En AWS Config commençant par AWS CLI - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

En AWS Config commençant par AWS CLI

Pour commencer AWS Config avec AWS CLI, utilisez les start-configuration-recordercommandes put-configuration-recorderput-delivery-channel, et, comme suit :

  • La commande put-configuration-recorder crée un nouvel enregistreur de configuration pour enregistrer les configurations de ressources spécifiées.

  • La put-delivery-channel commande crée un objet de canal de distribution pour fournir des informations de configuration à un compartiment et à une SNS rubrique S3.

  • Une fois qu'un canal de livraison est créé, start-configuration-recorder commence à enregistrer les configurations de ressources que vous avez sélectionnées, lesquelles sont affichées dans votre compte AWS .

Vous pouvez spécifier le nom de l'enregistreur et le nom de ressource Amazon (ARN) du IAM rôle assumé AWS Config et utilisé par l'enregistreur de configuration. AWS Config attribue automatiquement le nom « par défaut » lors de la création de l'enregistreur de configuration. Vous ne pouvez pas modifier le nom de l'enregistreur de configuration après sa création. Pour modifier le nom de l'enregistreur de configuration, vous devez le supprimer et en créer un autre en lui attribuant un nouveau nom.

AWS Config Pour configurer l'agrégation de données multicomptes et multirégions avec le AWS CLI, voir Configuration d'un agrégateur à l'aide de l'interface de AWS ligne de commande. Vous devez créer un enregistreur de configuration distinct pour chaque région dans Compte AWS laquelle vous souhaitez enregistrer des éléments de configuration.

Considérations

Prérequis

Avant de procéder à la configuration AWS Config avec le AWS CLI, vous devez créer un compartiment S3, un SNS sujet et un IAM rôle avec des politiques associées comme conditions préalables. Vous pouvez ensuite utiliser le AWS CLI pour spécifier le compartiment, le sujet et le rôle pour AWS Config. Pour configurer vos prérequis pour AWS Config, consultez la section Conditions préalables.

Un enregistreur de configuration par région et par compte

Vous ne pouvez avoir qu'un seul canal d'enregistrement de configuration pour chaque Région AWS canal Compte AWS, et l'enregistreur de configuration est requis pour être utilisé AWS Config.

Un canal de distribution par région et par compte

Vous ne pouvez avoir qu'un seul canal de distribution par Région AWS région Compte AWS, et le canal de distribution doit être utilisé AWS Config.

Étape 1 : Exécuter la put-configuration-recorder commande

Votre commande put-configuration-recorder devrait ressembler à l'exemple suivant.

$ aws configservice put-configuration-recorder \ --configuration-recorder file://configurationRecorder.json \ --recording-group file://recordingGroup.json

Cette commande utilise les ---recording-group champs --configuration-recorder et.

Note

Groupe d'enregistrement et enregistreur de configuration

Le champ --recording-group indique les types de ressources enregistrés.

Le --configuration-recorder champ indique name et roleArn la fréquence d'enregistrement par défaut pour l'enregistreur de configuration (recordingMode). Vous pouvez également utiliser ce champ pour remplacer la fréquence d’enregistrement de types de ressources spécifiques.

put-configuration-recorder utilise les options suivantes pour le paramètre --recording-group :

  • allSupported=true— AWS Config enregistre les modifications de configuration pour tous les types de ressources pris en charge, à l'exception IAM des types de ressources globaux. Lorsque AWS Config la prise en charge d'un nouveau type de ressource est ajoutée, commence AWS Config automatiquement à enregistrer les ressources de ce type.

  • includeGlobalResourceTypes=true— Cette option est un ensemble qui s'applique uniquement aux types de IAM ressources globaux : IAM utilisateurs, groupes, rôles et politiques gérées par le client. Ces types de IAM ressources globaux ne peuvent être enregistrés que AWS Config dans les régions où AWS Config ils étaient disponibles avant février 2022. Vous ne pouvez pas enregistrer les types de IAM ressources globaux dans les régions prises en charge AWS Config après février 2022. Pour une liste de ces régions, voir AWS Ressources d'enregistrement | Ressources mondiales.

