Configuration de la correction automatique - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la correction automatique

Pour appliquer des mesures correctives aux ressources non conformes, vous pouvez soit choisir l'action de correction que vous souhaitez associer dans une liste préremplie, soit créer vos propres actions de correction personnalisées à l'aide de documents. SSM AWS Config fournit une liste recommandée de mesures correctives dans le AWS Management Console.

Setting Up Auto Remediation (Console)

Dans le AWS Management Console, vous pouvez choisir de corriger automatiquement les ressources non conformes en associant des actions de correction à des règles. AWS Config Pour toutes les actions de correction, vous pouvez choisir une correction manuelle ou automatique.

  1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/.

  2. Choisissez Règles sur la gauche, puis sur la page Règles, choisissez Ajouter une règle pour ajouter de nouvelles règles à la liste des règles.

    Pour les règles existantes, sélectionnez la règle non conforme dans la liste des règles et choisissez la liste déroulante Actions.

  3. Dans la liste déroulante Actions, choisissez Gérer les mesures correctives. Sélectionnez « Correction automatique », puis choisissez la mesure corrective appropriée dans la liste recommandée.

    Note

    Vous ne pouvez gérer les corrections que pour les règles non liées à AWS Config un service. Pour plus d'informations, consultez Règles AWS liées à un service.

    Selon la mesure corrective sélectionnée, vous voyez les paramètres spécifiques ou aucun paramètre.

  4. Choisissez Résolution automatique pour corriger automatiquement les ressources non conformes.

    Si une ressource n'est toujours pas conforme après la correction automatique, vous pouvez définir la règle pour réessayer la correction automatique. Saisissez les nouvelles tentatives et secondes souhaitées.

    Note

    Des coûts sont associés à l'exécution multiple d'un script de correction. Les nouvelles tentatives ont lieu uniquement si la correction échoue et pendant la période spécifiée ; par exemple, 5 tentatives en 300 secondes.

  5. (Facultatif) : si vous souhaitez transmettre l'ID de ressource des ressources non conformes à la mesure corrective, choisissez Resource ID parameter (Paramètre d'ID de ressource). Si cette option est sélectionnée, ce paramètre est remplacé par l'ID de la ressource à corriger lors de l'exécution.

    Chaque paramètre a une valeur statique ou une valeur dynamique. Si vous ne choisissez pas de paramètre d'ID de ressource spécifique dans la liste déroulante, vous pouvez saisir des valeurs pour chaque clé. Si vous choisissez un paramètre d'ID de ressource dans la liste déroulante, vous pouvez saisir des valeurs pour toutes les autres clés, à l'exception du paramètre d'ID de ressource sélectionné.

  6. Choisissez Save (Enregistrer). La page Règles s'affiche.

Pour résoudre les problèmes liés à l'échec des actions de correction

Pour résoudre les problèmes liés à l'échec des actions de correction, vous pouvez exécuter la AWS commande de l'interface de ligne de commande describe-remediation-execution-status pour obtenir une vue détaillée de l'exécution d'une correction pour un ensemble de ressources. Les détails incluent l'état, les horodatages des étapes d'exécution de correction et tous les messages d'erreur pour les étapes ayant échoué.

La correction automatique peut être initiée même pour les ressources conformes

Si vous activez la correction automatique pour une AWS Config règle spécifique à l'aide de la console PutRemediationConfigurationsAPIou de la AWS Config console, cela lance le processus de correction pour toutes les ressources non conformes à cette règle spécifique. Le processus de correction automatique repose sur l'instantané des données de conformité qui est capturé périodiquement. Toute ressource non conforme mise à jour entre le calendrier des instantanés continuera d'être corrigée sur la base du dernier instantané de données de conformité connu.

Cela signifie que dans certains cas, la correction automatique peut être initiée même pour les ressources conformes, étant donné que le processeur bootstrap utilise une base de données dont les résultats d'évaluation peuvent être périmés sur la base du dernier instantané de données de conformité connu.

Setting Up Auto Remediation (API)

Pour configurer la correction automatique, procédez comme suit AWS Config API :

  • PutRemediationExceptions, ajoute une nouvelle exception ou met à jour une exception existante pour une ressource spécifique avec une règle spécifique AWS Config .

  • DescribeRemediationExceptions, renvoie les détails d'une ou de plusieurs exceptions de correction.