Mise à jour AWS Config des règles - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise à jour AWS Config des règles

Vous pouvez utiliser la AWS Config console ou les AWS SDK pour mettre à jour vos règles.

Mise à jour des règles (console)

La page Règles affiche vos règles et leurs résultats de conformité actuels sous forme de tableau. Le résultat de chaque règle est Évaluation... jusqu'à la AWS Config fin de l'évaluation de vos ressources par rapport à la règle. Vous pouvez mettre à jour les résultats avec le bouton Refresh. Lorsque AWS Config les évaluations sont terminées, vous pouvez voir les règles et les types de ressources conformes ou non conformes. Pour plus d’informations, consultez Affichage des informations de conformité et des résultats d'évaluation de vos AWS ressources.

Note

AWS Config évalue uniquement les types de ressources qu'il enregistre. Par exemple, si vous ajoutez la règle compatible avec Cloudtrail mais que vous n'enregistrez pas le type de ressource de CloudTrail suivi, vous ne AWS Config pouvez pas évaluer si les sentiers de votre compte sont conformes ou non conformes. Pour plus d’informations, consultez AWS Ressources d'enregistrement.

Pour mettre à jour une règle
  1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/.

  2. Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une région compatible avec les AWS Config règles. Pour obtenir la liste des régions prises en charge, consultez la section Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.

  3. Dans le volet de navigation de gauche, choisissez Règles.

  4. Choisissez une règle et l'option Modifier la règle correspondant à la règle que vous souhaitez mettre à jour.

  5. Modifiez les paramètres sur la page Modifier la règle pour modifier votre règle en fonction de vos besoins.

  6. Choisissez Enregistrer.

Règles de mise à jour (AWS SDK)

Si vous mettez à jour une règle que vous avez ajoutée précédemment, vous pouvez spécifier la règle en utilisant ConfigRuleName, ConfigRuleId ou ConfigRuleArn dans le type de données ConfigRule que vous utilisez dans cette requête. Vous utilisez la même PutConfigRule commande que lorsque vous ajoutez une règle.

Les exemples de code suivants montrent comment utiliserPutConfigRule.

CLI
AWS CLI

Pour ajouter une règle Config AWS gérée

La commande suivante fournit du code JSON pour ajouter une règle de configuration AWS gérée :

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.jsonest un fichier JSON qui contient la configuration des règles :

{ "ConfigRuleName": "RequiredTagsForEC2Instances", "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "Source": { "Owner": "AWS", "SourceIdentifier": "REQUIRED_TAGS" }, "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}" }

Pour l'ComplianceResourceTypesattribut, ce code JSON limite la portée aux ressources de ce AWS::EC2::Instance type. AWS Config évaluera donc uniquement les instances EC2 par rapport à la règle. Comme la règle est une règle gérée, l'Ownerattribut est défini surAWS, et l'SourceIdentifierattribut est défini sur l'identifiant de règle,REQUIRED_TAGS. Pour l'InputParametersattribut, les clés de balise requises par la règle, CostCenter etOwner, sont spécifiées.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier la configuration des règles, exécutez la describe-config-rules commande et spécifiez le nom de la règle.

Pour ajouter une règle Config gérée par le client

La commande suivante fournit du code JSON pour ajouter une règle de configuration gérée par le client :

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.jsonest un fichier JSON qui contient la configuration des règles :

{ "ConfigRuleName": "InstanceTypesAreT2micro", "Description": "Evaluates whether EC2 instances are the t2.micro type.", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] }, "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}" }

Pour l'ComplianceResourceTypesattribut, ce code JSON limite la portée aux ressources de ce AWS::EC2::Instance type. AWS Config évaluera donc uniquement les instances EC2 par rapport à la règle. Cette règle étant une règle gérée par le client, l'Ownerattribut est défini surCUSTOM_LAMBDA, et l'SourceIdentifierattribut est défini sur l'ARN de la fonction AWS Lambda. L'SourceDetailsobjet est obligatoire. Les paramètres spécifiés pour l'InputParametersattribut sont transmis à la fonction AWS Lambda lorsque AWS Config l'invoque pour évaluer les ressources par rapport à la règle.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier la configuration des règles, exécutez la describe-config-rules commande et spécifiez le nom de la règle.

  • Pour plus de détails sur l'API, reportez-vous PutConfigRuleà la section Référence des AWS CLI commandes.

Python
SDK pour Python (Boto3)
Note

Il y en a plus sur GitHub. Trouvez l'exemple complet et découvrez comment le configurer et l'exécuter dans le référentiel d'exemples de code AWS.

class ConfigWrapper: """ Encapsulates AWS Config functions. """ def __init__(self, config_client): """ :param config_client: A Boto3 AWS Config client. """ self.config_client = config_client def put_config_rule(self, rule_name): """ Sets a configuration rule that prohibits making Amazon S3 buckets publicly readable. :param rule_name: The name to give the rule. """ try: self.config_client.put_config_rule( ConfigRule={ "ConfigRuleName": rule_name, "Description": "S3 Public Read Prohibited Bucket Rule", "Scope": { "ComplianceResourceTypes": [ "AWS::S3::Bucket", ], }, "Source": { "Owner": "AWS", "SourceIdentifier": "S3_BUCKET_PUBLIC_READ_PROHIBITED", }, "InputParameters": "{}", "ConfigRuleState": "ACTIVE", } ) logger.info("Created configuration rule %s.", rule_name) except ClientError: logger.exception("Couldn't create configuration rule %s.", rule_name) raise
  • Pour plus de détails sur l'API, consultez PutConfigRulele AWS manuel de référence de l'API SDK for Python (Boto3).