En AWS Config commençant par le AWS CLI - AWS Config
put-configuration-recorderput-delivery-channelstart-configuration-recorder

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

En AWS Config commençant par le AWS CLI

Note

Avant de procéder à la configuration AWS Config avec le AWS CLI, vous devez créer un compartiment S3, un sujet SNS et un rôle IAM avec des politiques associées comme conditions préalables. Vous pouvez ensuite utiliser le AWS CLI pour spécifier le compartiment, le sujet et le rôle pour AWS Config. Pour configurer vos prérequis pour AWS Config, consultez la section Conditions préalables.

Pour AWS Config commencer AWS CLI, utilisez les commandes put-configuration-recorder, put-delivery-channel et start-configuration-recorder, comme suit :

  • La commande put-configuration-recorder crée un nouvel enregistreur de configuration pour enregistrer les configurations de ressources spécifiées.

  • La commande put-delivery-channel crée un objet de canal de livraison pour fournir des informations de configuration à un compartiment S3 et à une rubrique SNS.

  • Une fois qu'un canal de livraison est créé, start-configuration-recorder commence à enregistrer les configurations de ressources que vous avez sélectionnées, lesquelles sont affichées dans votre compte AWS .

Note

Un seul enregistreur de configuration et un seul canal de livraison par région peut être appliqué à chaque région AWS de votre compte.

Vous pouvez spécifier le nom de l'enregistreur et le nom de ressource Amazon (ARN) du rôle IAM assumé AWS Config et utilisé par l'enregistreur de configuration. AWS Config attribue automatiquement le nom « par défaut » lors de la création de l'enregistreur de configuration. Vous ne pouvez pas modifier le nom de l'enregistreur de configuration après sa création. Pour modifier le nom de l'enregistreur de configuration, vous devez le supprimer et en créer un autre en lui attribuant un nouveau nom.

AWS Config Pour configurer l'agrégation de données multicomptes et multirégions avec le AWS CLI, voir Configuration d'un agrégateur à l'aide de l'interface de AWS ligne de commande. Vous devez créer un enregistreur de configuration distinct pour chaque région dans Compte AWS laquelle vous souhaitez enregistrer des éléments de configuration.

put-configuration-recorder

Votre commande put-configuration-recorder devrait ressembler à l'exemple suivant.

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

Cette commande utilise les ---recording-group champs --configuration-recorder et.

Note

Groupe d'enregistrement et enregistreur de configuration

Le champ --recording-group indique les types de ressources enregistrés.

Le --configuration-recorder champ indique name et roleArn la fréquence d'enregistrement par défaut pour l'enregistreur de configuration (recordingMode). Vous pouvez également utiliser ce champ pour remplacer la fréquence d’enregistrement de types de ressources spécifiques.

put-configuration-recorder utilise les options suivantes pour le paramètre --recording-group :

  • allSupported=true— AWS Config enregistre les modifications de configuration pour tous les types de ressources pris en charge, à l'exception des types de ressources IAM globaux. Lorsque AWS Config la prise en charge d'un nouveau type de ressource est ajoutée, commence AWS Config automatiquement à enregistrer les ressources de ce type.

  • includeGlobalResourceTypes=true : cette option concerne uniquement les types de ressource IAM mondiales : utilisateurs, groupes et rôles IAM, et politiques gérées par le client. Ces types de ressources IAM globaux ne peuvent être enregistrés que AWS Config dans les régions où ils AWS Config étaient disponibles avant février 2022. Vous ne pouvez pas enregistrer les types de ressources IAM globaux dans les régions prises en charge AWS Config après février 2022. Pour une liste de ces régions, voir AWS Ressources d'enregistrement | Ressources mondiales.

    Important

    Les clusters globaux Aurora sont enregistrés dans toutes les régions activées

    Le type de AWS::RDS::GlobalCluster ressource sera enregistré dans toutes les AWS Config régions prises en charge où l'enregistreur de configuration est activé, même s'il includeGlobalResourceTypes est défini surfalse. L’option includeGlobalResourceTypes s’applique uniquement aux utilisateurs, aux groupes et aux rôles IAM, ainsi qu’aux politiques gérées par le client.

    Si vous ne souhaitez pas enregistrer AWS::RDS::GlobalCluster dans toutes les régions activées, utilisez l'une des politiques d'enregistrement suivantes :

    1. Enregistrer tous les types de ressources actuels et futurs avec des exclusions (EXCLUSION_BY_RESOURCE_TYPES), ou

    2. Enregistrer des types de ressources spécifiques (INCLUSION_BY_RESOURCE_TYPES).

    Pour plus d'informations, consultez Sélection des ressources qui sont enregistrées.

    Important

    inclusion GlobalResourceTypes et stratégie d'enregistrement des exclusions

    Le includeGlobalResourceTypes champ n'a aucun impact sur la stratégie EXCLUSION_BY_RESOURCE_TYPES d'enregistrement. Cela signifie que les types de ressources IAM globaux (utilisateurs IAM, groupes, rôles et politiques gérées par le client) ne seront pas automatiquement ajoutés en tant qu'exclusions pour le exclusionByResourceTypes moment includeGlobalResourceTypes défini sur. false

    Le includeGlobalResourceTypes champ ne doit être utilisé que pour modifier le AllSupported champ, car le champ par défaut est d'enregistrer les AllSupported modifications de configuration pour tous les types de ressources pris en charge, à l'exception des types de ressources IAM globaux. Pour inclure les types de ressources IAM globaux lorsqu'il AllSupported est défini surtrue, assurez-vous de includeGlobalResourceTypes définir true sur.

    Pour exclure les types de ressources IAM globaux pour la stratégie EXCLUSION_BY_RESOURCE_TYPES d'enregistrement, vous devez les ajouter manuellement resourceTypes dans le champ deexclusionByResourceTypes.

    Note

    Champs obligatoires et facultatifs

    Avant de définir includeGlobalResourceTypes sur true, définissez le champ allSupported sur true.

    Vous pouvez éventuellement définir le champ useOnly de RecordingStrategy sur ALL_SUPPORTED_RESOURCE_TYPES (facultatif).

    Note

    Champs de remplacement

    Si vous définissez cette includeGlobalResourceTypes optionfalse, mais que vous listez les types de ressources IAM globaux dans le resourceTypes champ de RecordingGroup, les modifications de configuration pour les types de ressources spécifiés AWS Config seront toujours enregistrées, que vous ayez défini le includeGlobalResourceTypes champ sur false ou non.

    Si vous ne souhaitez pas enregistrer les changements de configuration apportés aux types de ressources IAM enregistrés au niveau mondial (utilisateurs, groupes et rôles IAM, ainsi que les politiques gérées par le client), veillez à ne pas les répertorier dans le champ resourceTypes si le champ includeGlobalResourceTypes est défini sur false.

  • recordingStrategy : indique la politique d'enregistrement appliqué à l'enregistreur de configuration. Le fichier recordingGroup.json spécifie les types de ressources qui seront enregistrés par AWS Config  :

    • Si vous définissez le useOnly champ surALL_SUPPORTED_RESOURCE_TYPES, AWS Config enregistre les modifications de RecordingStrategyconfiguration pour tous les types de ressources pris en charge, à l'exception des types de ressources IAM globaux. Vous pouvez éventuellement définir le allSupported champ de RecordingGroupàtrue. Lorsque AWS Config la prise en charge d'un nouveau type de ressource est ajoutée, commence AWS Config automatiquement à enregistrer les ressources de ce type.

    • Si vous définissez le useOnly champ de RecordingStrategyàINCLUSION_BY_RESOURCE_TYPES, AWS Config enregistre les modifications de configuration uniquement pour les types de ressources que vous spécifiez dans le resourceTypes champ de RecordingGroup.

    • Si vous définissez le useOnly champ RecordingStrategyàEXCLUSION_BY_RESOURCE_TYPES, AWS Config enregistre les modifications de configuration pour tous les types de ressources pris en charge, à l'exception des types de ressources que vous spécifiez comme devant être exclus de l'enregistrement dans le resourceTypes champ de ExclusionByResourceTypes.

    Note

    Champs obligatoires et facultatifs

    Le champ recordingStrategy est facultatif lorsque vous définissez le champ allSupported de --recording-group sur true.

    Le champ recordingStrategy est facultatif lorsque vous répertoriez les types de ressources dans le champ resourceTypes de --recording-group.

    Le champ recordingStrategy est obligatoire si vous répertoriez les types de ressources à exclure de l'enregistrement dans le champ resourceTypes de exclusionByResourceTypes.

    Note

    Champs de remplacement

    Si vous choisissez EXCLUSION_BY_RESOURCE_TYPES pour la politique d'enregistrement, le champ exclusionByResourceTypes remplacera les autres propriétés de la requête.

    Par exemple, même si vous définissez includeGlobalResourceTypes sur false, les types de ressources IAM enregistrés au niveau mondial seront toujours enregistrés automatiquement dans cette option, sauf si ces types de ressources sont spécifiquement répertoriés en tant qu’exemptions dans le champ resourceTypes de exclusionByResourceTypes.

    Note

    Types de ressources globales et politique d'enregistrement des exclusions de ressources

    Par défaut, si vous choisissez la stratégie EXCLUSION_BY_RESOURCE_TYPES d'enregistrement, when AWS Config ajoute la prise en charge d'un nouveau type de ressource dans la région où vous avez configuré l'enregistreur de configuration, y compris les types de ressources globaux, AWS Config commence à enregistrer automatiquement les ressources de ce type.

