Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS Ressources d'enregistrement avec AWS Config
AWS Config détecte en permanence la création, la modification ou la suppression des types de ressources pris en charge. AWS Config enregistre ces événements en tant qu'éléments de configuration (CIs).
Vous pouvez le personnaliser AWS Config pour enregistrer les modifications de configuration pour tous les types de ressources pris en charge ou uniquement pour les types de ressources pris en charge qui vous concernent. Pour obtenir la liste des types de ressources pris en charge qui AWS Config peuvent enregistrer, consultez[Types de ressources pris en charge pour AWS Config](resource-config-reference.md).
**Topics**
+ [Considérations](#select-resources-considerations)
+ [Ressources régionales et mondiales](#select-resources-all)
+ [AWS Config Règles et types de ressources globaux](#select-resources-rules-and-global)
+ [Fréquence d'enregistrement](#select-resources-recording-frequency)
+ [Ressources non enregistrées](#select-resources-non-recorded)
+ [Ressources d'enregistrement (console)](select-resources-console.md)
+ [Ressources d'enregistrement (AWS CLI)](select-resources-cli.md)
+ [À l'exclusion des ressources](select-resources-excluding.md)
+ [Arrêt de l'enregistrement](select-resources-stopping-recording.md)
## Considérations
**Nombre élevé d' AWS Config évaluations**
Vous remarquerez peut-être une augmentation de l'activité de votre compte lors de votre premier mois d'enregistrement avec AWS Config par rapport aux mois suivants. Au cours du processus de démarrage initial, AWS Config exécute des évaluations sur toutes les ressources de votre compte que vous avez sélectionnées AWS Config pour enregistrement.
Si vous exécutez des charges de travail éphémères, vous constaterez peut-être une augmentation de l'activité en raison de AWS Config l'enregistrement des modifications de configuration associées à la création et à la suppression de ces ressources temporaires. Une *charge de travail éphémère* est une utilisation temporaire des ressources informatiques chargées et exécutées si nécessaire. Il peut par exemple s'agir des instances Spot Amazon Elastic Compute Cloud (Amazon EC2), des tâches Amazon EMR et d' AWS Auto Scaling.
Si vous souhaitez éviter l'augmentation de l'activité liée à l'exécution de charges de travail éphémères, vous pouvez configurer l'enregistreur de configuration géré par le client pour exclure l'enregistrement de ces types de ressources, ou exécuter ces types de charges de travail dans un compte distinct en le désactivant pour éviter d' AWS Config augmenter l'enregistrement des configurations et l'évaluation des règles.
**Disponibilité dans les Régions**
Avant de spécifier un type de ressource AWS Config à suivre, vérifiez [la disponibilité des ressources par région](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html) pour voir si le type de ressource est pris en charge dans la AWS région où vous l'avez configuré AWS Config.
Si un type de ressource est pris AWS Config en charge par au moins une région, vous pouvez activer l'enregistrement de ce type de ressource dans toutes les régions prises en charge AWS Config, même si le type de ressource spécifié n'est pas pris en charge dans la AWS région où vous l'avez configuré AWS Config.
## Quelles sont les différences entre les ressources régionales et mondiales ?
**Ressources régionales**
Les *ressources régionales* sont liées à une région et peuvent être utilisées uniquement dans celle-ci. Vous les créez dans une région spécifiée Région AWS, puis ils existent dans cette région. Pour voir ou interagir avec ces ressources, vous devez diriger vos opérations vers cette région. Par exemple, pour créer une instance Amazon EC2 avec AWS Management Console, vous devez [choisir Région AWS celle dans](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html) laquelle vous souhaitez créer l'instance. Si vous utilisez le AWS Command Line Interface (AWS CLI) pour créer l'instance, vous incluez le `--region` paramètre. Ils ont AWS SDKs chacun leur propre mécanisme équivalent pour spécifier la région utilisée par l'opération.
Plusieurs raisons justifient l'utilisation des ressources régionales. L'une des raisons vise à garantir que les ressources et les points de terminaison de service que vous utilisez pour y accéder soient aussi proches que possible du client. Les performances sont ainsi améliorées grâce à la réduction de la latence. Une autre raison vise à fournir une limite d'isolement. Vous pouvez ainsi créer des copies indépendantes des ressources dans plusieurs régions afin de répartir la charge et d'améliorer la capacité de mise à l’échelle. Par ailleurs, les ressources sont isolées les unes des autres afin d'améliorer leur disponibilité.
Si vous en spécifiez une autre Région AWS dans la console ou dans une AWS CLI commande, vous ne pouvez plus voir ou interagir avec les ressources que vous pouviez voir dans la région précédente.
Lorsque vous examinez l'[Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) d'une ressource régionale, la région qui contient la ressource est spécifiée dans le quatrième champ de l'ARN. Par exemple, une instance Amazon EC2 est une ressource régionale. Voici un exemple d'un ARN pour une instance Amazon EC2 disponible dans la région `us-east-1`.
```
arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
```
**Ressources globales**
Certaines ressources de AWS services sont des *ressources globales*, ce qui signifie que vous pouvez utiliser la ressource de ***n'importe où***. Aucune Région AWS ne doit être spécifiée dans la console d'un service global. Pour accéder à une ressource globale, vous ne devez pas spécifier de `--region` paramètre lorsque vous utilisez les opérations du service AWS CLI et du AWS SDK.
Les ressources globales prennent en charge les cas où il est essentiel qu'une seule instance d'une ressource particulière puisse exister à la fois. Dans ces scénarios, la réplication ou la synchronisation entre des copies situées dans différentes régions ne sont pas adéquates. L'accès à un point de terminaison global unique, associé à une augmentation éventuelle de la latence, est considéré comme acceptable pour garantir que tout changement soit instantanément visible pour les consommateurs de la ressource.
Par exemple, les clusters globaux Amazon Aurora (`AWS::RDS::GlobalCluster`) sont des ressources globales et ne sont donc pas liés à une région. Vous pouvez donc créer un cluster global sans dépendre d'un point de terminaison régional. Cette démarche offre un avantage : même si Amazon Relational Database Service (Amazon RDS) est organisé par régions, la région spécifique d'où provient un cluster global n'a aucune incidence sur ce dernier. Il apparaît comme un cluster global unique et continu dans toutes les régions.
L'[Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) d'une ressource globale n'inclut pas de région. Le quatrième champ est vide, comme dans l'exemple suivant de l'ARN d'un cluster global.
```
arn:aws:rds::123456789012:global-cluster:test-global-cluster
```
Les types de ressources globales intégrés AWS Config après février 2022 ne seront enregistrés que dans la région d'origine du service pour la partition commerciale et AWS GovCloud (USA Ouest) pour la partition. GovCloud Vous pouvez consulter les éléments de configuration (CIs) pour ces nouveaux types de ressources globales uniquement dans leur région d'origine et AWS GovCloud (USA Ouest).
Les types de ressources mondiales intégrés avant février 2022 (`AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role` et`AWS::IAM::User`) restent inchangés. Vous pouvez activer l'enregistrement de ces ressources IAM mondiales dans toutes les régions où elles AWS Config étaient prises en charge avant février 2022. Ces ressources IAM mondiales ne peuvent pas être enregistrées dans les régions prises en charge AWS Config après février 2022.
**Types de ressources mondiales \$1 Ressources IAM**
Les types de ressources IAM suivants sont également enregistrés au niveau mondial : utilisateurs, groupes et rôles IAM, et politiques gérées par le client. Ces types de ressources peuvent être enregistrés AWS Config dans les régions où AWS Config ils étaient disponibles avant février 2022. Cette liste dans laquelle vous ne pouvez pas enregistrer les types de ressources IAM globaux inclut les régions suivantes : Asie-Pacifique (Hyderabad), Asie-Pacifique (Malaisie), Asie-Pacifique (Melbourne), Asie-Pacifique (Thaïlande), Canada Ouest (Calgary), Europe (Espagne), Europe (Zurich), Israël (Tel Aviv), Mexique (centre) et Moyen-Orient (Émirats arabes unis).
Pour éviter la duplication des éléments de configuration (CIs), vous devez envisager de n'enregistrer les types de ressources IAM globaux qu'une seule fois dans l'une des régions prises en charge. Cela peut également vous aider à éviter les évaluations inutiles et la limitation des API.
**Types de ressources mondiales \$1 Région d’origine uniquement**
Les ressources globales pour les services suivants sont uniquement enregistrées AWS Config dans la région d'origine du type de ressource globale : Amazon Elastic Container Registry Public AWS Global Accelerator, Amazon Route 53 CloudFront, Amazon et AWS WAF. Pour ces ressources globales, la même instance du type de ressource peut être utilisée dans plusieurs AWS régions, mais les éléments de configuration (CIs) ne sont enregistrés que dans la région d'origine pour la partition commerciale ou AWS GovCloud (US-West) pour la AWS GovCloud (US) partition.
**Régions d'origine des types de ressources globales**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/config/latest/developerguide/select-resources.html)
**Types de ressources mondiales \$1 Clusters Aurora mondiaux**
`AWS::RDS::GlobalCluster`est une ressource globale enregistrée dans toutes les AWS Config régions prises en charge où l'enregistreur de configuration géré par le client est activé. Ce type de ressource globale est unique en ce sens que si vous activez l'enregistrement de cette ressource dans une région, vous AWS Config enregistrerez les éléments de configuration (CIs) pour ce type de ressource dans toutes vos régions activées.
Si vous ne souhaitez pas enregistrer `AWS::RDS::GlobalCluster` dans toutes les régions activées, utilisez l’une des politiques d’enregistrement suivantes pour la console AWS Config :
+ **Enregistrez tous les types de ressources avec des remplacements personnalisables**, choisissez « AWS RDS », GlobalCluster puis choisissez le remplacement « Exclure de l'enregistrement »
+ **Enregistrer des types de ressources spécifiques**.
Si vous ne souhaitez pas enregistrer `AWS::RDS::GlobalCluster` dans toutes les régions activées, utilisez l’une des politiques d’enregistrement suivantes pour l’API/l’interface de ligne de commande :
+ **Enregistrer tous les types de ressources actuels et futurs avec des exclusions** (`EXCLUSION_BY_RESOURCE_TYPES`)
+ **Enregistrer des types de ressources spécifiques** (`INCLUSION_BY_RESOURCE_TYPES`).
## AWS Config Règles et types de ressources globaux
Les types de ressources IAM globaux intégrés avant février 2022 (`AWS::IAM::Group`, `AWS::IAM::Policy``AWS::IAM::Role`, et`AWS::IAM::User`) ne peuvent être enregistrés que AWS Config dans les régions où ils AWS Config étaient disponibles avant février 2022. Ces types de ressources IAM globaux ne peuvent pas être enregistrés dans les régions prises en charge AWS Config après février 2022. Pour une liste de ces régions, voir [AWS Ressources d'enregistrement \$1 Ressources mondiales](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all).
Si vous enregistrez un type de ressource IAM global dans au moins une région, les règles périodiques qui indiquent la conformité au type de ressource IAM global exécuteront des évaluations dans toutes les régions où la règle périodique est ajoutée, même si vous n'avez pas activé l'enregistrement du type de ressource IAM global dans la région où la règle périodique a été ajoutée.
**Meilleures pratiques pour rendre compte de la conformité des ressources mondiales intégrées avant février 2022**
Pour éviter des évaluations inutiles, vous devez uniquement déployer AWS Config les règles et les packs de conformité qui incluent ces ressources globales dans l'une des régions prises en charge. Pour obtenir la liste des règles gérées prises en charge dans quelles régions, consultez la section [Liste des règles AWS Config gérées par disponibilité des régions](https://docs.aws.amazon.com/config/latest/developerguide/managing-rules-by-region-availability.html). Cela s'applique aux AWS Config règles, aux AWS Config règles organisationnelles, ainsi qu'aux règles créées par d'autres AWS services, tels que AWS Security Hub CSPM et AWS Control Tower.
Si vous n’enregistrez pas les types de ressources mondiales intégrés avant février 2022, nous vous recommandons de ne pas activer les règles périodiques suivantes afin d’éviter des évaluations inutiles :
+ [access-keys-rotated](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)
+ [account-part-of-organizations](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)
+ [iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
+ [iam-policy-in-use](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)
+ [iam-root-access-key-vérifier](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)
+ [iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)
+ [iam-user-unused-credentials-vérifier](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)
+ [mfa-enabled-for-iam-accès à la console](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)
+ [root-account-hardware-mfa-activé](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)
+ [root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)
**Meilleures pratiques pour rendre compte de la conformité des ressources mondiales intégrées après février 2022**
Les types de ressources globales intégrés à AWS Config l'enregistrement après février 2022 seront enregistrés uniquement dans la région d'origine du service pour la partition commerciale et AWS GovCloud (ouest des États-Unis) pour la partition. AWS GovCloud (US) Vous devez déployer AWS Config des règles et des packs de conformité qui concernent ces ressources globales uniquement dans la région d'origine du type de ressource. Pour plus d'informations, voir [Régions d'origine pour les types de ressources globaux](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all).
## Fréquence d'enregistrement pour AWS Config
AWS Config prend en charge *l'enregistrement continu* et *l'enregistrement quotidien*. L’enregistrement en continu vous permet d’enregistrer les modifications de configuration en continu, chaque fois qu’un changement a lieu. L’enregistrement quotidien vous permet de recevoir un élément de configuration représentant l’état le plus récent de vos ressources au cours des dernières 24 heures, uniquement s’il diffère de l’élément de configuration enregistré précédemment. Pour savoir comment modifier la fréquence d'enregistrement, reportez-vous à la section [Modification de la fréquence d'enregistrement](https://docs.aws.amazon.com/config/latest/developerguide/managing-recorder_console-change-recording-frequency.html).
**Enregistrement en continu**
L’enregistrement en continu présente les avantages suivants :
+ **Surveillance en temps réel** : l’enregistrement en continu permet de détecter immédiatement des changements non autorisés ou inattendus, ce qui peut renforcer vos efforts en matière de sécurité et de conformité.
+ **Analyse détaillée** : l’enregistrement en continu vous permet d’analyser en profondeur les modifications apportées à la configuration de vos ressources au fur et à mesure qu’elles se produisent, ce qui peut vous permettre d’identifier les modèles et les tendances du moment.
**Enregistrement quotidien**
L’enregistrement quotidien présente les avantages suivants :
+ **Interruption minimale** : l’enregistrement quotidien peut vous fournir un flux d’informations plus facile à gérer, et ainsi réduire la fréquence des notifications et la fatigue liée aux alertes.
+ **Rentabilité** : l’enregistrement quotidien vous permet d’enregistrer les modifications apportées à vos ressources à une fréquence moindre, ce qui peut réduire les coûts liés au nombre de changements de configuration enregistrés.
**Note**
AWS Firewall Manager dépend de l'enregistrement continu pour surveiller vos ressources. Si vous utilisez Firewall Manager, il est recommandé de définir la fréquence d’enregistrement sur Continu.
## Ressources non enregistrées
Si une ressource n'est pas enregistrée, AWS Config capture uniquement la création et la suppression de cette ressource, sans aucun autre détail, sans frais pour vous. Lorsqu'une ressource non enregistrée est créée ou supprimée, AWS Config envoie une notification et affiche l'événement sur la page de détails de la ressource. La page des détails d'une ressource non enregistrée fournit des valeurs null pour la plupart des détails de configuration, et elle ne fournit pas d'informations sur les relations et les changements de configuration.
Les informations relationnelles qui AWS Config fournissent les ressources enregistrées ne sont pas limitées en raison des données manquantes pour les ressources non enregistrées. Si une ressource enregistrée est associée à une ressource non enregistrée, cette relation est mentionnée dans la page des caractéristiques de la ressource enregistrée.
**Considérations relatives aux types de ressources IAM**
Les types de `AWS::IAM::Role` ressources `AWS::IAM::User` `AWS::IAM::Policy`` AWS::IAM::Group`,, captureront les états de création (`ResourceNotRecorded`) et de suppression (`ResourceDeletedNotRecorded`) uniquement si la ressource est, ou a déjà été, sélectionnée comme ressource à enregistrer dans l'enregistreur de configuration géré par le client.
**Calendrier d'enregistrement CI pour les ressources non enregistrées**
Les éléments de configuration (CIs) pour `ResourceNotRecorded` et `ResourceDeletedNotRecorded` ne suivent pas la durée d'enregistrement habituelle pour les types de ressources. Ces types de ressources ne sont enregistrés que pendant le processus de définition de base périodique pour l'enregistreur de configuration géré par le client, qui est moins fréquent que pour les autres types de ressources. Cela signifie que les notifications de création et de suppression ne sont pas envoyées lors de la création ou de la suppression, mais pendant le processus de définition de base.
**Livraison CI et portée de l'enregistreur lié au service**
Pour les enregistreurs de configuration liés à un service, l'étendue de l'enregistrement détermine si vous recevez des éléments de configuration (CIs) dans le canal de distribution. L'étendue de l'enregistrement est définie par le service lié à l'enregistreur de configuration. Si la zone d'enregistrement est interne, vous ne recevrez pas CIs dans le canal de livraison.
# Enregistrer des ressources dans la AWS Config console
Vous pouvez utiliser la AWS Config console pour sélectionner les types de ressources qui sont AWS Config enregistrées avec l'enregistreur de configuration géré par le client.
**Pour sélectionner des ressources**
1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à la [https://console.aws.amazon.com/config/maison](https://console.aws.amazon.com/config/home).
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Dans l'onglet **Enregistreur géré par le client**, choisissez **Modifier**.
1. Dans la section **Méthode d’enregistrement**, choisissez une stratégie d’enregistrement. Vous pouvez spécifier les AWS ressources que vous AWS Config souhaitez enregistrer.
------
#### [ All resource types with customizable overrides ]
Configuré AWS Config pour enregistrer les modifications de configuration pour tous les types de ressources pris en charge actuels et futurs dans cette région. Vous pouvez modifier la fréquence d’enregistrement de types de ressources spécifiques ou exclure certains types de ressources de l’enregistrement. Pour plus d'informations, consultez [Types de ressources pris en charge](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html).
+ **Paramètres par défaut**
Configurez la fréquence d’enregistrement par défaut de tous les types de ressources actuels et futurs pris en charge. Pour plus d’informations, consultez [Fréquence d’enregistrement](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency).
+ Enregistrement continu : AWS Config enregistre les modifications de configuration en continu chaque fois qu'une modification se produit.
+ Enregistrement quotidien : vous recevrez un élément de configuration représentant l’état le plus récent de vos ressources au cours des dernières 24 heures, uniquement s’il est différent de l’élément de configuration enregistré précédemment.
**Note**
AWS Firewall Manager dépend de l'enregistrement continu pour surveiller vos ressources. Si vous utilisez Firewall Manager, il est recommandé de définir la fréquence d’enregistrement sur Continu.
+ **Paramètres de remplacement**
Modifiez la fréquence d’enregistrement de types de ressources spécifiques ou excluez des types de ressources spécifiques de l’enregistrement. Si vous modifiez la fréquence d’enregistrement d’un type de ressource ou si vous arrêtez l’enregistrement d’un type de ressource, les éléments de configuration déjà enregistrés resteront inchangés.
------
#### [ Specific resource types ]
Configurez AWS Config pour enregistrer les modifications de configuration uniquement pour les types de ressources que vous spécifiez.
+ **Types de ressources spécifiques**
Choisissez un type de ressource à enregistrer et sa fréquence. Pour plus d’informations, consultez [Fréquence d’enregistrement](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency).
+ Enregistrement continu : AWS Config enregistre les modifications de configuration en continu chaque fois qu'une modification se produit.
+ Enregistrement quotidien : vous recevrez un élément de configuration représentant l’état le plus récent de vos ressources au cours des dernières 24 heures, uniquement s’il est différent de l’élément de configuration enregistré précédemment.
**Note**
AWS Firewall Manager dépend de l'enregistrement continu pour surveiller vos ressources. Si vous utilisez Firewall Manager, il est recommandé de définir la fréquence d’enregistrement sur Continu.
Si vous modifiez la fréquence d’enregistrement d’un type de ressource ou si vous arrêtez l’enregistrement d’un type de ressource, les éléments de configuration déjà enregistrés resteront inchangés.
------
1. Choisissez **Save** pour enregistrer les changements.
## Considérations relatives à l'enregistrement des ressources
**Nombre élevé d' AWS Config évaluations**
Vous remarquerez peut-être une augmentation de l'activité de votre compte lors de votre premier mois d'enregistrement avec AWS Config par rapport aux mois suivants. Au cours du processus de démarrage initial, AWS Config exécute des évaluations sur toutes les ressources de votre compte que vous avez sélectionnées AWS Config pour enregistrement.
Si vous exécutez des charges de travail éphémères, vous constaterez peut-être une augmentation de l'activité en raison de AWS Config l'enregistrement des modifications de configuration associées à la création et à la suppression de ces ressources temporaires. Une *charge de travail éphémère* est une utilisation temporaire des ressources informatiques chargées et exécutées si nécessaire. Les exemples incluent les instances Spot Amazon Elastic Compute Cloud (Amazon EC2), les jobs Amazon EMR et. AWS Auto Scaling Si vous souhaitez éviter l'augmentation de l'activité liée à l'exécution de charges de travail éphémères, vous pouvez configurer l'enregistreur de configuration géré par le client pour exclure l'enregistrement de ces types de ressources, ou exécuter ces types de charges de travail dans un compte distinct en le désactivant pour éviter d' AWS Config augmenter l'enregistrement des configurations et l'évaluation des règles.
------
#### [ Considerations: All resource types with customizable overrides ]
**Types de ressources enregistrés au niveau mondial \$1 Les clusters globaux Aurora sont initialement inclus dans l’enregistrement**
Le type de `AWS::RDS::GlobalCluster` ressource sera enregistré dans toutes les AWS Config régions prises en charge où l'enregistreur de configuration géré par le client est activé.
Si vous ne souhaitez pas enregistrer `AWS::RDS::GlobalCluster` dans toutes les régions activées, choisissez « AWS RDS GlobalCluster », puis choisissez l’option « Exclure de l’enregistrement ».
**Types de ressources mondiales \$1 Les types de ressources IAM sont initialement exclus de l’enregistrement**
Les types de ressources IAM globaux sont initialement exclus de l'enregistrement afin de vous aider à réduire les coûts. Cela inclut les utilisateurs, les groupes et les rôles IAM, ainsi que les politiques gérées par le client. Choisissez **Supprimer** pour supprimer l’exclusion et inclure ces ressources dans votre enregistrement.
En outre, les types de ressources IAM globaux (`AWS::IAM::User`, `AWS::IAM::Group``AWS::IAM::Role`, et`AWS::IAM::Policy`) ne peuvent pas être enregistrés dans les régions prises en charge AWS Config après février 2022. Pour une liste de ces régions, voir [AWS Ressources d'enregistrement \$1 Ressources mondiales](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all).
**Restrictions**
Vous pouvez ajouter jusqu’à 100 exclusions de fréquence et 600 exclusions d’exclusion.
L’enregistrement quotidien ne prend pas en charge les types de ressources suivants :
+ `AWS::Config::ResourceCompliance`
+ `AWS::Config::ConformancePackCompliance`
+ `AWS::Config::ConfigurationRecorder`
------
#### [ Considerations: Specific resource types ]
**Disponibilité dans les régions**
Avant de spécifier un type de ressource AWS Config à suivre, vérifiez la [couverture des ressources par région disponible](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html) pour voir si le type de ressource est pris en charge dans la AWS région où vous l'avez configuré AWS Config. Si un type de ressource est pris AWS Config en charge par au moins une région, vous pouvez activer l'enregistrement de ce type de ressource dans toutes les régions prises en charge AWS Config, même si le type de ressource spécifié n'est pas pris en charge dans la AWS région où vous l'avez configuré AWS Config.
**Restrictions**
Aucune limite si tous les types de ressources ont la même fréquence. Vous pouvez ajouter jusqu’à 100 types de ressources avec une fréquence quotidienne si au moins un type de ressource est défini sur Continu.
La fréquence quotidienne n’est pas prise en charge pour les types de ressources suivants :
+ `AWS::Config::ResourceCompliance`
+ `AWS::Config::ConformancePackCompliance`
+ `AWS::Config::ConfigurationRecorder`
------
# Enregistrer des ressources avec la AWS CLI
Vous pouvez utiliser la AWS CLI pour sélectionner les types de ressources que vous AWS Config souhaitez enregistrer. Pour ce faire, créez un enregistreur de configuration géré par le client, qui enregistre les types de ressources que vous spécifiez dans un groupe d'enregistrement. Dans le groupe d'enregistrement, vous spécifiez si vous souhaitez enregistrer tous les types de ressources pris en charge ou si vous souhaitez inclure ou exclure des types de ressources spécifiques.
------
#### [ Record all current and future supported resource types ]
Configuré AWS Config pour enregistrer les modifications de configuration pour tous les types de ressources pris en charge actuels et futurs dans cette région. Pour obtenir la liste des types de ressources pris en charge, consultez la section Types de [ressources pris en charge](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html).
1. Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html) :
Cette commande utilise les `---recording-group` champs `--configuration-recorder` et.
```
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
```
**Le `configuration-recorder` terrain**
Le `configurationRecorder.json` fichier spécifie `name` et `roleArn` la fréquence d'enregistrement par défaut pour l'enregistreur de configuration (`recordingMode`).
```
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role",
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override",
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override ]
}
]
}
}
```
**Le `recording-group` terrain**
Le `recordingGroup.json` fichier indique quels types de ressources sont enregistrés.
```
{
"allSupported": true,
"recordingStrategy": {
"useOnly": "ALL_SUPPORTED_RESOURCE_TYPES"
},
"includeGlobalResourceTypes": true
}
```
Pour plus d'informations sur ces champs, reportez-vous [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)à la *référence des AWS CLI commandes*.
1. (Facultatif) Pour vérifier que votre enregistreur de configuration géré par le client possède les paramètres souhaités, utilisez la [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html)commande suivante.
```
$ aws configservice describe-configuration-recorders
```
Voici un exemple de réponse.
```
{
"ConfigurationRecorders": [
{
"name": "default"
"recordingGroup": {
"allSupported": true,
"exclusionByResourceTypes": {
"resourceTypes": []
},
"includeGlobalResourceTypes": true,
"recordingStrategy": {
"useOnly": "ALL_SUPPORTED_RESOURCE_TYPES"
},
"resourceTypes": [],
},
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override,
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
```
------
#### [ Record all current and future supported resources types excluding the types you specify ]
Configuré AWS Config pour enregistrer les modifications de configuration pour tous les types de ressources pris en charge actuels et futurs, y compris les types de ressources globaux, à l'exception des types de ressources que vous spécifiez pour exclure de l'enregistrement.
Si vous choisissez d'arrêter l'enregistrement pour un type de ressource, les éléments de configuration déjà enregistrés resteront inchangés. Pour obtenir la liste des types de ressources pris en charge, consultez la section Types de [ressources pris en charge](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html).
1. Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html) :
Cette commande utilise les `---recording-group` champs `--configuration-recorder` et.
```
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
```
**Le `configuration-recorder` terrain**
Le `configurationRecorder.json` fichier spécifie `name` et `roleArn` la fréquence d'enregistrement par défaut pour l'enregistreur de configuration (`recordingMode`).
```
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role",
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override",
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override ]
}
]
}
}
```
**Le `recording-group` terrain**
Le `recordingGroup.json` fichier indique les types de ressources AWS Config à enregistrer. Transmettez un ou plusieurs types de ressources à exclure dans le `resourceTypes` champ de`exclusionByResourceTypes`, comme indiqué dans l'exemple suivant.
```
{
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": [
"AWS::Redshift::ClusterSnapshot",
"AWS::RDS::DBClusterSnapshot",
"AWS::CloudFront::StreamingDistribution"
]
},
"includeGlobalResourceTypes": false,
"recordingStrategy": {
"useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
},
}
```
Pour plus d'informations sur ces champs, reportez-vous [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)à la *référence des AWS CLI commandes*.
1. (Facultatif) Pour vérifier que votre enregistreur de configuration géré par le client possède les paramètres souhaités, utilisez la [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html)commande suivante.
```
$ aws configservice describe-configuration-recorders
```
Voici un exemple de réponse.
```
{
"ConfigurationRecorders": [
{
"name": "default",
"recordingGroup": {
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": [
"AWS::Redshift::ClusterSnapshot",
"AWS::RDS::DBClusterSnapshot",
"AWS::CloudFront::StreamingDistribution"
]
},
"includeGlobalResourceTypes": false,
"recordingStrategy": {
"useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
},
"resourceTypes": [],
},
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override,
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
```
------
#### [ Record specific resource types ]
Configurez AWS Config pour enregistrer les modifications de configuration uniquement pour les types de ressources que vous spécifiez.
Si vous choisissez d'arrêter l'enregistrement pour un type de ressource, les éléments de configuration déjà enregistrés resteront inchangés. Pour obtenir la liste des types de ressources pris en charge, consultez la section Types de [ressources pris en charge](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html).
1. Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html) :
Cette commande utilise les `---recording-group` champs `--configuration-recorder` et.
```
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
```
**Le `configuration-recorder` terrain**
Le `configurationRecorder.json` fichier spécifie `name` et `roleArn` la fréquence d'enregistrement par défaut pour l'enregistreur de configuration (`recordingMode`).
```
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role",
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override",
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override ]
}
]
}
}
```
**Le `recording-group` terrain**
Le `recordingGroup.json` fichier indique les types de ressources AWS Config à enregistrer. Transmettez un ou plusieurs types de ressources à exclure dans le `resourceTypes` champ, comme indiqué dans l'exemple suivant.
```
{
"allSupported": false,
"recordingStrategy": {
"useOnly": "INCLUSION_BY_RESOURCE_TYPES"
},
"includeGlobalResourceTypes": false,
"resourceTypes": [
"AWS::EC2::EIP",
"AWS::EC2::Instance",
"AWS::EC2::NetworkAcl",
"AWS::EC2::SecurityGroup",
"AWS::CloudTrail::Trail",
"AWS::EC2::Volume",
"AWS::EC2::VPC",
"AWS::IAM::User",
"AWS::IAM::Policy"
]
}
```
Pour plus d'informations sur ces champs, reportez-vous [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)à la *référence des AWS CLI commandes*.
1. (Facultatif) Pour vérifier que votre enregistreur de configuration géré par le client possède les paramètres souhaités, utilisez la [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html)commande suivante.
```
$ aws configservice describe-configuration-recorders
```
Voici un exemple de réponse.
```
{
"ConfigurationRecorders": [
{
"name": "default",
"recordingGroup": {
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": []
},
"includeGlobalResourceTypes": false
"recordingStrategy": {
"useOnly": "INCLUSION_BY_RESOURCE_TYPES"
},
"resourceTypes": [
"AWS::EC2::EIP",
"AWS::EC2::Instance",
"AWS::EC2::NetworkAcl",
"AWS::EC2::SecurityGroup",
"AWS::CloudTrail::Trail",
"AWS::EC2::Volume",
"AWS::EC2::VPC",
"AWS::IAM::User",
"AWS::IAM::Policy"
]
},
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override,
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
```
------
# Exclure les ressources de l'enregistrement avec AWS Config
AWS Config vous permet d'exclure des types de AWS ressources spécifiques du suivi des stocks et de la surveillance de la conformité tout en continuant à suivre tous les autres types de ressources pris en charge actuellement disponibles dans AWS Config, y compris ceux qui seront ajoutés à l'avenir. Vous pouvez utiliser cette fonctionnalité pour cibler les ressources critiques soumises à vos normes de conformité et de gouvernance.
------
#### [ Excluding resources (Console) ]
Si vous ne souhaitez pas enregistrer de type de AWS ressource, utilisez l'une des stratégies d'enregistrement suivantes pour la AWS Config console :
+ **Enregistrez tous les types de ressources avec des remplacements personnalisables**, choisissez le type de ressource que vous souhaitez exclure et choisissez le remplacement « Exclure de l'enregistrement »
+ **Enregistrer des types de ressources spécifiques**.
Pour des étapes plus détaillées, consultez la section [Ressources d'enregistrement (console)](https://docs.aws.amazon.com/config/latest/developerguide/select-resources-console.html).
------
#### [ Excluding resources (AWS CLI) ]
Si vous ne souhaitez pas enregistrer de type de AWS ressource, utilisez l'une des stratégies d'enregistrement suivantes pour l'API/CLI :
+ **Enregistrer tous les types de ressources actuels et futurs avec des exclusions** (`EXCLUSION_BY_RESOURCE_TYPES`)
+ **Enregistrer des types de ressources spécifiques** (`INCLUSION_BY_RESOURCE_TYPES`).
Pour des étapes plus détaillées, consultez [Recording Resources (AWS CLI)](https://docs.aws.amazon.com/config/latest/developerguide/select-resources-cli.html).
------
# Arrêt AWS Config de l'enregistrement avec l'enregistreur de configuration géré par le client
Vous pouvez arrêter AWS Config l'enregistrement avec l'enregistreur de configuration géré par le client à tout moment. Après l' AWS Config arrêt de l'enregistrement d'une ressource, celle-ci conserve les informations de configuration précédemment capturées et vous pouvez continuer à accéder à ces informations.
Pour savoir comment arrêter l'enregistrement, voir [Arrêter l'enregistreur de configuration géré par le client](https://docs.aws.amazon.com/config/latest/developerguide/managing-recorder_console-stop.html).