Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Corriger les ressources non conformes à l'aide de règles AWS Config
AWS Config permet de corriger des ressources non conformes évaluées par AWS Config Rules. AWS Config applique les corrections à l'aide de documents d'automatisation AWS Systems Manager. Ces documents définissent les actions à effectuer sur les AWS ressources non conformes évaluées parAWS Config Rules. Vous pouvez associer des documents SSM à l'aide de l’AWS Management Console ou des API.
AWS Config fournit un ensemble de documents d'automatisation gérés avec des actions de correction. Vous pouvez également créer et associer des documents d'automatisation personnalisés avec des règles AWS Config.
Pour appliquer une correction aux ressources non conformes, vous pouvez choisir l'action de correction que vous souhaitez associer dans une liste préremplie ou créer vos propres actions de correction personnalisées à l'aide de documents SSM. AWS Config fournit une liste recommandée des actions de correction dans le AWS Management Console.
Dans AWS Management Console, vous pouvez choisir de corriger manuellement ou automatiquement les ressources non conformes en associant des actions de correction aux règles AWS Config. Pour toutes les actions de correction, vous pouvez choisir une correction manuelle ou automatique.
Rubriques
Prérequis
Avant de commencer à appliquer des corrections sur les ressources non conformes, vous devez sélectionner une règle et configurer la correction (manuelle ou automatique) pour celle-ci.
Configuration de la correction manuelle (console)
Connectez-vous à la AWS Management Console et ouvrez la console AWS Config à l’adresse https://console.aws.amazon.com/config/
. -
Choisissez Règles sur la gauche, puis sur la page Règles, choisissez Ajouter une règle pour ajouter de nouvelles règles à la liste des règles
Pour les règles existantes, sélectionnez la règle non conforme dans la liste des règles et choisissez la liste déroulante Actions.
-
Dans la liste déroulante Actions, sélectionnez Gérer la correction. Sélectionnez « Correction manuelle », puis choisissez l'action de correction appropriée dans la liste recommandée.
Note
Vous ne pouvez gérer les corrections que pour les règles non liées à AWS Config un service. Pour plus d'informations, consultez la section Règles liées à un service AWS.
Selon l'action de correction sélectionnée, vous voyez les paramètres spécifiques ou aucun paramètre.
-
(Facultatif) : si vous souhaitez transmettre l'ID de ressource des ressources non conformes à l'action de correction, choisissez Resource ID parameter (Paramètre d'ID de ressource). Si cette option est sélectionnée, ce paramètre est remplacé par l'ID de la ressource à corriger lors de l'exécution.
Chaque paramètre a une valeur statique ou une valeur dynamique. Si vous ne choisissez aucun paramètre d'ID de ressource spécifique dans la liste déroulante, vous pouvez entrer des valeurs pour chaque clé. Si vous choisissez un paramètre d'ID de ressource dans la liste déroulante, vous pouvez entrer des valeurs pour toutes les autres clés à l'exception du paramètre d'ID de ressource sélectionné.
-
Choisissez Save (Enregistrer). La page Rules (Règles) s'affiche.
Note
Pour résoudre les problèmes liés aux actions de correction ayant échoué, vous pouvez exécuter la AWS commande de l'interface de ligne de commande describe-remediation-execution-status pour obtenir une vue détaillée de l'exécution d'une correction pour un ensemble de ressources. Les détails incluent l'état, les horodatages des étapes d'exécution de correction et tous les messages d'erreur pour les étapes ayant échoué.
Configuration de la correction automatique (console)
Connectez-vous à la AWS Management Console et ouvrez la console AWS Config à l’adresse https://console.aws.amazon.com/config/
. -
Choisissez Règles sur la gauche, puis sur la page Règles, choisissez Ajouter une règle pour ajouter de nouvelles règles à la liste des règles.
Pour les règles existantes, sélectionnez la règle non conforme dans la liste des règles et choisissez la liste déroulante Actions.
-
Dans la liste déroulante Actions, sélectionnez Gérer la correction. Sélectionnez « Correction automatique », puis choisissez l'action de correction appropriée dans la liste recommandée.
Note
Vous ne pouvez gérer les corrections que pour les règles non liées à AWS Config un service. Pour plus d'informations, consultez la section Règles liées à un service AWS.
Selon l'action de correction sélectionnée, vous voyez les paramètres spécifiques ou aucun paramètre.
