AWS Ressources d'enregistrement avec AWS Config

AWS Config détecte en permanence la création, la modification ou la suppression des types de ressources pris en charge. AWS Config enregistre ces événements en tant qu'éléments de configuration (CIs).

Vous pouvez le personnaliser AWS Config pour enregistrer les modifications de configuration pour tous les types de ressources pris en charge ou uniquement pour les types de ressources pris en charge qui vous concernent. Pour obtenir la liste des types de ressources pris en charge qui AWS Config peuvent enregistrer, consultezTypes de ressources pris en charge pour AWS Config.

Rubriques

• Considérations
• Ressources régionales et mondiales
• AWS Config Règles et types de ressources globaux
• Fréquence d'enregistrement
• Ressources non enregistrées
• Ressources d'enregistrement (console)
• Ressources d'enregistrement (AWS CLI)
• À l'exclusion des ressources
• Arrêt de l'enregistrement

Considérations

Nombre élevé d' AWS Config évaluations

Vous remarquerez peut-être une augmentation de l'activité de votre compte lors de votre premier mois d'enregistrement avec AWS Config par rapport aux mois suivants. Au cours du processus de démarrage initial, AWS Config exécute des évaluations sur toutes les ressources de votre compte que vous avez sélectionnées AWS Config pour enregistrement.

Si vous exécutez des charges de travail éphémères, vous constaterez peut-être une augmentation de l'activité en raison de AWS Config l'enregistrement des modifications de configuration associées à la création et à la suppression de ces ressources temporaires. Une charge de travail éphémère est une utilisation temporaire des ressources informatiques chargées et exécutées si nécessaire. Les exemples incluent les instances ponctuelles Amazon Elastic Compute Cloud (Amazon EC2), les tâches Amazon EMR et. AWS Auto Scaling

Si vous souhaitez éviter l'augmentation de l'activité liée à l'exécution de charges de travail éphémères, vous pouvez configurer l'enregistreur de configuration géré par le client pour exclure l'enregistrement de ces types de ressources, ou exécuter ces types de charges de travail dans un compte distinct en le désactivant pour éviter d' AWS Config augmenter l'enregistrement des configurations et l'évaluation des règles.

Disponibilité dans les Régions

Avant de spécifier un type de ressource AWS Config à suivre, vérifiez la disponibilité des ressources par région pour voir si le type de ressource est pris en charge dans la AWS région où vous l'avez configuré AWS Config.

Si un type de ressource est pris AWS Config en charge par au moins une région, vous pouvez activer l'enregistrement de ce type de ressource dans toutes les régions prises en charge AWS Config, même si le type de ressource spécifié n'est pas pris en charge dans la AWS région où vous l'avez configuré AWS Config.

Quelles sont les différences entre les ressources régionales et mondiales ?

Ressources régionales

Les ressources régionales sont liées à une région et peuvent être utilisées uniquement dans celle-ci. Vous les créez dans une région spécifiée Région AWS, puis ils existent dans cette région. Pour voir ou interagir avec ces ressources, vous devez diriger vos opérations vers cette région. Par exemple, pour créer une EC2 instance Amazon avec le AWS Management Console, vous choisissez Région AWS celui dans lequel vous souhaitez créer l'instance. Si vous utilisez le AWS Command Line Interface (AWS CLI) pour créer l'instance, vous incluez le --region paramètre. Ils ont AWS SDKs chacun leur propre mécanisme équivalent pour spécifier la région utilisée par l'opération.

Plusieurs raisons justifient l'utilisation des ressources régionales. L'une des raisons vise à garantir que les ressources et les points de terminaison de service que vous utilisez pour y accéder soient aussi proches que possible du client. Les performances sont ainsi améliorées grâce à la réduction de la latence. Une autre raison vise à fournir une limite d'isolement. Vous pouvez ainsi créer des copies indépendantes des ressources dans plusieurs régions afin de répartir la charge et d'améliorer la capacité de mise à l’échelle. Par ailleurs, les ressources sont isolées les unes des autres afin d'améliorer leur disponibilité.

Si vous en spécifiez une autre Région AWS dans la console ou dans une AWS CLI commande, vous ne pouvez plus voir ou interagir avec les ressources que vous pouviez voir dans la région précédente.

Lorsque vous examinez l'Amazon Resource Name (ARN) d'une ressource régionale, la région qui contient la ressource est spécifiée dans le quatrième champ de l'ARN. Par exemple, une EC2 instance Amazon est une ressource régionale. Voici un exemple d'ARN pour une EC2 instance Amazon existant dans la us-east-1 région.

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee

Ressources globales

Certaines ressources de AWS services sont des ressources globales, ce qui signifie que vous pouvez utiliser la ressource de n'importe où. Aucune Région AWS ne doit être spécifiée dans la console d'un service global. Pour accéder à une ressource globale, vous ne devez pas spécifier de --region paramètre lorsque vous utilisez les opérations du service AWS CLI et du AWS SDK.

Les ressources globales prennent en charge les cas où il est essentiel qu'une seule instance d'une ressource particulière puisse exister à la fois. Dans ces scénarios, la réplication ou la synchronisation entre des copies situées dans différentes régions ne sont pas adéquates. L'accès à un point de terminaison global unique, associé à une augmentation éventuelle de la latence, est considéré comme acceptable pour garantir que tout changement soit instantanément visible pour les consommateurs de la ressource.

Par exemple, les clusters globaux Amazon Aurora (AWS::RDS::GlobalCluster) sont des ressources globales et ne sont donc pas liés à une région. Vous pouvez donc créer un cluster global sans dépendre d'un point de terminaison régional. Cette démarche offre un avantage : même si Amazon Relational Database Service (Amazon RDS) est organisé par régions, la région spécifique d'où provient un cluster global n'a aucune incidence sur ce dernier. Il apparaît comme un cluster global unique et continu dans toutes les régions.

L'Amazon Resource Name (ARN) d'une ressource globale n'inclut pas de région. Le quatrième champ est vide, comme dans l'exemple suivant de l'ARN d'un cluster global.

arn:aws:rds::123456789012:global-cluster:test-global-cluster

Important

Les types de ressources globales intégrés AWS Config après février 2022 ne seront enregistrés que dans la région d'origine du service pour la partition commerciale et AWS GovCloud (USA Ouest) pour la partition. GovCloud Vous pouvez consulter les éléments de configuration (CIs) pour ces nouveaux types de ressources globales uniquement dans leur région d'origine et AWS GovCloud (USA Ouest).

Les types de ressources mondiales intégrés avant février 2022 (AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role etAWS::IAM::User) restent inchangés. Vous pouvez activer l'enregistrement de ces ressources IAM mondiales dans toutes les régions où elles AWS Config étaient prises en charge avant février 2022. Ces ressources IAM mondiales ne peuvent pas être enregistrées dans les régions prises en charge AWS Config après février 2022.

Types de ressources mondiales | Ressources IAM

Les types de ressources IAM suivants sont également enregistrés au niveau mondial : utilisateurs, groupes et rôles IAM, et politiques gérées par le client. Ces types de ressources peuvent être enregistrés AWS Config dans les régions où AWS Config ils étaient disponibles avant février 2022. Cette liste dans laquelle vous ne pouvez pas enregistrer les types de ressources IAM globaux inclut les régions suivantes : Asie-Pacifique (Hyderabad), Asie-Pacifique (Malaisie), Asie-Pacifique (Melbourne), Asie-Pacifique (Thaïlande), Canada Ouest (Calgary), Europe (Espagne), Europe (Zurich), Israël (Tel Aviv), Mexique (centre) et Moyen-Orient (Émirats arabes unis).

Pour éviter la duplication des éléments de configuration (CIs), vous devez envisager de n'enregistrer les types de ressources IAM globaux qu'une seule fois dans l'une des régions prises en charge. Cela peut également vous aider à éviter les évaluations inutiles et la limitation des API.

Types de ressources mondiales | Région d’origine uniquement

Les ressources globales pour les services suivants sont uniquement enregistrées AWS Config dans la région d'origine du type de ressource globale : Amazon Elastic Container Registry Public AWS Global Accelerator, Amazon Route 53 CloudFront, Amazon et AWS WAF. Pour ces ressources globales, la même instance du type de ressource peut être utilisée dans plusieurs AWS régions, mais les éléments de configuration (CIs) ne sont enregistrés que dans la région d'origine pour la partition commerciale ou AWS GovCloud (US-West) pour la AWS GovCloud (US) partition.

Régions d'origine des types de ressources globales

AWS Service	Valeur de type de ressource	Région d’accueil
Amazon Elastic Container Registry Public	AWS::ECR::PublicRepository	Région USA Est (Virginie du Nord)
AWS Global Accelerator	AWS::GlobalAccelerator::Listener	Région USA Ouest (Oregon)
	AWS::GlobalAccelerator::EndpointGroup	Région USA Ouest (Oregon)
	AWS::GlobalAccelerator::Accelerator	Région USA Ouest (Oregon)
Amazon Route 53	AWS::Route53::HostedZone	Région USA Est (Virginie du Nord)
	AWS::Route53::HealthCheck	Région USA Est (Virginie du Nord)
Amazon CloudFront	AWS::CloudFront::Distribution	Région USA Est (Virginie du Nord)
AWS WAF	AWS::WAFv2::WebACL	Région USA Est (Virginie du Nord)

Types de ressources mondiales | Clusters Aurora mondiaux

AWS::RDS::GlobalClusterest une ressource globale enregistrée dans toutes les AWS Config régions prises en charge où l'enregistreur de configuration géré par le client est activé. Ce type de ressource globale est unique en ce sens que si vous activez l'enregistrement de cette ressource dans une région, vous AWS Config enregistrerez les éléments de configuration (CIs) pour ce type de ressource dans toutes vos régions activées.

Si vous ne souhaitez pas enregistrer AWS::RDS::GlobalCluster dans toutes les régions activées, utilisez l’une des politiques d’enregistrement suivantes pour la console AWS Config  :

• Enregistrez tous les types de ressources avec des remplacements personnalisables, choisissez « AWS  RDS », GlobalCluster puis choisissez le remplacement « Exclure de l'enregistrement »

• Enregistrer des types de ressources spécifiques.

Si vous ne souhaitez pas enregistrer AWS::RDS::GlobalCluster dans toutes les régions activées, utilisez l’une des politiques d’enregistrement suivantes pour l’API/l’interface de ligne de commande :

• Enregistrer tous les types de ressources actuels et futurs avec des exclusions (EXCLUSION_BY_RESOURCE_TYPES)

• Enregistrer des types de ressources spécifiques (INCLUSION_BY_RESOURCE_TYPES).

AWS Config Règles et types de ressources globaux

Les types de ressources IAM globaux intégrés avant février 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role, etAWS::IAM::User) ne peuvent être enregistrés que AWS Config dans les régions où ils AWS Config étaient disponibles avant février 2022. Ces types de ressources IAM globaux ne peuvent pas être enregistrés dans les régions prises en charge AWS Config après février 2022. Pour une liste de ces régions, voir AWS Ressources d'enregistrement | Ressources mondiales.

Si vous enregistrez un type de ressource IAM global dans au moins une région, les règles périodiques qui indiquent la conformité au type de ressource IAM global exécuteront des évaluations dans toutes les régions où la règle périodique est ajoutée, même si vous n'avez pas activé l'enregistrement du type de ressource IAM global dans la région où la règle périodique a été ajoutée.

Meilleures pratiques pour rendre compte de la conformité des ressources mondiales intégrées avant février 2022

Pour éviter des évaluations inutiles, vous devez uniquement déployer AWS Config les règles et les packs de conformité qui incluent ces ressources globales dans l'une des régions prises en charge. Pour obtenir la liste des règles gérées prises en charge dans quelles régions, consultez la section Liste des règles AWS Config gérées par disponibilité des régions. Cela s'applique aux AWS Config règles, aux AWS Config règles organisationnelles, ainsi qu'aux règles créées par d'autres AWS services, tels que AWS Security Hub et AWS Control Tower.

Si vous n’enregistrez pas les types de ressources mondiales intégrés avant février 2022, nous vous recommandons de ne pas activer les règles périodiques suivantes afin d’éviter des évaluations inutiles :

• access-keys-rotated

• account-part-of-organizations

• iam-password-policy

• iam-policy-in-use

• iam-root-access-key-vérifier

• iam-user-mfa-enabled

• iam-user-unused-credentials-vérifier

• mfa-enabled-for-iam-accès à la console

• root-account-hardware-mfa-activé

• root-account-mfa-enabled

Meilleures pratiques pour rendre compte de la conformité des ressources mondiales intégrées après février 2022

Les types de ressources globales intégrés à AWS Config l'enregistrement après février 2022 seront enregistrés uniquement dans la région d'origine du service pour la partition commerciale et AWS GovCloud (ouest des États-Unis) pour la partition. AWS GovCloud (US) Vous devez déployer AWS Config des règles et des packs de conformité qui concernent ces ressources globales uniquement dans la région d'origine du type de ressource. Pour plus d'informations, voir Régions d'origine pour les types de ressources globaux.

Fréquence d'enregistrement pour AWS Config

AWS Config prend en charge l'enregistrement continu et l'enregistrement quotidien. L’enregistrement en continu vous permet d’enregistrer les modifications de configuration en continu, chaque fois qu’un changement a lieu. L’enregistrement quotidien vous permet de recevoir un élément de configuration représentant l’état le plus récent de vos ressources au cours des dernières 24 heures, uniquement s’il diffère de l’élément de configuration enregistré précédemment. Pour savoir comment modifier la fréquence d'enregistrement, reportez-vous à la section Modification de la fréquence d'enregistrement.

Enregistrement en continu

L’enregistrement en continu présente les avantages suivants :

• Surveillance en temps réel : l’enregistrement en continu permet de détecter immédiatement des changements non autorisés ou inattendus, ce qui peut renforcer vos efforts en matière de sécurité et de conformité.

• Analyse détaillée : l’enregistrement en continu vous permet d’analyser en profondeur les modifications apportées à la configuration de vos ressources au fur et à mesure qu’elles se produisent, ce qui peut vous permettre d’identifier les modèles et les tendances du moment.

Enregistrement quotidien

L’enregistrement quotidien présente les avantages suivants :

• Interruption minimale : l’enregistrement quotidien peut vous fournir un flux d’informations plus facile à gérer, et ainsi réduire la fréquence des notifications et la fatigue liée aux alertes.

• Rentabilité : l’enregistrement quotidien vous permet d’enregistrer les modifications apportées à vos ressources à une fréquence moindre, ce qui peut réduire les coûts liés au nombre de changements de configuration enregistrés.

Note

AWS Firewall Manager dépend de l'enregistrement continu pour surveiller vos ressources. Si vous utilisez Firewall Manager, il est recommandé de définir la fréquence d’enregistrement sur Continu.

Ressources non enregistrées

Si une ressource n'est pas enregistrée, AWS Config capture uniquement la création et la suppression de cette ressource, sans aucun autre détail, sans frais pour vous. Lorsqu'une ressource non enregistrée est créée ou supprimée, AWS Config envoie une notification et affiche l'événement sur la page de détails de la ressource. La page des détails d'une ressource non enregistrée fournit des valeurs null pour la plupart des détails de configuration, et elle ne fournit pas d'informations sur les relations et les changements de configuration.

Note

Les types de AWS::IAM::Role ressources AWS::IAM::User AWS::IAM::Policy AWS::IAM::Group,, captureront les états de création (ResourceNotRecorded) et de suppression (ResourceDeletedNotRecorded) uniquement si la ressource est, ou a déjà été, sélectionnée comme ressource à enregistrer dans l'enregistreur de configuration géré par le client.

Note

Les éléments de configuration (CIs) pour ResourceNotRecorded et ResourceDeletedNotRecorded ne suivent pas la durée d'enregistrement habituelle pour les types de ressources. Ces types de ressources ne sont enregistrés que pendant le processus de définition de base périodique pour l'enregistreur de configuration géré par le client, qui est moins fréquent que pour les autres types de ressources.

Note

Pour les enregistreurs de configuration liés à un service, l'étendue d'enregistrement détermine si vous recevez des éléments de configuration (CIs) dans le canal de distribution. L'étendue de l'enregistrement est définie par le service lié à l'enregistreur de configuration. Si la zone d'enregistrement est interne, vous ne recevrez pas CIs dans le canal de livraison.

Les informations relationnelles qui AWS Config fournissent les ressources enregistrées ne sont pas limitées en raison des données manquantes pour les ressources non enregistrées. Si une ressource enregistrée est associée à une ressource non enregistrée, cette relation est mentionnée dans la page des caractéristiques de la ressource enregistrée.