Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
En AWS Config commençant par AWS CLI
Pour commencer AWS Config avec AWS CLI, utilisez les start-configuration-recordercommandes put-configuration-recorderput-delivery-channel, et, comme suit :
La commande
put-configuration-recorder
crée un nouvel enregistreur de configuration pour enregistrer les configurations de ressources spécifiées.La
put-delivery-channel
commande crée un objet de canal de distribution pour fournir des informations de configuration à un compartiment et à une SNS rubrique S3.Une fois qu'un canal de livraison est créé,
start-configuration-recorder
commence à enregistrer les configurations de ressources que vous avez sélectionnées, lesquelles sont affichées dans votre compte AWS .
Vous pouvez spécifier le nom de l'enregistreur et le nom de ressource Amazon (ARN) du IAM rôle assumé AWS Config et utilisé par l'enregistreur de configuration. AWS Config attribue automatiquement le nom « par défaut » lors de la création de l'enregistreur de configuration. Vous ne pouvez pas modifier le nom de l'enregistreur de configuration après sa création. Pour modifier le nom de l'enregistreur de configuration, vous devez le supprimer et en créer un autre en lui attribuant un nouveau nom.
AWS Config Pour configurer l'agrégation de données multicomptes et multirégions avec le AWS CLI, voir Configuration d'un agrégateur à l'aide de l'interface de AWS ligne de commande. Vous devez créer un enregistreur de configuration distinct pour chaque région dans Compte AWS laquelle vous souhaitez enregistrer des éléments de configuration.
Rubriques
Considérations
Prérequis
Avant de procéder à la configuration AWS Config avec le AWS CLI, vous devez créer un compartiment S3, un SNS sujet et un IAM rôle avec des politiques associées comme conditions préalables. Vous pouvez ensuite utiliser le AWS CLI pour spécifier le compartiment, le sujet et le rôle pour AWS Config. Pour configurer vos prérequis pour AWS Config, consultez la section Conditions préalables.
Un enregistreur de configuration par région et par compte
Vous ne pouvez avoir qu'un seul canal d'enregistrement de configuration pour chaque Région AWS canal Compte AWS, et l'enregistreur de configuration est requis pour être utilisé AWS Config.
Un canal de distribution par région et par compte
Vous ne pouvez avoir qu'un seul canal de distribution par Région AWS région Compte AWS, et le canal de distribution doit être utilisé AWS Config.
Étape 1 : Exécuter la put-configuration-recorder commande
Votre commande put-configuration-recorder
devrait ressembler à l'exemple suivant.
$ aws configservice put-configuration-recorder \ --configuration-recorder
file://configurationRecorder.json
\ --recording-groupfile://recordingGroup.json
Cette commande utilise les ---recording-group
champs --configuration-recorder
et.
Note
Groupe d'enregistrement et enregistreur de configuration
Le champ --recording-group
indique les types de ressources enregistrés.
Le --configuration-recorder
champ indique name
et roleArn
la fréquence d'enregistrement par défaut pour l'enregistreur de configuration (recordingMode
). Vous pouvez également utiliser ce champ pour remplacer la fréquence d’enregistrement de types de ressources spécifiques.
put-configuration-recorder
utilise les options suivantes pour le paramètre --recording-group
:
-
allSupported=true
— AWS Config enregistre les modifications de configuration pour tous les types de ressources pris en charge, à l'exception IAM des types de ressources globaux. Lorsque AWS Config la prise en charge d'un nouveau type de ressource est ajoutée, commence AWS Config automatiquement à enregistrer les ressources de ce type. -
includeGlobalResourceTypes=true
— Cette option est un ensemble qui s'applique uniquement aux types de IAM ressources globaux : IAM utilisateurs, groupes, rôles et politiques gérées par le client. Ces types de IAM ressources globaux ne peuvent être enregistrés que AWS Config dans les régions où AWS Config ils étaient disponibles avant février 2022. Vous ne pouvez pas enregistrer les types de IAM ressources globaux dans les régions prises en charge AWS Config après février 2022. Pour une liste de ces régions, voir AWS Ressources d'enregistrement | Ressources mondiales.Important
Les clusters globaux Aurora sont enregistrés dans toutes les régions activées
Le type de
AWS::RDS::GlobalCluster
ressource sera enregistré dans toutes les AWS Config régions prises en charge où l'enregistreur de configuration est activé, même s'ilincludeGlobalResourceTypes
est défini surfalse
. L'includeGlobalResourceTypes
option est un ensemble qui s'applique uniquement aux IAM utilisateurs, aux groupes, aux rôles et aux politiques gérées par le client.Si vous ne souhaitez pas enregistrer
AWS::RDS::GlobalCluster
dans toutes les régions activées, utilisez l'une des politiques d'enregistrement suivantes :Enregistrer tous les types de ressources actuels et futurs avec des exclusions (
EXCLUSION_BY_RESOURCE_TYPES
), ouEnregistrer des types de ressources spécifiques (
INCLUSION_BY_RESOURCE_TYPES
).
Pour plus d'informations, consultez Sélection des ressources qui sont enregistrées.
Important
includeGlobalResourceLes types et la stratégie d'enregistrement des exclusions
Le
includeGlobalResourceTypes
champ n'a aucun impact sur la stratégieEXCLUSION_BY_RESOURCE_TYPES
d'enregistrement. Cela signifie que les types de IAM ressources globaux (IAMutilisateurs, groupes, rôles et politiques gérées par le client) ne seront pas automatiquement ajoutés en tant qu'exclusions pour leexclusionByResourceTypes
momentincludeGlobalResourceTypes
défini surfalse
.Le
includeGlobalResourceTypes
champ ne doit être utilisé que pour modifier leAllSupported
champ, car le champ par défaut est d'enregistrer lesAllSupported
modifications de configuration pour tous les types de ressources pris en charge, à l'exception IAM des types de ressources globaux. Pour inclure les types de IAM ressources globaux lorsqueAllSupported
ce paramètre est défini surtrue
, assurez-vous de leincludeGlobalResourceTypes
définir surtrue
.Pour exclure les types de IAM ressources globaux pour la stratégie
EXCLUSION_BY_RESOURCE_TYPES
d'enregistrement, vous devez les ajouter manuellementresourceTypes
dans le champ deexclusionByResourceTypes
.Note
Champs obligatoires et facultatifs
Avant de définir
includeGlobalResourceTypes
surtrue
, définissez le champallSupported
surtrue
.Vous pouvez éventuellement définir le champ
useOnly
deRecordingStrategy
surALL_SUPPORTED_RESOURCE_TYPES
(facultatif).Note
Champs de remplacement
Si vous définissez cette
includeGlobalResourceTypes
option,false
mais que vous listez les types de IAM ressources globaux dans leresourceTypes
champ de RecordingGroup, les modifications de configuration pour les types de ressources spécifiés AWS Config seront toujours enregistrées, que vous ayez défini leincludeGlobalResourceTypes
champ sur false ou non.Si vous ne souhaitez pas enregistrer les modifications de configuration apportées aux types de IAM ressources globaux (IAMutilisateurs, groupes, rôles et politiques gérées par le client), veillez à ne pas les répertorier dans le
resourceTypes
champ en plus de définir leincludeGlobalResourceTypes
champ sur false. -
recordingStrategy
: indique la politique d'enregistrement appliqué à l'enregistreur de configuration. Le fichierrecordingGroup.json
spécifie les types de ressources qui seront enregistrés par AWS Config :-
Si vous définissez le
useOnly
champ surALL_SUPPORTED_RESOURCE_TYPES
, AWS Config enregistre les modifications de RecordingStrategyconfiguration pour tous les types de ressources pris en charge, à l'exception IAM des types de ressources globaux. Vous pouvez éventuellement définir leallSupported
champ de RecordingGroupàtrue
. Lorsque AWS Config la prise en charge d'un nouveau type de ressource est ajoutée, commence AWS Config automatiquement à enregistrer les ressources de ce type. -
Si vous définissez le
useOnly
champ de RecordingStrategyàINCLUSION_BY_RESOURCE_TYPES
, AWS Config enregistre les modifications de configuration uniquement pour les types de ressources que vous spécifiez dans leresourceTypes
champ de RecordingGroup. Si vous définissez le
useOnly
champ RecordingStrategyàEXCLUSION_BY_RESOURCE_TYPES
, AWS Config enregistre les modifications de configuration pour tous les types de ressources pris en charge, à l'exception des types de ressources que vous spécifiez comme devant être exclus de l'enregistrement dans leresourceTypes
champ de ExclusionByResourceTypes.
Note
Champs obligatoires et facultatifs
Le champ
recordingStrategy
est facultatif lorsque vous définissez le champallSupported
de--recording-group
surtrue
.Le champ
recordingStrategy
est facultatif lorsque vous répertoriez les types de ressources dans le champresourceTypes
de--recording-group
.Le champ
recordingStrategy
est obligatoire si vous répertoriez les types de ressources à exclure de l'enregistrement dans le champresourceTypes
deexclusionByResourceTypes
.Note
Champs de remplacement
Si vous choisissez
EXCLUSION_BY_RESOURCE_TYPES
pour la politique d'enregistrement, le champexclusionByResourceTypes
remplacera les autres propriétés de la requête.Par exemple, même si vous définissez
includeGlobalResourceTypes
la valeur sur false, les types de IAM ressources globaux seront toujours automatiquement enregistrés dans cette option, sauf si ces types de ressources sont spécifiquement répertoriés en tant qu'exemptions dans leresourceTypes
champ deexclusionByResourceTypes
.Note
Types de ressources globales et politique d'enregistrement des exclusions de ressources
Par défaut, si vous choisissez la stratégie
EXCLUSION_BY_RESOURCE_TYPES
d'enregistrement, when AWS Config ajoute la prise en charge d'un nouveau type de ressource dans la région où vous avez configuré l'enregistreur de configuration, y compris les types de ressources globaux, AWS Config commence à enregistrer automatiquement les ressources de ce type.Sauf mention contraire dans la liste des exclusions, ils
AWS::RDS::GlobalCluster
seront enregistrés automatiquement dans toutes les AWS Config régions prises en charge où l'enregistreur de configuration est activé.IAMles utilisateurs, les groupes, les rôles et les politiques gérées par le client seront enregistrés dans la région dans laquelle vous avez configuré l'enregistreur de configuration s'il AWS Config s'agit d'une région disponible avant février 2022. Vous ne pouvez pas enregistrer les types de IAM ressources globaux dans les régions prises en charge AWS Config après février 2022. Pour une liste de ces régions, voir AWS Ressources d'enregistrement | Ressources mondiales.
Voici la syntaxe de la demande pour
recordingGroup.json
.{ "allSupported":
boolean
, "exclusionByResourceTypes": { "resourceTypes": [Comma-separated list of resource types to exclude
] }, "includeGlobalResourceTypes":boolean
, "recordingStrategy": { "useOnly": "Recording strategy for the configuration recorder
" }, "resourceTypes": [Comma-separated list of resource types to include
] }Note
Politiques d'autorisation pour les accès AWS Organizations Can Prevent
Si vous utilisez un IAM rôle préexistant, assurez-vous qu'aucune politique d'autorisation n' AWS Config empêche AWS Organizations d'avoir l'autorisation d'enregistrer vos ressources. Pour plus d'informations sur les politiques d'autorisation pour AWS Organizations, consultez la section Gestion des politiques AWS Organizations dans le Guide de AWS Organizations l'utilisateur.
Conservez le minimum d'autorisations lors de la réutilisation d'un rôle IAM
Si vous utilisez un AWS service qui utilise AWS Config, tel que AWS Security Hub ou AWS Control Tower, et qu'un IAM rôle a déjà été créé, assurez-vous que le IAM rôle que vous utilisez lors de la configuration AWS Config conserve les mêmes autorisations minimales que le IAM rôle préexistant. Vous devez le faire pour vous assurer que l'autre AWS service continue de fonctionner comme prévu.
Par exemple, si AWS Control Tower un IAM rôle permet de AWS Config lire des objets S3, assurez-vous que les mêmes autorisations sont accordées au IAM rôle que vous utilisez lors de la configuration AWS Config. Dans le cas contraire, cela pourrait interférer avec le AWS Control Tower fonctionnement.
Note
Nombre élevé d' AWS Config évaluations
Vous remarquerez peut-être une augmentation de l'activité de votre compte lors de votre premier mois d'enregistrement avec AWS Config par rapport aux mois suivants. Au cours du processus de démarrage initial, AWS Config exécute des évaluations sur toutes les ressources de votre compte que vous avez sélectionnées AWS Config pour enregistrement.
Si vous exécutez des charges de travail éphémères, vous constaterez peut-être une augmentation de l'activité en raison de AWS Config l'enregistrement des modifications de configuration associées à la création et à la suppression de ces ressources temporaires. Une charge de travail éphémère est une utilisation temporaire des ressources informatiques chargées et exécutées si nécessaire. Les exemples incluent les instances Spot Amazon Elastic Compute Cloud (AmazonEC2), les EMR jobs Amazon et AWS Auto Scaling. Si vous souhaitez éviter l'augmentation de l'activité liée à l'exécution de charges de travail éphémères, vous pouvez configurer l'enregistreur de configuration pour exclure l'enregistrement de ces types de ressources, ou exécuter ces types de charges de travail dans un compte distinct en désactivant pour éviter d' AWS Config augmenter l'enregistrement des configurations et l'évaluation des règles.
Note
Disponibilité dans les régions
Avant de spécifier un type de ressource AWS Config à suivre, vérifiez la couverture des ressources par région disponible pour voir si le type de ressource est pris en charge dans la AWS région dans laquelle vous configurez AWS Config. Si un type de ressource est pris AWS Config en charge par au moins une région, vous pouvez activer l'enregistrement de ce type de ressource dans toutes les régions prises en charge AWS Config, même si le type de ressource spécifié n'est pas pris en charge dans la AWS région dans laquelle vous configurez AWS Config.
-
put-configuration-recorder
utilise les champs suivants pour le paramètre --configuration-recorder
:
name
— Nom de l'enregistreur de configuration. AWS Config attribue automatiquement le nom « par défaut » lors de la création de l'enregistreur de configuration.roleARN
— Amazon Resource Name (ARN) du IAM rôle assumé AWS Config et utilisé par l'enregistreur de configuration.recordingMode
— Spécifie la fréquence d'enregistrement par défaut AWS Config utilisée pour enregistrer les modifications de configuration. AWS Config prend en charge l'enregistrement continu et l'enregistrement quotidien. L’enregistrement en continu vous permet d’enregistrer les modifications de configuration en continu, chaque fois qu’un changement a lieu. L’enregistrement quotidien vous permet de recevoir un élément de configuration représentant l’état le plus récent de vos ressources au cours des dernières 24 heures, uniquement s’il diffère de l’élément de configuration enregistré précédemment.-
recordingFrequency
— Fréquence d'enregistrement par défaut AWS Config utilisée pour enregistrer les modifications de configuration.Note
AWS Firewall Manager dépend de l'enregistrement continu pour surveiller vos ressources. Si vous utilisez Firewall Manager, il est recommandé de définir la fréquence d’enregistrement sur Continu.
-
recordingModeOverrides
: ce champ vous permet de définir vos exclusions pour le mode d’enregistrement. Il s’agit d’un tableau d’objetsrecordingModeOverride
. Chaque objetrecordingModeOverride
du tableaurecordingModeOverrides
comprend trois champs :description
: description que vous fournissez pour l’exclusion.recordingFrequency
: fréquence d’enregistrement qui sera appliquée à tous les types de ressources spécifiés dans l’exclusion.resourceTypes
— Liste séparée par des virgules qui indique les types de ressources AWS Config inclus dans la dérogation.
-
Note
Champs obligatoires et facultatifs
Le champ recordingMode
pour put-configuration-recorder
est facultatif. Par défaut, la fréquence d’enregistrement de l’enregistreur de configuration est définie sur Enregistrement en continu.
Note
Restrictions
L’enregistrement quotidien ne prend pas en charge les types de ressources suivants :
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
Pour la stratégie d’enregistrement Enregistrer tous les types de ressources actuels et futurs pris en charge (ALL_SUPPORTED_RESOURCE_TYPES
), ces types de ressources seront définis sur Enregistrement en continu.
Le configurationRecorder.json
fichier spécifie name
et roleArn
la fréquence d'enregistrement par défaut pour l'enregistreur de configuration (recordingMode
). Vous pouvez également utiliser ce champ pour remplacer la fréquence d’enregistrement de types de ressources spécifiques.
{ "name": "default", "roleARN": "
arn:aws:iam::123456789012:role/config-role
", "recordingMode": { "recordingFrequency":CONTINUOUS
orDAILY
, "recordingModeOverrides": [ { "description": "Description you provide for the override
", "recordingFrequency":CONTINUOUS
orDAILY
, "resourceTypes": [Comma-separated list of resource types to include in the override
] } ] } }
Étape 2 : Exécuter la put-delivery-channel commande
Les exemples de code suivants montrent comment utiliserPutDeliveryChannel
.
Étape 3 : Exécuter la start-configuration-recorder commande
Pour terminer l'activation AWS Config, utilisez la start-configuration-recorder
commande.
$ aws configservice start-configuration-recorder --configuration-recorder-name
configRecorderName