AWS Config Règles personnalisées - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Config Règles personnalisées

AWS Config Les règles personnalisées sont des règles que vous créez de toutes pièces. Il existe deux manières de créer des règles AWS Config personnalisées : avec les fonctions Lambda (Guide du AWS Lambda développeur) et avec Guard (Guard GitHub Repository), un policy-as-code langage.

AWS Config les règles personnalisées créées avec Lambda sont appelées règles AWS Config Lambda AWS Config personnalisées et les règles personnalisées créées avec Guard sont appelées AWS Config règles de politique personnalisées.

AWS Config Règles de politique personnalisées

Les règles écrites à l'aide de Guard peuvent être créées à partir de la AWS Config console ou à l'aide des API de AWS Config règles. AWS Config Les règles de politique personnalisées vous permettent de créer des règles AWS Config personnalisées sans avoir à utiliser Java ou Python pour développer des fonctions Lambda afin de gérer vos règles personnalisées. AWS Config Les règles de politique personnalisées sont initiées par des modifications de configuration. Pour plus d'informations sur Guard, consultez le GitHubréférentiel Guard.

AWS Config Règles Lambda personnalisées

Les règles Lambda personnalisées vous permettent d'utiliser Java ou Python pour créer une fonction Lambda pour une règle personnalisée. AWS Config Une fonction Lambda est un code personnalisé que vous téléchargez et qui est invoqué par des événements qui y sont publiés par une source d'événements. AWS Lambda Si la fonction Lambda est associée à une AWS Config règle, elle l' AWS Config invoque lorsque la règle est initiée. La fonction Lambda évalue ensuite les informations de configuration envoyées par et renvoie AWS Config les résultats de l'évaluation. Pour plus d'informations sur les fonctions Lambda, consultez Fonction et sources d'événements dans le Guide du développeur AWS Lambda .

Considérations de coût

Pour plus de détails sur les coûts associés à l'enregistrement des ressources, consultez la section AWS Config tarification.

Recommandation : ajouter une logique pour gérer l'évaluation des ressources supprimées pour les règles Lambda personnalisées

Lorsque vous créez AWS Config des règles lambda personnalisées, il est vivement recommandé d'ajouter une logique pour gérer l'évaluation des ressources supprimées.

Lorsque les résultats de l'évaluation sont marqués comme NOT_APPLICABLE, ils seront marqués pour suppression et nettoyés. S'ils ne sont PAS marqués comme NOT_APPLICABLE, les résultats de l'évaluation resteront inchangés jusqu'à ce que la règle soit supprimée, en risquant d'entraîner une augmentation inattendue de la création d'éléments de configuration (CI) pour AWS::Config::ResourceCompliance lors de la suppression de la règle.

Pour plus d'informations sur la façon de définir AWS Config des règles Lambda personnalisées NOT_APPLICABLE pour récupérer les ressources supprimées, voir Gestion des ressources supprimées avec des règles Lambda AWS Config personnalisées.

Recommandation : fournir les ressources nécessaires pour les règles Lambda personnalisées

AWS Config Les règles Lambda personnalisées peuvent entraîner un nombre élevé d'appels de fonctions Lambda si la règle n'est pas limitée à un ou plusieurs types de ressources. Pour éviter une augmentation de l'activité associée à votre compte, il est vivement recommandé de fournir des ressources correspondant à vos règles Lambda personnalisées. Si aucun type de ressource n'est sélectionné, la règle invoquera la fonction Lambda pour toutes les ressources du compte.

Recommandation : arrêtez d'enregistrer la conformité des ressources avant de supprimer les règles

Il est vivement recommandé d'arrêter l'enregistrement pour le type de AWS::Config::ResourceCompliance ressource avant de supprimer les règles de votre compte. La suppression de règles crée des CI pour votre enregistreur de AWS Config configuration AWS::Config::ResourceCompliance et peut avoir une incidence sur les coûts de votre enregistreur. Si vous supprimez des règles qui évaluent un grand nombre de types de ressources, cela peut entraîner une augmentation du nombre de CI enregistrés.

Bonnes pratiques :

  1. Arrêter l'enregistrement AWS::Config::ResourceCompliance

  2. Supprimer une ou plusieurs règles

  3. Activez l'enregistrement pour AWS::Config::ResourceCompliance

Types de déclencheurs

Après avoir ajouté une règle à votre compte, AWS Config comparez vos ressources aux conditions de cette règle. Après cette évaluation initiale, AWS Config continue à exécuter des évaluations chaque fois qu'une évaluation est déclenchée. Les déclencheurs d'évaluation sont définis dans le cadre de la règle et peuvent inclure les types suivants.

Type de déclencheur Description
Configuration changes AWS Config exécute des évaluations pour la règle lorsqu'une ressource correspond au champ d'application de la règle et qu'il y a un changement de configuration de la ressource. L'évaluation s'exécute après l' AWS Config envoi d'une notification de modification d'élément de configuration.

Vous choisissez quelles ressources déclenchent l'évaluation en définissant la portée de la règle. La portée peut inclure les éléments suivants :

  • Un ou plusieurs types de ressources

  • Une combinaison d'un type de ressource et d'un ID de ressource

  • Une combinaison d'une clé de balise et d'une valeur

  • Lorsqu'une ressource enregistrée est créée, mise à jour ou supprimée

AWS Config exécute l'évaluation lorsqu'il détecte une modification apportée à une ressource correspondant au champ d'application de la règle. Vous pouvez utiliser la portée afin de définir les ressources qui déclenchent des évaluations.

Périodique AWS Config exécute des évaluations de la règle à la fréquence que vous choisissez, par exemple toutes les 24 heures.
Hybride Certaines règles comportent à la fois des changements de configuration et des déclencheurs périodiques. Pour ces règles, AWS Config évalue vos ressources lorsqu'il détecte un changement de configuration et également à la fréquence que vous spécifiez.

Modes d'évaluation

Il existe deux modes d'évaluation des AWS Config règles.

Mode d'évaluation Description
Proactif

Utilisez l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait CONFORME ou NON_COMPLIANT compte tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région.

Pour plus d'informations, consultez Modes d'évaluation. Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation.

Détective Utilisez l'évaluation détective pour évaluer les ressources déjà déployées. Ce type d'évaluation vous permet d'évaluer les paramètres de configuration de vos ressources existantes.
Note

Les règles proactives ne corrigent pas les ressources marquées comme NON_COMPLIANT et n'empêchent pas leur déploiement.