Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Conditions préalables à la configuration AWS Config avec le AWS CLI
Avant de procéder à la configuration AWS avec le AWS CLI, vous devez créer un compartiment Amazon S3, une SNS rubrique Amazon et un IAM rôle avec des politiques associées comme conditions préalables. Vous pouvez ensuite utiliser AWS CLI pour spécifier le compartiment, le sujet et le rôle pour AWS Config Suivez cette procédure pour configurer les conditions préalables pour . AWS Config.
Rubriques
Étape 1 : Création d'un compartiment Amazon S3
Si vous avez déjà un compartiment Amazon S3 dans votre compte et si vous voulez l'utiliser, ignorez cette étape et passez à l'étape Étape 2 : Création d'un SNS sujet Amazon.
Pour créer un compartiment
Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/
. -
Choisissez Créer un compartiment.
-
Dans Nom du compartiment, entrez un nom DNS compatible pour votre compartiment.
Le nom du compartiment doit présenter les caractéristiques suivantes :
-
Il doit être unique sur l'ensemble d'Amazon S3.
-
Il doit comporter entre 3 et 63 caractères.
-
Ne contient pas de majuscules.
-
Il doit commencer par une minuscule ou un chiffre.
Une fois le compartiment créé, vous ne pouvez pas changer son nom. Vérifiez que le nom de compartiment que vous choisissez n'existe pas déjà parmi tous les noms de compartiment existant dans Amazon S3. Pour plus d'informations sur les règles et les conventions de dénomination de compartiment, consultez Limites et restrictions applicables aux compartiments dans le Guide de l'utilisateur Amazon Simple Storage Service.
Important
Évitez d'inclure des informations sensibles dans le nom du compartiment. Le nom du compartiment est visible en pointant vers les objets URLs qu'il contient.
-
-
Dans Région, sélectionnez AWS Région dans laquelle vous souhaitez que le compartiment réside.
Choisissez une Région proche de vous afin de limiter la latence et les coûts, et répondre aux exigences légales. Les objets stockés dans une Région ne la quittent jamais, sauf si vous les transférez explicitement vers une autre Région. Pour obtenir la liste d'Amazon S3 AWS Régions, voir AWS points de terminaison de service dans Référence générale d'Amazon Web Services.
-
Dans Paramètres de compartiment pour Bloquer l'accès public, choisissez les paramètres de blocage de l'accès public que vous souhaitez appliquer au compartiment.
Nous vous recommandons de laisser tous les paramètres activés, sauf si vous savez que vous devez en désactiver un ou plusieurs d'entre eux pour votre cas d'utilisation, par exemple pour héberger un site web public. Les paramètres de blocage de l’accès public que vous activez pour le compartiment seront également activés pour tous les points d'accès que vous créez dans le compartiment. Pour plus d'informations sur le blocage de l'accès public, consultez Utilisation de la fonctionnalité de blocage de l'accès public Amazon S3 dans le Guide de l'utilisateur Amazon Simple Storage Service.
-
(Facultatif) Si vous souhaitez activer la fonctionnalité de verrouillage d'objet S3 :
-
Choisissez Paramètres avancés et lisez le message qui s'affiche.
Important
Vous ne pouvez activer la fonctionnalité de verrouillage d'objet S3 pour un compartiment que lors de sa création. Si vous activez le verrouillage d'objet pour le compartiment, vous ne pouvez pas le désactiver ultérieurement. L'activation du verrouillage d'objet active également la gestion des versions pour le compartiment. Après avoir activé le verrouillage d'objet pour le compartiment, vous devez configurer les paramètres de la fonctionnalité de verrouillage d'objet avant que les objets du compartiment ne soient protégés. Pour plus d'informations sur la configuration de la protection des objets, consultez Configuration du verrouillage d'objet S3 à l'aide de la console Amazon S3.
-
Si vous souhaitez activer la fonctionnalité de verrouillage d'objet, entrez activer dans la zone de texte et choisissez Confirmer.
Pour plus d'informations sur la fonctionnalité de verrouillage d'objet S3, consultez Verrouillage d'objets à l'aide de la fonctionnalité de verrouillage d'objet Amazon S3 dans le Guide de l'utilisateur Amazon Simple Storage Service.
-
-
Choisissez Créer un compartiment.
Lorsque vous utilisez le AWS SDKspour créer un bucket, vous devez créer un client, puis utiliser le client pour envoyer une demande de création d'un bucket. La meilleure pratique consiste à créer votre client et votre bucket dans le même espace Région AWS. Si vous ne spécifiez pas de région lorsque vous créez un client ou un compartiment, Amazon S3 utilise la région USA Est (Virginie du Nord) par défaut.
Pour créer un client permettant d'accéder à un point de terminaison à double pile, vous devez spécifier un Région AWS. Pour plus d'informations, consultez la section Points de terminaison à double pile Amazon S3. Pour une liste des produits disponibles Régions AWS, voir Régions et points de terminaison dans le Références générales AWS.
Lorsque vous créez un client, la Région est mappée au point de terminaison spécifique à la Région. Le client utilise ce point de terminaison pour communiquer avec Amazon S3 : s3.
. Si votre Région a été lancée après le 20 mars 2019, votre client et votre compartiment doivent se trouver dans la même Région. Par conséquent, vous pouvez utiliser un client dans la Région USA Est (Virginie du Nord) pour créer un compartiment dans n'importe quelle Région lancée avant le 20 mars 2019. Pour plus d'informations, consultez Points de terminaison hérités.<region>
.amazonaws.com
Ces AWS SDKles exemples de code exécutent les tâches suivantes :
-
Créez un client en spécifiant explicitement un Région AWS— Dans l'exemple, le client utilise le
s3.us-west-2.amazonaws.com
point de terminaison pour communiquer avec Amazon S3. Vous pouvez spécifier n'importe quel Région AWS. Pour une liste des Régions AWS, voir Régions et points de terminaison dans le AWS Référence générale. -
Envoyer une demande de création de compartiment en indiquant uniquement un nom de compartiment — Le client envoie une demande à Amazon S3 pour créer le compartiment dans la Région où vous avez créé un client.
-
Récupérer des informations relatives à l'emplacement du compartiment – Amazon S3 stocke les informations relatives à l'emplacement du compartiment dans la sous-ressource de l'emplacement associée au compartiment.
Les exemples de code suivants montrent comment utiliserCreateBucket
.
Note
Vous pouvez également utiliser un compartiment Amazon S3 provenant d'un autre compte, mais vous devrez peut-être créer une politique pour le compartiment qui accorde des autorisations d'accès à AWS Config. Pour plus d'informations sur l'octroi d'autorisations à un compartiment Amazon S3Autorisations pour le compartiment Amazon S3 pour AWS Config Canal de livraison, consultez, puis rendez-vous surÉtape 2 : Création d'un SNS sujet Amazon.
Étape 2 : Création d'un SNS sujet Amazon
Si vous avez déjà un SNS sujet Amazon dans votre compte et que vous souhaitez l'utiliser, ignorez cette étape et passez àÉtape 3 : Création d'un IAM rôle.
Pour créer un SNS sujet Amazon
Ouvrez la SNS console Amazon sur https://console.aws.amazon.com/sns/v3/home
. -
Effectuez l’une des actions suivantes :
-
Si aucun sujet n'a jamais été créé sous votre Compte AWS avant, lisez la description d'Amazon SNS sur la page d'accueil.
-
Si des sujets ont été créés sous votre Compte AWS avant, dans le panneau de navigation, de sélectionner Sujets.
-
-
Sur la page Rubriques, choisissez Créer une rubrique.
-
Sur la page Créer une rubrique, dans la section Détails, procédez comme suit :
-
Pour Type, choisissez un type de sujet (Standard ou FIFO).
-
Entrez un Nom pour la rubrique. Pour un FIFOsujet, ajoutez .fifo à la fin du nom.
-
(Facultatif) Entrez un Nom d'affichage pour votre rubrique.
-
(Facultatif) Pour un FIFO sujet, vous pouvez choisir la déduplication des messages basée sur le contenu pour activer la déduplication des messages par défaut. Pour plus d'informations, voir Déduplication des messages pour les FIFO rubriques.
-
-
(Facultatif) Développez la section Chiffrement et effectuez les opérations suivantes. Pour plus d'informations, consultez Chiffrement au repos.
-
Choisissez Activer le chiffrement.
