Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création de règles de politique AWS Config personnalisées
Vous pouvez créer des règles de politique AWS Config personnalisées à partir de l' AWS Config API AWS Management Console AWS CLI, ou. Pour plus d'informations sur la façon d'écrire des règles avec Guard, consultez la section Règles de Writing Guard dans le guide de l'utilisateur de AWS CloudFormation Guard. Pour plus d'informations sur les schémas des types de ressources pris en charge qui AWS Config peuvent être évalués, consultez la section types de ressources
Important
Le schéma de AWS Config ressources pour évaluer les éléments de configuration est différent du schéma CFN pour évaluer les AWS CloudFormation modèles. Si vous utilisez le schéma CFN pour les règles de politiques AWS Config
personnalisées, votre évaluation renverra le résultat NOT_APPLICABLE
. Utilisez le schéma de AWS Config ressources lors de la création de règles de politique AWS Config personnalisées et rédigez des politiques en fonction de la structure des éléments de configuration. Pour obtenir la liste des schémas de AWS Config ressources, consultez la section types de ressources
Création de règles de politique AWS Config personnalisées (console)
Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/
. -
Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une AWS région qui prend en charge les AWS Config règles. Pour obtenir la liste des régions prises en charge, consultez Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.
-
Dans le volet de navigation de gauche, choisissez Règles.
-
Sur la page Règles, choisissez Ajouter une règle.
-
Sur la page Spécifier le type de règle, choisissez Créer une règle personnalisée à l'aide de Guard.
-
Sur la page Configurer une règle, créez la règle en réalisant les étapes suivantes :
-
Saisissez un nom unique dans le champ Nom de la règle.
-
Saisissez une description de la règle dans le champ Description.
-
Pour la version d'exécution de Guard, choisissez le système d'exécution pour votre règle de politique AWS Config personnalisée.
-
Vous pouvez renseigner le Contenu de la règle avec la politique Guard personnalisée correspondant à votre règle. Pour plus d'informations sur la structure et les fonctionnalités des politiques personnalisées de AWS CloudFormation Guard, consultez les modes de fonctionnement de Guard 2.0
dans le GitHub référentiel Guard. Note
Le schéma de AWS Config ressources pour évaluer les éléments de configuration est différent du schéma CFN pour évaluer les AWS CloudFormation modèles. Si vous utilisez le schéma CFN pour les règles de politiques AWS Config personnalisées, votre évaluation renverra le résultat
NOT_APPLICABLE
. Utilisez le schéma de AWS Config ressources lors de la création de règles de politique AWS Config personnalisées et rédigez des politiques en fonction de la structure des éléments de configuration. Pour une liste des schémas de AWS Config ressources, voir types de ressourcesdans le référentiel de schémas de AWS Config ressources. GitHub L'exemple suivant montre la définition de politique pour une version de règle de politique AWS Config personnalisée de la règle AWS Config gérée dynamodb-pitr-enabled
# This rule checks if point in time recovery (PITR) is enabled on active Amazon DynamoDB tables let status = ['ACTIVE'] rule tableisactive when resourceType == "AWS::DynamoDB::Table" { configuration.tableStatus == %status } rule checkcompliance when resourceType == "AWS::DynamoDB::Table" tableisactive { let pitr = supplementaryConfiguration.ContinuousBackupsDescription.pointInTimeRecoveryDescription.pointInTimeRecoveryStatus %pitr == "ENABLED" }
-
Pour le mode d'évaluation, choisissez à quel moment du processus de création et de gestion des ressources vous AWS Config souhaitez évaluer vos ressources. Selon la règle, AWS Config vous pouvez évaluer vos configurations de ressources avant qu'une ressource ne soit provisionnée, après qu'une ressource ait été provisionnée, ou les deux.
-
Choisissez Activer l'évaluation proactive pour évaluer les paramètres de configuration de vos ressources avant leur déploiement.
Après avoir activé l'évaluation proactive, vous pouvez utiliser l'API StartResourced'évaluation et l'GetResourceEvaluationSummaryAPI pour vérifier si les ressources que vous spécifiez dans ces commandes seront signalées comme NON_COMPLIANT par les règles proactives de votre compte dans votre région.
Pour plus d'informations sur l'utilisation de ces commandes, consultez la section Évaluation de vos ressources à l'aide de AWS Config règles. Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation.
-
Choisissez Activer l'évaluation détective pour évaluer les paramètres de configuration de vos ressources existantes.
À des fins d'évaluation préventive, les règles de politique AWS Config personnalisée sont initiées par les modifications de configuration. Cette option sera présélectionnée.
-
Ressources : lorsqu'une ressource qui correspond au type de ressource spécifié, ou au type plus à l'identifiant, est créée, modifiée ou supprimée.
-
Balises : lorsqu'une ressource portant la balise spécifiée est créée, modifiée ou supprimée.
-
Toutes les modifications : lorsqu'une ressource enregistrée par AWS Config est créée, modifiée ou supprimée.
AWS Config exécute l'évaluation lorsqu'il détecte une modification apportée à une ressource correspondant au champ d'application de la règle. Vous pouvez utiliser la portée afin de limiter les ressources qui déclenchent des évaluations. Dans le cas contraire, les évaluations sont lancées en cas de modification d'une ressource post-provisionnée.
-
-
-
Vous pouvez personnaliser les valeurs des clés fournies dans le champ Paramètres, si votre règle comprend des paramètres. Un paramètre est un attribut que vos ressources doivent respecter pour pouvoir être considérées conformes à la règle.
-
-
Sur la page Réviser et créer, passez en revue toutes vos sélections avant d'ajouter la règle à votre Compte AWS.
-
Lorsque vous avez vérifié vos règles, choisissez Ajouter une règle.
Création de règles de politique AWS Config personnalisées (AWS CLI)
Utilisez la commande put-config-rule
.
Le champ Owner
doit présenter la valeur CUSTOM_POLICY
. Les champs supplémentaires suivants sont obligatoires pour les règles de politique AWS Config personnalisée :
-
Runtime
: le système d'exécution de vos règles de politique AWS Config personnalisée. -
PolicyText
: la définition de la politique contenant la logique de vos règles de politiques AWS Config personnalisées. -
EnableDebugLogDelivery
: expression booléenne permettant d'activer la journalisation du débogage pour votre règle de politique AWS Config personnalisée. La valeur par défaut estfalse
.
Création de règles de politique AWS Config personnalisées (API)
Utilisez l'action PutConfigRègle.
Le champ Owner
doit présenter la valeur CUSTOM_POLICY
. Les champs supplémentaires suivants sont obligatoires pour les règles de politique AWS Config personnalisée :
-
Runtime
: le système d'exécution de vos règles de politique AWS Config personnalisée. -
PolicyText
: la politique qui définit la logique de vos règles de politiques AWS Config personnalisées. -
EnableDebugLogDelivery
: expression booléenne permettant d'activer la journalisation du débogage pour votre règle de politique AWS Config personnalisée. La valeur par défaut estfalse
.