Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Évaluer les ressources à l'aide de AWS Config règles
AWS Config À utiliser pour évaluer les paramètres de configuration de vos AWS ressources. Pour ce faire, vous devez créer AWS Config des règles qui représentent vos paramètres de configuration idéaux. AWS Config fournit des règles prédéfinies personnalisables appelées règles gérées pour vous aider à démarrer.
Rubriques
- Considérations
- Prise en charge de la région
- Composants d'une règle
- Règles gérées
- Règles personnalisées
- Règles liées à un service
- Règles d'organisation
- Ajouter des règles
- Mettre à jour les règles
- Supprimer des règles
- Règles d'affichage
- Activer l'évaluation proactive
- Envoi d'évaluations à Security Hub
- Évaluation des ressources à l'aide de règles
- Suppression des résultats de l'évaluation
- Résolution des problèmes
Considérations
Considérations de coût
Pour plus de détails sur les coûts associés à l'enregistrement des ressources, consultez la section AWS Config tarification
Recommandation : envisagez d'exclure le type de AWS::Config::ResourceCompliance ressource de l'enregistrement avant de supprimer les règles
La suppression de règles crée des éléments de configuration (CIs) AWS::Config::ResourceCompliance qui peuvent avoir une incidence sur le coût de l'enregistreur de configuration. Si vous supprimez des règles qui évaluent un grand nombre de types de ressources, cela peut entraîner une augmentation du nombre de ressources CIs enregistrées.
Pour éviter les coûts associés, vous pouvez choisir de désactiver l'enregistrement pour le type de AWS::Config::ResourceCompliance ressource avant de supprimer les règles, et de réactiver l'enregistrement une fois les règles supprimées.
Toutefois, étant donné que la suppression de règles est un processus asynchrone, cela peut prendre une heure ou plus. Pendant la période pendant laquelle l'enregistrement est désactivéAWS::Config::ResourceCompliance, les évaluations des règles ne seront pas enregistrées dans l'historique de la ressource associée.
AWS Config vous recommande de prendre en compte ces facteurs avant case-by-case de décider de la procédure à suivre pour supprimer des règles.
Recommandation : ajouter une logique pour gérer l'évaluation des ressources supprimées pour les règles Lambda personnalisées
Lorsque vous créez AWS Config des règles lambda personnalisées, il est vivement recommandé d'ajouter une logique pour gérer l'évaluation des ressources supprimées.
Lorsque les résultats de l'évaluation sont marqués comme NOT_APPLICABLE, ils seront marqués pour suppression et nettoyés. S'ils ne sont PAS marqués comme telsNOT_APPLICABLE, les résultats de l'évaluation resteront inchangés jusqu'à ce que la règle soit supprimée, ce qui peut entraîner une augmentation inattendue de la création de CIs for AWS::Config::ResourceCompliance lors de la suppression de la règle.
Pour plus d'informations sur la façon de définir AWS Config des règles Lambda personnalisées NOT_APPLICABLE pour récupérer les ressources supprimées, voir Gestion des ressources supprimées à l'aide de règles Lambda AWS Config personnalisées.
Recommandation : fournir les ressources nécessaires pour les règles Lambda personnalisées
AWS Config Les règles Lambda personnalisées peuvent entraîner un nombre élevé d'appels de fonctions Lambda si la règle n'est pas limitée à un ou plusieurs types de ressources. Pour éviter une augmentation de l'activité associée à votre compte, il est vivement recommandé de fournir des ressources correspondant à vos règles Lambda personnalisées. Si aucun type de ressource n'est sélectionné, la règle invoquera la fonction Lambda pour toutes les ressources du compte.
Autres considérations
Valeurs par défaut pour les règles gérées
Les valeurs par défaut spécifiées pour les règles gérées sont préremplies uniquement lors de l'utilisation de la AWS console. Les valeurs par défaut ne sont pas fournies pour l'API, la CLI ou le kit SDK.
Délais d'enregistrement des éléments de configuration
AWS Config enregistre généralement les modifications de configuration de vos ressources juste après la détection d'une modification, ou à la fréquence que vous spécifiez. Cependant, cela se fait dans la mesure du possible et peut parfois prendre plus de temps. Certains types de ressources présentant des retards connus incluent : AWS::SecretsManager::Secret etAWS::SQS::Queue. Ces types de ressources ne sont que des exemples, et cette liste n'est pas exhaustive.
Politiques et résultats en matière de conformité
Les politiques IAM et les autres politiques gérées dans AWS Organizations peuvent avoir une incidence sur le AWS Config fait de disposer des autorisations nécessaires pour enregistrer les modifications de configuration de vos ressources. En outre, les règles évaluent directement la configuration d'une ressource et les règles ne tiennent pas compte de ces politiques lors de l'exécution des évaluations. Assurez-vous que les politiques en vigueur correspondent à la manière dont vous avez l'intention de les utiliser AWS Config.
Les compartiments de répertoire ne sont pas pris en charge
Les règles gérées ne prennent en charge que les compartiments à usage général lors de l'évaluation des ressources Amazon Simple Storage Service (Amazon S3). Pour plus d’informations sur les compartiments à usage général et les compartiments de répertoires, consultez Présentation des compartiments et Compartiments de répertoires dans le Guide de l’utilisateur Amazon S3.
Règles gérées et types de ressources IAM globaux
Les types de ressources IAM globaux intégrés avant février 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role, etAWS::IAM::User) ne peuvent être enregistrés que AWS Config dans les AWS régions où ils AWS Config étaient disponibles avant février 2022. Ces types de ressources ne peuvent pas être enregistrés dans les régions prises en charge AWS Config après février 2022. Pour une liste de ces régions, voir AWS Ressources d'enregistrement | Ressources mondiales.
Si vous enregistrez un type de ressource IAM global dans au moins une région, les règles périodiques qui indiquent la conformité au type de ressource IAM global exécuteront des évaluations dans toutes les régions où la règle périodique est ajoutée, même si vous n'avez pas activé l'enregistrement du type de ressource IAM global dans la région où la règle périodique a été ajoutée.
Pour éviter des évaluations inutiles, vous devez uniquement déployer des règles périodiques qui signalent la conformité d'un type de ressource IAM global à l'une des régions prises en charge. Pour obtenir la liste des règles gérées prises en charge dans quelles régions, consultez la section Liste des règles AWS Config gérées par disponibilité des régions.
Prise en charge de la région
Actuellement, la fonctionnalité AWS Config Règle est prise en charge dans les AWS régions suivantes. Pour obtenir une liste des AWS Config règles individuelles prises en charge dans quelles régions, consultez la section Liste des règles AWS Config gérées par disponibilité des régions.
| Nom de la région | Région | Point de terminaison | Protocole |
|---|---|---|---|
| US East (Ohio) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
| US East (N. Virginia) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
| USA Ouest (Californie du Nord) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
| US West (Oregon) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
| Afrique (Le Cap) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Jakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Asie-Pacifique (Malaisie) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
| Asie-Pacifique (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asia Pacific (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| Asia Pacific (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Singapour) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asia Pacific (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Thaïlande) | ap-southeast-7 | config.ap-southeast-7.amazonaws.com | HTTPS |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canada (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Canada Ouest (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| Europe (Francfort) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europe (Irlande) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europe (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europe (Milan) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| Europe (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europe (Espagne) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| Europe (Stockholm) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Europe (Zurich) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| Israël (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| Mexique (centre) | mx-central-1 | config.mx-central-1.amazonaws.com | HTTPS |
| Moyen-Orient (Bahreïn) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| Moyen-Orient (EAU) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| Amérique du Sud (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (USA Est) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (US-Ouest) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
Le déploiement de AWS Config règles sur les comptes des membres d'une AWS organisation est pris en charge dans les régions suivantes.
| Nom de la région | Région | Point de terminaison | Protocole |
|---|---|---|---|
| US East (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| US East (N. Virginia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| USA Ouest (Californie du Nord) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| US West (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| Afrique (Le Cap) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Jakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Asie-Pacifique (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asia Pacific (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| Asia Pacific (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Singapour) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asia Pacific (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canada (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Canada Ouest (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| Europe (Francfort) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europe (Irlande) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europe (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europe (Milan) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| Europe (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europe (Espagne) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| Europe (Stockholm) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Europe (Zurich) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| Israël (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| Moyen-Orient (Bahreïn) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| Moyen-Orient (EAU) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| Amérique du Sud (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (USA Est) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (US-Ouest) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
