Configuration manuelle pour AWS Config - AWS Config
Étape 1 : RéglagesÉtape 2 : RèglesÉtape 3 : vérifierPour plus d'informations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration manuelle pour AWS Config

Avec le flux de travail Get started, vous pouvez effectuer toutes les sélections manuelles du processus de configuration pour commencer à utiliser la AWS Config console. Pour un processus de démarrage simplifié, voir Configuration en un clic.

Pour effectuer la configuration à l' AWS Config aide de la console à l'aide de Get started

  1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/.

  2. Sélectionnez Mise en route.

La page de configuration comprend trois étapes. Vous trouverez ci-dessous une description détaillée de cette procédure une fois que vous aurez choisi Mise en route.

  • Paramètres : pour sélectionner la manière dont la AWS Config console enregistre les ressources et les rôles, et pour choisir où l'historique de configuration et les fichiers instantanés de configuration sont envoyés.

  • Règles : pour Régions AWS ces AWS Config règles de support, cette étape vous permet de configurer les règles gérées initiales que vous pouvez ajouter à votre compte. Après la configuration, AWS Config évaluera vos AWS ressources par rapport aux règles que vous avez choisies. Des règles supplémentaires peuvent être créées et les règles existantes peuvent être mises à jour dans votre compte après la configuration.

  • Révision : pour vérifier les détails de votre configuration.

Étape 1 : Réglages

Stratégie d’enregistrement

Dans la section Méthode d’enregistrement, choisissez une stratégie d’enregistrement. Vous pouvez spécifier les AWS ressources que vous AWS Config souhaitez enregistrer.

All resource types with customizable overrides

Configuré AWS Config pour enregistrer les modifications de configuration pour tous les types de ressources pris en charge actuels et futurs dans cette région. Vous pouvez modifier la fréquence d’enregistrement de types de ressources spécifiques ou exclure certains types de ressources de l’enregistrement. Pour plus d'informations, consultez Types de ressources pris en charge.

  • Paramètres par défaut

    Configurez la fréquence d’enregistrement par défaut de tous les types de ressources actuels et futurs pris en charge. Pour plus d’informations, consultez Fréquence d’enregistrement.

    • Enregistrement continu : AWS Config enregistre les modifications de configuration en continu chaque fois qu'une modification se produit.

    • Enregistrement quotidien : vous recevrez un élément de configuration représentant l’état le plus récent de vos ressources au cours des dernières 24 heures, uniquement s’il est différent de l’élément de configuration enregistré précédemment.

    Note

    AWS Firewall Manager dépend de l'enregistrement continu pour surveiller vos ressources. Si vous utilisez Firewall Manager, il est recommandé de définir la fréquence d’enregistrement sur Continu.

  • Paramètres de remplacement

    Modifiez la fréquence d’enregistrement de types de ressources spécifiques ou excluez des types de ressources spécifiques de l’enregistrement. Si vous modifiez la fréquence d’enregistrement d’un type de ressource ou si vous arrêtez l’enregistrement d’un type de ressource, les éléments de configuration déjà enregistrés resteront inchangés.

Specific resource types

Défini AWS Config pour enregistrer les modifications de configuration uniquement pour les types de ressources que vous spécifiez.

  • Types de ressources spécifiques

    Choisissez un type de ressource à enregistrer et sa fréquence. Pour plus d’informations, consultez Fréquence d’enregistrement.

    • Enregistrement continu : AWS Config enregistre les modifications de configuration en continu chaque fois qu'une modification se produit.

    • Enregistrement quotidien : vous recevrez un élément de configuration représentant l’état le plus récent de vos ressources au cours des dernières 24 heures, uniquement s’il est différent de l’élément de configuration enregistré précédemment.

    Note

    AWS Firewall Manager dépend de l'enregistrement continu pour surveiller vos ressources. Si vous utilisez Firewall Manager, il est recommandé de définir la fréquence d’enregistrement sur Continu.

    Si vous modifiez la fréquence d’enregistrement d’un type de ressource ou si vous arrêtez l’enregistrement d’un type de ressource, les éléments de configuration déjà enregistrés resteront inchangés.

Considérations relatives à l'enregistrement des ressources

Nombre élevé d' AWS Config évaluations

Vous remarquerez peut-être une augmentation de l'activité de votre compte lors de votre premier mois d'enregistrement avec AWS Config par rapport aux mois suivants. Au cours du processus de démarrage initial, AWS Config exécute des évaluations sur toutes les ressources de votre compte que vous avez sélectionnées AWS Config pour enregistrement.

