Corriger les ressources non conformes à l'aide de règles AWS Config - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Corriger les ressources non conformes à l'aide de règles AWS Config

AWS Config vous permet de corriger les ressources non conformes évaluées par. AWS Config Rules AWS Config applique la correction à l'aide de documents AWS Systems Manager d'automatisation. Ces documents définissent les actions à effectuer sur les AWS ressources non conformes évaluées par AWS Config Rules. Vous pouvez associer des documents SSM à l'aide de l’ AWS Management Console ou des API.

AWS Config fournit un ensemble de documents d'automatisation gérés avec des actions correctives. Vous pouvez également créer et associer des documents d'automatisation personnalisés à des AWS Config règles.

Pour appliquer la correction aux ressources non conformes, vous pouvez soit choisir l'action de correction que vous souhaitez associer dans une liste préremplie, soit créer vos propres actions de correction personnalisées à l'aide de documents SSM. AWS Config fournit une liste recommandée de mesures correctives dans le AWS Management Console.

Dans le AWS Management Console, vous pouvez choisir de corriger manuellement ou automatiquement les ressources non conformes en associant des actions de correction à des règles. AWS Config Pour toutes les actions de correction, vous pouvez choisir une correction manuelle ou automatique.

Prérequis

Avant de commencer à appliquer des corrections sur les ressources non conformes, vous devez sélectionner une règle et configurer la correction (manuelle ou automatique) pour celle-ci.

Configuration de la correction manuelle (console)

  1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/.

  2. Choisissez Règles sur la gauche, puis sur la page Règles, choisissez Ajouter une règle pour ajouter de nouvelles règles à la liste des règles

    Pour les règles existantes, sélectionnez la règle non conforme dans la liste des règles et choisissez la liste déroulante Actions.

  3. Dans la liste déroulante Actions, choisissez Gérer les mesures correctives. Sélectionnez « Correction manuelle », puis choisissez la mesure corrective appropriée dans la liste recommandée.

    Note

    Vous ne pouvez gérer les corrections que pour les règles non liées à AWS Config un service. Pour plus d'informations, consultez Règles AWS liées à un service.

    Selon la mesure corrective sélectionnée, vous voyez les paramètres spécifiques ou aucun paramètre.

  4. (Facultatif) : si vous souhaitez transmettre l'ID de ressource des ressources non conformes à la mesure corrective, choisissez Resource ID parameter (Paramètre d'ID de ressource). Si cette option est sélectionnée, ce paramètre est remplacé par l'ID de la ressource à corriger lors de l'exécution.

    Chaque paramètre a une valeur statique ou une valeur dynamique. Si vous ne choisissez pas de paramètre d'ID de ressource spécifique dans la liste déroulante, vous pouvez saisir des valeurs pour chaque clé. Si vous choisissez un paramètre d'ID de ressource dans la liste déroulante, vous pouvez saisir des valeurs pour toutes les autres clés, à l'exception du paramètre d'ID de ressource sélectionné.

  5. Choisissez Enregistrer. La page Règles s'affiche.

Pour résoudre les problèmes liés à l'échec des actions de correction, vous pouvez exécuter la AWS commande de l'interface de ligne de commande describe-remediation-execution-status pour obtenir une vue détaillée de l'exécution d'une correction pour un ensemble de ressources. Les détails incluent l'état, les horodatages des étapes d'exécution de correction et tous les messages d'erreur pour les étapes ayant échoué.

Configuration de la correction automatique (console)

  1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/.

  2. Choisissez Règles sur la gauche, puis sur la page Règles, choisissez Ajouter une règle pour ajouter de nouvelles règles à la liste des règles.

    Pour les règles existantes, sélectionnez la règle non conforme dans la liste des règles et choisissez la liste déroulante Actions.

  3. Dans la liste déroulante Actions, choisissez Gérer les mesures correctives. Sélectionnez « Correction automatique », puis choisissez la mesure corrective appropriée dans la liste recommandée.

    Note

    Vous ne pouvez gérer les corrections que pour les règles non liées à AWS Config un service. Pour plus d'informations, consultez Règles AWS liées à un service.

    Selon la mesure corrective sélectionnée, vous voyez les paramètres spécifiques ou aucun paramètre.

  4. Choisissez Résolution automatique pour corriger automatiquement les ressources non conformes.

    Si une ressource n'est toujours pas conforme après la correction automatique, vous pouvez définir la règle pour réessayer la correction automatique. Saisissez les nouvelles tentatives et secondes souhaitées.

    Note

    Des coûts sont associés à l'exécution multiple d'un script de correction. Les nouvelles tentatives ont lieu uniquement si la correction échoue et pendant la période spécifiée ; par exemple, 5 tentatives en 300 secondes.

  5. (Facultatif) : si vous souhaitez transmettre l'ID de ressource des ressources non conformes à la mesure corrective, choisissez Resource ID parameter (Paramètre d'ID de ressource). Si cette option est sélectionnée, ce paramètre est remplacé par l'ID de la ressource à corriger lors de l'exécution.

    Chaque paramètre a une valeur statique ou une valeur dynamique. Si vous ne choisissez pas de paramètre d'ID de ressource spécifique dans la liste déroulante, vous pouvez saisir des valeurs pour chaque clé. Si vous choisissez un paramètre d'ID de ressource dans la liste déroulante, vous pouvez saisir des valeurs pour toutes les autres clés, à l'exception du paramètre d'ID de ressource sélectionné.

  6. Choisissez Enregistrer. La page Règles s'affiche.

Pour résoudre les problèmes liés à l'échec des actions de correction

Pour résoudre les problèmes liés à l'échec des actions de correction, vous pouvez exécuter la AWS commande de l'interface de ligne de commande describe-remediation-execution-status pour obtenir une vue détaillée de l'exécution d'une correction pour un ensemble de ressources. Les détails incluent l'état, les horodatages des étapes d'exécution de correction et tous les messages d'erreur pour les étapes ayant échoué.

La correction automatique peut être initiée même pour les ressources conformes

Si vous activez la correction automatique pour une AWS Config règle spécifique à l'aide de l'API PutRemediationConfigurations ou de la AWS Config console, cela lance le processus de correction pour toutes les ressources non conformes à cette règle spécifique. Le processus de correction automatique repose sur l'instantané des données de conformité qui est capturé périodiquement. Toute ressource non conforme mise à jour entre le calendrier des instantanés continuera d'être corrigée sur la base du dernier instantané de données de conformité connu.

Cela signifie que dans certains cas, la correction automatique peut être initiée même pour les ressources conformes, étant donné que le processeur bootstrap utilise une base de données dont les résultats d'évaluation peuvent être périmés sur la base du dernier instantané de données de conformité connu.

Suppression d’une action de correction (console)

Pour supprimer une règle, vous devez d'abord supprimer l'action de correction associée à cette règle.

  1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/.

  2. Choisissez Règles sur la gauche, puis sur la page Règles, sélectionnez la règle à partir de la liste des règles et choisissez Afficher les détails.

  3. Sur la page Nom de la règle, accédez à la section Mesure corrective. Développez la section pour afficher des informations supplémentaires.

  4. Dans la section Mesure corrective, choisissez Supprimer et confirmez votre action de suppression.

    Note

    Si la correction est en cours, la mesure corrective n'est pas supprimée. Si vous choisissez Supprimer une mesure corrective, vous ne pouvez pas récupérer la mesure corrective. La suppression d'une mesure corrective ne supprime pas la règle associée.

    Si une mesure corrective est supprimée, le paramètre ID de ressource sera vide et affichera N/A. Sur la page Règles, la colonne de la mesure corrective indique Non défini pour la règle associée.

Gestion de correction (API)

Correction manuelle

Utilisez les actions AWS Config d'API suivantes pour gérer les mesures correctives :

  • DeleteRemediationConfiguration, supprime la configuration de correction.

  • DescribeRemediationConfigurations, renvoie les détails d'une ou de plusieurs configurations de correction.

  • DescribeRemediationExecutionStatus, fournit une vue détaillée de l'exécution d'une correction pour un ensemble de ressources, y compris l'état, les horodatages indiquant le moment où les étapes de l'exécution de la correction ont lieu et les éventuels messages d'erreur relatifs aux étapes ayant échoué.

  • PutRemediationConfigure, ajoute ou met à jour la configuration de correction avec une AWS Config règle spécifique avec la cible ou l'action sélectionnée.

  • StartRemediationExécution : exécute une correction à la demande pour les AWS Config règles spécifiées par rapport à la dernière configuration de correction connue.

Correction automatique

Utilisez les actions AWS Config d'API suivantes pour gérer la correction automatique :

Prise en charge de la région

Actuellement, les mesures correctives AWS Config relatives aux règles sont prises en charge dans les régions suivantes :

Nom de la région Région Point de terminaison Protocole
US East (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
US East (N. Virginia) us-east-1 config.us-east-1.amazonaws.com HTTPS
USA Ouest (Californie du Nord) us-west-1 config.us-west-1.amazonaws.com HTTPS
US West (Oregon) us-west-2 config.us-west-2.amazonaws.com HTTPS
Afrique (Le Cap) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asie-Pacifique (Hong Kong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asie-Pacifique (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asie-Pacifique (Jakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asie-Pacifique (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asia Pacific (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asie-Pacifique (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asia Pacific (Seoul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asie-Pacifique (Singapour) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asia Pacific (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asia Pacific (Tokyo) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Canada (Central) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Canada Ouest (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europe (Francfort) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europe (Irlande) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europe (Londres) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europe (Milan) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europe (Paris) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europe (Espagne) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europe (Stockholm) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europe (Zurich) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israël (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Moyen-Orient (Bahreïn) me-south-1 config.me-south-1.amazonaws.com HTTPS
Moyen-Orient (EAU) me-central-1 config.me-central-1.amazonaws.com HTTPS
Amérique du Sud (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (USA Est) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (US-Ouest) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS