Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Mode d'évaluation et types de déclencheurs pour AWS Config Règles
Lorsque vous ajoutez une règle à votre compte, vous pouvez spécifier à quel moment du processus de création et de gestion des ressources vous souhaitez AWS Config pour évaluer vos ressources. Le processus de création et de gestion des ressources est connu sous le nom de mise en service des ressources. Vous choisissez le mode d'évaluation pour spécifier à quel moment de ce processus vous souhaitez AWS Config pour évaluer vos ressources.
En fonction de la règle, AWS Config peut évaluer la configuration de vos ressources avant le déploiement d'une ressource, après le déploiement d'une ressource, ou les deux. L'évaluation d'une ressource avant son déploiement est une évaluation proactive. L'évaluation d'une ressource après son déploiement est une évaluation détective.
Vous pouvez également choisir le type de déclencheur pour spécifier la fréquence de votre AWS Config les règles évaluent vos ressources. Les ressources peuvent être évaluées lors de changements de configuration, selon un calendrier périodique, ou les deux.
Types de déclencheurs
Après avoir ajouté une règle à votre compte, AWS Config compare vos ressources aux conditions de la règle. Après cette première évaluation, AWS Config continue d'exécuter des évaluations chaque fois qu'une évaluation est déclenchée. Les déclencheurs d'évaluation sont définis dans le cadre de la règle et ils peuvent inclure les types suivants :
| Type de déclencheur | Description |
|---|---|
| Configuration changes | AWS Config exécute des évaluations pour la règle lorsqu'une ressource correspond au champ d'application de la règle et qu'il y a un changement de configuration de la ressource. L'évaluation se déroule après AWS Config envoie une notification de modification d'élément de configuration. Vous choisissez quelles ressources déclenchent l'évaluation en définissant la portée de la règle. La portée peut inclure les éléments suivants :
AWS Config exécute l'évaluation lorsqu'il détecte une modification apportée à une ressource correspondant au champ d'application de la règle. Vous pouvez utiliser la portée afin de définir les ressources qui déclenchent des évaluations. |
| Périodique | AWS Config exécute des évaluations de la règle à la fréquence que vous choisissez, par exemple toutes les 24 heures. |
| Hybride | Certaines règles comportent à la fois des changements de configuration et des déclencheurs périodiques. Pour ces règles, AWS Config évalue vos ressources lorsqu'il détecte un changement de configuration et également à la fréquence que vous spécifiez. |
Modes d'évaluation
Il existe deux modes d'évaluation :
Utilisez l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir un AWS ressource, serait COMPLIANT ou NON _ COMPLIANT étant donné l'ensemble de règles proactives que vous avez sur votre compte dans votre région.
Le schéma du type de ressource indique les propriétés d'une ressource. Vous pouvez trouver le schéma des types de ressources dans "AWS extensions publiques "dans le AWS CloudFormation registry ou avec la CLI commande suivante :
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --typeRESOURCE
Pour plus d'informations, consultez la section Gestion des extensions via le AWS CloudFormation registre et AWS référence aux types de ressources et de propriétés dans le AWS CloudFormation Guide de l'utilisateur
Note
Les règles proactives ne corrigent pas les ressources signalées comme NON _ COMPLIANT et n'empêchent pas leur déploiement.
Liste des règles gérées avec une évaluation proactive
Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, voir Liste des AWS Config Règles gérées par mode d'évaluation.
Liste des types de ressources pris en charge pour une évaluation proactive
Voici une liste des types de ressources pris en charge pour une évaluation proactive :
-
AWS::ApiGateway::Stage -
AWS::AutoScaling::AutoScalingGroup -
AWS::EC2::EIP -
AWS::EC2::Instance -
AWS::EC2::Subnet -
AWS::Elasticsearch::Domain -
AWS::Lambda::Function -
AWS::RDS::DBInstance -
AWS::Redshift::Cluster -
AWS::S3::Bucket -
AWS::SNS::Topic
Exemple de règle avec une évaluation proactive
Exemples de règles proactives
-
Vous ajoutez AWS Config règle gérée
S3_BUCKET_LOGGING_ENABLED, sur votre compte pour vérifier si la journalisation est activée dans vos compartiments S3. -
Pour le mode d'évaluation, choisissez Activer l'évaluation proactive dans AWS Console de gestion, ou activez
PROACTIVEpourEvaluationModesdans le PutConfigRuleAPI.
Après avoir activé l'évaluation proactive, vous pouvez utiliser le StartResourceEvaluationAPIet GetResourceEvaluationSummaryAPIpour vérifier si la journalisation n'est pas activée pour un bucket de votre compte, qui n'a pas été déployé en production. Vous pouvez ainsi tester les configurations des ressources avant de les déployer et réévaluer si vous souhaitez déployer la ressource concernée en production.
Par exemple, commencez par StartResourceEvaluation API :
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"MY_RESOURCE_ID", "ResourceType":"AWS::S3::Bucket", "ResourceConfiguration": "{\"BucketName\": \"amzn-s3-demo-bucket1\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"amzn-s3-demo-bucket2\",\"LogFilePrefix\":\"my-log\"}}", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
Vous devriez recevoir le ResourceEvaluationId dans la sortie :
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }
Ensuite, utilisez le ResourceEvaluationId with GetResourceEvaluationSummary API pour vérifier le résultat de l'évaluation :
aws configservice get-resource-evaluation-summary --resource-evaluation-idMY_RESOURCE_EVALUATION_ID
Votre résultat doit être similaire à ce qui suit :
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "{\"BucketName\": \"amzn-s3-demo-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"amzn-s3-demo-destination-bucket1\",\"LogFilePrefix\":\"my-log\"}}", } }
Pour obtenir des informations supplémentaires sur le résultat de l'évaluation, telles que la règle qui a marqué une ressource comme NON _COMPLIANT, utilisez le GetComplianceDetailsByResourceAPI.
Utilisez l'évaluation détective pour évaluer les ressources déjà déployées. Ce type d'évaluation vous permet d'évaluer les paramètres de configuration de vos ressources existantes.
Exemples de règles avec l'évaluation détective
Exemple de règle déclenchée par des modifications
-
Vous ajoutez la règle gérée,
S3_BUCKET_LOGGING_ENABLED, à votre compte pour vérifier si la journalisation est activée pour les compartiments S3. -
Le type de déclencheur de la règle est le changement de configuration. AWS Config exécute les évaluations de la règle lorsqu'un compartiment S3 est créé, modifié ou supprimé.
-
Lorsqu'un bucket est mis à jour, la modification de configuration initie la règle et AWS Config évalue si le compartiment est conforme à la règle.
Exemples de règles périodiques
-
Vous ajoutez la règle gérée,
IAM_PASSWORD_POLICY, à votre compte. La règle vérifie si la politique de mot de passe de vos IAM utilisateurs est conforme à la politique de votre compte, par exemple en exigeant une longueur minimale ou des caractères spécifiques. -
Le type de déclencheur de la règle est périodique. AWS Config exécute l'évaluation de la règle à une fréquence que vous spécifiez, par exemple toutes les 24 heures.
-
Toutes les 24 heures, la règle est initiée et AWS Config évalue si les mots de passe de vos IAM utilisateurs sont conformes à la règle.
Exemple de règle hybride avec changement de configuration et déclencheurs périodiques
-
Créez une règle personnalisée qui évalue si AWS CloudTrail les sentiers de votre compte sont activés et enregistrés pour toutes les régions.
-
Tu veux AWS Config pour évaluer la règle chaque fois qu'un journal est créé, mis à jour ou supprimé. Vous souhaitez également AWS Config pour exécuter la règle toutes les 12 heures.
-
Concernant le type de déclencheur, vous écrivez une logique pour les changements de configuration et les déclencheurs périodiques. Pour plus d'informations, voir Composants d'un AWS Config Règle : Règles d'écriture.
Évaluations de règle lorsque l'enregistreur de configuration est désactivé
Si vous désactivez l'enregistreur de configuration, AWS Config arrête d'enregistrer les modifications apportées à vos configurations de ressources. Cela affecte les évaluations de règle de la façon suivante :
-
Les règles périodiques continuent d'exécuter des évaluations à la fréquence spécifiée.
-
Les règles déclenchées par des modifications n'exécutent pas d'évaluations.
-
Les règles hybrides exécutent les évaluations uniquement à la fréquence spécifiée. Les règles n'exécutent pas les évaluations pour les changements de configuration.
-
Si vous exécutez une évaluation à la demande pour une règle avec déclencheur en cas de changement de configuration, la règle évalue le dernier état connu de la ressource, qui est le dernier élément de configuration enregistré.
Important
Évitez les inutiles AWS Config Évaluations
Les règles périodiques et les règles hybrides continueront de s'exécuter jusqu'à ce qu'elles soient supprimées, même si vous avez désactivé l'enregistreur de configuration. Ces règles évalueront uniquement les éléments de configuration enregistrés avant la désactivation de l'enregistreur de configuration. Par conséquent, elles reproduiront les mêmes résultats d'évaluation sans nouvelles informations. Supprimez les règles périodiques et les règles hybrides lorsque vous désactivez l'enregistreur de configuration afin d'éviter toute activité et toute évaluation de règles inutiles.