-
Choisissez Auto remediation (Correction automatique) pour corriger automatiquement les ressources non conformes.
Si une ressource n'est toujours pas conforme après la correction automatique, vous pouvez définir la règle de façon à réessayer la correction automatique. Saisissez les nouvelles tentatives et secondes souhaitées.
Note
Des coûts sont associés à l'exécution multiple d'un script de correction. Les nouvelles tentatives se produisent uniquement si la correction échoue et fonctionne dans le délai spécifié ; par exemple, 5 nouvelles tentatives en 300 secondes.
-
(Facultatif) : si vous souhaitez transmettre l'ID de ressource des ressources non conformes à l'action de correction, choisissez Resource ID parameter (Paramètre d'ID de ressource). Si cette option est sélectionnée, ce paramètre est remplacé par l'ID de la ressource à corriger lors de l'exécution.
Chaque paramètre a une valeur statique ou une valeur dynamique. Si vous ne choisissez aucun paramètre d'ID de ressource spécifique dans la liste déroulante, vous pouvez entrer des valeurs pour chaque clé. Si vous choisissez un paramètre d'ID de ressource dans la liste déroulante, vous pouvez entrer des valeurs pour toutes les autres clés à l'exception du paramètre d'ID de ressource sélectionné.
-
Choisissez Save (Enregistrer). La page Rules (Règles) s'affiche.
Note
Pour résoudre les problèmes liés aux actions de correction ayant échoué, vous pouvez exécuter la AWS commande de l'interface de ligne de commande describe-remediation-execution-status pour obtenir une vue détaillée de l'exécution d'une correction pour un ensemble de ressources. Les détails incluent l'état, les horodatages des étapes d'exécution de correction et tous les messages d'erreur pour les étapes ayant échoué.
Suppression d’une action de correction (console)
Pour supprimer une règle, vous devez d'abord supprimer l'action de correction associée à cette règle.
Connectez-vous à la AWS Management Console et ouvrez la console AWS Config à l’adresse https://console.aws.amazon.com/config/
. -
Choisissez Règles sur la gauche, puis sur la page Règles, sélectionnez la règle dans la liste des règles et choisissez Afficher les détails.
-
Sur le
nom de la page des règles, accédez à la section Action de correction. Développez la section pour afficher des détails supplémentaires. -
Dans la section Action de correction, choisissez Supprimer et confirmez votre action de suppression.
Note
Si la correction est en cours, aucune action de correction ne sera supprimée. Une fois que vous avez choisi de supprimer une action de correction, vous ne pouvez pas récupérer l'action de correction. La suppression d'une action de correction n'entraîne pas la suppression de la règle associée.
Si une action de correction est supprimée, le paramètre Resource ID sera vide et affichera N/A. Sur la page Règles, la colonne Action de correction affiche Non défini pour la règle associée.
Gestion de correction (API)
Correction manuelle
Utilisez les actions d'API AWS Config suivantes pour gérer la correction :
Correction automatique
Utilisez les actions d'API AWS Config suivantes pour gérer la correction automatique :
Prise en charge de la région
Actuellement, les mesures correctives AWS Config relatives aux règles sont prises en charge dans les régions suivantes :
| Nom de la région | Région | Point de terminaison | Protocole |
|---|---|---|---|
| US East (Virginie du Nord) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| USA Est (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| USA Ouest (Californie du Nord) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| USA Ouest (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| Afrique (Le Cap) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Jakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Asie-Pacifique (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asie-Pacifique (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| Asie-Pacifique (Séoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asie-Pacifique (Singapore) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asie-Pacifique (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asie Pacifique (Tokyo) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canada (Centre) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Chine (Beijing) | cn-north-1 | config.cn-north-1.amazonaws.com | HTTPS |
| Chine (Ningxia) | cn-northwest-1 | config.cn-northwest-1.amazonaws.com | HTTPS |
| Europe (Stockholm) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Europe (Francfort) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europe (Irlande) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europe (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europe (Milan) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| Europe (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europe (Espagne) ; | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| Europe (Zurich) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| Moyen-Orient (Bahreïn) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| Moyen-Orient (EAU) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| Amérique du Sud (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWSGovCloud(Est des États-Unis) | us-gov-east-1 | configuration. us-gov-east-1. amazonaws.com | HTTPS |
| AWSGovCloud(Ouest des États-Unis) | us-gov-west-1 | configuration. us-gov-west-1. amazonaws.com | HTTPS |
