Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Évaluer les ressources avec AWS Config Règles
Utiliser AWS Config pour évaluer les paramètres de configuration de votre AWS ressources. Pour ce faire, vous devez créer AWS Config règles, qui représentent vos paramètres de configuration idéaux. AWS Config fournit des règles prédéfinies personnalisables appelées règles gérées pour vous aider à démarrer.
Comment AWS Config Les règles fonctionnent
Tandis que AWS Config suit en permanence les modifications de configuration qui se produisent parmi vos ressources, il vérifie si ces modifications ne sont pas conformes aux conditions de vos règles. Si une ressource n'est pas conforme à la règle, AWS Config signale la ressource et la règle comme non conformes. Voici les résultats d'évaluation possibles pour un AWS Config règle :
-
COMPLIANT- la règle satisfait aux conditions du contrôle de conformité. -
NON_COMPLIANT- la règle ne satisfait pas aux conditions du contrôle de conformité. -
ERROR- l'un des paramètres obligatoires/facultatifs n'est pas valide, n'est pas du bon type ou est mal formaté. -
NOT_APPLICABLE- utilisé pour filtrer les ressources auxquelles la logique de la règle ne peut s'appliquer. Par exemple, la alb-desync-mode-checkrègle vérifie uniquement les équilibreurs de charge d'application et ignore les équilibreurs de charge réseau et les équilibreurs de charge de passerelle.
Par exemple, lorsqu'un EC2 volume est créé, AWS Config peut évaluer le volume par rapport à une règle qui exige que les volumes soient chiffrés. Si le volume n'est pas chiffré, AWS Config signale le volume et la règle comme non conformes. AWS Config peut également vérifier toutes vos ressources pour vérifier les exigences applicables à l'ensemble du compte. Par exemple, AWS Config peut vérifier si le nombre de EC2 volumes d'un compte reste dans les limites du total souhaité ou si un compte utilise AWS CloudTrail pour la journalisation.
Règles liées aux services
Les règles liées aux services constituent un type unique de règle gérée qui prend en charge d'autres AWS services pour créer AWS Config règles de votre compte. Ces règles sont prédéfinies pour inclure toutes les autorisations requises pour appeler d'autres AWS services en votre nom. Ces règles sont similaires aux normes selon lesquelles un AWS le service recommande dans votre Compte AWS pour la vérification de conformité. Pour de plus amples informations, veuillez consulter Règles liées aux services AWS Config.
Règles personnalisées
Vous pouvez également créer des règles personnalisées pour évaluer des ressources supplémentaires qui AWS Config n'enregistre pas encore. Pour plus d’informations, consultez AWS Config Règles personnalisées et Évaluation des types de ressources supplémentaires.
Afficher la conformité
Le AWS Config la console indique l'état de conformité de vos règles et de vos ressources. Vous pouvez voir comment votre AWS les ressources sont globalement conformes aux configurations souhaitées et découvrez quelles ressources spécifiques ne sont pas conformes. Vous pouvez également utiliser AWS CLI, le AWS Config API, et AWS SDKspour adresser des demandes au AWS Config service d'informations de conformité.
En utilisant AWS Config pour évaluer vos configurations de ressources, vous pouvez évaluer dans quelle mesure vos configurations de ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations.
Limites
Pour le nombre maximum de AWS Config règles propres à chaque région pour chaque compte et autres limites de service, voir AWS Config Limites de service.
Considérations de coût
Pour plus de détails sur les coûts associés à l'enregistrement des ressources, voir AWS Config tarification
Recommandation : arrêtez d'enregistrer la conformité des ressources avant de supprimer les règles
Il est vivement recommandé d'arrêter l'enregistrement pour le type de AWS::Config::ResourceCompliance ressource avant de supprimer les règles de votre compte. La suppression de règles crée des éléments de configuration (CIs) pour AWS::Config::ResourceCompliance et peut affecter votre AWS Config coûts de l'enregistreur de configuration. Si vous supprimez des règles qui évaluent un grand nombre de types de ressources, cela peut entraîner une augmentation du nombre de ressources CIs enregistrées.
Bonnes pratiques :
Arrêter l'enregistrement
AWS::Config::ResourceComplianceSupprimer une ou plusieurs règles
Activez l'enregistrement pour
AWS::Config::ResourceCompliance
Recommandation : ajouter une logique pour gérer l'évaluation des ressources supprimées pour les règles Lambda personnalisées
Lors de la création AWS Config règles lambda personnalisées, il est fortement recommandé d'ajouter une logique pour gérer l'évaluation des ressources supprimées.
Lorsque les résultats de l'évaluation sont marqués comme NOT_APPLICABLE, ils seront marqués pour suppression et nettoyés. S'ils sont NOT marqués comme telsNOT_APPLICABLE, les résultats de l'évaluation resteront inchangés jusqu'à ce que la règle soit supprimée, ce qui peut entraîner une augmentation inattendue de la création de CIs for AWS::Config::ResourceCompliance lors de la suppression de la règle.
Pour plus d'informations sur la façon de configurer AWS Config règles lambda personnalisées NOT_APPLICABLE pour récupérer les ressources supprimées, voir Gestion des ressources supprimées avec AWS Config règles Lambda personnalisées.
Recommandation : fournir les ressources nécessaires pour les règles Lambda personnalisées
AWS Config Les règles Lambda personnalisées peuvent entraîner un nombre élevé d'appels de fonctions Lambda si la règle n'est pas limitée à un ou plusieurs types de ressources. Pour éviter une augmentation de l'activité associée à votre compte, il est vivement recommandé de fournir des ressources correspondant à vos règles Lambda personnalisées. Si aucun type de ressource n'est sélectionné, la règle invoquera la fonction Lambda pour toutes les ressources du compte.
Prise en charge de la région
À l'heure actuelle, le AWS Config La fonctionnalité de règle est prise en charge dans les cas suivants AWS régions. Pour une liste de quelles personnes AWS Config les règles sont prises en charge dans quelles régions, voir la liste des AWS Config Règles gérées par région et disponibilité.
| Nom de la région | Région | Point de terminaison | Protocole |
|---|---|---|---|
| US East (Ohio) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
| US East (N. Virginia) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
| USA Ouest (Californie du Nord) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
| US West (Oregon) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
| Afrique (Le Cap) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Jakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Asie-Pacifique (Malaisie) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
| Asie-Pacifique (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asia Pacific (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| Asia Pacific (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Singapour) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asia Pacific (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canada (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Canada Ouest (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| Europe (Francfort) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europe (Irlande) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europe (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europe (Milan) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| Europe (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europe (Espagne) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| Europe (Stockholm) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Europe (Zurich) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| Israël (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| Moyen-Orient (Bahreïn) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| Moyen-Orient (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| Amérique du Sud (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (USA Est) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (US-Ouest) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
Déploiement AWS Config Règles applicables aux comptes des membres dans un AWS L'organisation est prise en charge dans les régions suivantes.
| Nom de la région | Région | Point de terminaison | Protocole |
|---|---|---|---|
| US East (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| US East (N. Virginia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| USA Ouest (Californie du Nord) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| US West (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| Afrique (Le Cap) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Jakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Asie-Pacifique (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asia Pacific (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| Asia Pacific (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Singapour) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asia Pacific (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asia Pacific (Tokyo) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canada (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Canada Ouest (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| Europe (Francfort) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europe (Irlande) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europe (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europe (Milan) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| Europe (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europe (Espagne) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| Europe (Stockholm) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Europe (Zurich) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| Israël (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| Moyen-Orient (Bahreïn) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| Moyen-Orient (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| Amérique du Sud (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (USA Est) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (US-Ouest) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
