Activer l'évaluation proactive des AWS Config règles - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activer l'évaluation proactive des AWS Config règles

Vous pouvez utiliser la AWS Config console ou les AWS SDK pour activer les règles d'évaluation proactives.

Activer l'évaluation proactive (console)

La page Règles affiche vos règles et leurs résultats de conformité actuels sous forme de tableau. Le résultat pour chaque règle est Evaluer... jusqu'à la AWS Config fin de l'évaluation de vos ressources par rapport à la règle. Vous pouvez mettre à jour les résultats avec le bouton Refresh. Lorsque AWS Config les évaluations sont terminées, vous pouvez voir les règles et les types de ressources conformes ou non conformes. Pour plus d’informations, consultez Affichage des informations de conformité et des résultats d'évaluation de vos AWS ressources.

Note

AWS Config évalue uniquement les types de ressources qu'il enregistre. Par exemple, si vous ajoutez la règle compatible avec Cloudtrail mais que vous n'enregistrez pas le type de ressource de CloudTrail suivi, vous ne AWS Config pouvez pas évaluer si les sentiers de votre compte sont conformes ou non conformes. Pour plus d’informations, consultez AWS Ressources d'enregistrement.

Vous pouvez utiliser l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait CONFORME ou NON_COMPLIANT compte tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région.

Le schéma du type de ressource indique les propriétés d'une ressource. Vous pouvez trouver le schéma du type de ressource dans « extensions AWS publiques » du AWS CloudFormation registre ou à l'aide de la commande CLI suivante :

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Pour plus d'informations, consultez la section Gestion des extensions via le AWS CloudFormation registre et la référence aux types de AWS ressources et de propriétés dans le guide de AWS CloudFormation l'utilisateur.

Note

Les règles proactives ne corrigent pas les ressources marquées comme NON_COMPLIANT et n'empêchent pas leur déploiement.

Pour activer l'évaluation proactive
  1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/.

  2. Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une région qui prend en charge les AWS Config règles. Pour obtenir la liste des régions AWS prises en charge, consultez Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.

  3. Dans le volet de navigation de gauche, choisissez Règles. Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation.

  4. Choisissez une règle et l'option Modifier la règle correspondant à la règle que vous souhaitez mettre à jour.

  5. Choisissez Activer l'évaluation proactive pour le Mode d'évaluation afin de pouvoir évaluer les paramètres de configuration de vos ressources avant leur déploiement.

  6. Choisissez Enregistrer.

Après avoir activé l'évaluation proactive, vous pouvez utiliser l'StartResourceEvaluationAPI et l'GetResourceEvaluationSummaryAPI pour vérifier si les ressources que vous spécifiez dans ces commandes seront signalées comme NON CONFORMES par les règles proactives de votre compte dans votre région.

Par exemple, commencez par l' StartResourceEvaluation API :

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"MY_RESOURCE_ID", "ResourceType":"AWS::RESOURCE::TYPE", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Vous devriez recevoir le ResourceEvaluationId dans la sortie :

{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }

Ensuite, utilisez l'API ResourceEvaluationId avec l' GetResourceEvaluationSummary API pour vérifier le résultat de l'évaluation :

aws configservice get-resource-evaluation-summary --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Votre résultat doit être similaire à ce qui suit :

{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }

Pour obtenir des informations supplémentaires sur le résultat de l'évaluation, telles que la règle qui a marqué une ressource comme NON_COMPLIANT, utilisez l'API. GetComplianceDetailsByResource

Activer l'évaluation proactive (AWS SDK)

Vous pouvez utiliser l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait CONFORME ou NON_COMPLIANT compte tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région.

Le schéma du type de ressource indique les propriétés d'une ressource. Vous pouvez trouver le schéma du type de ressource dans « extensions AWS publiques » du AWS CloudFormation registre ou à l'aide de la commande CLI suivante :

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Pour plus d'informations, consultez la section Gestion des extensions via le AWS CloudFormation registre et la référence aux types de AWS ressources et de propriétés dans le guide de AWS CloudFormation l'utilisateur.

Note

Les règles proactives ne corrigent pas les ressources marquées comme NON_COMPLIANT et n'empêchent pas leur déploiement.

Pour activer l'évaluation proactive

Utilisez la commande put-config-rule et activez PROACTIVE pour EvaluationModes.

Après avoir activé l'évaluation proactive, vous pouvez utiliser les commandes CLI et start-resource-evaluationget-resource-evaluation-summaryCLI pour vérifier si les ressources que vous spécifiez dans ces commandes seront signalées comme NON_COMPLIANT par les règles proactives de votre compte dans votre région.

Commencez par exemple avec la commande start-resource-evaluation :

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"MY_RESOURCE_ID", "ResourceType":"AWS::RESOURCE::TYPE", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Vous devriez recevoir le ResourceEvaluationId dans la sortie :

{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }

Utilisez ensuite l'ResourceEvaluationId avec get-resource-evaluation-summary pour vérifier le résultat de l'évaluation :

aws configservice get-resource-evaluation-summary --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Votre résultat doit être similaire à ce qui suit :

{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }

Pour obtenir des informations supplémentaires sur le résultat de l'évaluation, telles que la règle qui a marqué une ressource comme NON_COMPLIANT, utilisez la commande CLI -resourceget-compliance-details-by.

Note

Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation.

Vous pouvez utiliser l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait CONFORME ou NON_COMPLIANT compte tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région.

Le schéma du type de ressource indique les propriétés d'une ressource. Vous pouvez trouver le schéma du type de ressource dans « extensions AWS publiques » du AWS CloudFormation registre ou à l'aide de la commande CLI suivante :

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Pour plus d'informations, consultez la section Gestion des extensions via le AWS CloudFormation registre et la référence aux types de AWS ressources et de propriétés dans le guide de AWS CloudFormation l'utilisateur.

Note

Les règles proactives ne corrigent pas les ressources marquées comme NON_COMPLIANT et n'empêchent pas leur déploiement.

Pour activer l'évaluation proactive d'une règle

Utilisez l'PutConfigRuleaction et activez PROACTIVE pourEvaluationModes.

Après avoir activé l'évaluation proactive, vous pouvez utiliser l'StartResourceEvaluationAPI et l'GetResourceEvaluationSummaryAPI pour vérifier si les ressources que vous spécifiez dans ces commandes seront signalées comme NON CONFORMES par les règles proactives de votre compte dans votre région. Par exemple, commencez par l' StartResourceEvaluation API :

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"MY_RESOURCE_ID", "ResourceType":"AWS::RESOURCE::TYPE", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Vous devriez recevoir le ResourceEvaluationId dans la sortie :

{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }

Ensuite, utilisez l'API ResourceEvaluationId avec l' GetResourceEvaluationSummary API pour vérifier le résultat de l'évaluation :

aws configservice get-resource-evaluation-summary --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Votre résultat doit être similaire à ce qui suit :

{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }

Pour obtenir des informations supplémentaires sur le résultat de l'évaluation, telles que la règle qui a marqué une ressource comme NON_COMPLIANT, utilisez l'API. GetComplianceDetailsByResource

Note

Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation.