Prérequis - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis

Avant de déployer votre pack de conformité, activez l' AWS Config enregistrement.

Étape 1 : démarrer AWS Config l'enregistrement

  1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/.

  2. Choisissez Settings (Paramètres) dans le volet de navigation.

  3. Pour démarrer l'enregistrement, sous Recording is off (L'enregistrement est désactivé), choisissez Turn on (Activer). À l'invite, choisissez Continuer.

Étape 2 : Conditions préalables à l'utilisation d'un pack de conformité avec correction

Avant de déployer des packs de conformité à l'aide d'exemples de modèles avec correction, vous devez créer des ressources appropriées telles que l'automatisation assume le rôle et d'autres AWS ressources en fonction de votre objectif de correction.

Si vous disposez d'un rôle d'automatisation existant que vous utilisez pour la correction à l'aide de documents SSM, vous pouvez directement fournir l'ARN de ce rôle. Si vous disposez de ressources, vous pouvez les fournir dans le modèle.

Note

Lors du déploiement d'un pack de conformité avec la correction dans une organisation, l'ID du compte de gestion de l'organisation doit être spécifié. Dans le cas contraire, lors du déploiement du pack de conformité de l'organisation, AWS Config remplace automatiquement l'ID du compte de gestion par l'ID du compte membre.

AWS Config ne prend pas en charge les fonctions AWS CloudFormation intrinsèques pour le rôle d'exécution de l'automatisation. Vous devez fournir l'ARN exact du rôle sous forme de chaîne.

Pour de plus amples informations sur la façon de transmettre l'ARN exact, veuillez consulter Exemples de modèles de pack de conformité. Lors de l'utilisation d'exemples de modèles, mettez à jour votre ID de compte et votre ID de compte de gestion pour l'organisation.

Étape 2 : Conditions préalables à l'utilisation d'un pack de conformité avec une ou plusieurs règles AWS Config

Avant de déployer un pack de conformité avec une ou plusieurs AWS Config règles personnalisées, créez les ressources appropriées telles que la AWS Lambda fonction et le rôle d'exécution correspondant.

Si vous avez une AWS Config règle personnalisée existante, vous pouvez directement fournir la AWS Lambda fonction ARN of pour créer une autre instance de cette règle personnalisée dans le cadre du pack.

Si aucune AWS Config règle personnalisée n'existe, vous pouvez créer une AWS Lambda fonction et utiliser l'ARN de la fonction Lambda. Pour plus d’informations, consultez AWS Config Règles personnalisées.

Si votre AWS Lambda fonction est présente dans un autre Compte AWS, vous pouvez créer des AWS Config règles avec l'autorisation appropriée pour les AWS Lambda fonctions inter-comptes. Pour plus d'informations, consultez Comment gérer de manière centralisée les AWS Config règles sur plusieurs Comptes AWS articles de blog.

Same account bucket policy

AWS Config Pour pouvoir stocker les artefacts du pack de conformité, vous devez fournir un compartiment Amazon S3 et ajouter les autorisations suivantes. Pour plus d'informations sur les noms de compartiment, consultez Règles de dénomination de compartiment.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSConfigConformsBucketPermissionsCheck", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::delivery-bucket-name" }, { "Sid": "AWSConfigConformsBucketDelivery", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::delivery-bucket-name/[optional] prefix/AWSLogs/AccountId/Config/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }
Cross-account bucket policy

AWS Config Pour pouvoir stocker les artefacts du pack de conformité, vous devez fournir un compartiment Amazon S3 et ajouter les autorisations suivantes. Pour plus d'informations sur les noms de compartiment, consultez Règles de dénomination de compartiment.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSConfigConformsBucketPermissionsCheck", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms", "PutConformancePack API caller user principal like arn:aws:iam::SourceAccountId:user/userName " ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name" }, { "Sid": "AWSConfigConformsBucketDelivery", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Sid": " AWSConfigConformsBucketReadAccess", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" ] }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*" } ] }
Note

Lors du déploiement de packs de conformité entre comptes, le nom du compartiment de diffusion Amazon S3 doit commencer par awsconfigconforms.

Étape 2 : Conditions préalables pour les packs de conformité de l'organisation

Spécifiez un ARN de rôle d'exécution d'automatisation pour cette correction dans le modèle, si le modèle d'entrée possède une configuration de correction automatique. Vérifiez qu'un rôle portant le nom spécifié existe dans tous les comptes (gestion et membres) d'une organisation. Vous devez créer ce rôle dans tous les comptes avant d'appeler PutOrganizationConformancePack. Vous pouvez créer ce rôle manuellement ou utiliser les AWS CloudFormation stack-sets pour créer ce rôle dans chaque compte.

Si votre modèle utilise une fonction AWS CloudFormation intrinsèque Fn::ImportValue pour importer une variable particulière, cette variable doit être définie comme un Export Value dans tous les comptes membres de cette organisation.

Pour les AWS Config règles personnalisées, consultez Comment gérer de manière centralisée AWS Config les règles sur plusieurs Comptes AWS blogs pour configurer les autorisations appropriées.

Politique de compartiments d'organisation :

AWS Config Pour pouvoir stocker les artefacts du pack de conformité, vous devez fournir un compartiment Amazon S3 et ajouter les autorisations suivantes. Pour plus d'informations sur les noms de compartiment, consultez Règles de dénomination de compartiment.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGetObject", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "customer_org_id" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" } } }, { "Sid": "AllowGetBucketAcl", "Effect": "Allow", "Principal": "*", "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "customer_org_id" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" } } } ] }
Note

Lorsque vous déployez des packs de conformité dans une organisation, le nom du compartiment de diffusion Amazon S3 doit commencer par awsconfigconforms.