Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Ajouter, mettre à jour et supprimer des AWS Config règles
Vous pouvez utiliser la AWS Config console ou les AWS kits SDK pour afficher, ajouter et supprimer vos règles.
Ajout, affichage, mise à jour et suppression de règles (console)
La page Règles affiche vos règles et leurs résultats de conformité actuels sous forme de tableau. Le résultat pour chaque règle est Evaluer... jusqu'à la AWS Config fin de l'évaluation de vos ressources par rapport à la règle. Vous pouvez mettre à jour les résultats avec le bouton Refresh. Lorsque AWS Config les évaluations sont terminées, vous pouvez voir les règles et les types de ressources conformes ou non conformes. Pour plus d’informations, consultez Affichage des informations de conformité et des résultats d'évaluation.
Note
AWS Config évalue uniquement les types de ressources qu'il enregistre. Par exemple, si vous ajoutez la règle compatible avec Cloudtrail mais que vous n'enregistrez pas le type de ressource de CloudTrail suivi, vous ne AWS Config pouvez pas évaluer si les sentiers de votre compte sont conformes ou non conformes. Pour plus d’informations, consultez AWS Ressources d'enregistrement.
Pour ajouter une règle
Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/
. -
Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une région compatible avec les AWS Config règles. Pour obtenir la liste des régions prises en charge, consultez la section Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.
-
Dans le volet de navigation de gauche, choisissez Règles.
-
Sur la page Règles, choisissez Ajouter une règle.
-
Sur la page Spécifier le type de règle, indiquez le type de règle en effectuant les étapes suivantes :
-
Commencez une saisie dans le champ de recherche pour filtrer la liste des règles gérées par nom de règle, description et étiquette. Par exemple, tapez EC2 pour renvoyer des règles permettant d'évaluer des types de ressources EC2 ou tapez périodique pour renvoyer des règles déclenchées de façon périodique.
-
Vous pouvez également créer votre propre règles personnalisée. Choisissez Créer une règle personnalisée à l'aide de Lambda ou Créer une règle personnalisée à l'aide de Guard, puis suivez la procédure décrite dans Création de règles AWS Config Lambda personnalisées ou Création AWS Config de règles de politique personnalisées.
-
-
Sur la page Configurer une règle, configurez la règle en réalisant les étapes suivantes :
-
Dans Nom, tapez un nom unique pour la règle.
-
Saisissez une description de la règle dans le champ Description.
-
Pour le mode d'évaluation, choisissez à quel moment du processus de création et de gestion des ressources vous AWS Config souhaitez évaluer vos ressources. Selon la règle, AWS Config vous pouvez évaluer vos configurations de ressources avant le déploiement d'une ressource, après le déploiement d'une ressource, ou les deux.
-
Choisissez Activer l'évaluation proactive pour évaluer les paramètres de configuration de vos ressources avant leur déploiement.
Après avoir activé l'évaluation proactive, vous pouvez utiliser l'API StartResourced'évaluation et l'GetResourceEvaluationSummaryAPI pour vérifier si les ressources que vous spécifiez dans ces commandes seront signalées comme NON CONFORMES par les règles proactives de votre compte dans votre région.
Pour plus d'informations sur l'utilisation de ces commandes, consultez la section Évaluation de vos ressources à l'aide de AWS Config règles. Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation.
-
Choisissez Activer l'évaluation détective pour évaluer les paramètres de configuration de vos ressources existantes.
Deux types de déclencheurs sont disponibles pour l'évaluation détective : Lors de changements de configuration et Périodique.
-
Si les types de déclencheurs de votre règle incluent des modifications de configuration, spécifiez l'une des options suivantes pour Étendue des modifications avec laquelle AWS Config votre fonction Lambda est appelée :
-
Ressources : lorsqu'une ressource qui correspond au type de ressource spécifié, ou au type plus à l'identifiant, est créée, modifiée ou supprimée.
-
Balises : lorsqu'une ressource portant la balise spécifiée est créée, modifiée ou supprimée.
-
Toutes les modifications : lorsqu'une ressource enregistrée par AWS Config est créée, modifiée ou supprimée.
AWS Config exécute l'évaluation lorsqu'il détecte une modification apportée à une ressource correspondant au champ d'application de la règle. Vous pouvez utiliser la portée afin de définir les ressources qui déclenchent des évaluations.
-
-
Si les types de déclencheurs de votre règle incluent Periodic, spécifiez la fréquence à laquelle votre fonction Lambda est AWS Config invoquée.
-
-
-
Vous pouvez personnaliser les valeurs des clés fournies dans le champ Paramètres, si votre règle comprend des paramètres. Un paramètre est un attribut que vos ressources doivent respecter pour pouvoir être considérées conformes à la règle.
-
-
Sur la page Réviser et créer, passez en revue toutes vos sélections avant d'ajouter la règle à votre Compte AWS. Si la règle ne fonctionne pas comme prévu, l'un des messages suivants relatifs à la Conformité s'affiche :
-
Aucun résultat n'a été signalé. Vos ressources ont AWS Config été évaluées par rapport à la règle. La règle ne s'appliquait pas aux AWS ressources incluses dans son champ d'application, les ressources spécifiées ont été supprimées ou les résultats de l'évaluation ont été supprimés. Pour obtenir les résultats de l'évaluation, mettez à jour la règle, modifiez sa portée ou choisissez Re-evaluate (Réévaluer).
Ce message peut également apparaître si la règle n'a pas renvoyé de résultats d'évaluation.
-
Aucune ressource dans le champ d'application : AWS Config impossible d'évaluer vos AWS ressources enregistrées par rapport à cette règle car aucune de vos ressources n'entre dans le champ d'application de la règle. Pour obtenir les résultats de l'évaluation, modifiez la règle et sa portée, ou ajoutez des ressources AWS Config à enregistrer à l'aide de la page Paramètres.
-
Evaluations failed (Échec des évaluations) - pour obtenir des informations susceptibles de vous aider à déterminer le problème, choisissez le nom de la règle pour ouvrir sa page de détails et voir le message d'erreur.
-
Pour afficher vos règles
Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/
. -
Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une région compatible avec les AWS Config règles. Pour obtenir la liste des régions prises en charge, consultez la section Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.
-
Dans le volet de navigation de gauche, choisissez Règles.
-
La page Règles affiche toutes les règles actuellement présentes dans votre Compte AWS. Le nom, les mesures correctives associées et l'état de conformité de chaque règle sont répertoriés.
-
Cliquez sur Ajouter une règle pour commencer à créer une règle.
-
Choisissez une règle pour consulter ses paramètres, ou choisissez une règle et sélectionnez Afficher les détails.
-
Consultez l'état de conformité de la règle lorsqu'elle évalue vos ressources.
-
Choisissez une règle et l'option Modifier la règle pour modifier les paramètres de configuration de la règle et définir une mesure corrective pour une règle non conforme.
-
Pour mettre à jour une règle
Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/
. -
Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une région compatible avec les AWS Config règles. Pour obtenir la liste des régions prises en charge, consultez la section Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.
-
Dans le volet de navigation de gauche, choisissez Règles.
-
Choisissez une règle et l'option Modifier la règle correspondant à la règle que vous souhaitez mettre à jour.
-
Modifiez les paramètres sur la page Modifier la règle pour modifier votre règle en fonction de vos besoins.
-
Choisissez Enregistrer.
Pour supprimer une règle
Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/
. -
Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une région compatible avec les AWS Config règles. Pour obtenir la liste des régions prises en charge, consultez la section Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.
-
Dans le volet de navigation de gauche, choisissez Règles.
-
Choisissez la règle que vous souhaitez supprimer dans le tableau.
-
Dans la liste déroulante Actions, choisissez Supprimer une règle.
-
Lorsque vous y êtes invité, tapez « Supprimer » (cette entrée est sensible à la casse), puis choisissez Supprimer.
Vous pouvez utiliser l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait CONFORME ou NON_COMPLIANT compte tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région.
Le schéma du type de ressource indique les propriétés d'une ressource. Vous pouvez trouver le schéma du type de ressource dans « extensions AWS publiques » du AWS CloudFormation registre ou à l'aide de la commande CLI suivante :
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type
RESOURCE
Pour plus d'informations, consultez la section Gestion des extensions via le AWS CloudFormation registre et la référence aux types de AWS ressources et de propriétés dans le guide de AWS CloudFormation l'utilisateur.
Note
Les règles proactives ne corrigent pas les ressources marquées comme NON_COMPLIANT et n'empêchent pas leur déploiement.
Pour activer l'évaluation proactive
Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/
. -
Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une région qui prend en charge les AWS Config règles. Pour obtenir la liste des régions AWS prises en charge, consultez Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.
-
Dans le volet de navigation de gauche, choisissez Règles. Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation.
-
Choisissez une règle et l'option Modifier la règle correspondant à la règle que vous souhaitez mettre à jour.
-
Choisissez Activer l'évaluation proactive pour le Mode d'évaluation afin de pouvoir évaluer les paramètres de configuration de vos ressources avant leur déploiement.
-
Choisissez Enregistrer.
Après avoir activé l'évaluation proactive, vous pouvez utiliser l'API StartResourced'évaluation et l'GetResourceEvaluationSummaryAPI pour vérifier si les ressources que vous spécifiez dans ces commandes seront signalées comme NON CONFORMES par les règles proactives de votre compte dans votre région.
Par exemple, commencez par l' StartResourceEvaluation API :
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"
MY_RESOURCE_ID
", "ResourceType":"AWS::RESOURCE::TYPE
", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA
", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
Vous devriez recevoir le ResourceEvaluationId
dans la sortie :
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }
Ensuite, utilisez l'API ResourceEvaluationId
avec l' GetResourceEvaluationSummary API pour vérifier le résultat de l'évaluation :
aws configservice get-resource-evaluation-summary --resource-evaluation-id
MY_RESOURCE_EVALUATION_ID
Votre résultat doit être similaire à ce qui suit :
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }
Afficher, mettre à jour ou ajouter et supprimer des règles (AWS SDK)
Les exemples de code suivants montrent comment utiliserDescribeConfigRules
.
