AWS Ressources d'enregistrement

AWS Config détecte en permanence la création, la modification ou la suppression des types de ressources pris en charge. AWS Config enregistre ces événements en tant qu'éléments de configuration (CIs). Vous pouvez personnaliser AWS Config pour enregistrer les changements de configuration de tous les types de ressources pris en charge ou uniquement des types de ressources pris en charge que vous jugez pertinents. Pour obtenir la liste des types de ressources pris en charge qui AWS Config peuvent enregistrer, consultezTypes de ressource pris en charge.

Rubriques

• Considérations
• Quelles sont les différences entre les ressources régionales et mondiales ?
• AWS Config Règles et types de ressources globaux
• Ressources non enregistrées
• Ressources d'enregistrement dans la AWS Config console
• Ressources d'enregistrement avec AWS CLI
• Fréquence d’enregistrement
• Exclure les ressources de l'enregistrement
• Arrêt de l’enregistrement des ressources

Considérations

Nombre élevé d' AWS Config évaluations

Vous remarquerez peut-être une augmentation de l'activité de votre compte lors de votre premier mois d'enregistrement avec AWS Config par rapport aux mois suivants. Au cours du processus de démarrage initial, AWS Config exécute des évaluations sur toutes les ressources de votre compte que vous avez sélectionnées AWS Config pour enregistrement.

Si vous exécutez des charges de travail éphémères, vous constaterez peut-être une augmentation de l'activité en raison de AWS Config l'enregistrement des modifications de configuration associées à la création et à la suppression de ces ressources temporaires. Une charge de travail éphémère est une utilisation temporaire des ressources informatiques chargées et exécutées si nécessaire. Les exemples incluent les instances ponctuelles Amazon Elastic Compute Cloud (AmazonEC2), les EMR jobs Amazon et AWS Auto Scaling. Si vous souhaitez éviter l'augmentation de l'activité liée à l'exécution de charges de travail éphémères, vous pouvez configurer l'enregistreur de configuration pour exclure l'enregistrement de ces types de ressources, ou exécuter ces types de charges de travail dans un compte distinct en désactivant pour éviter d' AWS Config augmenter l'enregistrement des configurations et l'évaluation des règles.

Disponibilité dans les Régions

Avant de spécifier un type de ressource AWS Config à suivre, vérifiez la disponibilité des ressources par région pour voir si le type de ressource est pris en charge dans la AWS région où vous l'avez configuré AWS Config. Si un type de ressource est pris AWS Config en charge par au moins une région, vous pouvez activer l'enregistrement de ce type de ressource dans toutes les régions prises en charge AWS Config, même si le type de ressource spécifié n'est pas pris en charge dans la AWS région où vous l'avez configuré AWS Config.

Quelles sont les différences entre les ressources régionales et mondiales ?

Ressources régionales

Les ressources régionales sont liées à une région et peuvent être utilisées uniquement dans celle-ci. Vous les créez dans une région spécifiée Région AWS, puis ils existent dans cette région. Pour voir ou interagir avec ces ressources, vous devez diriger vos opérations vers cette région. Par exemple, pour créer une EC2 instance Amazon avec le AWS Management Console, vous choisissez Région AWS celui dans lequel vous souhaitez créer l'instance. Si vous utilisez le AWS Command Line Interface (AWS CLI) pour créer l'instance, vous incluez le --region paramètre. Ils ont AWS SDKs chacun leur propre mécanisme équivalent pour spécifier la région utilisée par l'opération.

Plusieurs raisons justifient l'utilisation des ressources régionales. L'une des raisons vise à garantir que les ressources et les points de terminaison de service que vous utilisez pour y accéder soient aussi proches que possible du client. Les performances sont ainsi améliorées grâce à la réduction de la latence. Une autre raison vise à fournir une limite d'isolement. Vous pouvez ainsi créer des copies indépendantes des ressources dans plusieurs régions afin de répartir la charge et d'améliorer la capacité de mise à l’échelle. Par ailleurs, les ressources sont isolées les unes des autres afin d'améliorer leur disponibilité.

Si vous en spécifiez une autre Région AWS dans la console ou dans une AWS CLI commande, vous ne pouvez plus voir ou interagir avec les ressources que vous pouviez voir dans la région précédente.

Lorsque vous consultez le nom de la ressource Amazon (ARN) pour une ressource régionale, la région qui contient la ressource est spécifiée comme quatrième champ dans leARN. Par exemple, une EC2 instance Amazon est une ressource régionale. Voici un ARN exemple d'EC2instance Amazon existant dans la us-east-1 région.

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee

Ressources globales

Certaines ressources de AWS services sont des ressources globales, ce qui signifie que vous pouvez utiliser la ressource de n'importe où. Aucune Région AWS ne doit être spécifiée dans la console d'un service global. Pour accéder à une ressource globale, vous ne devez pas spécifier de --region paramètre lorsque vous utilisez les AWS SDK opérations AWS CLI et du service.

Les ressources globales prennent en charge les cas où il est essentiel qu'une seule instance d'une ressource particulière puisse exister à la fois. Dans ces scénarios, la réplication ou la synchronisation entre des copies situées dans différentes régions ne sont pas adéquates. L'accès à un point de terminaison global unique, associé à une augmentation éventuelle de la latence, est considéré comme acceptable pour garantir que tout changement soit instantanément visible pour les consommateurs de la ressource.

Par exemple, les clusters globaux Amazon Aurora (AWS::RDS::GlobalCluster) sont des ressources globales et ne sont donc pas liés à une région. Vous pouvez donc créer un cluster global sans dépendre d'un point de terminaison régional. L'avantage est que, bien que l'Amazon Relational Database Service (RDSAmazon) lui-même soit organisé par régions, la région spécifique d'où provient un cluster mondial n'a aucune incidence sur le cluster mondial. Il apparaît comme un cluster global unique et continu dans toutes les régions.

Le nom de ressource Amazon (ARN) d'une ressource globale n'inclut pas de région. Le quatrième champ est vide, comme dans l'exemple suivant d'ARNun cluster global.

arn:aws:rds::123456789012:global-cluster:test-global-cluster

Important

Les types de ressources globales intégrés AWS Config après février 2022 ne seront enregistrés que dans la région d'origine du service pour la partition commerciale et AWS GovCloud (USA Ouest) pour la partition. GovCloud Vous pouvez consulter les éléments de configuration (CIs) pour ces nouveaux types de ressources globales uniquement dans leur région d'origine et AWS GovCloud (USA Ouest).

Les types de ressources mondiales intégrés avant février 2022 (AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role etAWS::IAM::User) restent inchangés. Vous pouvez activer l'enregistrement de ces IAM ressources mondiales dans toutes les régions où elles AWS Config étaient prises en charge avant février 2022. Ces IAM ressources mondiales ne peuvent pas être enregistrées dans les régions prises en charge AWS Config après février 2022.

Types de ressources globaux | IAM ressources

Les types de IAM ressources suivants sont des ressources globales : IAM utilisateurs, groupes, rôles et politiques gérées par le client. Ces types de ressources peuvent être enregistrés AWS Config dans les régions où AWS Config ils étaient disponibles avant février 2022. Cette liste dans laquelle vous ne pouvez pas enregistrer les types de IAM ressources globaux inclut les régions suivantes : Asie-Pacifique (Hyderabad), Asie-Pacifique (Malaisie), Asie-Pacifique (Melbourne), Canada Ouest (Calgary), Europe (Espagne), Europe (Zurich), Israël (Tel Aviv) et Moyen-Orient (UAE).

Pour éviter la duplication des éléments de configuration (CIs), vous devez envisager de n'enregistrer les types de IAM ressources globaux qu'une seule fois dans l'une des régions prises en charge. Cela peut également vous aider à éviter les évaluations inutiles et les ralentissements. API

Types de ressources mondiales | Région d’origine uniquement

Les ressources globales pour les services suivants sont uniquement enregistrées AWS Config dans la région d'origine du type de ressource globale : Amazon Elastic Container Registry Public AWS Global Accelerator, Amazon Route 53 CloudFront, Amazon et AWS WAF. Pour ces ressources globales, la même instance du type de ressource peut être utilisée dans plusieurs AWS régions, mais les éléments de configuration (CIs) ne sont enregistrés que dans la région d'origine pour la partition commerciale ou AWS GovCloud (US-West) pour la AWS GovCloud (US) partition.

Régions d'origine des types de ressources globales

AWS Service	Valeur de type de ressource	Région d'accueil
Amazon Elastic Container Registry Public	AWS::ECR::PublicRepository	Région USA Est (Virginie du Nord)
AWS Global Accelerator	AWS::GlobalAccelerator::Listener	Région USA Ouest (Oregon)
	AWS::GlobalAccelerator::EndpointGroup	Région USA Ouest (Oregon)
	AWS::GlobalAccelerator::Accelerator	Région USA Ouest (Oregon)
Amazon Route 53	AWS::Route53::HostedZone	Région USA Est (Virginie du Nord)
	AWS::Route53::HealthCheck	Région USA Est (Virginie du Nord)
Amazon CloudFront	AWS::CloudFront::Distribution	Région USA Est (Virginie du Nord)
AWS WAF	AWS::WAFv2::WebACL	Région USA Est (Virginie du Nord)

Types de ressources mondiales | Clusters Aurora mondiaux

AWS::RDS::GlobalClusterest une ressource globale enregistrée dans toutes les AWS Config régions prises en charge où l'enregistreur de configuration est activé. Ce type de ressource globale est unique en ce sens que si vous activez l'enregistrement de cette ressource dans une région, vous AWS Config enregistrerez les éléments de configuration (CIs) pour ce type de ressource dans toutes vos régions activées.

Si vous ne souhaitez pas enregistrer AWS::RDS::GlobalCluster dans toutes les régions activées, appliquez l'une des stratégies d'enregistrement suivantes pour la AWS Config console :

• Enregistrez tous les types de ressources avec des remplacements personnalisables, choisissez AWS RDS GlobalCluster « », puis choisissez le remplacement « Exclure de l'enregistrement »

• Enregistrer des types de ressources spécifiques.

Si vous ne souhaitez pas enregistrer AWS::RDS::GlobalCluster dans toutes les régions activées, utilisez l'une des stratégies d'enregistrement suivantes pour leAPI/CLI:

• Enregistrer tous les types de ressources actuels et futurs avec des exclusions (EXCLUSION_BY_RESOURCE_TYPES)

• Enregistrer des types de ressources spécifiques (INCLUSION_BY_RESOURCE_TYPES).

AWS Config Règles et types de ressources globaux

Les types de IAM ressources globales intégrés avant février 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role, etAWS::IAM::User) ne peuvent être enregistrés que AWS Config dans les régions où ils AWS Config étaient disponibles avant février 2022. Ces types de IAM ressources globales ne peuvent pas être enregistrés dans les régions prises en charge AWS Config après février 2022. Pour une liste de ces régions, voir AWS Ressources d'enregistrement | Ressources mondiales.

Si vous enregistrez un type de IAM ressource global dans au moins une région, les règles périodiques qui indiquent la conformité au type de IAM ressource global exécuteront des évaluations dans toutes les régions où la règle périodique est ajoutée, même si vous n'avez pas activé l'enregistrement du type de IAM ressource globale dans la région où la règle périodique a été ajoutée.

Meilleures pratiques pour rendre compte de la conformité des ressources mondiales intégrées avant février 2022

Pour éviter des évaluations inutiles, vous devez uniquement déployer AWS Config les règles et les packs de conformité qui incluent ces ressources globales dans l'une des régions prises en charge. Pour obtenir la liste des règles gérées prises en charge dans quelles régions, consultez la section Liste des règles AWS Config gérées par disponibilité des régions. Cela s'applique aux AWS Config règles, aux AWS Config règles organisationnelles, ainsi qu'aux règles créées par d'autres AWS services, tels que AWS Security Hub et AWS Control Tower.

Si vous n’enregistrez pas les types de ressources mondiales intégrés avant février 2022, nous vous recommandons de ne pas activer les règles périodiques suivantes afin d’éviter des évaluations inutiles :

• access-keys-rotated

• account-part-of-organizations

• iam-password-policy

• iam-policy-in-use

• iam-root-access-key-vérifier

• iam-user-mfa-enabled

• iam-user-unused-credentials-vérifier

• mfa-enabled-for-iam-accès à la console

• root-account-hardware-mfa-activé

• root-account-mfa-enabled

Meilleures pratiques pour rendre compte de la conformité des ressources mondiales intégrées après février 2022

Les types de ressources globales intégrés à AWS Config l'enregistrement après février 2022 seront enregistrés uniquement dans la région d'origine du service pour la partition commerciale et AWS GovCloud (ouest des États-Unis) pour la partition. AWS GovCloud (US) Vous devez déployer AWS Config des règles et des packs de conformité qui concernent ces ressources globales uniquement dans la région d'origine du type de ressource. Pour plus d'informations, voir Régions d'origine pour les types de ressources globaux.

Ressources non enregistrées

Si une ressource n'est pas enregistrée, AWS Config capture uniquement la création et la suppression de cette ressource, sans aucun autre détail, sans frais pour vous. Lorsqu'une ressource non enregistrée est créée ou supprimée, AWS Config envoie une notification et affiche l'événement sur la page de détails de la ressource. La page des détails d'une ressource non enregistrée fournit des valeurs null pour la plupart des détails de configuration, et elle ne fournit pas d'informations sur les relations et les changements de configuration.

Note

Les types AWS::IAM::User, AWS::IAM::Policy, AWS::IAM::Group et AWS::IAM::Role captureront uniquement les états de création (ResourceNotRecorded) et de suppression (ResourceDeletedNotRecorded) si la ressource est, ou a déjà été, sélectionnée comme ressource à enregistrer dans l'enregistreur de configuration.

Note

Les éléments de configuration (CIs) pour ResourceNotRecorded et ResourceDeletedNotRecorded ne suivent pas la durée d'enregistrement habituelle pour les types de ressources. Ces types de ressources ne sont enregistrés que pendant le processus de référence périodique pour l'enregistreur de configuration, qui est moins fréquent que pour les autres types de ressources.

Les informations relationnelles qui AWS Config fournissent les ressources enregistrées ne sont pas limitées en raison des données manquantes pour les ressources non enregistrées. Si une ressource enregistrée est associée à une ressource non enregistrée, cette relation est mentionnée dans la page des caractéristiques de la ressource enregistrée.