Si vous exécutez des charges de travail éphémères, il se peut que vous constatiez une activité accrue d' AWS Config en raison de l'enregistrement des changements de configuration associés à la création et à la suppression de ces ressources temporaires. Une charge de travail éphémère est une utilisation temporaire des ressources informatiques chargées et exécutées si nécessaire. Les exemples incluent les instances Spot Amazon Elastic Compute Cloud (AmazonEC2), les EMR jobs Amazon et AWS Auto Scaling. Si vous souhaitez éviter l'augmentation de l'activité liée à l'exécution de charges de travail éphémères, vous pouvez configurer l'enregistreur de configuration pour exclure l'enregistrement de ces types de ressources, ou exécuter ces types de charges de travail dans un compte distinct en désactivant pour éviter d' AWS Config augmenter l'enregistrement des configurations et l'évaluation des règles.

Considerations: All resource types with customizable overrides

Types de ressources enregistrés au niveau mondial | Les clusters globaux Aurora sont initialement inclus dans l’enregistrement

Le type de AWS::RDS::GlobalCluster ressource sera enregistré dans toutes les AWS Config régions prises en charge où l'enregistreur de configuration est activé.

Si vous ne souhaitez pas enregistrer AWS::RDS::GlobalCluster dans toutes les régions activées, choisissez »AWS RDS GlobalCluster», et choisissez l'option « Exclure de l'enregistrement ».

Types de ressources globaux | Les types de IAM ressources sont initialement exclus de l'enregistrement

Les types de IAM ressources globaux sont initialement exclus de l'enregistrement pour vous aider à réduire les coûts. Cet ensemble inclut IAM les utilisateurs, les groupes, les rôles et les politiques gérées par le client. Choisissez Supprimer pour supprimer l’exclusion et inclure ces ressources dans votre enregistrement.

En outre, les types de IAM ressources globaux (AWS::IAM::User, AWS::IAM::GroupAWS::IAM::Role, etAWS::IAM::Policy) ne peuvent pas être enregistrés dans les régions prises en charge AWS Config après février 2022. Pour une liste de ces régions, voir AWS Ressources d'enregistrement | Ressources mondiales.

Restrictions

Vous pouvez ajouter jusqu’à 100 exclusions de fréquence et 600 exclusions d’exclusion.

L’enregistrement quotidien ne prend pas en charge les types de ressources suivants :

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Considerations: Specific resource types

Disponibilité dans les régions

Avant de spécifier un type de ressource AWS Config à suivre, vérifiez la couverture des ressources par région disponible pour voir si le type de ressource est pris en charge dans la AWS région où vous l'avez configuré AWS Config. Si un type de ressource est pris AWS Config en charge par au moins une région, vous pouvez activer l'enregistrement de ce type de ressource dans toutes les régions prises en charge AWS Config, même si le type de ressource spécifié n'est pas pris en charge dans la AWS région où vous l'avez configuré AWS Config.

Restrictions

Aucune limite si tous les types de ressources ont la même fréquence. Vous pouvez ajouter jusqu’à 100 types de ressources avec une fréquence quotidienne si au moins un type de ressource est défini sur Continu.

La fréquence quotidienne n’est pas prise en charge pour les types de ressources suivants :

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Gouvernance des données

  • Pour la période de conservation des données, choisissez la période de conservation par défaut pour conserver les AWS Config données pendant 7 ans (2557) ou définissez une période de conservation personnalisée pour les éléments enregistrés par. AWS Config

    AWS Config vous permet de supprimer vos données en spécifiant une période de conservation pour votreConfigurationItems. Lorsque vous spécifiez une période de conservation, AWS Config elle conserve ConfigurationItems la vôtre pendant cette période spécifiée. Vous pouvez choisir une période comprise entre un minimum de 30 jours et un maximum de 7 ans (2557 jours). AWS Config supprime les données antérieures à la période de conservation que vous avez spécifiée.

  • Pour IAMle rôle pour AWS Config, choisissez soit un rôle AWS Config lié au service existant, soit IAM un rôle provenant de votre compte.

    • Les rôles liés à un service sont prédéfinis par AWS Config et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services.

      Note

      Recommandé : utilisez le rôle lié à un service

      Il est recommandé d'utiliser le rôle lié à un service. Un rôle lié à un service ajoute toutes les autorisations nécessaires pour s' AWS Config exécuter comme prévu.

    • Sinon, choisissez un IAM rôle parmi l'un de vos rôles et politiques d'autorisation préexistants.

      Note

      Politiques d'autorisation pour les accès AWS Organizations Can Prevent

      Si vous utilisez un IAM rôle préexistant, assurez-vous qu'aucune politique d'autorisation n' AWS Config empêche AWS Organizations d'avoir l'autorisation d'enregistrer vos ressources. Pour plus d'informations sur les politiques d'autorisation pour AWS Organizations, consultez la section Gestion des politiques AWS Organizations dans le Guide de AWS Organizations l'utilisateur.

      Conservez le minimum d'autorisations lors de la réutilisation d'un rôle IAM

      Si vous utilisez un AWS service qui utilise AWS Config, tel que AWS Security Hub ou AWS Control Tower, et qu'un IAM rôle a déjà été créé, assurez-vous que le IAM rôle que vous utilisez lors de la configuration AWS Config conserve les mêmes autorisations minimales que le IAM rôle préexistant. Vous devez le faire pour vous assurer que l'autre AWS service continue de fonctionner comme prévu.

      Par exemple, si AWS Control Tower un IAM rôle permet de AWS Config lire des objets S3, assurez-vous que les mêmes autorisations sont accordées au IAM rôle que vous utilisez lors de la configuration AWS Config. Dans le cas contraire, cela pourrait interférer avec le AWS Control Tower fonctionnement.

Mode de remise

  • Pour le Mode de remise, choisissez le compartiment S3 auquel AWS Config envoie les fichiers d'historique de configuration et d'instantané de configuration :

    • Créer un compartiment : saisissez le nom de votre compartiment S3 dans le champ Nom du compartiment S3.

      Le nom que vous saisissez doit être unique parmi tous les noms de compartiment existants dans Amazon S3. Afin de garantir cette unicité, vous pouvez ajouter un préfixe, par exemple le nom de votre organisation. Une fois le nom du compartiment créé, vous ne pouvez plus le modifier. Pour plus d'informations, consultez Limites et restrictions applicables aux compartiments dans le Guide de l’utilisateur Amazon Simple Storage Service.

    • Choisir un compartiment de votre compte : choisissez votre compartiment préféré dans le champ Nom du compartiment S3.

    • Choisir un compartiment d'un autre compte : saisissez le nom du compartiment dans le champ Nom du compartiment S3.

      Note

      Autorisations relatives au bucket

      Si vous choisissez un compartiment depuis un autre compte, ce compartiment doit être doté de politiques accordant des autorisations d'accès à AWS Config. Pour de plus amples informations, veuillez consulter Autorisations pour le compartiment Amazon S3 pour le canal AWS Config de diffusion.

  • Pour le SNSsujet Amazon, choisissez Diffuser les modifications de configuration et les notifications sur un SNS sujet Amazon pour AWS Config envoyer des notifications telles que la livraison de l'historique de configuration, la livraison des instantanés de configuration et la conformité.

  • Si vous avez choisi de AWS Config diffuser sur un SNS sujet Amazon, choisissez le sujet cible :

    • Créer un sujet : dans le champ Nom du sujet, saisissez le nom de votre SNS sujet.

    • Choisir une rubrique de votre compte : sélectionnez votre rubrique préférée dans le champ Nom de la rubrique.

    • Choisissez un sujet depuis un autre compte : dans le champ Sujet ARN, saisissez le nom de la ressource Amazon (ARN) du sujet. Si vous choisissez un sujet depuis un autre compte, le sujet doit être soumis à des politiques accordant des autorisations d'accès à AWS Config. Pour de plus amples informations, veuillez consulter Autorisations pour le SNS sujet Amazon.

      Note

      Région pour le SNS sujet Amazon

      La SNS rubrique Amazon doit exister dans la même région que la région dans laquelle vous l'avez configurée AWS Config.

Étape 2 : Règles

Si vous effectuez la configuration AWS Config dans une région qui prend en charge les règles, choisissez Next.

Étape 3 : vérifier

Vérifiez les détails AWS Config de votre configuration. Vous pouvez revenir en arrière pour modifier les changements apportés à chaque section. Choisissez Confirmer pour terminer la configuration AWS Config.

Pour plus d'informations

Pour plus d'informations sur la recherche des ressources existantes dans votre compte et sur la compréhension des configurations de vos ressources, consultez les sections Recherche de ressources, Affichage des informations de conformité et Affichage de l'historique de conformité.

Vous pouvez également utiliser Amazon Simple Queue Service pour surveiller les AWS ressources par programmation. Pour de plus amples informations, veuillez consulter Surveillance des modifications AWS des ressources avec Amazon SQS.