Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Surveillez l'évolution des ressources avec AWS Config
AWS Control Tower active tous AWS Config les comptes inscrits, afin de pouvoir surveiller la conformité grâce à des contrôles de détection, enregistrer les modifications des ressources et fournir les journaux des modifications des ressources au compte d'archivage des journaux.
Si la version de votre zone de landing zone est antérieure à la version 3.0 : pour vos comptes inscrits, AWS Config enregistre toutes les modifications apportées aux ressources, pour toutes les régions dans lesquelles le compte fonctionne. Chaque modification est modélisée sous la forme d'un élément de configuration (CI), qui contient des informations telles que l'identifiant de la ressource, la région, la date à laquelle chaque modification a été enregistrée et si la modification concerne une ressource connue ou une ressource récemment découverte.
Si la version de votre zone de landing zone est 3.0 ou ultérieure : AWS Control Tower limite l'enregistrement des ressources globales, telles que les utilisateurs, les groupes, les rôles et les politiques gérées par le client IAM, à votre région d'origine uniquement. Les copies des modifications des ressources globales ne sont pas stockées dans toutes les régions. Cette limitation de l'enregistrement des ressources est conforme aux AWS Config meilleures pratiques
-
Pour en savoir plus AWS Config, consultez la section AWS Config Fonctionnement.
-
Pour obtenir la liste des ressources AWS Config pouvant être prises en charge, consultez la section Types de ressources pris en charge.
-
Pour savoir comment personnaliser le suivi des ressources dans l'environnement AWS Control Tower, consultez le billet de blog intitulé Personnaliser le suivi AWS Config des ressources dans AWS Control Tower
.
AWS Control Tower met en place un canal AWS Config de diffusion pour tous les comptes inscrits. Ce canal de diffusion enregistre toutes les modifications enregistrées par AWS Config le compte d'archivage des journaux, où elles sont stockées dans un dossier d'un bucket Amazon Simple Storage Service.
Afficher les données de l' AWS Config enregistreur sur les comptes inscrits
AWS Config est intégré CloudWatch pour que vous puissiez le visualiser AWS Config CIs dans un tableau de bord. Pour plus d'informations, consultez le billet de blog intitulé AWS Config
Supports Amazon CloudWatch Metrics
Par programmation, pour afficher les AWS Config données, vous pouvez utiliser la AWS CLI ou utiliser d'autres AWS outils.
Interrogez les données de l' AWS Config enregistreur sur une ressource spécifique
Vous pouvez utiliser la AWS CLI pour récupérer la liste des modifications les plus récentes apportées à une ressource.
Commande d'historique des ressources :
-
aws configservice get-resource-config-history --resource-typeRESOURCE-TYPE--resource-idRESOURCE-ID--regionREGION
Pour en savoir plus, consultez la documentation de l'API pour get-config-history.
Visualisez AWS Config les données avec Amazon QuickSight
Vous pouvez visualiser et interroger les ressources enregistrées par AWS Config l'ensemble de votre organisation. Pour plus d'informations, consultez Visualisation des AWS Config données à l'aide d'Amazon Athena et d'Amazon
Résolution des problèmes AWS Config dans AWS Control Tower
Cette section fournit des informations sur certains problèmes que vous pouvez rencontrer lors de l'utilisation AWS Config d'AWS Control Tower.
AWS Config Coûts élevés
Si votre flux de travail inclut des processus qui créent, mettent à jour ou suppriment fréquemment des ressources, ou s'il gère un grand nombre de ressources, ce flux de travail peut générer un grand nombre de CIs. Si vous exécutez ces processus dans un compte hors production, pensez à désinscrire le compte. Il se peut que vous deviez désactiver manuellement l' AWS Config enregistreur de ce compte.
Note
Une fois le compte désinscrit, AWS Control Tower ne peut pas appliquer de contrôles de détection ni enregistrer les événements du compte, tels que les AWS Config activités, pour les ressources de ce compte.
Pour plus d'informations, voir Annuler la gestion d'un compte inscrit. Pour savoir comment désactiver l' AWS Config enregistreur, voir Gestion de l'enregistreur de configuration.
La même ressource est enregistrée plusieurs fois
Vérifiez si la ressource est une ressource globale. Pour les zones d'atterrissage d'AWS Control Tower antérieures à la version 3.0, certaines ressources globales AWS Config peuvent être enregistrées une fois pour chaque région dans laquelle AWS Config elle opère. Par exemple, s'il AWS Config est activé dans huit régions, chaque rôle est enregistré huit fois.
Les ressources suivantes sont enregistrées une fois pour chaque région dans laquelle AWS Config elle opère :
-
AWS::IAM::Group -
AWS::IAM::Policy -
AWS::IAM::Role -
AWS::IAM::User
Les autres ressources globales ne sont enregistrées qu'une seule fois. Voici quelques exemples de ressources enregistrées une seule fois :
-
AWS::Route53::HostedZone -
AWS::Route53::HealthCheck -
AWS::ECR::PublicRepository -
AWS::GlobalAccelerator::Listener -
AWS::GlobalAccelerator::EndpointGroup -
AWS::GlobalAccelerator::Accelerator
AWS Config n'a pas enregistré de ressource
Certaines ressources ont des relations de dépendance avec d'autres ressources. Ces relations peuvent être directes ou indirectes. Vous trouverez une liste des relations indirectes déconseillées dans la AWS Config FAQ.
