vous pouvez ainsi évaluer les paramètres de configuration de vos ressources existantes. PROACTIVE est utilisé pour évaluer les ressources avant leur déploiement.

Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait CONFORME ou NON_COMPLIANT compte tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région.

Vous pouvez spécifier le supportedEvaluationModes to DETECTIVEPROACTIVE, ou les deux DETECTIVE etPROACTIVE. Vous devez spécifier un mode d'évaluation et ce champ ne peut pas rester vide.

Note

Les règles proactives ne corrigent pas les ressources marquées comme NON_COMPLIANT et n'empêchent pas leur déploiement.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS Règles de configuration

Règles gérées