Liste des AWS Config Règles gérées par type de déclencheur

AWS Config prend actuellement en charge les règles gérées suivantes.

Considérations

Valeurs par défaut pour les règles gérées

Les valeurs par défaut spécifiées pour les règles gérées sont préremplies uniquement lors de l'utilisation du AWS console. Les valeurs par défaut ne sont pas fournies pour le APICLI, ouSDK.

Délais d'enregistrement des éléments de configuration

AWS Config enregistre généralement les modifications de configuration de vos ressources juste après la détection d'une modification, ou à la fréquence que vous spécifiez. Cependant, cela se fait dans la mesure du possible et peut parfois prendre plus de temps. Certains types de ressources avec des retards connus incluent :AWS::SecretsManager::Secret.

Les compartiments de répertoire ne sont pas pris en charge

Les règles gérées ne prennent en charge que les compartiments à usage général lors de l'évaluation des ressources Amazon Simple Storage Service (Amazon S3). AWS Config n'enregistre pas les modifications de configuration pour les compartiments de répertoire. Pour plus d’informations sur les compartiments à usage général et les compartiments de répertoires, consultez Présentation des compartiments et Compartiments de répertoires dans le Guide de l’utilisateur Amazon S3.

Règles gérées et types de IAM ressources globaux

Les types de IAM ressources globales intégrés avant février 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role, etAWS::IAM::User) ne peuvent être enregistrés que par AWS Config dans AWS Régions où AWS Config était disponible avant février 2022. Ces types de ressources ne peuvent pas être enregistrés dans les régions prises en charge par AWS Config après février 2022. Pour une liste de ces régions, voir Enregistrement AWS Ressources | Ressources mondiales.

Si vous enregistrez un type de IAM ressource global dans au moins une région, les règles périodiques qui indiquent la conformité au type de IAM ressource global exécuteront des évaluations dans toutes les régions où la règle périodique est ajoutée, même si vous n'avez pas activé l'enregistrement du type de IAM ressource globale dans la région où la règle périodique a été ajoutée.

Pour éviter des évaluations inutiles, vous devez uniquement déployer des règles périodiques qui signalent la conformité d'un type de IAM ressource global à l'une des régions prises en charge. Pour obtenir une liste des règles gérées prises en charge dans quelles régions, voir Liste des AWS Config Règles gérées par région et disponibilité.

Changements de configuration

Les règles déclenchées par des modifications sont des règles qui AWS Config évalue en réponse aux modifications de configuration.

Changements de configuration

• acm-certificate-rsa-check

• alb-desync-mode-check

• alb-http-drop-invalid-activé par en-tête

• alb-waf-enabled

• api-gwv2- access-logs-enabled

• api-gw-associated-with-guerre

• api-gw-cache-enabledet crypté

• api-gw-endpoint-type-vérifier

• api-gw-execution-logging-activé

• api-gw-ssl-enabled

• api-gw-xray-enabled

• approved-amis-by-id

• approved-amis-by-tag

• appsync-authorization-check

• appsync-logging-enabled

• athena-workgroup-encrypted-at-repos

• athena-workgroup-logging-enabled

• aurora-mysql-backtracking-enabled

• autoscaling-capacity-rebalancing

• autoscaling-group-elb-healthcheck-obligatoire

• autoscaling-launchconfig-requires-imdsv2

• autoscaling-launch-config-hop-limite

• autoscaling-launch-config-public-IP désactivé

• autoscaling-launch-template

• autoscaling-multiple-az

• autoscaling-multiple-instance-types

• backup-plan-min-frequency-and-min-retention-check

• backup-recovery-point-encrypted

• backup-recovery-point-manual-suppression désactivée

• backup-recovery-point-minimum-contrôle de rétention

• beanstalk-enhanced-health-reporting-activé

• clb-desync-mode-check

• clb-multiple-az

• cloudformation-stack-notification-check

• cloudfront-accesslogs-enabled

• cloudfront-associated-with-waf

• cloudfront-custom-ssl-certificate

• cloudfront-default-root-object-configuré

• cloudfront-no-deprecated-ssl-protocoles

• cloudfront-origin-access-identity-activé

• cloudfront-origin-failover-enabled

• cloudfront-s3- origin-access-control-enabled

• cloudfront-security-policy-check

• cloudfront-sni-enabled

• cloudfront-traffic-to-origin-crypté

• cloudfront-viewer-policy-https

• cloudwatch-alarm-action-check

• cloudwatch-alarm-action-enabled-vérifier

• cloudwatch-alarm-settings-check

• codebuild-project-artifact-encryption

• codebuild-project-environment-privileged-vérifier

• codebuild-project-envvar-awscred-vérifier

• codebuild-project-logging-enabled

• codebuild-project-sChiffré à 3 journaux

• codebuild-project-source-repo-vérification de l'URL

• codebuild-report-group-encrypted-au repos

• codedeploy-auto-rollback-monitor-activé

• codedeploy-ec2- minimum-healthy-hosts-configured

• codedeploy-lambda-allatonce-traffic-shift-disabled

• codepipeline-deployment-count-check

• codepipeline-region-fanout-check

• cognito-user-pool-advanced-activé par la sécurité

• custom-eventbus-policy-attached

• datasync-task-logging-enabled

• db-instance-backup-enabled

• desired-instance-tenancy

• desired-instance-type

• dms-auto-minor-version-vérification de mise à niveau

• dms-endpoint-ssl-configured

• dms-mongo-db-authentication-activé

• dms-neptune-iam-authorization-activé

• dms-redis-tls-enabled

• dms-replication-task-sourcedb-journalisation

• dms-replication-task-targetdb-journalisation

• docdb-cluster-audit-logging-activé

• docdb-cluster-backup-retention-vérifier

• docdb-cluster-deletion-protection-activé

• docdb-cluster-encrypted

• docdb-cluster-snapshot-public-interdit

• dynamodb-pitr-enabled

• dynamodb-table-deletion-protection-activé

• dynamodb-table-encrypted-kms

• dynamodb-table-encryption-enabled

• ebs-optimized-instance

• compatible avec ec2 client-vpn-connection-log

• ec2-imdsv2-check

• ec2- instance-detailed-monitoring-enabled

• ec2- instance-managed-by-ssm

• ec2- instance-multiple-eni-check

• ec2- instance-no-public-ip

• ec2- instance-profile-attached

• ec2- -désactivé launch-template-public-ip

• ec2- managedinstance-applications-blacklisted

