Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Évaluer les ressources à l'aide de AWS Config règles
AWS Config À utiliser pour évaluer les paramètres de configuration de vos AWS ressources. Pour ce faire, vous devez créer AWS Config des règles qui représentent vos paramètres de configuration idéaux. AWS Config fournit des règles prédéfinies personnalisables appelées règles gérées pour vous aider à démarrer. Pendant qu' AWS Config surveille en permanence les changements de configuration de vos ressources, il vérifie si ces changements vont à l'encontre de l'une des conditions de vos règles. Si une ressource n'est pas conforme à la règle, AWS Config marque la ressource et la règle comme non conformes. Les résultats d'évaluation possibles pour une AWS Config règle sont les suivants :
-
COMPLIANT- la règle satisfait aux conditions du contrôle de conformité. -
NON_COMPLIANT- la règle ne satisfait pas aux conditions du contrôle de conformité. -
ERROR- l'un des paramètres obligatoires/facultatifs n'est pas valide, n'est pas du bon type ou est mal formaté. -
NOT_APPLICABLE- utilisé pour filtrer les ressources auxquelles la logique de la règle ne peut s'appliquer. Par exemple, la alb-desync-mode-checkrègle vérifie uniquement les équilibreurs de charge d'application et ignore les équilibreurs de charge réseau et les équilibreurs de charge de passerelle.
Par exemple, lorsqu'un volume EC2 est créé, AWS Config vous pouvez évaluer le volume par rapport à une règle qui exige que les volumes soient chiffrés. Si le volume n'est pas chiffré, AWS Config marque le volume et la règle comme non conformes. AWS Config peut également vérifier toutes vos ressources pour vérifier les exigences relatives à l'ensemble du compte. Par exemple, AWS Config vous pouvez vérifier si le nombre de volumes EC2 d'un compte reste dans les limites du total souhaité ou si un compte les utilise à des AWS CloudTrail fins de journalisation.
Les règles liées aux services constituent un type unique de règle gérée qui permet à d'autres AWS services de créer des AWS Config règles dans votre compte. Ces règles sont prédéfinies pour inclure toutes les autorisations requises pour appeler d'autres AWS services en votre nom. Ces règles sont similaires aux normes qu'un AWS service recommande dans votre AWS compte pour la vérification de conformité. Pour plus d’informations, consultez AWS ConfigRègles liées aux services.
La AWS Config console indique l'état de conformité de vos règles et de vos ressources. Vous pouvez voir dans quelle mesure vos AWS ressources sont globalement conformes aux configurations souhaitées et savoir quelles ressources spécifiques ne sont pas conformes. Vous pouvez également utiliser la AWS CLI, l' AWS Config API et AWS les SDK pour demander au AWS Config service des informations de conformité.
En utilisant AWS Config pour évaluer vos configurations de ressources, vous pouvez évaluer dans quelle mesure vos configurations de ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations.
Pour connaître le nombre maximum de AWS Config règles par région et par compte, ainsi que les autres limites de service, consultez la section Limites AWS Config de service.
Vous pouvez également créer des règles personnalisées pour évaluer les ressources supplémentaires qui AWS Config ne sont pas encore enregistrées. Pour plus d’informations, consultez Règles personnalisées AWS Config et Évaluation des types de ressources supplémentaires.
Important
Évitez les évaluations inutiles AWS Config des règles Lambda personnalisées
Lorsque vous créez AWS Config des règles lambda personnalisées, il est vivement recommandé d'ajouter une logique pour gérer l'évaluation des ressources supprimées.
Lorsque les résultats de l'évaluation sont marqués comme NOT_APPLICABLE, ils seront marqués pour suppression et nettoyés. S'ils ne sont PAS marqués comme NOT_APPLICABLE, les résultats de l'évaluation resteront inchangés jusqu'à ce que la règle soit supprimée, en risquant d'entraîner une augmentation inattendue de la création d'éléments de configuration (CI) pour ResourceCompliance lors de la suppression de la règle.
Pour plus d'informations sur la façon de définir AWS Config des règles Lambda personnalisées NOT_APPLICABLE pour le retour des ressources supprimées, voir Gestion des ressources supprimées avec des règles Lambda AWS Config personnalisées. AWS Config les règles gérées et les règles de politique AWS Config personnalisées gèrent ce comportement par défaut.
Les résultats de l’évaluation des ressources supprimées peuvent être conservés si l’enregistreur de configuration est désactivé
Si l'enregistreur de configuration est désactivé, il désactive la possibilité de AWS Config suivre les modifications apportées à la configuration de vos ressources, y compris leurs suppressions. Cela signifie que vous pouvez voir les résultats de l’évaluation des ressources précédemment supprimées si vous désactivez l’enregistreur de configuration.
Rubriques
- Prise en charge de la région
- Composantes d'une AWS Config règle
- Mode d'évaluation et types de déclencheurs pour les AWS Config règles
- Règles gérées AWS Config
- Règles personnalisées AWS Config
- Ajouter, mettre à jour et supprimer des AWS Config règles
- Évaluer vos ressources à l'aide de AWS Config règles
- Supprimer les résultats d'évaluation des AWS Config règles
- Gestion des AWS Config règles pour tous les comptes de votre organisation
- Corriger les ressources non conformes à l'aide de règles AWS Config
Prise en charge de la région
Actuellement, la fonctionnalité AWS Config Règle est prise en charge dans les AWS régions suivantes. Pour obtenir une liste des AWS Config règles individuelles prises en charge dans quelles régions, consultez la section Liste des règles AWS Config gérées par disponibilité des régions.
| Nom de la région | Région | Point de terminaison | Protocole |
|---|---|---|---|
| US East (Ohio) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
| US East (N. Virginia) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
| USA Ouest (Californie du Nord) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
| US West (Oregon) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
| Afrique (Le Cap) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Jakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Asie-Pacifique (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asia Pacific (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| Asia Pacific (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Singapour) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asia Pacific (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asia Pacific (Tokyo) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canada (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Canada Ouest (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| Europe (Francfort) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europe (Irlande) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europe (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europe (Milan) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| Europe (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europe (Espagne) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| Europe (Stockholm) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Europe (Zurich) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| Israël (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| Moyen-Orient (Bahreïn) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| Moyen-Orient (EAU) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| Amérique du Sud (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (USA Est) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (US-Ouest) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
Le déploiement de AWS Config règles sur les comptes des membres d'une AWS organisation est pris en charge dans les régions suivantes.
| Nom de la région | Région | Point de terminaison | Protocole |
|---|---|---|---|
| US East (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| US East (N. Virginia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| USA Ouest (Californie du Nord) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| US West (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asia Pacific (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asia Pacific (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Singapour) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asia Pacific (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asia Pacific (Tokyo) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canada (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Europe (Francfort) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europe (Irlande) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europe (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europe (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europe (Stockholm) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Amérique du Sud (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (USA Est) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (US-Ouest) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