-
Spécifiez la clé principale du client (CMK). Pour plus d'informations, veuillez consulter la rubrique Termes clés.
Pour chaque CMK type, la description, le compte et le numéro CMKARN1 sont affichés.
Important
Si vous n'êtes pas le propriétaire duCMK, ou si vous vous connectez avec un compte ne disposant pas des
kms:DescribeKey
autorisationskms:ListAliases
et, vous ne pourrez pas consulter les informations le concernant CMK sur la SNS console Amazon.Demandez au propriétaire de vous CMK accorder ces autorisations. Pour de plus amples informations, veuillez consulter le .AWS KMS APIAutorisations : référence aux actions et aux ressources dans le AWS Key Management Service Guide du développeur.
-
Le AWS géré CMK pour Amazon SNS (par défaut) alias/aws/sns est sélectionné par défaut.
Note
Gardez à l'esprit les points suivants :
-
La première fois que vous utilisez AWS Management Console pour spécifier le AWS géré CMK pour Amazon SNS pour un sujet, AWS KMS crée le AWS géré CMK pour AmazonSNS.
-
Sinon, la première fois que vous utilisez l'
Publish
action sur un sujet SSE activé, AWS KMS crée le AWS géré CMK pour AmazonSNS.
-
-
Pour utiliser une personnalisation CMK de votre Compte AWS, choisissez le champ Clé principale du client (CMK), puis sélectionnez le paramètre personnalisé CMK dans la liste.
Note
Pour obtenir des instructions sur la création de clés personnaliséesCMKs, consultez la section Création de clés dans AWS Key Management Service Guide du développeur
-
Pour utiliser une personnalisation CMK ARN de votre Compte AWS ou d'un autre AWS compte, saisissez-le dans le champ Clé principale du client (CMK).
-
-
-
(Facultatif) Par défaut, seul le propriétaire de la rubrique peut publier dans la rubrique ou s'abonner à la rubrique. Pour configurer des autorisations d'accès supplémentaires, développez la section Politique d'accès. Pour plus d'informations, consultez Gestion des identités et des accès sur Amazon SNS et Exemples de cas pour le contrôle SNS d'accès Amazon.
Note
Lorsque vous créez une rubrique à l'aide de la console, la politique par défaut utilise la clé de condition
aws:SourceOwner
. Cette clé est similaire àaws:SourceAccount
. -
(Facultatif) Pour configurer la manière dont Amazon SNS tente à nouveau les tentatives de livraison de messages ayant échoué, développez la section Politique de nouvelles tentatives de livraison (HTTP/S). Pour plus d'informations, consultez la section Rétentatives de livraison des SNS messages Amazon.
-
(Facultatif) Pour configurer la manière dont Amazon SNS enregistre l'envoi des messages CloudWatch, développez la section Enregistrement du statut de livraison. Pour plus d'informations, consultez l'état de livraison des SNS messages Amazon.
-
(Facultatif) Pour ajouter des balises de métadonnées à la rubrique, développez la section Balises, saisissez une clé et une valeur (facultatif) et choisissez Ajouter une balise. Pour plus d'informations, consultez la section Balisage des SNS rubriques Amazon.
-
Choisissez Créer une rubrique.
Le sujet est créé et
MyTopic
la page s'affiche.Le nom du sujet ARN, le nom d'affichage (facultatif) et le nom du propriétaire du sujet AWS L'identifiant du compte est affiché dans la section Détails.
-
Copiez le sujet ARN dans le presse-papiers, par exemple :
arn:aws:sns:us-east-2:123456789012:MyTopic
Pour abonner une adresse e-mail à la SNS rubrique Amazon
Ouvrez la SNS console Amazon sur https://console.aws.amazon.com/sns/v3/home
. -
Dans le volet de navigation de gauche, choisissez Abonnements.
-
Sur la page Abonnements, choisissez Créer un abonnement.
-
Sur la page Créer un abonnement, dans la section Détails, procédez comme suit :
-
Pour le sujet ARN, choisissez le nom de la ressource Amazon (ARN) d'un sujet.
-
Pour Protocole, choisissez un type de point de terminaison. Les types de point de terminaison disponibles sont les suivants :
-
Note
Pour vous abonner à un SNSFIFOsujet, choisissez cette option.
-
Pour Endpoint, entrez la valeur du point de terminaison, telle qu'une adresse e-mail ou celle ARN d'une SQS file d'attente Amazon.
-
Points de terminaison Firehose uniquement : pour le rôle d'abonnement ARN, spécifiez le ARN IAM rôle que vous avez créé pour écrire dans les flux de diffusion Firehose. Pour plus d'informations, consultez la section Conditions préalables à l'abonnement des flux de diffusion Firehose aux rubriques Amazon. SNS
-
(Facultatif) Pour les points de terminaison FirehoseSQS, Amazon, HTTP /S, vous pouvez également activer la livraison de messages bruts. Pour plus d'informations, consultez Amazon SNS Raw Message Delivery.
-
(Facultatif) Pour configurer une politique de filtre, développez la section Politique de filtre d'abonnement. Pour plus d'informations, consultez les politiques de filtrage des SNS abonnements Amazon.
-
(Facultatif) Pour configurer une file d’attente de lettres mortes pour l’abonnement, développez la section Politique de reconduite (File d’attente de lettres mortes). Pour plus d'informations, consultez Amazon SNS dead-letter queues (). DLQs
-
Choisissez Create subscription (Créer un abonnement).
La console crée l'abonnement et ouvre la page Détails de l’abonnement.
-
Pour utiliser un AWS SDK, vous devez le configurer avec vos informations d'identification. Pour plus d'informations, voir Les fichiers de configuration et d'informations d'identification partagés dans le AWS SDKset guide de référence sur les outils.
Les exemples de code suivants montrent comment utiliserCreateTopic
.
Note
Vous pouvez également utiliser un SNS sujet Amazon dans un autre compte, mais dans ce cas, vous devrez peut-être créer une politique pour le sujet qui accorde des autorisations d'accès à AWS Config. Pour plus d'informations sur l'octroi d'autorisations pour un SNS sujet Amazon, consultez Autorisations pour le SNS sujet Amazon puis rendez-vous surÉtape 3 : Création d'un IAM rôle.
Étape 3 : Création d'un IAM rôle
Vous pouvez utiliser la IAM console pour créer un IAM rôle qui accorde AWS Config autorisations pour accéder à votre compartiment Amazon S3, accéder à votre SNS rubrique Amazon et obtenir les détails de configuration pour le support AWS ressources. Lorsque vous utilisez la console pour créer un IAM rôle, AWS Config attache automatiquement les autorisations requises au rôle pour vous.
Note
Si vous avez utilisé un AWS service qui utilise AWS Config (tels que AWS Security Hub ou AWS Control Tower) et un AWS Config le rôle a déjà été créé, vous devez vous assurer que le IAM rôle que vous utilisez lors de la configuration AWS Config conserve les mêmes privilèges minimaux que ceux déjà créés AWS Config rôle dans l'ordre de l'autre AWS le service doit continuer à fonctionner comme prévu.
Par exemple, si AWS Control Tower a un IAM rôle qui permet AWS Config pour lire les objets Amazon S3, vous devez vous assurer que les mêmes autorisations sont accordées dans le IAM rôle que vous utilisez lors de la configuration AWS Config. Dans le cas contraire, cela pourrait interférer avec AWS Les opérations de la tour de contrôle.
Pour plus d'informations sur IAM les rôles pour AWS Config, voir AWS Identity and Access Management.
Pour créer un rôle pour un AWS web
Connectez-vous au AWS Management Console et ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le volet de navigation de la IAM console, sélectionnez Rôles, puis sélectionnez Créer un rôle.
-
Pour Sélectionner une entité de confiance, sélectionnez AWS service.
-
Choisissez le cas d'utilisation que vous souhaitez AWS Config: Config - Personnalisable, Config - Organizations, Config ou Config - Packs de conformité. Ensuite, choisissez Suivant.
-
Sur la page Nommer, vérifier et créer, passez en revue les détails relatifs à votre rôle et choisissez Créer un rôle.
Pour utiliser un AWS SDK, vous devez le configurer avec vos informations d'identification. Pour plus d'informations, voir Les fichiers de configuration et d'informations d'identification partagés dans le AWS SDKset guide de référence sur les outils.
Les exemples de code suivants montrent comment utiliserCreateRole
.