Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation du suivi des ressources
Avant de créer votre premier framework lié à la conformité, vous devez activer le suivi des ressources. Cela permet AWS Config de suivre vos AWS Backup ressources. Pour obtenir de la documentation technique sur la gestion du suivi des ressources, consultez la section Configuration à l' AWS Config aide de la console dans le guide du AWS Config développeur.
Des frais s'appliquent lorsque vous activez le suivi des ressources. Pour plus d'informations sur le suivi des ressources, la tarification et la facturation pour AWS Backup Audit Manager, consultez la section Comptage, coûts et facturation.
Rubriques
Activation du suivi des ressources à l'aide de la console
Pour activer le suivi des ressources à l'aide de la console :
Ouvrez la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.
-
Dans le volet de navigation de gauche, sous Audit Manager, choisissez Cadres.
-
Activez le suivi des ressources en choisissant Gérer le suivi des ressources.
-
Choisissez Accéder aux AWS Config paramètres.
-
Choisissez Activer ou désactiver l'enregistrement.
-
Choisissez Activer l'enregistrement pour tous les types de ressources suivants ou choisissez d'activer l'enregistrement pour certains types de ressources. Consultez Contrôles et corrections d'AWS Backup Audit Manager pour savoir quels types de ressources sont requis pour vos contrôles.
-
AWS Backup: backup plans -
AWS Backup: backup vaults -
AWS Backup: recovery points -
AWS Backup: backup selection
Note
AWS Backup Audit Manager est requis
AWS Config: resource compliancepour chaque contrôle. -
-
Choisissez Close (Fermer).
-
Attendez que la bannière bleue avec le texte Activation du suivi des ressources se transforme en bannière verte avec le texte Le suivi des ressources est activé.
Vous pouvez vérifier si vous avez activé le suivi des ressources et, dans l'affirmative, quels types de ressources vous enregistrez, à deux endroits de la AWS Backup console. Dans le volet de navigation de gauche, vous avez deux options :
-
Choisissez Cadres, puis choisissez le texte sous Statut de l'enregistreur AWS Config .
-
Choisissez Paramètres, puis choisissez le texte sous Statut de l'enregistreur AWS Config .
Activation du suivi des ressources à l'aide de l' AWS Command Line Interface (AWS CLI)
Si vous n'êtes pas encore inscrit à AWS Config, il peut être plus rapide de le faire en utilisant le. AWS CLI
Pour activer le suivi des ressources à l'aide de l' AWS CLI :
-
Tapez la commande suivante pour déterminer si vous avez déjà activé votre enregistreur AWS Config .
$ aws configservice describe-configuration-recorders-
Si votre liste
ConfigurationRecordersest vide comme ceci :{ "ConfigurationRecorders": [] }Votre enregistreur n'est pas activé. Passez à l'étape 2 pour créer votre enregistreur.
-
Si vous avez déjà activé l'enregistrement pour toutes les ressources, votre sortie
ConfigurationRecordersressemblera à ceci :{ "ConfigurationRecorders":[ { "recordingGroup":{ "allSupported":true, "resourceTypes":[ ], "includeGlobalResourceTypes":true }, "roleARN":"arn:aws:iam::[account]:role/[roleName]", "name":"default" } ] }Puisque vous avez activé toutes les ressources, vous avez déjà activé le suivi des ressources. Il n'est pas nécessaire de suivre le reste de cette procédure pour utiliser AWS Backup Audit Manager.
-
Si vos
ConfigurationRecordersne sont pas vides, mais que vous n'avez pas activé l'enregistrement pour toutes les ressources, ajoutez des ressources de sauvegarde à votre enregistreur existant à l'aide de la commande suivante. Passez ensuite à l'étape 3.$ aws configservice describe-configuration-recorders { "ConfigurationRecorders":[ { "name":"default", "roleARN":"arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig", "recordingGroup":{ "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::Backup::BackupPlan", "AWS::Backup::BackupSelection", "AWS::Backup::BackupVault", "AWS::Backup::RecoveryPoint", "AWS::Config::ResourceCompliance" ] } } ] }
-
-
Créez un AWS Config enregistreur avec les types de ressources AWS Backup Audit Manager
$ aws configservice put-configuration-recorder --configuration-recorder name=default, \ roleARN=arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \ --recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \ 'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint','AWS::Config::ResourceCompliance']" -
Décrivez votre AWS Config enregistreur.
$ aws configservice describe-configuration-recordersVérifiez qu'il possède les types de ressources AWS Backup Audit Manager en comparant votre sortie avec la sortie attendue suivante.
{ "ConfigurationRecorders":[ { "name":"default", "roleARN":"arn:aws:iam::accountId:role/AWSServiceRoleForConfig", "recordingGroup":{ "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::Backup::BackupPlan", "AWS::Backup::BackupSelection", "AWS::Backup::BackupVault", "AWS::Backup::RecoveryPoint", "AWS::Config::ResourceCompliance" ] } } ] } -
Créez un compartiment Amazon S3 comme destination pour stocker les fichiers AWS Config de configuration.
$ aws s3api create-bucket --bucketmy-bucket—regionus-east-1 -
Utiliser
policy.jsonpour accorder AWS Config l'autorisation d'accéder à votre compartiment. Voir l'exemple suivantpolicy.json.$ aws s3api put-bucket-policy --bucketMyBucket--policyfile://policy.json{ "Version":"2012-10-17", "Statement":[ { "Sid":"AWSConfigBucketPermissionsCheck", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:GetBucketAcl", "Resource":"arn:aws:s3:::my-bucket" }, { "Sid":"AWSConfigBucketExistenceCheck", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:ListBucket", "Resource":"arn:aws:s3:::my-bucket" }, { "Sid":"AWSConfigBucketDelivery", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::my-bucket/*" } ] } -
Configurez votre bucket comme canal AWS Config de distribution
$ aws configservice put-delivery-channel --delivery-channel name=default,s3BucketName=my-bucket -
Activer AWS Config l'enregistrement
$ aws configservice start-configuration-recorder --configuration-recorder-namedefault -
Vérifiez que
"FrameworkStatus":"ACTIVE"se trouve dans la dernière ligne de votre sortieDescribeFrameworkcomme suit.$ aws backup describe-framework --framework-nametest--regionus-east-1{ "FrameworkName":"test", "FrameworkArn":"arn:aws:backup:us-east-1:accountId:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666", "FrameworkDescription":"", "FrameworkControls":[ { "ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK", "ControlInputParameters":[ { "ParameterName":"requiredRetentionDays", "ParameterValue":"1" } ], "ControlScope":{ } }, { "ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK", "ControlInputParameters":[ { "ParameterName":"requiredFrequencyUnit", "ParameterValue":"hours" }, { "ParameterName":"requiredRetentionDays", "ParameterValue":"35" }, { "ParameterName":"requiredFrequencyValue", "ParameterValue":"1" } ], "ControlScope":{ } }, { "ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN", "ControlInputParameters":[ ], "ControlScope":{ } }, { "ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED", "ControlInputParameters":[ ], "ControlScope":{ } }, { "ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED", "ControlInputParameters":[ ], "ControlScope":{ } } ], "CreationTime":1633463605.233, "DeploymentStatus":"COMPLETED", "FrameworkStatus":"ACTIVE" }
Activation du suivi des ressources avec un modèle AWS CloudFormation
Pour un AWS CloudFormation modèle qui active le suivi des ressources, consultez la section Utilisation AWS Backup d'Audit Manager avec AWS CloudFormation.