• ec2- managedinstance-applications-required

• ec2- -check managedinstance-association-compliance-status

• ec2- managedinstance-inventory-blacklisted

• ec2- -check managedinstance-patch-compliance-status

• ec2- managedinstance-platform-check

• ec2- no-amazon-key-pair

• ec2- paravirtual-instance-check

• ec2- -eni security-group-attached-to

• ec2- token-hop-limit-check

• ec2- -attach-disabled transit-gateway-auto-vpc

• ec2- volume-inuse-check

• ecr-private-lifecycle-policy-configuré

• ecr-private-tag-immutability-activé

• ecs-awsvpc-networking-enabled

• ecs-containers-nonprivileged

• ecs-containers-readonly-access

• ecs-container-insights-enabled

• ecs-fargate-latest-platform-version

• ecs-no-environment-secrets

• ecs-task-definition-log-configuration

• ecs-task-definition-memory-limite stricte

• ecs-task-definition-nonroot-utilisateur

• ecs-task-definition-pid-vérification du mode

• ecs-task-definition-user-for-host-mode-check

• efs-access-point-enforce-répertoire-racine

• efs-access-point-enforce-identité de l'utilisateur

• efs-automatic-backups-enabled

• eip-attached

• eks-cluster-log-enabled

• eks-cluster-oldest-supported-version

• eks-cluster-supported-version

• elasticsearch-logs-to-cloudwatch

• elasticsearch-node-to-node-vérification du chiffrement

• elastic-beanstalk-logs-to- montre cloud

• elastic-beanstalk-managed-updates-activé

• elbv2-multiple-az

• elb-acm-certificate-required

• elb-cross-zone-load-activé pour l'équilibrage

• elb-custom-security-policy-vérification SSL

• elb-deletion-protection-enabled

• elb-logging-enabled

• elb-predefined-security-policy-vérification SSL

• elb-tls-https-listeners-uniquement

• encrypted-volumes

• fms-shield-resource-policy-vérifier

• fms-webacl-resource-policy-vérifier

• fms-webacl-rulegroup-association-vérifier

• global-endpoint-event-replication-activé

• glue-job-logging-enabled

• glue-ml-transform-encrypted-au repos

• iam-customer-policy-blocked-kms-actions

• iam-group-has-users-vérifier

• iam-inline-policy-blocked-kms-actions

• iam-no-inline-policy-vérifier

• iam-policy-blacklisted-check

• iam-policy-no-statements-with-admin-access

• iam-policy-no-statements-with-full-access

• iam-role-managed-policy-vérifier

• iam-user-group-membership-vérifier

• iam-user-no-policies-vérifier

• instances-in-vpc

• internet-gateway-authorized-vpc-uniquement

• kinesis-stream-backup-retention-vérifier

• kinesis-stream-encrypted

• lambda-concurrency-check

• lambda-dlq-check

• lambda-function-public-access-interdit

• lambda-function-settings-check

• lambda-inside-vpc

• lambda-vpc-multi-az-vérifier

• mq-active-deployment-mode

• mq-auto-minor-version-activé pour la mise à niveau

• mq-cloudwatch-audit-log-activé

• mq-rabbit-deployment-mode

• msk-enhanced-monitoring-enabled

• msk-in-cluster-node-require-tls

• nacl-no-unrestricted-ssh-rdp

• neptune-cluster-backup-retention-vérifier

• neptune-cluster-cloudwatch-log-compatible avec l'exportation

• neptune-cluster-copy-tags-to-snapshot-enabled

• neptune-cluster-deletion-protection-activé

• neptune-cluster-encrypted

• neptune-cluster-iam-database-authentification

• neptune-cluster-multi-az-activé

• neptune-cluster-snapshot-encrypted

• neptune-cluster-snapshot-public-interdit

• netfw-deletion-protection-enabled

• netfw-multi-az-enabled

• netfw-policy-default-action-paquets de fragments

• netfw-policy-default-action-paquets complets

• netfw-policy-rule-group-associé

• netfw-stateless-rule-group-non vide

• nlb-cross-zone-load-activé pour l'équilibrage

• no-unrestricted-route-to-igw

• opensearch-access-control-enabled

• opensearch-audit-logging-enabled

• opensearch-data-node-fault-tolérance

• opensearch-encrypted-at-rest

• opensearch-https-required

• opensearch-in-vpc-only

• opensearch-logs-to-cloudwatch

• opensearch-node-to-node-vérification du chiffrement

• opensearch-primary-node-fault-tolérance

• opensearch-update-check

• rds-aurora-mysql-audit-activé pour la journalisation

• rds-aurora-postgresql-logsvers Cloudwatch

• rds-automatic-minor-version-activé pour la mise à niveau

• rds-cluster-auto-minor-version-upgrade-enable

• rds-cluster-default-admin-vérifier

• rds-cluster-deletion-protection-activé

• rds-cluster-encrypted-at-repos

• rds-cluster-iam-authentication-activé

• rds-cluster-multi-az-activé

• rds-db-security-group-non autorisé

• rds-enhanced-monitoring-enabled

• rds-instance-default-admin-vérifier

• rds-instance-deletion-protection-activé

• rds-instance-iam-authentication-activé

• rds-instance-public-access-vérifier

• rds-logging-enabled

• rds-multi-az-support

• rds-postgresql-logs-to- montre cloud

• rds-snapshots-public-prohibited

• rds-snapshot-encrypted

• rds-storage-encrypted

• redshift-audit-logging-enabled

• redshift-backup-enabled

• redshift-cluster-configuration-check

• redshift-cluster-kms-enabled

• redshift-cluster-maintenancesettings-check

• redshift-cluster-public-access-vérifier

• redshift-default-admin-check

• redshift-default-db-name-vérifier

• redshift-enhanced-vpc-routing-activé

• redshift-require-tls-ssl

• required-tags

• itinéraire 53- query-logging-enabled

• s3 access-point-in-vpc - uniquement

• blocs s3 access-point-public-access -

• blocs s3 account-level-public-access -

• s3- bucket-acl-prohibited

• s3- bucket-blacklisted-actions-prohibited

• compatible avec bucket-cross-region-replication s3

• s3- bucket-default-lock-enabled

• s3- bucket-level-public-access -interdit

• s3- bucket-logging-enabled

• s3- bucket-mfa-delete-enabled

• s3- bucket-policy-grantee-check

• s3- bucket-policy-not-more -permissif

• s3- bucket-replication-enabled

• compatible avec bucket-server-side-encryption s3

• s3- bucket-ssl-requests-only

• s3- bucket-versioning-enabled

• s3- default-encryption-kms

• s3- event-notifications-enabled

• s3- lifecycle-policy-check

• s3- version-lifecycle-policy-check

• sagemaker-notebook-instance-inside-vpc

• sagemaker-notebook-instance-root-contrôle d'accès

• secretsmanager-rotation-enabled-check

• secretsmanager-scheduled-rotation-success-vérifier

• secretsmanager-using-cmk

• service-catalog-shared-within-organisation

• sns-encrypted-kms

• sns-topic-message-delivery-activé pour les notifications

• step-functions-state-machine-activé pour la journalisation

• subnet-auto-assign-public-IP désactivé

• vpc-default-security-group-fermé

• vpc-network-acl-unused-vérifier

• vpc-peering-dns-resolution-vérifier

• vpc-vpn-2-tunnels-up

• wafv2- rulegroup-logging-enabled

• wafv2- rulegroup-not-empty

• wafv2- webacl-not-empty

• waf-global-rulegroup-not-vide

• waf-global-rule-not-vide

• waf-global-webacl-not-vide

• waf-regional-rulegroup-not-vide

• waf-regional-rule-not-vide

• waf-regional-webacl-not-vide

• workspaces-root-volume-encryption-activé

• workspaces-user-volume-encryption-activé

Périodique

Les règles périodiques sont des règles qui AWS Config est évalué périodiquement à une fréquence que vous spécifiez, par exemple toutes les 24 heures.

Périodique

• access-keys-rotated

• account-part-of-organizations

• acm-pca-root-ca-handicapé

• alb-http-to-https-vérification de redirection

• api-gwv2- authorization-type-configured

• appsync-associated-with-waf

• appsync-cache-encryption-at-repos

• aurora-last-backup-recovery-point créé

• aurora-meets-restore-time-cible

• aurora-resources-in-logically-air-gapped-vault

• aurora-resources-protected-by-plan de sauvegarde

• cloudfront-s3- origin-non-existent-bucket

• cloudtrail-all-read-s3- data-event-check

• cloudtrail-all-write-s3- data-event-check

• CloudTrail-S3- bucket-access-logging

• CloudTrail-S3- bucket-public-access-prohibited

• cloudtrail-s3-dataevents-enabled

• cloudtrail-security-trail-enabled

• cloudwatch-alarm-resource-check

• cloudwatch-log-group-encrypted

• cloud-trail-cloud-watch-activé pour les journaux

• cloud-trail-enabled

• cloud-trail-encryption-enabled

• cloud-trail-log-file-activé pour la validation

• cmk-backing-key-rotation-activé

• custom-schema-registry-policy-attaché

• cw-loggroup-retention-period-vérifier

• dax-encryption-enabled

• dax-tls-endpoint-encryption

• dms-replication-not-public

• dynamodb-autoscaling-enabled

• dynamodb-in-backup-plan

• dynamodb-last-backup-recovery-point créé

• dynamodb-meets-restore-time-cible

• dynamodb-resources-protected-by-plan de sauvegarde

• dynamodb-throughput-limit-check

• ebs-in-backup-plan

• ebs-last-backup-recovery-point créé

• ebs-meets-restore-time-cible

• ebs-resources-in-logically-air-gapped-vault

• ebs-resources-protected-by-plan de sauvegarde

• ebs-snapshot-public-restorable-vérifier

• ec2- -all client-vpn-not-authorize

• ec2- ebs-encryption-by-default

• ec2- créé last-backup-recovery-point

• ec2- meets-restore-time-target

• ec2- -gapped-vault resources-in-logically-air

• plan ec2 resources-protected-by-backup

• ec2- -eni-périodique security-group-attached-to

• ec2-stopped-instance

• ecr-private-image-scanning-activé

• efs-encrypted-check

• efs-in-backup-plan

• efs-last-backup-recovery-point créé

• efs-meets-restore-time-cible

• efs-mount-target-public-accessible

• efs-resources-in-logically-air-gapped-vault

• efs-resources-protected-by-plan de sauvegarde

• eks-cluster-logging-enabled

• eks-cluster-secrets-encrypted

• eks-endpoint-no-public-accès

• eks-secrets-encrypted

• elasticache-auto-minor-version-vérification de mise à niveau

• elasticache-rbac-auth-enabled

• elasticache-redis-cluster-automatic-vérification des sauvegardes

• elasticache-repl-grp-auto-compatible avec le basculement

• elasticache-repl-grp-encrypted-au repos

• elasticache-repl-grp-encrypted-en transit

• elasticache-repl-grp-redis-auth activé

• elasticache-subnet-group-check

• elasticache-supported-engine-version

• elasticsearch-encrypted-at-rest

• elasticsearch-in-vpc-only

• elbv2- acm-certificate-required

• emr-block-public-access

• emr-kerberos-enabled

• emr-master-no-public-IP

• fsx-last-backup-recovery-point créé

• fsx-lustre-copy-tagsà des sauvegardes

• fsx-meets-restore-time-cible

• fsx-openzfs-copy-tags-activé

• fsx-resources-protected-by-plan de sauvegarde

• fsx-windows-audit-log-configuré

• guardduty-eks-protection-audit-activé

• guardduty-eks-protection-runtime-activé

• guardduty-enabled-centralized

• guardduty-lambda-protection-enabled

• guardduty-malware-protection-enabled

• guardduty-non-archived-findings

• guardduty-rds-protection-enabled

• protection guardduty-s3 activée

• iam-external-access-analyzer-activé

• iam-password-policy

• iam-policy-in-use

• iam-root-access-key-vérifier

• iam-server-certificate-expiration-vérifier

• iam-user-mfa-enabled

• iam-user-unused-credentials-vérifier

• compatible avec inspector-ec2-scan

• inspector-ecr-scan-enabled

• inspector-lambda-code-scan-activé

• inspector-lambda-standard-scan-activé

• kinesis-firehose-delivery-stream-crypté

• kms-cmk-not-scheduled-pour suppression

• macie-auto-sensitive-data-découvre-check

• macie-status-check

• mfa-enabled-for-iam-accès à la console

• mq-automatic-minor-version-activé pour la mise à niveau

• mq-cloudwatch-audit-logging-activé

• mq-no-public-access

• multi-region-cloud-trail-activé

• netfw-logging-enabled

• rds-in-backup-plan

• rds-last-backup-recovery-point créé

• rds-meets-restore-time-cible

• rds-resources-protected-by-plan de sauvegarde

• redshift-unrestricted-port-access

• root-account-hardware-mfa-activé

• root-account-mfa-enabled

• s3- account-level-public-access -blocs-périodique

• s3- last-backup-recovery-point -créé

• s3- meets-restore-time-target

• s3- resources-in-logically-air -gapped-vault

• plan resources-protected-by-backup s3

• sagemaker-endpoint-configuration-kms-configuré par clé

• sagemaker-endpoint-config-prod-nombre d'instances

• sagemaker-notebook-instance-kms-configuré par clé

• sagemaker-notebook-no-direct-accès à Internet

• secretsmanager-secret-periodic-rotation

• secretsmanager-secret-unused

• securityhub-enabled

• security-account-information-provided

• service-vpc-endpoint-enabled

• ses-malware-scanning-enabled

• shield-advanced-enabled-autorenew

• shield-drt-access

• ssm-document-not-public

• storagegateway-last-backup-recovery-point créé

• storagegateway-resources-in-logically-air-gapped-vault

• storagegateway-resources-protected-by-plan de sauvegarde

• transfer-family-server-no-ftp

• virtualmachine-last-backup-recovery-point créé

• virtualmachine-resources-in-logically-air-gapped-vault

• virtualmachine-resources-protected-by-plan de sauvegarde

• vpc-flow-logs-enabled

• vpc-sg-port-restriction-vérifier

• wafv2-logging-enabled

• waf-classic-logging-enabled

Hybride

Les règles hybrides sont des règles qui AWS Config évalue à la fois en réponse aux modifications de configuration et périodiquement.

Hybride

• acm-certificate-expiration-check

• cloudformation-stack-drift-detection-vérifier

• incoming-ssh-disabled

• restricted-incoming-traffic

• s3- bucket-public-read-prohibited

• s3- bucket-public-write-prohibited

• vpc-sg-open-only-to-authorized-ports