Les exemples de code suivants montrent comment utiliserPutConfigRule
.
Les exemples de code suivants montrent comment utiliserDeleteConfigRule
.
Vous pouvez utiliser l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait CONFORME ou NON_COMPLIANT compte tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région.
Le schéma du type de ressource indique les propriétés d'une ressource. Vous pouvez trouver le schéma du type de ressource dans « extensions AWS publiques » du AWS CloudFormation registre ou à l'aide de la commande CLI suivante :
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type
RESOURCE
Pour plus d'informations, consultez la section Gestion des extensions via le AWS CloudFormation registre et la référence aux types de AWS ressources et de propriétés dans le guide de AWS CloudFormation l'utilisateur.
Note
Les règles proactives ne corrigent pas les ressources marquées comme NON_COMPLIANT et n'empêchent pas leur déploiement.
Pour activer l'évaluation proactive
Utilisez la commande put-config-rule
et activez PROACTIVE
pour EvaluationModes
.
Après avoir activé l'évaluation proactive, vous pouvez utiliser les commandes CLI start-resource-evaluation et get-resource-evaluation-summary CLI pour vérifier si les ressources que vous spécifiez dans ces commandes seront signalées comme NON_COMPLIANT par les règles proactives de votre compte dans votre région.
Commencez par exemple avec la commande start-resource-evaluation :
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"
MY_RESOURCE_ID
", "ResourceType":"AWS::RESOURCE::TYPE
", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA
", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
Vous devriez recevoir le ResourceEvaluationId
dans la sortie :
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }
Utilisez ensuite l'ResourceEvaluationId
avec get-resource-evaluation-summary pour vérifier le résultat de l'évaluation :
aws configservice get-resource-evaluation-summary --resource-evaluation-id
MY_RESOURCE_EVALUATION_ID
Votre résultat doit être similaire à ce qui suit :
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }
Pour obtenir des informations supplémentaires sur le résultat de l'évaluation, telles que la règle qui a marqué une ressource comme NON_COMPLIANT, utilisez la commande d'API get-compliance-details-by-resource.
Note
Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation.
Vous pouvez utiliser l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait CONFORME ou NON_COMPLIANT compte tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région.
Le schéma du type de ressource indique les propriétés d'une ressource. Vous pouvez trouver le schéma du type de ressource dans « extensions AWS publiques » du AWS CloudFormation registre ou à l'aide de la commande CLI suivante :
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type
RESOURCE
Pour plus d'informations, consultez la section Gestion des extensions via le AWS CloudFormation registre et la référence aux types de AWS ressources et de propriétés dans le guide de AWS CloudFormation l'utilisateur.
Note
Les règles proactives ne corrigent pas les ressources marquées comme NON_COMPLIANT et n'empêchent pas leur déploiement.
Pour activer l'évaluation proactive d'une règle
Utilisez l'action PutConfigRègle et activez PROACTIVE
pourEvaluationModes
.
Après avoir activé l'évaluation proactive, vous pouvez utiliser l'API StartResourced'évaluation et l'GetResourceEvaluationSummaryAPI pour vérifier si les ressources que vous spécifiez dans ces commandes seront signalées comme NON CONFORMES par les règles proactives de votre compte dans votre région. Par exemple, commencez par l' StartResourceEvaluation API :
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"
MY_RESOURCE_ID
", "ResourceType":"AWS::RESOURCE::TYPE
", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA
", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
Vous devriez recevoir le ResourceEvaluationId
dans la sortie :
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }
Ensuite, utilisez l'API ResourceEvaluationId
avec l' GetResourceEvaluationSummary API pour vérifier le résultat de l'évaluation :
aws configservice get-resource-evaluation-summary --resource-evaluation-id
MY_RESOURCE_EVALUATION_ID
Votre résultat doit être similaire à ce qui suit :
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }
Note
Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation.
Envoi d'évaluations de règles à Security Hub
Après avoir ajouté une AWS Config règle, vous pouvez également envoyer des évaluations de règles à AWS Security Hub. L'intégration entre Security Hub vous permet de trier AWS Config et de corriger les évaluations des règles ainsi que d'autres erreurs de configuration et problèmes de sécurité.
Envoi d'évaluations de règles à Security Hub
Pour envoyer des évaluations de règles à Security Hub, vous devez d'abord configurer AWS Security Hub puis AWS Config ajouter au moins une règle AWS Config gérée ou personnalisée. Ensuite, commence AWS Config immédiatement à envoyer les évaluations des règles à Security Hub. Security Hub enrichit les évaluations de règles et les transforme en résultats Security Hub.
Pour plus d'informations sur cette intégration, consultez la section Intégrations AWS de services disponibles dans le guide de l' AWS Security Hub utilisateur.