Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Évaluer vos ressources à l'aide de AWS Config règles
Lorsque vous créez des règles personnalisées ou que vous utilisez des règles gérées, vos ressources AWS Config sont évaluées par rapport à ces règles. Vous pouvez exécuter des évaluations à la demande pour les ressources par rapport à vos règles. Par exemple, cela est utile lorsque vous créez une règle personnalisée et que vous souhaitez vérifier AWS Config qu'elle évalue correctement vos ressources ou pour identifier s'il existe un problème avec la logique d'évaluation de votre AWS Lambda fonction.
Exemple
-
Vous créez une règle personnalisée qui évalue si vos utilisateurs IAM disposent de clés d'accès actives.
-
AWS Config évalue vos ressources par rapport à votre règle personnalisée.
-
Votre compte comporte un utilisateur IAM sans clé d'accès active. Votre règle ne signale pas correctement cette ressource comme NON_COMPLIANT.
-
Vous corrigez la règle et recommencez l'évaluation.
-
Étant donné que vous avez corrigé votre règle, celle-ci évalue correctement vos ressources et indique que la ressource d'utilisateur IAM est NON_COMPLIANT.
Lorsque vous ajoutez une règle à votre compte, vous pouvez indiquer à quel moment du processus de création et de gestion des ressources vous AWS Config souhaitez évaluer vos ressources. Le processus de création et de gestion des ressources est connu sous le nom de mise en service des ressources. Vous choisissez le mode d'évaluation pour spécifier à quel moment vous souhaitez évaluer vos ressources AWS Config au cours de ce processus.
Selon la règle, AWS Config vous pouvez évaluer vos configurations de ressources avant le déploiement d'une ressource, après le déploiement d'une ressource, ou les deux. L'évaluation d'une ressource avant son déploiement est une évaluation proactive. L'évaluation d'une ressource après son déploiement est une évaluation détective.
Utilisez l'évaluation proactive pour évaluer les ressources avant leur déploiement. Cela vous permet d'évaluer si un ensemble de propriétés de ressources, s'il est utilisé pour définir une AWS ressource, serait CONFORME ou NON_COMPLIANT compte tenu de l'ensemble de règles proactives que vous avez dans votre compte dans votre région.
Le schéma du type de ressource indique les propriétés d'une ressource. Vous pouvez trouver le schéma du type de ressource dans « extensions AWS publiques » du AWS CloudFormation registre ou à l'aide de la commande CLI suivante :
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type
RESOURCE
Pour plus d'informations, consultez la section Gestion des extensions via le AWS CloudFormation registre et la référence aux types de AWS ressources et de propriétés dans le guide de AWS CloudFormation l'utilisateur.
Note
Les règles proactives ne corrigent pas les ressources marquées comme NON_COMPLIANT et n'empêchent pas leur déploiement.
Évaluation de vos ressources
Pour activer l'évaluation proactive
Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/
. -
Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une région qui prend en charge les AWS Config règles. Pour obtenir la liste des régions AWS prises en charge, consultez Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.
-
Dans le volet de navigation de gauche, choisissez Règles. Pour obtenir la liste des règles gérées qui prennent en charge l'évaluation proactive, consultez la section Liste des règles AWS Config gérées par mode d'évaluation.
-
Choisissez une règle et l'option Modifier la règle correspondant à la règle que vous souhaitez mettre à jour.
-
Choisissez Activer l'évaluation proactive pour le Mode d'évaluation afin de pouvoir évaluer les paramètres de configuration de vos ressources avant leur déploiement.
-
Choisissez Enregistrer.
Note
Vous pouvez également activer l'évaluation proactive à l'aide de la put-config-rule
commande et en activant PROACTIVE
EvaluationModes
ou en utilisant l'PutConfigRuleaction et en activant PROACTIVE
pourEvaluationModes
.
Après avoir activé l'évaluation proactive, vous pouvez utiliser l'StartResourceEvaluationAPI et l'GetResourceEvaluationSummaryAPI pour vérifier si les ressources que vous spécifiez dans ces commandes seront signalées comme NON CONFORMES par les règles proactives de votre compte dans votre région.
Par exemple, commencez par l' StartResourceEvaluation API :
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"
MY_RESOURCE_ID
", "ResourceType":"AWS::RESOURCE::TYPE
", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA
", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
Vous devriez recevoir le ResourceEvaluationId
dans la sortie :
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }
Ensuite, utilisez l'API ResourceEvaluationId
avec l' GetResourceEvaluationSummary API pour vérifier le résultat de l'évaluation :
aws configservice get-resource-evaluation-summary --resource-evaluation-id
MY_RESOURCE_EVALUATION_ID
Votre résultat doit être similaire à ce qui suit :
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }
Pour obtenir des informations supplémentaires sur le résultat de l'évaluation, telles que la règle qui a marqué une ressource comme NON_COMPLIANT, utilisez l'API. GetComplianceDetailsByResource
Utilisez l'évaluation détective pour évaluer les ressources déjà déployées. Ce type d'évaluation vous permet d'évaluer les paramètres de configuration de vos ressources existantes.
Évaluation de vos ressources (console)
Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/
. -
Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une région compatible avec les AWS Config règles. Pour obtenir la liste des régions prises en charge, consultez la section Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.
-
Dans le volet de navigation, choisissez Règles. La page Règles indique le nom, les mesures correctives associées et l'état de conformité de chaque règle.
-
Choisissez une règle dans le tableau.
-
Dans la liste déroulante Actions, choisissez Réévaluer.
-
AWS Config commence à évaluer les ressources par rapport à votre règle.
Note
Vous pouvez réévaluer une règle une fois par minute. Vous devez attendre AWS Config que l'évaluation de votre règle soit terminée avant de commencer une autre évaluation. Vous ne pouvez pas exécuter une évaluation si une mise à jour ou une suppression de règle sont en cours en même temps.
Évaluation de vos ressources (CLI)
-
Utilisez la commande start-config-rules-evaluation :
$ aws configservice start-config-rules-evaluation --config-rule-names
ConfigRuleName
AWS Config commence à évaluer les configurations de ressources enregistrées par rapport à votre règle. Vous pouvez également spécifier plusieurs règles dans votre demande :
$ aws configservice start-config-rules-evaluation --config-rule-names
ConfigRuleName1
ConfigRuleName2
ConfigRuleName3
Évaluation de vos ressources (API)
Utilisez l'action StartConfigRulesEvaluation.