Évaluer les ressources à l'aide de AWS Config règles - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Évaluer les ressources à l'aide de AWS Config règles

AWS Config À utiliser pour évaluer les paramètres de configuration de vos AWS ressources. Pour ce faire, vous devez créer AWS Config des règles qui représentent vos paramètres de configuration idéaux. AWS Config fournit des règles prédéfinies personnalisables appelées règles gérées pour vous aider à démarrer.

Comment fonctionnent AWS Config les règles

Pendant qu' AWS Config surveille en permanence les changements de configuration de vos ressources, il vérifie si ces changements vont à l'encontre de l'une des conditions de vos règles. Si une ressource n'est pas conforme à la règle, AWS Config marque la ressource et la règle comme non conformes. Les résultats d'évaluation possibles pour une AWS Config règle sont les suivants :

  • COMPLIANT - la règle satisfait aux conditions du contrôle de conformité.

  • NON_COMPLIANT - la règle ne satisfait pas aux conditions du contrôle de conformité.

  • ERROR - l'un des paramètres obligatoires/facultatifs n'est pas valide, n'est pas du bon type ou est mal formaté.

  • NOT_APPLICABLE - utilisé pour filtrer les ressources auxquelles la logique de la règle ne peut s'appliquer. Par exemple, la alb-desync-mode-checkrègle vérifie uniquement les équilibreurs de charge d'application et ignore les équilibreurs de charge réseau et les équilibreurs de charge de passerelle.

Par exemple, lorsqu'un EC2 volume est créé, AWS Config vous pouvez l'évaluer par rapport à une règle qui exige que les volumes soient chiffrés. Si le volume n'est pas chiffré, AWS Config marque le volume et la règle comme non conformes. AWS Config peut également vérifier toutes vos ressources pour vérifier les exigences relatives à l'ensemble du compte. Par exemple, AWS Config vous pouvez vérifier si le nombre de EC2 volumes d'un compte reste dans les limites du total souhaité ou si un compte les utilise à des AWS CloudTrail fins de journalisation.

Règles liées aux services

Les règles liées aux services constituent un type unique de règle gérée qui permet à d'autres AWS services de créer des AWS Config règles dans votre compte. Ces règles sont prédéfinies pour inclure toutes les autorisations requises pour appeler d'autres AWS services en votre nom. Ces règles sont similaires aux normes qu'un AWS service vous recommande Compte AWS pour la vérification de conformité. Pour de plus amples informations, veuillez consulter Règles liées aux services AWS Config.

Règles personnalisées

Vous pouvez également créer des règles personnalisées pour évaluer les ressources supplémentaires qui AWS Config ne sont pas encore enregistrées. Pour plus d’informations, consultez AWS Config Règles personnalisées et Évaluation des types de ressources supplémentaires.

Affichage de la conformité

La AWS Config console indique l'état de conformité de vos règles et de vos ressources. Vous pouvez voir dans quelle mesure vos AWS ressources sont globalement conformes aux configurations souhaitées et savoir quelles ressources spécifiques ne sont pas conformes. Vous pouvez également utiliser le AWS CLI AWS Config API, et AWS SDKs pour demander au AWS Config service des informations de conformité.

En utilisant AWS Config pour évaluer vos configurations de ressources, vous pouvez évaluer dans quelle mesure vos configurations de ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations.

Limites

Pour connaître le nombre maximum de AWS Config règles par région pour chaque compte et les autres limites de service, consultez la section Limites AWS Config de service.

Considérations de coût

Pour plus de détails sur les coûts associés à l'enregistrement des ressources, consultez la section AWS Config tarification.

Recommandation : arrêtez d'enregistrer la conformité des ressources avant de supprimer les règles

Il est vivement recommandé d'arrêter l'enregistrement pour le type de AWS::Config::ResourceCompliance ressource avant de supprimer les règles de votre compte. La suppression de règles crée des éléments de configuration (CIs) pour votre enregistreur de configuration AWS::Config::ResourceCompliance et peut avoir une incidence sur les coûts AWS Config de votre enregistreur de configuration. Si vous supprimez des règles qui évaluent un grand nombre de types de ressources, cela peut entraîner une augmentation du nombre de ressources CIs enregistrées.

Bonnes pratiques :

  1. Arrêter l'enregistrement AWS::Config::ResourceCompliance

  2. Supprimer une ou plusieurs règles

  3. Activez l'enregistrement pour AWS::Config::ResourceCompliance

Recommandation : ajouter une logique pour gérer l'évaluation des ressources supprimées pour les règles Lambda personnalisées

Lorsque vous créez AWS Config des règles lambda personnalisées, il est vivement recommandé d'ajouter une logique pour gérer l'évaluation des ressources supprimées.

Lorsque les résultats de l'évaluation sont marqués comme NOT_APPLICABLE, ils seront marqués pour suppression et nettoyés. S'ils sont NOT marqués comme telsNOT_APPLICABLE, les résultats de l'évaluation resteront inchangés jusqu'à ce que la règle soit supprimée, ce qui peut entraîner une augmentation inattendue de la création de CIs for AWS::Config::ResourceCompliance lors de la suppression de la règle.

Pour plus d'informations sur la façon de définir AWS Config des règles Lambda personnalisées NOT_APPLICABLE pour récupérer les ressources supprimées, voir Gestion des ressources supprimées à l'aide de règles Lambda AWS Config personnalisées.

Recommandation : fournir les ressources nécessaires pour les règles Lambda personnalisées

AWS Config Les règles Lambda personnalisées peuvent entraîner un nombre élevé d'appels de fonctions Lambda si la règle n'est pas limitée à un ou plusieurs types de ressources. Pour éviter une augmentation de l'activité associée à votre compte, il est vivement recommandé de fournir des ressources correspondant à vos règles Lambda personnalisées. Si aucun type de ressource n'est sélectionné, la règle invoquera la fonction Lambda pour toutes les ressources du compte.

Prise en charge de la région

Actuellement, la fonctionnalité AWS Config Règle est prise en charge dans les AWS régions suivantes. Pour obtenir une liste des AWS Config règles individuelles prises en charge dans quelles régions, consultez la section Liste des règles AWS Config gérées par disponibilité des régions.

Nom de la région Région Point de terminaison Protocole
US East (Ohio) us-east-2

config.us-east-2.amazonaws.com

config-fips.us-east-2.amazonaws.com

HTTPS

HTTPS

US East (N. Virginia) us-east-1

config.us-east-1.amazonaws.com

config-fips.us-east-1.amazonaws.com

HTTPS

HTTPS

USA Ouest (Californie du Nord) us-west-1

config.us-west-1.amazonaws.com

config-fips.us-west-1.amazonaws.com

HTTPS

HTTPS

US West (Oregon) us-west-2

config.us-west-2.amazonaws.com

config-fips.us-west-2.amazonaws.com

HTTPS

HTTPS

Afrique (Le Cap) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asie-Pacifique (Hong Kong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asie-Pacifique (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asie-Pacifique (Jakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asie-Pacifique (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asia Pacific (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asie-Pacifique (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asia Pacific (Seoul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asie-Pacifique (Singapour) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asia Pacific (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asie-Pacifique (Tokyo) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Canada (Central) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Canada Ouest (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europe (Francfort) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europe (Irlande) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europe (Londres) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europe (Milan) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europe (Paris) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europe (Espagne) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europe (Stockholm) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europe (Zurich) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israël (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Moyen-Orient (Bahreïn) me-south-1 config.me-south-1.amazonaws.com HTTPS
Moyen-Orient (UAE) me-central-1 config.me-central-1.amazonaws.com HTTPS
Amérique du Sud (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (USA Est) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (US-Ouest) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS

Le déploiement de AWS Config règles sur les comptes des membres d'une AWS organisation est pris en charge dans les régions suivantes.

Nom de la région Région Point de terminaison Protocole
US East (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
US East (N. Virginia) us-east-1 config.us-east-1.amazonaws.com HTTPS
USA Ouest (Californie du Nord) us-west-1 config.us-west-1.amazonaws.com HTTPS
US West (Oregon) us-west-2 config.us-west-2.amazonaws.com HTTPS
Afrique (Le Cap) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asie-Pacifique (Hong Kong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asie-Pacifique (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asie-Pacifique (Jakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asie-Pacifique (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asia Pacific (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asie-Pacifique (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asia Pacific (Seoul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asie-Pacifique (Singapour) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asia Pacific (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asia Pacific (Tokyo) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Canada (Central) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Canada Ouest (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europe (Francfort) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europe (Irlande) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europe (Londres) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europe (Milan) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europe (Paris) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europe (Espagne) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europe (Stockholm) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europe (Zurich) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israël (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Moyen-Orient (Bahreïn) me-south-1 config.me-south-1.amazonaws.com HTTPS
Moyen-Orient (UAE) me-central-1 config.me-central-1.amazonaws.com HTTPS
Amérique du Sud (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (USA Est) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (US-Ouest) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS