Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Config Règles personnalisées
AWS Config Les règles personnalisées sont des règles que vous créez de toutes pièces. Il existe deux manières de créer des règles AWS Config personnalisées : avec les fonctions Lambda (Guide du AWS Lambda développeur) et avec Guard (Guard GitHub Repository
AWS Config les règles personnalisées créées avec Lambda sont appelées règles AWS Config Lambda AWS Config personnalisées et les règles personnalisées créées avec Guard sont appelées AWS Config règles de politique personnalisées.
AWS Config Règles de politique personnalisées
Les règles écrites à l'aide de Guard peuvent être créées à partir de la AWS Config console ou à l'aide des API de AWS Config règles. AWS Config Les règles de politique personnalisées vous permettent de créer des règles AWS Config personnalisées sans avoir à utiliser Java ou Python pour développer des fonctions Lambda afin de gérer vos règles personnalisées. AWS Config Les règles de politique personnalisées sont initiées par des modifications de configuration. Pour plus d'informations sur Guard, consultez le GitHubréférentiel Guard
AWS Config Règles Lambda personnalisées
Les règles Lambda personnalisées vous permettent d'utiliser Java ou Python pour créer une fonction Lambda pour une règle personnalisée. AWS Config Une fonction Lambda est un code personnalisé que vous téléchargez et qui est invoqué par des événements qui y sont publiés par une source d'événements. AWS Lambda Si la fonction Lambda est associée à une AWS Config règle, elle l' AWS Config invoque lorsque la règle est initiée. La fonction Lambda évalue ensuite les informations de configuration envoyées par et renvoie AWS Config les résultats de l'évaluation. Pour plus d'informations sur les fonctions Lambda, consultez Fonction et sources d'événements dans le Guide du développeur AWS Lambda .
Considérations de coût
Pour plus de détails sur les coûts associés à l'enregistrement des ressources, consultez la section AWS Config tarification
Recommandation : ajouter une logique pour gérer l'évaluation des ressources supprimées pour les règles Lambda personnalisées
Lorsque vous créez AWS Config des règles lambda personnalisées, il est vivement recommandé d'ajouter une logique pour gérer l'évaluation des ressources supprimées.
Lorsque les résultats de l'évaluation sont marqués comme NOT_APPLICABLE
, ils seront marqués pour suppression et nettoyés. S'ils ne sont PAS marqués comme NOT_APPLICABLE
, les résultats de l'évaluation resteront inchangés jusqu'à ce que la règle soit supprimée, en risquant d'entraîner une augmentation inattendue de la création d'éléments de configuration (CI) pour AWS::Config::ResourceCompliance
lors de la suppression de la règle.
Pour plus d'informations sur la façon de définir AWS Config des règles Lambda personnalisées NOT_APPLICABLE
pour récupérer les ressources supprimées, voir Gestion des ressources supprimées avec des règles Lambda AWS Config personnalisées.
Recommandation : fournir les ressources nécessaires pour les règles Lambda personnalisées
AWS Config Les règles Lambda personnalisées peuvent entraîner un nombre élevé d'appels de fonctions Lambda si la règle n'est pas limitée à un ou plusieurs types de ressources. Pour éviter une augmentation de l'activité associée à votre compte, il est vivement recommandé de fournir des ressources correspondant à vos règles Lambda personnalisées. Si aucun type de ressource n'est sélectionné, la règle invoquera la fonction Lambda pour toutes les ressources du compte.
Recommandation : arrêtez d'enregistrer la conformité des ressources avant de supprimer les règles
Il est vivement recommandé d'arrêter l'enregistrement pour le type de AWS::Config::ResourceCompliance
ressource avant de supprimer les règles de votre compte. La suppression de règles crée des CI pour votre enregistreur de AWS Config configuration AWS::Config::ResourceCompliance
et peut avoir une incidence sur les coûts de votre enregistreur. Si vous supprimez des règles qui évaluent un grand nombre de types de ressources, cela peut entraîner une augmentation du nombre de CI enregistrés.
Bonnes pratiques :
Arrêter l'enregistrement
AWS::Config::ResourceCompliance
Supprimer une ou plusieurs règles
Activez l'enregistrement pour
AWS::Config::ResourceCompliance
Types de déclencheurs
Après avoir ajouté une règle à votre compte, AWS Config comparez vos ressources aux conditions de cette règle. Après cette évaluation initiale, AWS Config continue à exécuter des évaluations chaque fois qu'une évaluation est déclenchée. Les déclencheurs d'évaluation sont définis dans le cadre de la règle et peuvent inclure les types suivants.
Type de déclencheur | Description |
---|---|
Configuration changes | AWS Config exécute des évaluations pour la règle lorsqu'une ressource correspond au champ d'application de la règle et qu'il y a un changement de configuration de la ressource. L'évaluation s'exécute après l' AWS Config envoi d'une notification de modification d'élément de configuration. Vous choisissez quelles ressources déclenchent l'évaluation en définissant la portée de la règle. La portée peut inclure les éléments suivants :
AWS Config exécute l'évaluation lorsqu'il détecte une modification apportée à une ressource correspondant au champ d'application de la règle. Vous pouvez utiliser la portée afin de définir les ressources qui déclenchent des évaluations. |
Périodique | AWS Config exécute des évaluations de la règle à la fréquence que vous choisissez, par exemple toutes les 24 heures. |
Hybride | Certaines règles comportent à la fois des changements de configuration et des déclencheurs périodiques. Pour ces règles, AWS Config évalue vos ressources lorsqu'il détecte un changement de configuration et également à la fréquence que vous spécifiez. |
Modes d'évaluation
Il existe deux modes d'évaluation des AWS Config règles.
Mode d'évaluation | Description |
---|---|
Proactif | Utilisez l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait CONFORME ou NON_COMPLIANT compte tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région. Pour plus d'informations, consultez Modes d'évaluation. Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation. |
Détective | Utilisez l'évaluation détective pour évaluer les ressources déjà déployées. Ce type d'évaluation vous permet d'évaluer les paramètres de configuration de vos ressources existantes. |
Note
Les règles proactives ne corrigent pas les ressources marquées comme NON_COMPLIANT et n'empêchent pas leur déploiement.