    Important

    Les clusters globaux Aurora sont enregistrés dans toutes les régions activées

    Le type de AWS::RDS::GlobalCluster ressource sera enregistré dans toutes les AWS Config régions prises en charge où l'enregistreur de configuration est activé, même s'il includeGlobalResourceTypes est défini surfalse. L'includeGlobalResourceTypesoption est un ensemble qui s'applique uniquement aux IAM utilisateurs, aux groupes, aux rôles et aux politiques gérées par le client.

    Si vous ne souhaitez pas enregistrer AWS::RDS::GlobalCluster dans toutes les régions activées, utilisez l'une des politiques d'enregistrement suivantes :

    1. Enregistrer tous les types de ressources actuels et futurs avec des exclusions (EXCLUSION_BY_RESOURCE_TYPES), ou

    2. Enregistrer des types de ressources spécifiques (INCLUSION_BY_RESOURCE_TYPES).

    Pour plus d'informations, consultez Sélection des ressources qui sont enregistrées.

    Important

    includeGlobalResourceLes types et la stratégie d'enregistrement des exclusions

    Le includeGlobalResourceTypes champ n'a aucun impact sur la stratégie EXCLUSION_BY_RESOURCE_TYPES d'enregistrement. Cela signifie que les types de IAM ressources globaux (IAMutilisateurs, groupes, rôles et politiques gérées par le client) ne seront pas automatiquement ajoutés en tant qu'exclusions pour le exclusionByResourceTypes moment includeGlobalResourceTypes défini surfalse.

    Le includeGlobalResourceTypes champ ne doit être utilisé que pour modifier le AllSupported champ, car le champ par défaut est d'enregistrer les AllSupported modifications de configuration pour tous les types de ressources pris en charge, à l'exception IAM des types de ressources globaux. Pour inclure les types de IAM ressources globaux lorsque AllSupported ce paramètre est défini surtrue, assurez-vous de le includeGlobalResourceTypes définir surtrue.

    Pour exclure les types de IAM ressources globaux pour la stratégie EXCLUSION_BY_RESOURCE_TYPES d'enregistrement, vous devez les ajouter manuellement resourceTypes dans le champ deexclusionByResourceTypes.

    Note

    Champs obligatoires et facultatifs

    Avant de définir includeGlobalResourceTypes sur true, définissez le champ allSupported sur true.

    Vous pouvez éventuellement définir le champ useOnly de RecordingStrategy sur ALL_SUPPORTED_RESOURCE_TYPES (facultatif).

    Note

    Champs de remplacement

    Si vous définissez cette includeGlobalResourceTypes option, false mais que vous listez les types de IAM ressources globaux dans le resourceTypes champ de RecordingGroup, les modifications de configuration pour les types de ressources spécifiés AWS Config seront toujours enregistrées, que vous ayez défini le includeGlobalResourceTypes champ sur false ou non.

    Si vous ne souhaitez pas enregistrer les modifications de configuration apportées aux types de IAM ressources globaux (IAMutilisateurs, groupes, rôles et politiques gérées par le client), veillez à ne pas les répertorier dans le resourceTypes champ en plus de définir le includeGlobalResourceTypes champ sur false.

  • recordingStrategy : indique la politique d'enregistrement appliqué à l'enregistreur de configuration. Le fichier recordingGroup.json spécifie les types de ressources qui seront enregistrés par AWS Config  :

    • Si vous définissez le useOnly champ surALL_SUPPORTED_RESOURCE_TYPES, AWS Config enregistre les modifications de RecordingStrategyconfiguration pour tous les types de ressources pris en charge, à l'exception IAM des types de ressources globaux. Vous pouvez éventuellement définir le allSupported champ de RecordingGroupàtrue. Lorsque AWS Config la prise en charge d'un nouveau type de ressource est ajoutée, commence AWS Config automatiquement à enregistrer les ressources de ce type.

