Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration manuelle pour AWS Config
Avec le flux de travail Get started, vous pouvez effectuer toutes les sélections manuelles du processus de configuration pour commencer à utiliser la AWS Config console. Pour un processus de démarrage simplifié, voir Configuration en un clic.
Pour effectuer la configuration à l' AWS Config aide de la console à l'aide de Get started
Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/
. -
Sélectionnez Mise en route.
La page de configuration comprend trois étapes. Vous trouverez ci-dessous une description détaillée de cette procédure une fois que vous aurez choisi Mise en route.
-
Paramètres : pour sélectionner la manière dont la AWS Config console enregistre les ressources et les rôles, et pour choisir où l'historique de configuration et les fichiers instantanés de configuration sont envoyés.
-
Règles : pour Régions AWS ces AWS Config règles de support, cette étape vous permet de configurer les règles gérées initiales que vous pouvez ajouter à votre compte. Après la configuration, AWS Config évaluera vos AWS ressources par rapport aux règles que vous avez choisies. Des règles supplémentaires peuvent être créées et les règles existantes peuvent être mises à jour dans votre compte après la configuration.
-
Révision : pour vérifier les détails de votre configuration.
Étape 1 : Réglages
Stratégie d’enregistrement
Dans la section Méthode d’enregistrement, choisissez une stratégie d’enregistrement. Vous pouvez spécifier les AWS ressources que vous AWS Config souhaitez enregistrer.
Considérations relatives à l'enregistrement des ressources
Nombre élevé d' AWS Config évaluations
Vous remarquerez peut-être une augmentation de l'activité de votre compte lors de votre premier mois d'enregistrement avec AWS Config par rapport aux mois suivants. Au cours du processus de démarrage initial, AWS Config exécute des évaluations sur toutes les ressources de votre compte que vous avez sélectionnées AWS Config pour enregistrement.
Si vous exécutez des charges de travail éphémères, il se peut que vous constatiez une activité accrue d' AWS Config en raison de l'enregistrement des changements de configuration associés à la création et à la suppression de ces ressources temporaires. Une charge de travail éphémère est une utilisation temporaire des ressources informatiques chargées et exécutées si nécessaire. Les exemples incluent les instances ponctuelles Amazon Elastic Compute Cloud (Amazon EC2), les tâches Amazon EMR et AWS Auto Scaling. Si vous souhaitez éviter l'augmentation de l'activité liée à l'exécution de charges de travail éphémères, vous pouvez configurer l'enregistreur de configuration pour exclure l'enregistrement de ces types de ressources, ou exécuter ces types de charges de travail dans un compte distinct en désactivant pour éviter d' AWS Config augmenter l'enregistrement des configurations et l'évaluation des règles.
Gouvernance des données
-
Pour la période de conservation des données, choisissez la période de conservation par défaut pour conserver les AWS Config données pendant 7 ans (2557) ou définissez une période de conservation personnalisée pour les éléments enregistrés par. AWS Config
AWS Config vous permet de supprimer vos données en spécifiant une période de conservation pour votre
ConfigurationItems
. Lorsque vous spécifiez une période de conservation, AWS Config conserve vosConfigurationItems
pour la période spécifiée. Vous pouvez choisir une période comprise entre un minimum de 30 jours et un maximum de 7 ans (2557 jours). AWS Config supprime les données antérieures à la période de conservation que vous avez spécifiée. -
Pour le rôle IAM pour AWS Config, choisissez soit un rôle AWS Config lié à un service existant, soit un rôle IAM a depuis votre compte.
-
Les rôles liés à un service sont prédéfinis par AWS Config et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services.
Note
Recommandé : utilisez le rôle lié à un service
Il est recommandé d'utiliser le rôle lié à un service. Un rôle lié à un service ajoute toutes les autorisations nécessaires AWS Config pour fonctionner comme prévu.
-
Sinon, choisissez un rôle IAM parmi l'un de vos rôles et politiques d'autorisation préexistants.
Note
Politiques et résultats en matière de conformité
Les politiques IAM et les autres politiques gérées dans AWS Organizations peuvent avoir une incidence sur le AWS Config fait de disposer des autorisations nécessaires pour enregistrer les modifications de configuration de vos ressources. En outre, les règles évaluent directement la configuration d'une ressource et les règles ne tiennent pas compte de ces politiques lors de l'exécution des évaluations. Assurez-vous que les politiques en vigueur correspondent à la manière dont vous avez l'intention de les utiliser AWS Config.
Conservez le minimum d'autorisations lors de la réutilisation d'un rôle IAM
Si vous utilisez un AWS service qui utilise AWS Config, tel que AWS Security Hub ou AWS Control Tower, et qu'un rôle IAM a déjà été créé, assurez-vous que le rôle IAM que vous utilisez lors de la configuration AWS Config conserve les mêmes autorisations minimales que le rôle IAM préexistant. Vous devez le faire pour vous assurer que l'autre AWS service continue de fonctionner comme prévu.
Par exemple, si AWS Control Tower un rôle IAM permet de AWS Config lire des objets S3, assurez-vous que les mêmes autorisations sont accordées au rôle IAM que vous utilisez lors de la configuration. AWS Config Dans le cas contraire, le fonctionnement d' AWS Control Tower pourrait en pâtir.
-
Mode de remise
-
Pour le Mode de remise, choisissez le compartiment S3 auquel AWS Config envoie les fichiers d'historique de configuration et d'instantané de configuration :
-
Créer un compartiment : saisissez le nom de votre compartiment S3 dans le champ Nom du compartiment S3.
Le nom que vous saisissez doit être unique parmi tous les noms de compartiment existants dans Amazon S3. Afin de garantir cette unicité, vous pouvez ajouter un préfixe, par exemple le nom de votre organisation. Une fois le nom du compartiment créé, vous ne pouvez plus le modifier. Pour plus d'informations, consultez Limites et restrictions applicables aux compartiments dans le Guide de l’utilisateur Amazon Simple Storage Service.
-
Choisir un compartiment de votre compte : choisissez votre compartiment préféré dans le champ Nom du compartiment S3.
-
Choisir un compartiment d'un autre compte : saisissez le nom du compartiment dans le champ Nom du compartiment S3.
Note
Autorisations relatives au bucket
Si vous choisissez un compartiment provenant d'un autre compte, ce compartiment doit être doté de politiques accordant des autorisations d'accès à AWS Config. Pour de plus amples informations, veuillez consulter Autorisations pour le compartiment Amazon S3 pour le canal AWS Config de diffusion.
-
-
Pour la rubrique Amazon SNS, choisissez Diffuser les modifications de configuration et les notifications dans une rubrique Amazon SNS pour envoyer des notifications telles que la livraison de l'historique de configuration, la livraison des instantanés de configuration et la conformité. AWS Config
-
Si vous avez choisi de AWS Config diffuser sur un sujet Amazon SNS, choisissez le sujet cible :
-
Créer une rubrique : saisissez le nom de votre rubrique SNS dans le champ Nom de la rubrique.
-
Choisir une rubrique de votre compte : sélectionnez votre rubrique préférée dans le champ Nom de la rubrique.
-
Choisir la rubrique d'un autre compte : saisissez l'Amazon Resource Name (ARN) de la rubrique dans le champ ARN de la rubrique. Si vous choisissez un sujet depuis un autre compte, le sujet doit être soumis à des politiques accordant des autorisations d'accès à AWS Config. Pour de plus amples informations, veuillez consulter Autorisations relatives à la rubrique Amazon SNS.
Note
Région pour la rubrique Amazon SNS
La rubrique Amazon SNS doit exister dans la même région que celle dans laquelle vous l'avez configurée. AWS Config
-
Étape 2 : Règles
Si vous effectuez la configuration AWS Config dans une région qui prend en charge les règles, choisissez Next.
Étape 3 : vérifier
Vérifiez les détails AWS Config de votre configuration. Vous pouvez revenir en arrière pour modifier les changements apportés à chaque section. Choisissez Confirmer pour terminer la configuration AWS Config.
Pour plus d'informations
Pour plus d'informations sur la recherche des ressources existantes dans votre compte et sur la compréhension des configurations de vos ressources, consultez les sections Recherche de ressources, Affichage des informations de conformité et Affichage de l'historique de conformité.
Vous pouvez également utiliser Amazon Simple Queue Service pour surveiller les AWS ressources par programmation. Pour de plus amples informations, veuillez consulter Surveillance des modifications AWS des ressources avec Amazon SQS.