Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
En AWS Config commençant par le AWS CLI
Note
Avant de procéder à la configuration AWS Config avec le AWS CLI, vous devez créer un compartiment S3, un sujet SNS et un rôle IAM avec des politiques associées comme conditions préalables. Vous pouvez ensuite utiliser le AWS CLI pour spécifier le compartiment, le sujet et le rôle pour AWS Config. Pour configurer vos prérequis pour AWS Config, consultez la section Conditions préalables.
Pour AWS Config commencer AWS CLI, utilisez les commandes put-configuration-recorder, put-delivery-channel et start-configuration-recorder, comme suit :
La commande
put-configuration-recorder
crée un nouvel enregistreur de configuration pour enregistrer les configurations de ressources spécifiées.La commande
put-delivery-channel
crée un objet de canal de livraison pour fournir des informations de configuration à un compartiment S3 et à une rubrique SNS.Une fois qu'un canal de livraison est créé,
start-configuration-recorder
commence à enregistrer les configurations de ressources que vous avez sélectionnées, lesquelles sont affichées dans votre compte AWS .
Note
Un seul enregistreur de configuration et un seul canal de livraison par région peut être appliqué à chaque région AWS de votre compte.
Vous pouvez spécifier le nom de l'enregistreur et le nom de ressource Amazon (ARN) du rôle IAM assumé AWS Config et utilisé par l'enregistreur de configuration. AWS Config attribue automatiquement le nom « par défaut » lors de la création de l'enregistreur de configuration. Vous ne pouvez pas modifier le nom de l'enregistreur de configuration après sa création. Pour modifier le nom de l'enregistreur de configuration, vous devez le supprimer et en créer un autre en lui attribuant un nouveau nom.
AWS Config Pour configurer l'agrégation de données multicomptes et multirégions avec le AWS CLI, voir Configuration d'un agrégateur à l'aide de l'interface de AWS ligne de commande. Vous devez créer un enregistreur de configuration distinct pour chaque région dans Compte AWS laquelle vous souhaitez enregistrer des éléments de configuration.
put-configuration-recorder
Votre commande put-configuration-recorder
devrait ressembler à l'exemple suivant.
$ aws configservice put-configuration-recorder \ --configuration-recorder
file://configurationRecorder.json
\ --recording-groupfile://recordingGroup.json
Cette commande utilise les ---recording-group
champs --configuration-recorder
et.
Note
Groupe d'enregistrement et enregistreur de configuration
Le champ --recording-group
indique les types de ressources enregistrés.
Le --configuration-recorder
champ indique name
et roleArn
la fréquence d'enregistrement par défaut pour l'enregistreur de configuration (recordingMode
). Vous pouvez également utiliser ce champ pour remplacer la fréquence d’enregistrement de types de ressources spécifiques.
put-configuration-recorder
utilise les options suivantes pour le paramètre --recording-group
:
-
allSupported=true
— AWS Config enregistre les modifications de configuration pour tous les types de ressources pris en charge, à l'exception des types de ressources IAM globaux. Lorsque AWS Config la prise en charge d'un nouveau type de ressource est ajoutée, commence AWS Config automatiquement à enregistrer les ressources de ce type. -
includeGlobalResourceTypes=true
: cette option concerne uniquement les types de ressource IAM mondiales : utilisateurs, groupes et rôles IAM, et politiques gérées par le client. Ces types de ressources IAM globaux ne peuvent être enregistrés que AWS Config dans les régions où ils AWS Config étaient disponibles avant février 2022. Vous ne pouvez pas enregistrer les types de ressources IAM globaux dans les régions prises en charge AWS Config après février 2022. Pour une liste de ces régions, voir AWS Ressources d'enregistrement | Ressources mondiales.Important
Les clusters globaux Aurora sont enregistrés dans toutes les régions activées
Le type de
AWS::RDS::GlobalCluster
ressource sera enregistré dans toutes les AWS Config régions prises en charge où l'enregistreur de configuration est activé, même s'ilincludeGlobalResourceTypes
est défini surfalse
. L’optionincludeGlobalResourceTypes
s’applique uniquement aux utilisateurs, aux groupes et aux rôles IAM, ainsi qu’aux politiques gérées par le client.Si vous ne souhaitez pas enregistrer
AWS::RDS::GlobalCluster
dans toutes les régions activées, utilisez l'une des politiques d'enregistrement suivantes :Enregistrer tous les types de ressources actuels et futurs avec des exclusions (
EXCLUSION_BY_RESOURCE_TYPES
), ouEnregistrer des types de ressources spécifiques (
INCLUSION_BY_RESOURCE_TYPES
).
Pour plus d'informations, consultez Sélection des ressources qui sont enregistrées.
Important
inclusion GlobalResourceTypes et stratégie d'enregistrement des exclusions
Le
includeGlobalResourceTypes
champ n'a aucun impact sur la stratégieEXCLUSION_BY_RESOURCE_TYPES
d'enregistrement. Cela signifie que les types de ressources IAM globaux (utilisateurs IAM, groupes, rôles et politiques gérées par le client) ne seront pas automatiquement ajoutés en tant qu'exclusions pour leexclusionByResourceTypes
momentincludeGlobalResourceTypes
défini sur.false
Le
includeGlobalResourceTypes
champ ne doit être utilisé que pour modifier leAllSupported
champ, car le champ par défaut est d'enregistrer lesAllSupported
modifications de configuration pour tous les types de ressources pris en charge, à l'exception des types de ressources IAM globaux. Pour inclure les types de ressources IAM globaux lorsqu'ilAllSupported
est défini surtrue
, assurez-vous deincludeGlobalResourceTypes
définirtrue
sur.Pour exclure les types de ressources IAM globaux pour la stratégie
EXCLUSION_BY_RESOURCE_TYPES
d'enregistrement, vous devez les ajouter manuellementresourceTypes
dans le champ deexclusionByResourceTypes
.Note
Champs obligatoires et facultatifs
Avant de définir
includeGlobalResourceTypes
surtrue
, définissez le champallSupported
surtrue
.Vous pouvez éventuellement définir le champ
useOnly
deRecordingStrategy
surALL_SUPPORTED_RESOURCE_TYPES
(facultatif).Note
Champs de remplacement
Si vous définissez cette
includeGlobalResourceTypes
optionfalse
, mais que vous listez les types de ressources IAM globaux dans leresourceTypes
champ de RecordingGroup, les modifications de configuration pour les types de ressources spécifiés AWS Config seront toujours enregistrées, que vous ayez défini leincludeGlobalResourceTypes
champ sur false ou non.Si vous ne souhaitez pas enregistrer les changements de configuration apportés aux types de ressources IAM enregistrés au niveau mondial (utilisateurs, groupes et rôles IAM, ainsi que les politiques gérées par le client), veillez à ne pas les répertorier dans le champ
resourceTypes
si le champincludeGlobalResourceTypes
est défini sur false. -
recordingStrategy
: indique la politique d'enregistrement appliqué à l'enregistreur de configuration. Le fichierrecordingGroup.json
spécifie les types de ressources qui seront enregistrés par AWS Config :-
Si vous définissez le
useOnly
champ surALL_SUPPORTED_RESOURCE_TYPES
, AWS Config enregistre les modifications de RecordingStrategyconfiguration pour tous les types de ressources pris en charge, à l'exception des types de ressources IAM globaux. Vous pouvez éventuellement définir leallSupported
champ de RecordingGroupàtrue
. Lorsque AWS Config la prise en charge d'un nouveau type de ressource est ajoutée, commence AWS Config automatiquement à enregistrer les ressources de ce type. -
Si vous définissez le
useOnly
champ de RecordingStrategyàINCLUSION_BY_RESOURCE_TYPES
, AWS Config enregistre les modifications de configuration uniquement pour les types de ressources que vous spécifiez dans leresourceTypes
champ de RecordingGroup. Si vous définissez le
useOnly
champ RecordingStrategyàEXCLUSION_BY_RESOURCE_TYPES
, AWS Config enregistre les modifications de configuration pour tous les types de ressources pris en charge, à l'exception des types de ressources que vous spécifiez comme devant être exclus de l'enregistrement dans leresourceTypes
champ de ExclusionByResourceTypes.
Note
Champs obligatoires et facultatifs
Le champ
recordingStrategy
est facultatif lorsque vous définissez le champallSupported
de--recording-group
surtrue
.Le champ
recordingStrategy
est facultatif lorsque vous répertoriez les types de ressources dans le champresourceTypes
de--recording-group
.Le champ
recordingStrategy
est obligatoire si vous répertoriez les types de ressources à exclure de l'enregistrement dans le champresourceTypes
deexclusionByResourceTypes
.Note
Champs de remplacement
Si vous choisissez
EXCLUSION_BY_RESOURCE_TYPES
pour la politique d'enregistrement, le champexclusionByResourceTypes
remplacera les autres propriétés de la requête.Par exemple, même si vous définissez
includeGlobalResourceTypes
sur false, les types de ressources IAM enregistrés au niveau mondial seront toujours enregistrés automatiquement dans cette option, sauf si ces types de ressources sont spécifiquement répertoriés en tant qu’exemptions dans le champresourceTypes
deexclusionByResourceTypes
.Note
Types de ressources globales et politique d'enregistrement des exclusions de ressources
Par défaut, si vous choisissez la stratégie
EXCLUSION_BY_RESOURCE_TYPES
d'enregistrement, when AWS Config ajoute la prise en charge d'un nouveau type de ressource dans la région où vous avez configuré l'enregistreur de configuration, y compris les types de ressources globaux, AWS Config commence à enregistrer automatiquement les ressources de ce type.Sauf mention contraire dans la liste des exclusions, ils
AWS::RDS::GlobalCluster
seront enregistrés automatiquement dans toutes les AWS Config régions prises en charge où l'enregistreur de configuration est activé.Les utilisateurs, les groupes, les rôles et les politiques gérées par le client IAM seront enregistrés dans la région dans laquelle vous avez configuré l'enregistreur de configuration s'il s'agit d'une région disponible avant février 2022. AWS Config Vous ne pouvez pas enregistrer les types de ressources IAM globaux dans les régions prises en charge AWS Config après février 2022. Pour une liste de ces régions, voir AWS Ressources d'enregistrement | Ressources mondiales.
Voici la syntaxe de la demande pour
recordingGroup.json
.{ "allSupported":
boolean
, "exclusionByResourceTypes": { "resourceTypes": [Comma-separated list of resource types to exclude
] }, "includeGlobalResourceTypes":boolean
, "recordingStrategy": { "useOnly": "Recording strategy for the configuration recorder
" }, "resourceTypes": [Comma-separated list of resource types to include
] }Note
Politiques d'autorisation pour les accès AWS Organizations Can Prevent
Si vous utilisez un rôle IAM préexistant, assurez-vous qu'aucune politique d'autorisation ne vous AWS Config empêche AWS Organizations d'avoir l'autorisation d'enregistrer vos ressources. Pour plus d'informations sur les politiques d'autorisation pour AWS Organizations, consultez la section Gestion des politiques AWS Organizations dans le Guide de AWS Organizations l'utilisateur.
Conservez le minimum d'autorisations lors de la réutilisation d'un rôle IAM
Si vous utilisez un AWS service qui utilise AWS Config, tel que AWS Security Hub ou AWS Control Tower, et qu'un rôle IAM a déjà été créé, assurez-vous que le rôle IAM que vous utilisez lors de la configuration AWS Config conserve les mêmes autorisations minimales que le rôle IAM préexistant. Vous devez le faire pour vous assurer que l'autre AWS service continue de fonctionner comme prévu.
Par exemple, si AWS Control Tower un rôle IAM permet de AWS Config lire des objets S3, assurez-vous que les mêmes autorisations sont accordées au rôle IAM que vous utilisez lors de la configuration. AWS Config Sinon, cela pourrait interférer avec le AWS Control Tower fonctionnement.
Note
Nombre élevé d' AWS Config évaluations
Vous remarquerez peut-être une augmentation de l'activité de votre compte lors de votre premier mois d'enregistrement avec AWS Config par rapport aux mois suivants. Au cours du processus de démarrage initial, AWS Config exécute des évaluations sur toutes les ressources de votre compte que vous avez sélectionnées AWS Config pour enregistrement.
Si vous exécutez des charges de travail éphémères, vous constaterez peut-être une augmentation de l'activité en raison de AWS Config l'enregistrement des modifications de configuration associées à la création et à la suppression de ces ressources temporaires. Une charge de travail éphémère est une utilisation temporaire des ressources informatiques chargées et exécutées si nécessaire. Les exemples incluent les instances Spot Amazon Elastic Compute Cloud (Amazon EC2), les jobs Amazon EMR et. AWS Auto Scaling Si vous souhaitez éviter l'augmentation de l'activité liée à l'exécution de charges de travail éphémères, vous pouvez configurer l'enregistreur de configuration pour exclure l'enregistrement de ces types de ressources, ou exécuter ces types de charges de travail dans un compte distinct en désactivant pour éviter d' AWS Config augmenter l'enregistrement des configurations et l'évaluation des règles.
Note
Disponibilité dans les régions
Avant de spécifier un type de ressource AWS Config à suivre, vérifiez la couverture des ressources par région disponible pour voir si le type de ressource est pris en charge dans la AWS région dans laquelle vous configurez AWS Config. Si un type de ressource est pris AWS Config en charge par au moins une région, vous pouvez activer l'enregistrement de ce type de ressource dans toutes les régions prises en charge AWS Config, même si le type de ressource spécifié n'est pas pris en charge dans la AWS région dans laquelle vous configurez AWS Config.
-
put-configuration-recorder
utilise les champs suivants pour le paramètre --configuration-recorder
:
name
— Nom de l'enregistreur de configuration. AWS Config attribue automatiquement le nom « par défaut » lors de la création de l'enregistreur de configuration.roleARN
— Amazon Resource Name (ARN) du rôle IAM assumé AWS Config et utilisé par l'enregistreur de configuration.recordingMode
— Spécifie la fréquence d'enregistrement par défaut AWS Config utilisée pour enregistrer les modifications de configuration. AWS Config prend en charge l'enregistrement continu et l'enregistrement quotidien. L’enregistrement en continu vous permet d’enregistrer les modifications de configuration en continu, chaque fois qu’un changement a lieu. L’enregistrement quotidien vous permet de recevoir un élément de configuration représentant l’état le plus récent de vos ressources au cours des dernières 24 heures, uniquement s’il diffère de l’élément de configuration enregistré précédemment.-
recordingFrequency
— Fréquence d'enregistrement par défaut AWS Config utilisée pour enregistrer les modifications de configuration.Note
AWS Firewall Manager dépend de l'enregistrement continu pour surveiller vos ressources. Si vous utilisez Firewall Manager, il est recommandé de définir la fréquence d’enregistrement sur Continu.
-
recordingModeOverrides
: ce champ vous permet de définir vos exclusions pour le mode d’enregistrement. Il s’agit d’un tableau d’objetsrecordingModeOverride
. Chaque objetrecordingModeOverride
du tableaurecordingModeOverrides
comprend trois champs :description
: description que vous fournissez pour l’exclusion.recordingFrequency
: fréquence d’enregistrement qui sera appliquée à tous les types de ressources spécifiés dans l’exclusion.resourceTypes
— Une liste séparée par des virgules qui indique les types de ressources AWS Config inclus dans la dérogation.
-
Note
Champs obligatoires et facultatifs
Le champ recordingMode
pour put-configuration-recorder
est facultatif. Par défaut, la fréquence d’enregistrement de l’enregistreur de configuration est définie sur Enregistrement en continu.
Note
Restrictions
L’enregistrement quotidien ne prend pas en charge les types de ressources suivants :
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
Pour la stratégie d’enregistrement Enregistrer tous les types de ressources actuels et futurs pris en charge (ALL_SUPPORTED_RESOURCE_TYPES
), ces types de ressources seront définis sur Enregistrement en continu.
Le configurationRecorder.json
fichier spécifie name
et roleArn
la fréquence d'enregistrement par défaut pour l'enregistreur de configuration (recordingMode
). Vous pouvez également utiliser ce champ pour remplacer la fréquence d’enregistrement de types de ressources spécifiques.
{ "name": "default", "roleARN": "
arn:aws:iam::123456789012:role/config-role
", "recordingMode": { "recordingFrequency":CONTINUOUS
orDAILY
, "recordingModeOverrides": [ { "description": "Description you provide for the override
", "recordingFrequency":CONTINUOUS
orDAILY
, "resourceTypes": [Comma-separated list of resource types to include in the override
] } ] } }
put-delivery-channel
Les exemples de code suivants montrent comment utiliserPutDeliveryChannel
.
start-configuration-recorder
Pour terminer l'activation AWS Config, utilisez la start-configuration-recorder
commande.
$ aws configservice start-configuration-recorder --configuration-recorder-name
configRecorderName