    Sauf mention contraire dans la liste des exclusions, ils AWS::RDS::GlobalCluster seront enregistrés automatiquement dans toutes les AWS Config régions prises en charge où l'enregistreur de configuration est activé.

    Les utilisateurs, les groupes, les rôles et les politiques gérées par le client IAM seront enregistrés dans la région dans laquelle vous avez configuré l'enregistreur de configuration s'il s'agit d'une région disponible avant février 2022. AWS Config Vous ne pouvez pas enregistrer les types de ressources IAM globaux dans les régions prises en charge AWS Config après février 2022. Pour une liste de ces régions, voir AWS Ressources d'enregistrement | Ressources mondiales.

    Voici la syntaxe de la demande pour recordingGroup.json.

    { 
    "allSupported": boolean,
    "exclusionByResourceTypes": { 
        "resourceTypes": [ Comma-separated list of resource types to exclude ]
    },
    "includeGlobalResourceTypes": boolean,
    "recordingStrategy": { 
        "useOnly": "Recording strategy for the configuration recorder"
    },
    "resourceTypes": [ Comma-separated list of resource types to include]
}
    Note

    Politiques d'autorisation pour les accès AWS Organizations Can Prevent

    Si vous utilisez un rôle IAM préexistant, assurez-vous qu'aucune politique d'autorisation ne vous AWS Config empêche AWS Organizations d'avoir l'autorisation d'enregistrer vos ressources. Pour plus d'informations sur les politiques d'autorisation pour AWS Organizations, consultez la section Gestion des politiques AWS Organizations dans le Guide de AWS Organizations l'utilisateur.

    Conservez le minimum d'autorisations lors de la réutilisation d'un rôle IAM

    Si vous utilisez un AWS service qui utilise AWS Config, tel que AWS Security Hub ou AWS Control Tower, et qu'un rôle IAM a déjà été créé, assurez-vous que le rôle IAM que vous utilisez lors de la configuration AWS Config conserve les mêmes autorisations minimales que le rôle IAM préexistant. Vous devez le faire pour vous assurer que l'autre AWS service continue de fonctionner comme prévu.

    Par exemple, si AWS Control Tower un rôle IAM permet de AWS Config lire des objets S3, assurez-vous que les mêmes autorisations sont accordées au rôle IAM que vous utilisez lors de la configuration. AWS Config Sinon, cela pourrait interférer avec le AWS Control Tower fonctionnement.

    Note

    Nombre élevé d' AWS Config évaluations

    Vous remarquerez peut-être une augmentation de l'activité de votre compte lors de votre premier mois d'enregistrement avec AWS Config par rapport aux mois suivants. Au cours du processus de démarrage initial, AWS Config exécute des évaluations sur toutes les ressources de votre compte que vous avez sélectionnées AWS Config pour enregistrement.

    Si vous exécutez des charges de travail éphémères, vous constaterez peut-être une augmentation de l'activité en raison de AWS Config l'enregistrement des modifications de configuration associées à la création et à la suppression de ces ressources temporaires. Une charge de travail éphémère est une utilisation temporaire des ressources informatiques chargées et exécutées si nécessaire. Les exemples incluent les instances Spot Amazon Elastic Compute Cloud (Amazon EC2), les jobs Amazon EMR et. AWS Auto Scaling Si vous souhaitez éviter l'augmentation de l'activité liée à l'exécution de charges de travail éphémères, vous pouvez configurer l'enregistreur de configuration pour exclure l'enregistrement de ces types de ressources, ou exécuter ces types de charges de travail dans un compte distinct en désactivant pour éviter d' AWS Config augmenter l'enregistrement des configurations et l'évaluation des règles.

    Note

    Disponibilité dans les régions

    Avant de spécifier un type de ressource AWS Config à suivre, vérifiez la couverture des ressources par région disponible pour voir si le type de ressource est pris en charge dans la AWS région dans laquelle vous configurez AWS Config. Si un type de ressource est pris AWS Config en charge par au moins une région, vous pouvez activer l'enregistrement de ce type de ressource dans toutes les régions prises en charge AWS Config, même si le type de ressource spécifié n'est pas pris en charge dans la AWS région dans laquelle vous configurez AWS Config.

put-configuration-recorder utilise les champs suivants pour le paramètre --configuration-recorder :

  • name— Nom de l'enregistreur de configuration. AWS Config attribue automatiquement le nom « par défaut » lors de la création de l'enregistreur de configuration.

  • roleARN— Amazon Resource Name (ARN) du rôle IAM assumé AWS Config et utilisé par l'enregistreur de configuration.

  • recordingMode— Spécifie la fréquence d'enregistrement par défaut AWS Config utilisée pour enregistrer les modifications de configuration. AWS Config prend en charge l'enregistrement continu et l'enregistrement quotidien. L’enregistrement en continu vous permet d’enregistrer les modifications de configuration en continu, chaque fois qu’un changement a lieu. L’enregistrement quotidien vous permet de recevoir un élément de configuration représentant l’état le plus récent de vos ressources au cours des dernières 24 heures, uniquement s’il diffère de l’élément de configuration enregistré précédemment.

    • recordingFrequency— Fréquence d'enregistrement par défaut AWS Config utilisée pour enregistrer les modifications de configuration.

      Note

      AWS Firewall Manager dépend de l'enregistrement continu pour surveiller vos ressources. Si vous utilisez Firewall Manager, il est recommandé de définir la fréquence d’enregistrement sur Continu.

    • recordingModeOverrides : ce champ vous permet de définir vos exclusions pour le mode d’enregistrement. Il s’agit d’un tableau d’objets recordingModeOverride. Chaque objet recordingModeOverride du tableau recordingModeOverrides comprend trois champs :

      • description : description que vous fournissez pour l’exclusion.

      • recordingFrequency : fréquence d’enregistrement qui sera appliquée à tous les types de ressources spécifiés dans l’exclusion.

      • resourceTypes— Une liste séparée par des virgules qui indique les types de ressources AWS Config inclus dans la dérogation.

Note

Champs obligatoires et facultatifs

Le champ recordingMode pour put-configuration-recorder est facultatif. Par défaut, la fréquence d’enregistrement de l’enregistreur de configuration est définie sur Enregistrement en continu.

Note

Restrictions

L’enregistrement quotidien ne prend pas en charge les types de ressources suivants :

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Pour la stratégie d’enregistrement Enregistrer tous les types de ressources actuels et futurs pris en charge (ALL_SUPPORTED_RESOURCE_TYPES), ces types de ressources seront définis sur Enregistrement en continu.

Le configurationRecorder.json fichier spécifie name et roleArn la fréquence d'enregistrement par défaut pour l'enregistreur de configuration (recordingMode). Vous pouvez également utiliser ce champ pour remplacer la fréquence d’enregistrement de types de ressources spécifiques.

{
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

put-delivery-channel

Les exemples de code suivants montrent comment utiliserPutDeliveryChannel.

CLI
AWS CLI

Pour créer un canal de diffusion

La commande suivante fournit les paramètres du canal de diffusion sous forme de code JSON :

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Le deliveryChannel.json fichier spécifie les attributs du canal de diffusion :

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Cet exemple définit les attributs suivants :

name- Le nom du canal de diffusion. Par défaut, AWS Config attribue le nom default à un nouveau canal de distribution. Vous ne pouvez pas mettre à jour le nom du canal de distribution avec la commande. put-delivery-channel Pour connaître les étapes à suivre pour modifier le nom, voir Renommer le canal de diffusion. s3BucketName - Le nom du compartiment Amazon S3 auquel AWS Config fournit des instantanés de configuration et des fichiers d'historique de configuration. Si vous spécifiez un compartiment appartenant à un autre AWS compte, ce compartiment doit disposer de politiques accordant des autorisations d'accès à Config. AWS Pour de plus d'informations, consultez Autorisations pour le compartiment Amazon S3.

snsTopicARN- Le nom de ressource Amazon (ARN) de la rubrique Amazon SNS à laquelle AWS Config envoie des notifications concernant les modifications de configuration. Si vous choisissez un sujet depuis un autre compte, le sujet doit comporter des politiques accordant des autorisations d'accès à Config. AWS Pour plus d'informations, consultez la rubrique Autorisations pour Amazon SNS.

configSnapshotDeliveryProperties- Contient l'deliveryFrequencyattribut, qui définit la fréquence à laquelle AWS Config fournit des instantanés de configuration et la fréquence à laquelle il invoque des évaluations pour les règles de configuration périodiques.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre canal de diffusion, exécutez la describe-delivery-channels commande.

  • Pour plus de détails sur l'API, voir PutDeliveryCanal dans AWS CLI Command Reference.

PowerShell
Outils pour PowerShell

Exemple 1 : Cet exemple modifie la propriété DeliveryFrequency d'un canal de diffusion existant.

Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName config-bucket-NA -DeliveryChannel_S3KeyPrefix my

  • Pour plus de détails sur l'API, consultez la section PutDeliveryChannel in AWS Tools for PowerShell Cmdlet Reference.

start-configuration-recorder

Pour terminer l'activation AWS Config, utilisez la start-configuration-recordercommande.

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName