Correction d'une organisationAWSRessources parAWS Config Rules - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Correction d'une organisationAWSRessources parAWS Config Rules

AWS Config permet de corriger des ressources non conformes évaluées par AWS Config Rules. AWS Config applique les corrections à l'aide de documents d'automatisation AWS Systems Manager. Ces documents définissent les actions à exécuter en cas de non-conformité.AWSressources évaluées parAWS Config Rules. Vous pouvez associer des documents SSM à l'aide de l’AWS Management Console ou des API.

AWS Config fournit un ensemble de documents d'automatisation gérés avec des actions de correction. Vous pouvez également créer et associer des documents d'automatisation personnalisés avec des règles AWS Config.

Pour appliquer une correction aux ressources non conformes, vous pouvez choisir l'action de correction que vous souhaitez associer dans une liste préremplie ou créer vos propres actions de correction personnalisées à l'aide de documents SSM. AWS Config fournit une liste recommandée des actions de correction dans le AWS Management Console.

Dans AWS Management Console, vous pouvez choisir de corriger manuellement ou automatiquement les ressources non conformes en associant des actions de correction aux règles AWS Config. Pour toutes les actions de correction, vous pouvez choisir une correction manuelle ou automatique.

Prérequis

Avant de commencer à appliquer des corrections sur les ressources non conformes, vous devez sélectionner une règle et configurer la correction (manuelle ou automatique) pour celle-ci.

Configuration de la correction manuelle (console)

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Config à l’adresse https://console.aws.amazon.com/config/.

  2. ChoisissezRèglessur la gauche puis sur leRèglespage, choisissezAjouter une règlepour ajouter de nouvelles règles à la liste des règles

    Pour les règles existantes, sélectionnez la règle non conforme dans la liste des règles et choisissezActionsliste déroulante.

  3. À partir desActionsliste déroulante, choisissezGestion des remediation. Sélectionnez « Correction manuelle », puis choisissez l'action de correction appropriée dans la liste recommandée.

    Note

    Vous ne pouvez gérer les mesures correctives que pour les solutions non liées à un serviceAWS ConfigRègles. Pour plus d'informations, veuillez consulter la rubriqueLié à un serviceAWSRègles.

    Selon l'action de correction sélectionnée, vous voyez les paramètres spécifiques ou aucun paramètre.

  4. (Facultatif) : Si vous souhaitez transmettre l'ID de ressource des ressources non conformes à l'action de correction, choisissez Resource ID parameter (Paramètre d'ID de ressource). Si cette option est sélectionnée, ce paramètre est remplacé par l'ID de la ressource à corriger lors de l'exécution.

    Chaque paramètre a une valeur statique ou une valeur dynamique. Si vous ne choisissez pas de paramètre d'ID de ressource spécifique dans la liste déroulante, vous pouvez saisir des valeurs pour chaque clé. Si vous choisissez un paramètre d'ID de ressource dans la liste déroulante, vous pouvez entrer des valeurs pour toutes les autres clés, à l'exception du paramètre d'ID de ressource sélectionné.

  5. Choisissez Save (Enregistrer). La page Rules (Règles) s'affiche.

Note

Pour résoudre les problèmes liés aux actions correctives qui ont échoué, vous pouvez exécuter leAWSCommande de ligne de commandedescribe-remediation-execution-statuspour obtenir une vue détaillée de l'exécution d'une correction pour un ensemble de ressources. Les détails incluent l'état, les horodatages des étapes d'exécution de correction et tous les messages d'erreur pour les étapes ayant échoué.

Configuration de la correction automatique (console)

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Config à l’adresse https://console.aws.amazon.com/config/.

  2. Choisissez Règles sur la gauche, puis sur la page Règles, choisissez Ajouter une règle pour ajouter de nouvelles règles à la liste des règles.

    Pour les règles existantes, sélectionnez la règle non conforme dans la liste des règles et choisissezActionsliste déroulante.

  3. À partir desActionsliste déroulante, choisissezGestion des remediation. Sélectionnez « Correction automatique », puis choisissez l'action de correction appropriée dans la liste recommandée.

    Note

    Vous ne pouvez gérer les mesures correctives que pour les solutions non liées à un serviceAWS ConfigRègles. Pour plus d'informations, veuillez consulter la rubriqueLié à un serviceAWSRègles.

    Selon l'action de correction sélectionnée, vous voyez les paramètres spécifiques ou aucun paramètre.

  4. Choisissez Auto remediation (Correction automatique) pour corriger automatiquement les ressources non conformes.

    Si une ressource n'est toujours pas conforme après la correction automatique, vous pouvez définir la règle de façon à réessayer la correction automatique. Saisissez les nouvelles tentatives et secondes souhaitées.

    Note

    Des coûts sont associés à l'exécution multiple d'un script de correction.

  5. (Facultatif) : Si vous souhaitez transmettre l'ID de ressource des ressources non conformes à l'action de correction, choisissez Resource ID parameter (Paramètre d'ID de ressource). Si cette option est sélectionnée, ce paramètre est remplacé par l'ID de la ressource à corriger lors de l'exécution.

    Chaque paramètre a une valeur statique ou une valeur dynamique. Si vous ne choisissez pas de paramètre d'ID de ressource spécifique dans la liste déroulante, vous pouvez saisir des valeurs pour chaque clé. Si vous choisissez un paramètre d'ID de ressource dans la liste déroulante, vous pouvez entrer des valeurs pour toutes les autres clés, à l'exception du paramètre d'ID de ressource sélectionné.

  6. Choisissez Save (Enregistrer). La page Rules (Règles) s'affiche.

Note

Pour résoudre les problèmes liés aux actions correctives qui ont échoué, vous pouvez exécuter leAWSCommande de ligne de commandedescribe-remediation-execution-statuspour obtenir une vue détaillée de l'exécution d'une correction pour un ensemble de ressources. Les détails incluent l'état, les horodatages des étapes d'exécution de correction et tous les messages d'erreur pour les étapes ayant échoué.

Suppression d’une action de correction (console)

Pour supprimer une règle, vous devez d'abord supprimer l'action de correction associée à cette règle.

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Config à l’adresse https://console.aws.amazon.com/config/.

  2. ChoisissezRèglessur la gauche puis sur leRèglespage, sélectionnez la règle dans la liste des règles et choisissezAfficher des détails.

  3. Sur lenom de la règlepage, accédez à laAction de remediationsection. Développez la section pour afficher des informations supplémentaires.

  4. Dans leAction de remediationsection, choisissezSupprimeret confirmez votre action de suppression.

    Note

    Si la correction est en cours, aucune action de correction ne sera supprimée. Une fois que vous avez choisi de supprimer une action de correction, vous ne pouvez pas la récupérer. La suppression d'une action de correction ne supprime pas la règle associée.

    Si une action de correction est supprimée,Paramètre ID de ressourcesera vide et affichera N/A. Sur leRèglespage, la colonne des actions de correction s'afficheNon définipour la règle associée.

Gestion de correction (API)

Correction manuelle

Utilisez les actions d'API AWS Config suivantes pour gérer la correction :

Correction automatique

Utilisez les actions d'API AWS Config suivantes pour gérer la correction automatique :

Prise en charge de la région

Actuellement, des mesures correctives pourAWS ConfigLes règles sont prises en charge dans les régions suivantes :

Nom de la région Région Point de terminaison Protocole
USA Est (Virginie du Nord) us-east-1 config.us-east-1.amazonaws.com HTTPS
USA Est (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
USA Ouest (Californie du Nord) us-west-1 config.us-west-1.amazonaws.com HTTPS
USA Ouest (Oregon) us-west-2 config.us-west-2.amazonaws.com HTTPS
Asie-Pacifique (Hong Kong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asie-Pacifique (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asie-Pacifique (Séoul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asie-Pacifique (Singapour) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asie-Pacifique (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asie-Pacifique (Tokyo) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Canada (Centre) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Chine (Beijing) cn-north-1 config.cn-north-1.amazonaws.com HTTPS
Chine (Ningxia) cn-northwest-1 config.cn-northwest-1.amazonaws.com HTTPS
Europe (Stockholm) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europe (Francfort) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europe (Irlande) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europe (Londres) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europe (Paris) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Moyen-Orient (Bahreïn) me-south-1 config.me-south-1.amazonaws.com HTTPS
Moyen-Orient (EAU) me-central-1 config.me-central-1.amazonaws.com HTTPS
Amérique du Sud (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (US-East) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (US-West) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS