Ajouter, mettre à jour et supprimer des AWS Config règles

Vous pouvez utiliser la AWS Config console ou les AWS kits SDK pour afficher, ajouter et supprimer vos règles.

Ajout, affichage, mise à jour et suppression de règles (console)

La page Règles affiche vos règles et leurs résultats de conformité actuels sous forme de tableau. Le résultat pour chaque règle est Evaluer... jusqu'à la AWS Config fin de l'évaluation de vos ressources par rapport à la règle. Vous pouvez mettre à jour les résultats avec le bouton Refresh. Lorsque AWS Config les évaluations sont terminées, vous pouvez voir les règles et les types de ressources conformes ou non conformes. Pour plus d’informations, consultez Affichage des informations de conformité et des résultats d'évaluation.

Note

AWS Config évalue uniquement les types de ressources qu'il enregistre. Par exemple, si vous ajoutez la règle compatible avec Cloudtrail mais que vous n'enregistrez pas le type de ressource de CloudTrail suivi, vous ne AWS Config pouvez pas évaluer si les sentiers de votre compte sont conformes ou non conformes. Pour plus d’informations, consultez AWS Ressources d'enregistrement.

Ajout de règles

Pour ajouter une règle

1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/.

2. Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une région compatible avec les AWS Config règles. Pour obtenir la liste des régions prises en charge, consultez la section Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.

3. Dans le volet de navigation de gauche, choisissez Règles.

4. Sur la page Règles, choisissez Ajouter une règle.

5. Sur la page Spécifier le type de règle, indiquez le type de règle en effectuant les étapes suivantes :

   1. Commencez une saisie dans le champ de recherche pour filtrer la liste des règles gérées par nom de règle, description et étiquette. Par exemple, tapez EC2 pour renvoyer des règles permettant d'évaluer des types de ressources EC2 ou tapez périodique pour renvoyer des règles déclenchées de façon périodique.

   2. Vous pouvez également créer votre propre règles personnalisée. Choisissez Créer une règle personnalisée à l'aide de Lambda ou Créer une règle personnalisée à l'aide de Guard, puis suivez la procédure décrite dans Création de règles AWS Config Lambda personnalisées ou Création AWS Config de règles de politique personnalisées.

6. Sur la page Configurer une règle, configurez la règle en réalisant les étapes suivantes :

   1. Dans Nom, tapez un nom unique pour la règle.

   2. Saisissez une description de la règle dans le champ Description.

   3. Pour le mode d'évaluation, choisissez à quel moment du processus de création et de gestion des ressources vous AWS Config souhaitez évaluer vos ressources. Selon la règle, AWS Config vous pouvez évaluer vos configurations de ressources avant le déploiement d'une ressource, après le déploiement d'une ressource, ou les deux.

      1. Choisissez Activer l'évaluation proactive pour évaluer les paramètres de configuration de vos ressources avant leur déploiement.

         Après avoir activé l'évaluation proactive, vous pouvez utiliser l'API StartResourced'évaluation et l'GetResourceEvaluationSummaryAPI pour vérifier si les ressources que vous spécifiez dans ces commandes seront signalées comme NON CONFORMES par les règles proactives de votre compte dans votre région.

         Pour plus d'informations sur l'utilisation de ces commandes, consultez la section Évaluation de vos ressources à l'aide de AWS Config règles. Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation.

      2. Choisissez Activer l'évaluation détective pour évaluer les paramètres de configuration de vos ressources existantes.

         Deux types de déclencheurs sont disponibles pour l'évaluation détective : Lors de changements de configuration et Périodique.

         1. Si les types de déclencheurs de votre règle incluent des modifications de configuration, spécifiez l'une des options suivantes pour Étendue des modifications avec laquelle AWS Config votre fonction Lambda est appelée :

            • Ressources : lorsqu'une ressource qui correspond au type de ressource spécifié, ou au type plus à l'identifiant, est créée, modifiée ou supprimée.

            • Balises : lorsqu'une ressource portant la balise spécifiée est créée, modifiée ou supprimée.

            • Toutes les modifications : lorsqu'une ressource enregistrée par AWS Config est créée, modifiée ou supprimée.

            AWS Config exécute l'évaluation lorsqu'il détecte une modification apportée à une ressource correspondant au champ d'application de la règle. Vous pouvez utiliser la portée afin de définir les ressources qui déclenchent des évaluations.

         2. Si les types de déclencheurs de votre règle incluent Periodic, spécifiez la fréquence à laquelle votre fonction Lambda est AWS Config invoquée.

   4. Vous pouvez personnaliser les valeurs des clés fournies dans le champ Paramètres, si votre règle comprend des paramètres. Un paramètre est un attribut que vos ressources doivent respecter pour pouvoir être considérées conformes à la règle.

7. Sur la page Réviser et créer, passez en revue toutes vos sélections avant d'ajouter la règle à votre Compte AWS. Si la règle ne fonctionne pas comme prévu, l'un des messages suivants relatifs à la Conformité s'affiche :

   • Aucun résultat n'a été signalé. Vos ressources ont AWS Config été évaluées par rapport à la règle. La règle ne s'appliquait pas aux AWS ressources incluses dans son champ d'application, les ressources spécifiées ont été supprimées ou les résultats de l'évaluation ont été supprimés. Pour obtenir les résultats de l'évaluation, mettez à jour la règle, modifiez sa portée ou choisissez Re-evaluate (Réévaluer).

     Ce message peut également apparaître si la règle n'a pas renvoyé de résultats d'évaluation.

   • Aucune ressource dans le champ d'application : AWS Config impossible d'évaluer vos AWS ressources enregistrées par rapport à cette règle car aucune de vos ressources n'entre dans le champ d'application de la règle. Pour obtenir les résultats de l'évaluation, modifiez la règle et sa portée, ou ajoutez des ressources AWS Config à enregistrer à l'aide de la page Paramètres.

   • Evaluations failed (Échec des évaluations) - pour obtenir des informations susceptibles de vous aider à déterminer le problème, choisissez le nom de la règle pour ouvrir sa page de détails et voir le message d'erreur.

Affichage des règles

Pour afficher vos règles

1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/.

2. Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une région compatible avec les AWS Config règles. Pour obtenir la liste des régions prises en charge, consultez la section Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.

3. Dans le volet de navigation de gauche, choisissez Règles.

4. La page Règles affiche toutes les règles actuellement présentes dans votre Compte AWS. Le nom, les mesures correctives associées et l'état de conformité de chaque règle sont répertoriés.

   • Cliquez sur Ajouter une règle pour commencer à créer une règle.

   • Choisissez une règle pour consulter ses paramètres, ou choisissez une règle et sélectionnez Afficher les détails.

   • Consultez l'état de conformité de la règle lorsqu'elle évalue vos ressources.

   • Choisissez une règle et l'option Modifier la règle pour modifier les paramètres de configuration de la règle et définir une mesure corrective pour une règle non conforme.

Mise à jour des règles

Pour mettre à jour une règle

1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/.

2. Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une région compatible avec les AWS Config règles. Pour obtenir la liste des régions prises en charge, consultez la section Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.

3. Dans le volet de navigation de gauche, choisissez Règles.

4. Choisissez une règle et l'option Modifier la règle correspondant à la règle que vous souhaitez mettre à jour.

5. Modifiez les paramètres sur la page Modifier la règle pour modifier votre règle en fonction de vos besoins.

6. Choisissez Enregistrer.

Suppression de règles

Pour supprimer une règle

1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/.

2. Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une région compatible avec les AWS Config règles. Pour obtenir la liste des régions prises en charge, consultez la section Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.

3. Dans le volet de navigation de gauche, choisissez Règles.

4. Choisissez la règle que vous souhaitez supprimer dans le tableau.

5. Dans la liste déroulante Actions, choisissez Supprimer une règle.

6. Lorsque vous y êtes invité, tapez « Supprimer » (cette entrée est sensible à la casse), puis choisissez Supprimer.

Activation de l'évaluation proactive

Vous pouvez utiliser l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait CONFORME ou NON_COMPLIANT compte tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région.

Le schéma du type de ressource indique les propriétés d'une ressource. Vous pouvez trouver le schéma du type de ressource dans « extensions AWS publiques » du AWS CloudFormation registre ou à l'aide de la commande CLI suivante :

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Pour plus d'informations, consultez la section Gestion des extensions via le AWS CloudFormation registre et la référence aux types de AWS ressources et de propriétés dans le guide de AWS CloudFormation l'utilisateur.

Note

Les règles proactives ne corrigent pas les ressources marquées comme NON_COMPLIANT et n'empêchent pas leur déploiement.

Pour activer l'évaluation proactive

1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/.

2. Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une région qui prend en charge les AWS Config règles. Pour obtenir la liste des régions AWS prises en charge, consultez Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.

3. Dans le volet de navigation de gauche, choisissez Règles. Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation.

4. Choisissez une règle et l'option Modifier la règle correspondant à la règle que vous souhaitez mettre à jour.

5. Choisissez Activer l'évaluation proactive pour le Mode d'évaluation afin de pouvoir évaluer les paramètres de configuration de vos ressources avant leur déploiement.

6. Choisissez Enregistrer.

Après avoir activé l'évaluation proactive, vous pouvez utiliser l'API StartResourced'évaluation et l'GetResourceEvaluationSummaryAPI pour vérifier si les ressources que vous spécifiez dans ces commandes seront signalées comme NON CONFORMES par les règles proactives de votre compte dans votre région.

Par exemple, commencez par l' StartResourceEvaluation API :

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
                    

Vous devriez recevoir le ResourceEvaluationId dans la sortie :

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Ensuite, utilisez l'API ResourceEvaluationId avec l' GetResourceEvaluationSummary API pour vérifier le résultat de l'évaluation :

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Votre résultat doit être similaire à ce qui suit :

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Pour obtenir des informations supplémentaires sur le résultat de l'évaluation, telles que la règle qui a marqué une ressource comme NON_COMPLIANT, utilisez l'GetComplianceDetailsByAPI Resource.

Afficher, mettre à jour ou ajouter et supprimer des règles (AWS SDK)

Affichage des règles

Les exemples de code suivants montrent comment utiliserDescribeConfigRules.

CLI

AWS CLI

Pour obtenir les détails d'une règle AWS Config

La commande suivante renvoie les détails d'une règle AWS Config nommée InstanceTypesAreT2micro :

aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro

Sortie :

{
    "ConfigRules": [
        {
            "ConfigRuleState": "ACTIVE",
            "Description": "Evaluates whether EC2 instances are the t2.micro type.",
            "ConfigRuleName": "InstanceTypesAreT2micro",
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "Source": {
                "Owner": "CUSTOM_LAMBDA",
                "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
                "SourceDetails": [
                    {
                        "EventSource": "aws.config",
                        "MessageType": "ConfigurationItemChangeNotification"
                    }
                ]
            },
            "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}",
            "Scope": {
                "ComplianceResourceTypes": [
                    "AWS::EC2::Instance"
                ]
            },
            "ConfigRuleId": "config-rule-abcdef"
        }
    ]
}

• Pour plus de détails sur l'API, consultez la section DescribeConfigRègles du manuel de référence des AWS CLI commandes.

PowerShell

Outils pour PowerShell

Exemple 1 : Cet exemple répertorie les règles de configuration du compte, avec les propriétés sélectionnées.

Get-CFGConfigRule | Select-Object ConfigRuleName, ConfigRuleId, ConfigRuleArn, ConfigRuleState

Sortie :

ConfigRuleName                                    ConfigRuleId       ConfigRuleArn                                                        ConfigRuleState
--------------                                    ------------       -------------                                                        ---------------
ALB_REDIRECTION_CHECK                             config-rule-12iyn3 arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-12iyn3 ACTIVE
access-keys-rotated                               config-rule-aospfr arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-aospfr ACTIVE
autoscaling-group-elb-healthcheck-required        config-rule-cn1f2x arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-cn1f2x ACTIVE

• Pour plus de détails sur l'API, consultez la section DescribeConfigRègles du manuel de référence des AWS Tools for PowerShell applets de commande.

Python

SDK pour Python (Boto3)

Note

Il y en a plus à ce sujet GitHub. Trouvez l'exemple complet et découvrez comment le configurer et l'exécuter dans le référentiel d'exemples de code AWS.

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def describe_config_rule(self, rule_name):
        """
        Gets data for the specified rule.

        :param rule_name: The name of the rule to retrieve.
        :return: The rule data.
        """
        try:
            response = self.config_client.describe_config_rules(
                ConfigRuleNames=[rule_name]
            )
            rule = response["ConfigRules"]
            logger.info("Got data for rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't get data for rule %s.", rule_name)
            raise
        else:
            return rule

• Pour plus de détails sur l'API, consultez la section DescribeConfigRules in AWS SDK for Python (Boto3) API Reference.

Mise à jour ou ajout de règles

Les exemples de code suivants montrent comment utiliserPutConfigRule.

CLI

AWS CLI

Pour ajouter une règle Config AWS gérée

La commande suivante fournit du code JSON pour ajouter une règle de configuration AWS gérée :

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.jsonest un fichier JSON qui contient la configuration des règles :

{
  "ConfigRuleName": "RequiredTagsForEC2Instances",
  "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "REQUIRED_TAGS"
  },
  "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}"
}

Pour l'ComplianceResourceTypesattribut, ce code JSON limite la portée aux ressources de ce AWS::EC2::Instance type. AWS Config évaluera donc uniquement les instances EC2 par rapport à la règle. Comme la règle est une règle gérée, l'Ownerattribut est défini surAWS, et l'SourceIdentifierattribut est défini sur l'identifiant de règle,REQUIRED_TAGS. Pour l'InputParametersattribut, les clés de balise requises par la règle, CostCenter etOwner, sont spécifiées.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier la configuration des règles, exécutez la describe-config-rules commande et spécifiez le nom de la règle.

Pour ajouter une règle Config gérée par le client

La commande suivante fournit du code JSON pour ajouter une règle de configuration gérée par le client :

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.jsonest un fichier JSON qui contient la configuration des règles :

{
  "ConfigRuleName": "InstanceTypesAreT2micro",
  "Description": "Evaluates whether EC2 instances are the t2.micro type.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "CUSTOM_LAMBDA",
    "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
    "SourceDetails": [
      {
        "EventSource": "aws.config",
        "MessageType": "ConfigurationItemChangeNotification"
      }
    ]
  },
  "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}"
}

Pour l'ComplianceResourceTypesattribut, ce code JSON limite la portée aux ressources de ce AWS::EC2::Instance type. AWS Config évaluera donc uniquement les instances EC2 par rapport à la règle. Cette règle étant une règle gérée par le client, l'Ownerattribut est défini surCUSTOM_LAMBDA, et l'SourceIdentifierattribut est défini sur l'ARN de la fonction AWS Lambda. L'SourceDetailsobjet est obligatoire. Les paramètres spécifiés pour l'InputParametersattribut sont transmis à la fonction AWS Lambda lorsque AWS Config l'invoque pour évaluer les ressources par rapport à la règle.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier la configuration des règles, exécutez la describe-config-rules commande et spécifiez le nom de la règle.

• Pour plus de détails sur l'API, consultez la section PutConfigRègle dans le AWS CLI manuel de référence des commandes.

Python

SDK pour Python (Boto3)

Note

Il y en a plus à ce sujet GitHub. Trouvez l'exemple complet et découvrez comment le configurer et l'exécuter dans le référentiel d'exemples de code AWS.

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def put_config_rule(self, rule_name):
        """
        Sets a configuration rule that prohibits making Amazon S3 buckets publicly
        readable.

        :param rule_name: The name to give the rule.
        """
        try:
            self.config_client.put_config_rule(
                ConfigRule={
                    "ConfigRuleName": rule_name,
                    "Description": "S3 Public Read Prohibited Bucket Rule",
                    "Scope": {
                        "ComplianceResourceTypes": [
                            "AWS::S3::Bucket",
                        ],
                    },
                    "Source": {
                        "Owner": "AWS",
                        "SourceIdentifier": "S3_BUCKET_PUBLIC_READ_PROHIBITED",
                    },
                    "InputParameters": "{}",
                    "ConfigRuleState": "ACTIVE",
                }
            )
            logger.info("Created configuration rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't create configuration rule %s.", rule_name)
            raise

• Pour plus de détails sur l'API, voir PutConfigRule in AWS SDK for Python (Boto3) API Reference.

Suppression de règles

Les exemples de code suivants montrent comment utiliserDeleteConfigRule.

CLI

AWS CLI

Pour supprimer une règle AWS Config

La commande suivante supprime une règle AWS Config nommée MyConfigRule :

aws configservice delete-config-rule --config-rule-name MyConfigRule

• Pour plus de détails sur l'API, consultez la section DeleteConfigRègle dans le AWS CLI manuel de référence des commandes.

Python

SDK pour Python (Boto3)

Note

Il y en a plus à ce sujet GitHub. Trouvez l'exemple complet et découvrez comment le configurer et l'exécuter dans le référentiel d'exemples de code AWS.

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def delete_config_rule(self, rule_name):
        """
        Delete the specified rule.

        :param rule_name: The name of the rule to delete.
        """
        try:
            self.config_client.delete_config_rule(ConfigRuleName=rule_name)
            logger.info("Deleted rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't delete rule %s.", rule_name)
            raise

• Pour plus de détails sur l'API, voir DeleteConfigRule in AWS SDK for Python (Boto3) API Reference.

Activer l'évaluation proactive (AWS CLI)

Vous pouvez utiliser l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait CONFORME ou NON_COMPLIANT compte tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région.

Le schéma du type de ressource indique les propriétés d'une ressource. Vous pouvez trouver le schéma du type de ressource dans « extensions AWS publiques » du AWS CloudFormation registre ou à l'aide de la commande CLI suivante :

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Pour plus d'informations, consultez la section Gestion des extensions via le AWS CloudFormation registre et la référence aux types de AWS ressources et de propriétés dans le guide de AWS CloudFormation l'utilisateur.

Note

Les règles proactives ne corrigent pas les ressources marquées comme NON_COMPLIANT et n'empêchent pas leur déploiement.

Pour activer l'évaluation proactive

Utilisez la commande put-config-rule et activez PROACTIVE pour EvaluationModes.

Après avoir activé l'évaluation proactive, vous pouvez utiliser les commandes CLI start-resource-evaluation et get-resource-evaluation-summary CLI pour vérifier si les ressources que vous spécifiez dans ces commandes seront signalées comme NON_COMPLIANT par les règles proactives de votre compte dans votre région.

Commencez par exemple avec la commande start-resource-evaluation :

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
                    

Vous devriez recevoir le ResourceEvaluationId dans la sortie :

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Utilisez ensuite l'ResourceEvaluationId avec get-resource-evaluation-summary pour vérifier le résultat de l'évaluation :

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Votre résultat doit être similaire à ce qui suit :

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Pour obtenir des informations supplémentaires sur le résultat de l'évaluation, telles que la règle qui a marqué une ressource comme NON_COMPLIANT, utilisez la commande d'API get-compliance-details-by-resource.

Note

Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation.

Activer l'évaluation proactive (API)

Vous pouvez utiliser l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait CONFORME ou NON_COMPLIANT compte tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région.

Le schéma du type de ressource indique les propriétés d'une ressource. Vous pouvez trouver le schéma du type de ressource dans « extensions AWS publiques » du AWS CloudFormation registre ou à l'aide de la commande CLI suivante :

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Pour plus d'informations, consultez la section Gestion des extensions via le AWS CloudFormation registre et la référence aux types de AWS ressources et de propriétés dans le guide de AWS CloudFormation l'utilisateur.

Note

Les règles proactives ne corrigent pas les ressources marquées comme NON_COMPLIANT et n'empêchent pas leur déploiement.

Pour activer l'évaluation proactive d'une règle

Utilisez l'action PutConfigRègle et activez PROACTIVE pourEvaluationModes.

Après avoir activé l'évaluation proactive, vous pouvez utiliser l'API StartResourced'évaluation et l'GetResourceEvaluationSummaryAPI pour vérifier si les ressources que vous spécifiez dans ces commandes seront signalées comme NON CONFORMES par les règles proactives de votre compte dans votre région. Par exemple, commencez par l' StartResourceEvaluation API :

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
                    

Vous devriez recevoir le ResourceEvaluationId dans la sortie :

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Ensuite, utilisez l'API ResourceEvaluationId avec l' GetResourceEvaluationSummary API pour vérifier le résultat de l'évaluation :

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Votre résultat doit être similaire à ce qui suit :

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Pour obtenir des informations supplémentaires sur le résultat de l'évaluation, telles que la règle qui a marqué une ressource comme NON_COMPLIANT, utilisez l'GetComplianceDetailsByAPI Resource.

Note

Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation.

Envoi d'évaluations de règles à Security Hub

Après avoir ajouté une AWS Config règle, vous pouvez également envoyer des évaluations de règles à AWS Security Hub. L'intégration entre Security Hub vous permet de trier AWS Config et de corriger les évaluations des règles ainsi que d'autres erreurs de configuration et problèmes de sécurité.

Envoi d'évaluations de règles à Security Hub

Pour envoyer des évaluations de règles à Security Hub, vous devez d'abord configurer AWS Security Hub puis AWS Config ajouter au moins une règle AWS Config gérée ou personnalisée. Ensuite, commence AWS Config immédiatement à envoyer les évaluations des règles à Security Hub. Security Hub enrichit les évaluations de règles et les transforme en résultats Security Hub.

Pour plus d'informations sur cette intégration, consultez la section Intégrations AWS de services disponibles dans le guide de l' AWS Security Hub utilisateur.