Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Config terminologie et concepts
Pour vous aider à comprendre AWS Config, cette rubrique explique certains des concepts clés.
Table des matières
AWS Config Interfaces
AWS Config Console
Vous pouvez gérer le service à l'aide de la AWS Config console. Pour plus d'informations sur le AWS Management Console, consultez AWS Management Console.
AWS Config CLI
AWS Command Line Interface Il s'agit d'un outil unifié avec lequel vous pouvez interagir AWS Config depuis la ligne de commande. Pour plus d’informations, consultez le Guide de l’utilisateur AWS Command Line Interface. Pour une liste complète des commandes AWS Config CLI, voir Commandes disponibles.
AWS Config API
Outre la console et la CLI, vous pouvez également utiliser les API AWS Config RESTful pour programmer AWS Config directement. Pour plus d’informations, consultez la page Référence de l’API AWS Config.
AWS Config SDK
Au lieu d'utiliser l' AWS Config API, vous pouvez utiliser l'un des AWS SDK. Chaque Kit de développement logiciel (SDK) se compose de bibliothèques et d'exemples de code pour différents langages et plateformes de programmation. Ils facilitent la création par programmation d'un accès à AWS Config. Par exemple, vous pouvez utiliser des Kits de développement logiciel (SDK) pour signer de façon chiffrée des demandes, gérer les erreurs et lancer de nouvelles tentatives de demande automatiquement. Pour plus d’informations, consultez la page Outils pour Amazon Web Services
Gestion des ressources
La compréhension des composants de base de vous AWS Config aidera à suivre l'inventaire et les modifications des ressources et à évaluer les configurations de vos AWS ressources.
AWS Ressources
AWS les ressources sont des entités que vous créez et gérez à l' AWS Management Console aide de la AWS Command Line Interface (CLI), AWS des SDK ou des outils AWS partenaires. Les exemples de AWS ressources incluent les instances Amazon EC2, les groupes de sécurité, les Amazon VPC et Amazon Elastic Block Store. AWS Config fait référence à chaque ressource à l'aide de son identifiant unique, tel que l'ID de ressource ou un Amazon Resource Name (ARN). Pour obtenir la liste des types de ressources AWS Config compatibles, consultezTypes de ressource pris en charge.
Relation de ressource
AWS Config découvre AWS les ressources de votre compte, puis crée une carte des relations entre les AWS ressources. Par exemple, une relation peut inclure un volume vol-123ab45d attaché à une instance Amazon EC2 i-a1b2c3d4, elle-même associée au groupe de sécurité sg-ef678hk.
Pour plus d’informations, consultez Types de ressource pris en charge.
Enregistreur de configuration
L’enregistreur de configuration stocke les configurations des ressources prises en charge dans votre compte en tant qu’éléments de configuration. Vous devez d'abord créer l'enregistreur de configuration, puis le démarrer avant de commencer l'enregistrement. Vous pouvez arrêter et redémarrer l'enregistreur de configuration à tout moment. Pour plus d’informations, consultez Gestion de l'enregistreur de configuration.
Par défaut, l'enregistreur de configuration enregistre toutes les ressources prises en charge dans la région où AWS Config il est exécuté. Vous pouvez créer un enregistreur de configuration personnalisé qui enregistre uniquement les types de ressource que vous indiquez. Pour plus d’informations, consultez AWS Ressources d'enregistrement.
Si vous utilisez la AWS Management Console ou la CLI pour activer le service, crée et démarre AWS Config automatiquement un enregistreur de configuration pour vous.
Canal de livraison
Comme il enregistre AWS Config en permanence les modifications apportées à vos AWS ressources, il envoie des notifications et des états de configuration mis à jour via le canal de livraison. Vous pouvez gérer le canal de diffusion pour contrôler l'endroit où les mises à jour de configuration sont AWS Config envoyées.
Éléments de configuration
Un élément de configuration représente une point-in-time vue des différents attributs d'une AWS ressource prise en charge qui existe dans votre compte. Les composants d'un élément de configuration incluent les métadonnées, les attributs, les relations, la configuration actuelle et les événements connexes. AWS Config crée un élément de configuration chaque fois qu'il détecte une modification d'un type de ressource qu'il enregistre. Par exemple, si vous AWS Config enregistrez des compartiments Amazon S3, AWS Config crée un élément de configuration chaque fois qu'un compartiment est créé, mis à jour ou supprimé. Vous pouvez également sélectionner de AWS Config créer un élément de configuration à la fréquence d'enregistrement que vous avez définie.
Pour plus d'informations, consultez Components of a Configuration Item la section Fréquence d'enregistrement.
Historique des configurations
Un historique de configuration est un ensemble d’éléments de configuration pour une ressource donnée sur une période donnée. Il permet de répondre aux questions concernant, par exemple, la date de création de la ressource, la configuration de la ressource au cours du dernier mois, ainsi que les changements de configuration effectués hier à 9h. L'historique de configuration est disponible dans plusieurs formats. AWS Config fournit automatiquement un fichier d'historique de configuration pour chaque type de ressource enregistré dans un compartiment Amazon S3 que vous spécifiez. Vous pouvez sélectionner une ressource donnée dans la AWS Config console et accéder à tous les éléments de configuration précédents pour cette ressource à l'aide de la chronologie. En outre, vous pouvez accéder aux éléments de l'historique de configuration pour une ressource à partir de l'interface API.
Pour plus d'informations, consultez les sections Affichage de l'historique de conformité et Interrogation de l'historique de conformité.
Instantané de configuration
Un instantané de configuration est un ensemble d’éléments de configuration pour les ressources prises en charge de votre compte. Cet instantané de la configuration est une image complète des ressources qui sont en cours d'enregistrement et de leur configuration. Il peut être un outil utile pour la validation de votre configuration. Par exemple, vous pouvez examiner l'instantané de configuration régulièrement pour les ressources qui sont configurées de façon incorrecte ou qui ne devraient pas exister. Il est disponible dans plusieurs formats. Vous pouvez faire en sorte que l'instantané de configuration soit diffusé vers un compartiment Amazon Simple Storage Service (Amazon S3) que vous spécifiez. En outre, vous pouvez sélectionner un moment dans la AWS Config console et parcourir l'instantané des éléments de configuration à l'aide des relations entre les ressources.
Pour plus d'informations, consultez les sections Livraison d'instantanés de configuration, Affichage des instantanés de configuration et Exemple d'instantané de configuration.
Flux des configurations
Un flux de configuration est une liste automatiquement mise à jour de tous les éléments de configuration pour les ressources en cours AWS Config d'enregistrement. Chaque fois qu'une ressource est créée, modifiée ou supprimée, AWS Config crée un élément de configuration et l'ajoute dans le flux de configuration. Le flux de configuration fonctionne en utilisant la rubrique Amazon Simple Notification Service (Amazon SNS) de votre choix. Le flux de configuration est utile pour observer les modifications de configuration au fur et à mesure qu'elles se produisent afin de détecter les problèmes potentiels, de générer des notifications si certaines ressources sont modifiées ou de mettre à jour les systèmes externes qui doivent refléter la configuration de vos AWS ressources.
AWS Config Règles
Une AWS Config règle représente les paramètres de configuration souhaités pour des AWS ressources spécifiques ou pour une ressource complète Compte AWS. Si une ressource ne passe pas la vérification des règles, AWS Config signale la ressource et la règle comme non conformes et vous en AWS Config informe via Amazon SNS. Les résultats d'évaluation possibles pour une AWS Config règle sont les suivants :
-
COMPLIANT- la règle satisfait aux conditions du contrôle de conformité. -
NON_COMPLIANT- la règle ne satisfait pas aux conditions du contrôle de conformité. -
ERROR- l'un des paramètres obligatoires/facultatifs n'est pas valide, n'est pas du bon type ou est mal formaté. -
NOT_APPLICABLE- utilisé pour filtrer les ressources auxquelles la logique de la règle ne peut s'appliquer. Par exemple, la alb-desync-mode-checkrègle vérifie uniquement les équilibreurs de charge d'application et ignore les équilibreurs de charge réseau et les équilibreurs de charge de passerelle.
Il existe deux types de règles : les règles AWS Config gérées et les règles AWS Config personnalisées. Pour plus d'informations sur la structure des définitions de règles et des métadonnées des règles, voir Composants d'une AWS Config règle.
AWS Config Règles gérées
AWS Config Les règles gérées sont des règles prédéfinies et personnalisables créées par AWS Config. Pour obtenir la liste des règles gérées, consultez la section Liste des règles AWS Config gérées.
AWS Config Règles personnalisées
AWS Config Les règles personnalisées sont des règles que vous créez de toutes pièces. Il existe deux manières de créer des règles AWS Config personnalisées : avec les fonctions Lambda (Guide du AWS Lambda développeur) et avec Guard (Guard GitHub Repository
Pour une présentation expliquant comment créer des règles de stratégie AWS Config personnalisées, voir Création de règles de stratégie AWS Config personnalisées. Pour une présentation expliquant comment créer des règles Lambda AWS Config personnalisées, voir Création de règles Lambda AWS Config personnalisées.
Types de déclencheurs
Après avoir ajouté une règle à votre compte, AWS Config comparez vos ressources aux conditions de cette règle. Après cette évaluation initiale, AWS Config continue à exécuter des évaluations chaque fois qu'une évaluation est déclenchée. Les déclencheurs d'évaluation sont définis dans le cadre de la règle et peuvent inclure les types suivants.
| Type de déclencheur | Description |
|---|---|
| Configuration changes | AWS Config exécute des évaluations pour la règle lorsqu'une ressource correspond au champ d'application de la règle et qu'il y a un changement de configuration de la ressource. L'évaluation s'exécute après l' AWS Config envoi d'une notification de modification d'élément de configuration. Vous choisissez quelles ressources déclenchent l'évaluation en définissant la portée de la règle. La portée peut inclure les éléments suivants :
AWS Config exécute l'évaluation lorsqu'il détecte une modification apportée à une ressource correspondant au champ d'application de la règle. Vous pouvez utiliser la portée afin de définir les ressources qui déclenchent des évaluations. |
| Périodique | AWS Config exécute des évaluations de la règle à la fréquence que vous choisissez, par exemple toutes les 24 heures. |
| Hybride | Certaines règles comportent à la fois des changements de configuration et des déclencheurs périodiques. Pour ces règles, AWS Config évalue vos ressources lorsqu'il détecte un changement de configuration et également à la fréquence que vous spécifiez. |
Modes d'évaluation
Il existe deux modes d'évaluation des AWS Config règles.
| Mode d'évaluation | Description |
|---|---|
| Proactif | Utilisez l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait CONFORME ou NON_COMPLIANT compte tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région. Pour plus d'informations, consultez Modes d'évaluation. Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation. |
| Détective | Utilisez l'évaluation détective pour évaluer les ressources déjà déployées. Ce type d'évaluation vous permet d'évaluer les paramètres de configuration de vos ressources existantes. |
Note
Les règles proactives ne corrigent pas les ressources marquées comme NON_COMPLIANT et n'empêchent pas leur déploiement.
Packs de conformité
Un pack de conformité est un ensemble de AWS Config règles et d'actions correctives qui peuvent être facilement déployées en tant qu'entité unique dans un compte et une région ou au sein d'une organisation dans. AWS Organizations
Les packs de conformité sont créés au moyen d'un modèle YAML qui contient la liste des règles gérées ou personnalisées et des actions de correction AWS Config . Vous pouvez déployer le modèle à l'aide de la console AWS Config ou de la AWS CLI.
Pour démarrer rapidement et évaluer votre AWS environnement, utilisez l'un des exemples de modèles de pack de conformité. Vous pouvez également créer un fichier YAML de pack de conformité à partir de zéro sur la base du pack de conformité personnalisé. Un pack de conformité personnalisé est un ensemble unique de AWS Config règles et d'actions correctives que vous pouvez déployer ensemble dans un compte et une AWS région, ou au sein d'une organisation dans. AWS Organizations
Les contrôles de processus sont un type de AWS Config règle qui vous permet de suivre vos tâches externes et internes qui nécessitent une vérification dans le cadre des packs de conformité. Ces vérifications peuvent être ajoutées à un pack de conformité existant ou à un nouveau pack de conformité. Vous pouvez suivre l'ensemble de la conformité, y compris AWS Config les durées et les contrôles manuels, en un seul endroit.
Regroupement des données de plusieurs comptes et plusieurs régions
L'agrégation de données multicomptes et multirégions vous AWS Config permet d'agréger les données de AWS Config configuration et de conformité de plusieurs comptes et régions dans un seul compte. L'agrégation de données multicomptes et multirégions est utile aux administrateurs informatiques centraux afin de contrôler la conformité de plusieurs Comptes AWS entreprises. L'utilisation d'agrégateurs n'entraîne aucun coût supplémentaire.
Compte source
Un compte source est le compte Compte AWS à partir duquel vous souhaitez agréger les données de configuration et de conformité des AWS Config ressources. Un compte source peut être un compte individuel ou une organisation dans AWS Organizations. Vous pouvez fournir des comptes sources individuellement ou vous pouvez les récupérer via AWS Organizations.
Région source
Une région source est la AWS région à partir de laquelle vous souhaitez agréger les données AWS Config de configuration et de conformité.
Agrégateur
Un agrégateur collecte des données AWS Config de configuration et de conformité à partir de plusieurs comptes sources et régions. Créez un agrégateur dans la région où vous souhaitez consulter les données de AWS Config configuration et de conformité agrégées.
Note
Les agrégateurs fournissent une vue en lecture seule des comptes source et des régions que l'agrégateur est autorisé à consulter en répliquant les données des comptes sources vers le compte agrégateur. Les agrégateurs ne fournissent pas d'accès mutant à un compte ou à une région source. Par exemple, cela signifie que vous ne pouvez pas déployer de règles via un agrégateur ou transférer des fichiers instantanés vers un compte ou une région source via un agrégateur.
Compte Aggregator
Un compte Aggregator est un compte dans lequel vous créez un agrégateur.
Autorisation
En tant que propriétaire du compte source, l'autorisation fait référence aux autorisations que vous accordez à un compte agrégateur et à une région pour collecter vos données de AWS Config configuration et de conformité. Aucune autorisation n'est requise si vous regroupez des comptes source qui font partie de AWS Organizations.
