Terminologie Mise à jour du canal de livraison Renommer les canaux de livraison

Gestion du canal de livraison

Comme il enregistre AWS Config en permanence les modifications apportées à vos AWS ressources, il envoie des notifications et des états de configuration mis à jour via le canal de livraison. Vous pouvez gérer le canal de diffusion pour contrôler l'endroit où les mises à jour de configuration sont AWS Config envoyées.

Vous ne pouvez avoir qu'un seul canal de livraison par AWS région, par région et par AWS compte, et le canal de livraison doit être utilisé AWS Config.

Lorsqu'une modification de configuration est AWS Config détectée pour une ressource et que la notification dépasse la taille maximale autorisée par Amazon SNS, elle inclut un bref résumé de l'élément de configuration. Vous pouvez consulter la notification complète dans l'emplacement de compartiment Amazon S3 spécifié dans le champ s3BucketLocation. Pour plus d'informations, consultez Exemple de notification de changement avec un élément de configuration trop grand.

Note

AWS Config prend en charge AWS KMS le chiffrement pour les compartiments Amazon S3 utilisés par AWS Config

Vous pouvez fournir une clé AWS Key Management Service (AWS KMS) ou un alias Amazon Resource Name (ARN) pour chiffrer les données transmises à votre compartiment Amazon Simple Storage Service (Amazon S3). Par défaut, AWS Config fournit l'historique de configuration et les fichiers instantanés à votre compartiment Amazon S3 et chiffre les données au repos à l'aide du chiffrement S3 AES-256 côté serveur, SSE-S3. Toutefois, si vous fournissez AWS Config votre clé KMS ou votre alias ARN, AWS Config utilise cette clé KMS au lieu du chiffrement AES-256.

AWS Config ne prend pas en charge le canal de diffusion vers un compartiment Amazon S3 où le verrouillage des objets est activé avec la rétention par défaut activée. Pour plus d'informations, consultez Utilisation du verrouillage des objets S3.

Rubriques

Terminologie

Un élément de configuration représente une point-in-time vue des différents attributs d'une AWS ressource prise en charge qui existe dans votre compte. Les composants d'un élément de configuration incluent les métadonnées, les attributs, les relations, la configuration actuelle et les événements connexes. AWS Config crée un élément de configuration chaque fois qu'il détecte une modification d'un type de ressource qu'il enregistre. Par exemple, si vous AWS Config enregistrez des compartiments Amazon S3, AWS Config crée un élément de configuration chaque fois qu'un compartiment est créé, mis à jour ou supprimé. Vous pouvez également sélectionner de AWS Config créer un élément de configuration à la fréquence d'enregistrement que vous avez définie.

Un historique de configuration est un ensemble d’éléments de configuration pour une ressource donnée sur une période donnée. Il permet de répondre aux questions concernant, par exemple, la date de création de la ressource, la configuration de la ressource au cours du dernier mois, ainsi que les changements de configuration effectués hier à 9h. L'historique de configuration est disponible dans plusieurs formats. AWS Config fournit automatiquement un fichier d'historique de configuration pour chaque type de ressource enregistré dans un compartiment Amazon S3 que vous spécifiez. Vous pouvez sélectionner une ressource donnée dans la AWS Config console et accéder à tous les éléments de configuration précédents pour cette ressource à l'aide de la chronologie. En outre, vous pouvez accéder aux éléments de l'historique de configuration pour une ressource à partir de l'interface API.

Un instantané de configuration est un ensemble d’éléments de configuration pour les ressources prises en charge de votre compte. Cet instantané de la configuration est une image complète des ressources qui sont en cours d'enregistrement et de leur configuration. Il peut être un outil utile pour la validation de votre configuration. Par exemple, vous pouvez examiner l'instantané de configuration régulièrement pour les ressources qui sont configurées de façon incorrecte ou qui ne devraient pas exister. Il est disponible dans plusieurs formats. Vous pouvez faire en sorte que l'instantané de configuration soit diffusé vers un compartiment Amazon Simple Storage Service (Amazon S3) que vous spécifiez. En outre, vous pouvez sélectionner un moment dans la AWS Config console et parcourir l'instantané des éléments de configuration à l'aide des relations entre les ressources.

Un flux de configuration est une liste automatiquement mise à jour de tous les éléments de configuration pour les ressources en cours AWS Config d'enregistrement. Chaque fois qu'une ressource est créée, modifiée ou supprimée, AWS Config crée un élément de configuration et l'ajoute dans le flux de configuration. Le flux de configuration fonctionne en utilisant la rubrique Amazon Simple Notification Service (Amazon SNS) de votre choix. Le flux de configuration est utile pour observer les modifications de configuration au fur et à mesure qu'elles se produisent afin de détecter les problèmes potentiels, de générer des notifications si certaines ressources sont modifiées ou de mettre à jour les systèmes externes qui doivent refléter la configuration de vos AWS ressources.

Mise à jour du canal de livraison

Lorsque vous mettez à jour le canal de livraison, vous pouvez définir les options suivantes :

Le compartiment Amazon S3 auquel AWS Config envoie les instantanés de configuration et les fichiers d'historique de configuration.
À quelle fréquence AWS Config fournit des instantanés de configuration à votre compartiment Amazon S3.
Rubrique Amazon SNS à laquelle les notifications relatives aux modifications de configuration sont AWS Config envoyées.

Vous pouvez utiliser la AWS Config console pour définir le compartiment Amazon S3 et la rubrique Amazon SNS pour votre canal de diffusion. Pour savoir comment gérer ces paramètres, consultez Configuration AWS Config avec la console.

La console n'autorise pas les options à renommer le canal de livraison, à régler la fréquence pour les instantanés de configuration ou à supprimer le canal de livraison. Pour effectuer ces tâches, vous devez utiliser l' AWS CLI AWS Config API ou l'un des AWS SDK.

Les exemples de code suivants montrent comment utiliserPutDeliveryChannel.

CLI

AWS CLI

Pour créer un canal de diffusion

La commande suivante fournit les paramètres du canal de diffusion sous forme de code JSON :


aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Le deliveryChannel.json fichier spécifie les attributs du canal de diffusion :


{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Cet exemple définit les attributs suivants :

name- Le nom du canal de diffusion. Par défaut, AWS Config attribue le nom default à un nouveau canal de distribution. Vous ne pouvez pas mettre à jour le nom du canal de distribution avec la commande. put-delivery-channel Pour connaître les étapes à suivre pour modifier le nom, voir Renommer le canal de diffusion. s3BucketName - Le nom du compartiment Amazon S3 auquel AWS Config fournit des instantanés de configuration et des fichiers d'historique de configuration. Si vous spécifiez un compartiment appartenant à un autre AWS compte, ce compartiment doit disposer de politiques accordant des autorisations d'accès à Config. AWS Pour de plus d'informations, consultez Autorisations pour le compartiment Amazon S3.

snsTopicARN- Le nom de ressource Amazon (ARN) de la rubrique Amazon SNS à laquelle AWS Config envoie des notifications concernant les modifications de configuration. Si vous choisissez un sujet depuis un autre compte, le sujet doit comporter des politiques accordant des autorisations d'accès à Config. AWS Pour plus d'informations, consultez la rubrique Autorisations pour Amazon SNS.

configSnapshotDeliveryProperties- Contient l'deliveryFrequencyattribut, qui définit la fréquence à laquelle AWS Config fournit des instantanés de configuration et la fréquence à laquelle il invoque des évaluations pour les règles de configuration périodiques.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre canal de diffusion, exécutez la describe-delivery-channels commande.

Pour plus de détails sur l'API, reportez-vous PutDeliveryChannelà la section Référence des AWS CLI commandes.

PowerShell

Outils pour PowerShell

Exemple 1 : Cet exemple modifie la propriété DeliveryFrequency d'un canal de diffusion existant.


Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName config-bucket-NA -DeliveryChannel_S3KeyPrefix my

Pour plus de détails sur l'API, reportez-vous PutDeliveryChannelà la section Référence des AWS Tools for PowerShell applets de commande.

(Facultatif) Vous pouvez utiliser la commande describe-delivery-channels pour vérifier que les paramètres du canal de livraison sont à jour :


$ aws configservice describe-delivery-channels
{
    "DeliveryChannels": [
        {
            "configSnapshotDeliveryProperties": {
                "deliveryFrequency": "Twelve_Hours"
            },
            "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

Les exemples de code suivants montrent comment utiliserDescribeDeliveryChannels.

Renommer les canaux de livraison

Pour modifier le nom du canal de livraison, vous devez le supprimer et en créer un nouveau avec le nom souhaité. Avant de pouvoir supprimer le canal de livraison, vous devez temporairement arrêter l'enregistreur de configuration.

La AWS Config console n'offre pas la possibilité de supprimer le canal de diffusion. Vous devez donc utiliser la AWS CLI, l' AWS Config API ou l'un des AWS SDK.

Renommer le canal de diffusion à l'aide du AWS CLI

Utilisez la commande stop-configuration-recorder pour arrêter l'enregistreur de configuration :


$ aws configservice stop-configuration-recorder --configuration-recorder-name configRecorderName

Utilisez la commande describe-delivery-channels et notez les attributs de votre canal de livraison :


$ aws configservice describe-delivery-channels
{
    "DeliveryChannels": [
        {
            "configSnapshotDeliveryProperties": {
                "deliveryFrequency": "Twelve_Hours"
            },
            "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

Utilisez la commande delete-delivery-channel pour supprimer le canal de livraison :
```
$ aws configservice delete-delivery-channel --delivery-channel-name default
```

Utilisez la commande put-delivery-channel pour créer un canal de livraison avec le nom souhaité :


$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Le fichier deliveryChannel.json spécifie les attributs du canal de livraison :


{
    "name": "myCustomDeliveryChannelName",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Utilisez la commande start-configuration-recorder pour reprendre l'enregistrement :


$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Enregistreur de configuration

Composants d'un élément de configuration