Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de l'enregistreur de configuration
L'enregistreur de configuration enregistre les modifications de configuration apportées aux types de ressources concernés sous forme d'éléments de configuration (CIs).
Il existe deux types d'enregistreurs de configuration.
| Type | Description |
|---|---|
| Enregistreur de configuration géré par le client | Un enregistreur de configuration que vous avez géré. Les types de ressources concernés sont définis par vous. Par défaut, un enregistreur de configuration géré par le client enregistre toutes les ressources prises en charge dans Région AWS le AWS Config répertoire d'exécution. |
| Enregistreur de configuration lié au service | Un enregistreur de configuration lié à un fichier spécifique Service AWS. Les types de ressources concernés sont définis par le service lié. |
Rubriques
- Considérations relatives à l'enregistreur de configuration géré par le client
- Considérations relatives aux enregistreurs de configuration liés aux services
- Détection de dérive pour l'enregistreur de configuration
- Démarrage de l'enregistreur de configuration géré par le client
- Arrêt de l'enregistreur de configuration géré par le client
- Modification de la fréquence d'enregistrement pour l'enregistreur de configuration géré par le client
- Modification du nom de l'enregistreur de configuration géré par le client
- Affichage de vos enregistreurs de configuration
- Suppression de vos enregistreurs de configuration
Considérations relatives à l'enregistreur de configuration géré par le client
Un enregistreur de configuration géré par le client par compte et par région
Vous ne pouvez avoir qu'un seul enregistreur de configuration géré par le client Compte AWS pour chacun Région AWS.
Par défaut, tous les types de ressources pris en charge sont enregistrés, à l'exception des types de ressources IAM globaux
Par défaut, un enregistreur de configuration géré par le client enregistre tous les types de ressources pris en charge, à l'exception des types de ressources IAM globaux suivants : AWS::IAM::Group AWS::IAM::PolicyAWS::IAM::Role,, et AWS::IAM::User Vous pouvez spécifier les types de ressources que vous souhaitez inclure ou exclure de l'enregistrement.
Pour de plus amples informations, veuillez consulter AWS Ressources d'enregistrement avec AWS Config.
Des frais d'utilisation du service vous sont facturés pour l'utilisation de l'enregistreur de configuration géré par le client
Des frais d'utilisation du service vous sont facturés lorsque vous AWS Config commencez à enregistrer des configurations avec l'enregistreur de configuration géré par le client.
Pour de plus amples informations sur la tarification, veuillez consulter AWS Config
Pricing
AWS Systems Manager À utiliser pour créer un enregistreur de configuration géré par le client au sein d'une organisation
Vous pouvez utiliser AWS Systems Manager Quick Setup pour créer un enregistreur de configuration géré par le client dans plusieurs unités organisationnelles (OUs) et Régions AWS en utilisant les AWS meilleures pratiques.
Pour plus d'informations, consultez la section Création d'un enregistreur AWS Config de configuration à l'aide de Quick Setup dans le guide de l'utilisateur de Systems Manager.
Important
Politiques et résultats en matière de conformité
Les politiques IAM et les autres politiques gérées dans AWS Organizations peuvent avoir une incidence sur le AWS Config fait de disposer des autorisations nécessaires pour enregistrer les modifications de configuration de vos ressources. En outre, les règles évaluent directement la configuration d'une ressource et les règles ne tiennent pas compte de ces politiques lors de l'exécution des évaluations. Assurez-vous que les politiques en vigueur correspondent à la manière dont vous avez l'intention de les utiliser AWS Config.
Les résultats d'évaluation périmés pour les ressources supprimées peuvent persister si l'enregistreur de configuration est désactivé
Si l'enregistreur de configuration géré par le client est désactivé, il désactive la capacité de AWS Config Config à suivre les modifications apportées à la configuration des ressources que vous avez spécifiées, y compris leurs suppressions. Cela signifie que vous risquez de voir des résultats d'évaluation périmés pour les ressources supprimées lorsque l'enregistreur de configuration géré par le client est désactivé, car il est AWS Config impossible de capturer les événements de suppression si l'enregistrement n'est pas activé.
Considérations relatives aux enregistreurs de configuration liés aux services
Le rôle AWS Config lié au service doit être utilisé
Le rôle AWS Config lié à un service est requis pour les enregistreurs de configuration liés à un service.
Pour de plus amples informations, veuillez consulter Utilisation des rôles liés à un service pour AWS Config.
Les enregistreurs de configuration liés au service enregistrent toujours
Vous ne pouvez pas arrêter ou démarrer l'enregistrement pour les enregistreurs de configuration liés au service. Pour arrêter l'enregistrement, vous devez supprimer l'enregistreur de configuration lié au service.
Pour plus d'informations, voir Suppression de l'enregistreur de configuration.
L'étendue d'enregistrement détermine si vous recevez des éléments de configuration
L'étendue de l'enregistrement est définie par le service lié à l'enregistreur de configuration et détermine si vous recevez des éléments de configuration (CIs) dans le canal de diffusion. Si la zone d'enregistrement est interne, vous ne recevrez pas CIs dans le canal de livraison.
L'étendue de l'enregistrement détermine si des frais de service vous sont facturés
L'étendue d'enregistrement est définie par le service lié à l'enregistreur de configuration et détermine si les éléments de configuration (CIs) concernés sont enregistrés gratuitement (INTERNE) ou s'ils ont un impact sur le coût de votre facture (PAYANT).
Détection de dérive pour l'enregistreur de configuration
Le type de ressource AWS::Config::ConfigurationRecorder est un élément de configuration (CI) pour l'enregistreur de configuration qui suit toutes les modifications apportées à l'état de l'enregistreur de configuration. Vous pouvez utiliser ce CI pour vérifier si l'état de l'enregistreur de configuration est différent ou s'il a dérivé de son état précédent.
Par exemple, ce CI surveille si des mises à jour ont été apportées aux types de ressources surveillés par AWS Config , si vous avez arrêté ou démarré l'enregistreur de configuration, ou si vous avez supprimé ou désinstallé l'enregistreur de configuration. Un enregistreur de configuration dérivé indique que vous ne détectez pas avec précision les modifications apportées aux types de ressources souhaités. Si votre enregistreur de configuration a dérivé, il peut induire des faux négatifs ou des faux positifs dans les résultats de conformité.
Le type de AWS::Config::ConfigurationRecorder ressource est un type de ressource système AWS Config et l'enregistrement de ce type de ressource est activé par défaut dans toutes les régions prises en charge. L'enregistrement du type de ressource AWS::Config::ConfigurationRecorder est effectué sans frais supplémentaires.