    • Si vous définissez le useOnly champ de RecordingStrategyàINCLUSION_BY_RESOURCE_TYPES, AWS Config enregistre les modifications de configuration uniquement pour les types de ressources que vous spécifiez dans le resourceTypes champ de RecordingGroup.

    • Si vous définissez le useOnly champ RecordingStrategyàEXCLUSION_BY_RESOURCE_TYPES, AWS Config enregistre les modifications de configuration pour tous les types de ressources pris en charge, à l'exception des types de ressources que vous spécifiez comme devant être exclus de l'enregistrement dans le resourceTypes champ de ExclusionByResourceTypes.

    Note

    Champs obligatoires et facultatifs

    Le champ recordingStrategy est facultatif lorsque vous définissez le champ allSupported de --recording-group sur true.

    Le champ recordingStrategy est facultatif lorsque vous répertoriez les types de ressources dans le champ resourceTypes de --recording-group.

    Le champ recordingStrategy est obligatoire si vous répertoriez les types de ressources à exclure de l'enregistrement dans le champ resourceTypes de exclusionByResourceTypes.

    Note

    Champs de remplacement

    Si vous choisissez EXCLUSION_BY_RESOURCE_TYPES pour la politique d'enregistrement, le champ exclusionByResourceTypes remplacera les autres propriétés de la requête.

    Par exemple, même si vous définissez includeGlobalResourceTypes la valeur sur false, les types de IAM ressources globaux seront toujours automatiquement enregistrés dans cette option, sauf si ces types de ressources sont spécifiquement répertoriés en tant qu'exemptions dans le resourceTypes champ deexclusionByResourceTypes.

    Note

    Types de ressources globales et politique d'enregistrement des exclusions de ressources

    Par défaut, si vous choisissez la stratégie EXCLUSION_BY_RESOURCE_TYPES d'enregistrement, when AWS Config ajoute la prise en charge d'un nouveau type de ressource dans la région où vous avez configuré l'enregistreur de configuration, y compris les types de ressources globaux, AWS Config commence à enregistrer automatiquement les ressources de ce type.

    Sauf mention contraire dans la liste des exclusions, ils AWS::RDS::GlobalCluster seront enregistrés automatiquement dans toutes les AWS Config régions prises en charge où l'enregistreur de configuration est activé.

    IAMles utilisateurs, les groupes, les rôles et les politiques gérées par le client seront enregistrés dans la région dans laquelle vous avez configuré l'enregistreur de configuration s'il AWS Config s'agit d'une région disponible avant février 2022. Vous ne pouvez pas enregistrer les types de IAM ressources globaux dans les régions prises en charge AWS Config après février 2022. Pour une liste de ces régions, voir AWS Ressources d'enregistrement | Ressources mondiales.

    Voici la syntaxe de la demande pour recordingGroup.json.

    { "allSupported": boolean, "exclusionByResourceTypes": { "resourceTypes": [ Comma-separated list of resource types to exclude ] }, "includeGlobalResourceTypes": boolean, "recordingStrategy": { "useOnly": "Recording strategy for the configuration recorder" }, "resourceTypes": [ Comma-separated list of resource types to include] }
    Note

    Politiques d'autorisation pour les accès AWS Organizations Can Prevent

    Si vous utilisez un IAM rôle préexistant, assurez-vous qu'aucune politique d'autorisation n' AWS Config empêche AWS Organizations d'avoir l'autorisation d'enregistrer vos ressources. Pour plus d'informations sur les politiques d'autorisation pour AWS Organizations, consultez la section Gestion des politiques AWS Organizations dans le Guide de AWS Organizations l'utilisateur.

    Conservez le minimum d'autorisations lors de la réutilisation d'un rôle IAM

    Si vous utilisez un AWS service qui utilise AWS Config, tel que AWS Security Hub ou AWS Control Tower, et qu'un IAM rôle a déjà été créé, assurez-vous que le IAM rôle que vous utilisez lors de la configuration AWS Config conserve les mêmes autorisations minimales que le IAM rôle préexistant. Vous devez le faire pour vous assurer que l'autre AWS service continue de fonctionner comme prévu.

    Par exemple, si AWS Control Tower un IAM rôle permet de AWS Config lire des objets S3, assurez-vous que les mêmes autorisations sont accordées au IAM rôle que vous utilisez lors de la configuration AWS Config. Dans le cas contraire, cela pourrait interférer avec le AWS Control Tower fonctionnement.

    Note

    Nombre élevé d' AWS Config évaluations

    Vous remarquerez peut-être une augmentation de l'activité de votre compte lors de votre premier mois d'enregistrement avec AWS Config par rapport aux mois suivants. Au cours du processus de démarrage initial, AWS Config exécute des évaluations sur toutes les ressources de votre compte que vous avez sélectionnées AWS Config pour enregistrement.

    Si vous exécutez des charges de travail éphémères, vous constaterez peut-être une augmentation de l'activité en raison de AWS Config l'enregistrement des modifications de configuration associées à la création et à la suppression de ces ressources temporaires. Une charge de travail éphémère est une utilisation temporaire des ressources informatiques chargées et exécutées si nécessaire. Les exemples incluent les instances Spot Amazon Elastic Compute Cloud (AmazonEC2), les EMR jobs Amazon et AWS Auto Scaling. Si vous souhaitez éviter l'augmentation de l'activité liée à l'exécution de charges de travail éphémères, vous pouvez configurer l'enregistreur de configuration pour exclure l'enregistrement de ces types de ressources, ou exécuter ces types de charges de travail dans un compte distinct en désactivant pour éviter d' AWS Config augmenter l'enregistrement des configurations et l'évaluation des règles.

    Note

    Disponibilité dans les régions

    Avant de spécifier un type de ressource AWS Config à suivre, vérifiez la couverture des ressources par région disponible pour voir si le type de ressource est pris en charge dans la AWS région dans laquelle vous configurez AWS Config. Si un type de ressource est pris AWS Config en charge par au moins une région, vous pouvez activer l'enregistrement de ce type de ressource dans toutes les régions prises en charge AWS Config, même si le type de ressource spécifié n'est pas pris en charge dans la AWS région dans laquelle vous configurez AWS Config.

put-configuration-recorder utilise les champs suivants pour le paramètre --configuration-recorder :

  • name— Nom de l'enregistreur de configuration. AWS Config attribue automatiquement le nom « par défaut » lors de la création de l'enregistreur de configuration.

  • roleARN— Amazon Resource Name (ARN) du IAM rôle assumé AWS Config et utilisé par l'enregistreur de configuration.

  • recordingMode— Spécifie la fréquence d'enregistrement par défaut AWS Config utilisée pour enregistrer les modifications de configuration. AWS Config prend en charge l'enregistrement continu et l'enregistrement quotidien. L’enregistrement en continu vous permet d’enregistrer les modifications de configuration en continu, chaque fois qu’un changement a lieu. L’enregistrement quotidien vous permet de recevoir un élément de configuration représentant l’état le plus récent de vos ressources au cours des dernières 24 heures, uniquement s’il diffère de l’élément de configuration enregistré précédemment.

    • recordingFrequency— Fréquence d'enregistrement par défaut AWS Config utilisée pour enregistrer les modifications de configuration.

      Note

      AWS Firewall Manager dépend de l'enregistrement continu pour surveiller vos ressources. Si vous utilisez Firewall Manager, il est recommandé de définir la fréquence d’enregistrement sur Continu.

    • recordingModeOverrides : ce champ vous permet de définir vos exclusions pour le mode d’enregistrement. Il s’agit d’un tableau d’objets recordingModeOverride. Chaque objet recordingModeOverride du tableau recordingModeOverrides comprend trois champs :

      • description : description que vous fournissez pour l’exclusion.

      • recordingFrequency : fréquence d’enregistrement qui sera appliquée à tous les types de ressources spécifiés dans l’exclusion.

      • resourceTypes— Liste séparée par des virgules qui indique les types de ressources AWS Config inclus dans la dérogation.

Note

Champs obligatoires et facultatifs

Le champ recordingMode pour put-configuration-recorder est facultatif. Par défaut, la fréquence d’enregistrement de l’enregistreur de configuration est définie sur Enregistrement en continu.

Note

Restrictions

L’enregistrement quotidien ne prend pas en charge les types de ressources suivants :

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Pour la stratégie d’enregistrement Enregistrer tous les types de ressources actuels et futurs pris en charge (ALL_SUPPORTED_RESOURCE_TYPES), ces types de ressources seront définis sur Enregistrement en continu.

Le configurationRecorder.json fichier spécifie name et roleArn la fréquence d'enregistrement par défaut pour l'enregistreur de configuration (recordingMode). Vous pouvez également utiliser ce champ pour remplacer la fréquence d’enregistrement de types de ressources spécifiques.

{ "name": "default", "roleARN": "arn:aws:iam::123456789012:role/config-role", "recordingMode": { "recordingFrequency": CONTINUOUS or DAILY, "recordingModeOverrides": [ { "description": "Description you provide for the override", "recordingFrequency": CONTINUOUS or DAILY, "resourceTypes": [ Comma-separated list of resource types to include in the override ] } ] } }

Étape 2 : Exécuter la put-delivery-channel commande

Les exemples de code suivants montrent comment utiliserPutDeliveryChannel.

CLI
AWS CLI

Pour créer un canal de diffusion

La commande suivante fournit les paramètres du canal de diffusion sous forme de JSON code :

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Le deliveryChannel.json fichier spécifie les attributs du canal de diffusion :

{ "name": "default", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }

Cet exemple définit les attributs suivants :

name- Le nom du canal de diffusion. Par défaut, AWS Config attribue le nom default à un nouveau canal de distribution. Vous ne pouvez pas mettre à jour le nom du canal de distribution avec la commande. put-delivery-channel Pour connaître les étapes à suivre pour modifier le nom, voir Renommer le canal de diffusion. s3BucketName - Le nom du compartiment Amazon S3 auquel AWS Config fournit des instantanés de configuration et des fichiers d'historique de configuration. Si vous spécifiez un compartiment appartenant à un autre AWS compte, ce compartiment doit disposer de politiques accordant des autorisations d'accès à Config. AWS Pour de plus d'informations, consultez Autorisations pour le compartiment Amazon S3.

snsTopicARN- Le nom de ressource Amazon (ARN) du SNS sujet Amazon auquel AWS Config envoie des notifications concernant les modifications de configuration. Si vous choisissez un sujet depuis un autre compte, le sujet doit avoir des politiques accordant des autorisations d'accès à Config AWS . Pour plus d'informations, consultez la section Autorisations pour la SNS rubrique Amazon.

configSnapshotDeliveryProperties- Contient l'deliveryFrequencyattribut, qui définit la fréquence à laquelle AWS Config fournit des instantanés de configuration et la fréquence à laquelle il invoque des évaluations pour les règles de configuration périodiques.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre canal de diffusion, exécutez la describe-delivery-channels commande.

  • Pour API plus de détails, voir PutDeliveryChannella section Référence des AWS CLI commandes.

PowerShell
Outils pour PowerShell

Exemple 1 : Cet exemple modifie les deliveryFrequency propriétés d'un canal de distribution existant.

Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName amzn-s3-demo-bucket -DeliveryChannel_S3KeyPrefix my
  • Pour API plus de détails, consultez la section PutDeliveryChannelRéférence des AWS Tools for PowerShell applets de commande.

Étape 3 : Exécuter la start-configuration-recorder commande

Pour terminer l'activation AWS Config, utilisez la start-configuration-recordercommande.

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName