Afficher les données de l' AWS Config enregistreur sur les comptes inscrits Résolution des problèmes AWS Config dans AWS Control Tower

Surveillez l'évolution des ressources avec AWS Config

AWS Control Tower active tous AWS Config les comptes inscrits, afin de pouvoir surveiller la conformité par le biais de contrôles de détection, d'enregistrer les modifications des ressources et de fournir les journaux des modifications des ressources au compte d'archivage des journaux.

Si la version de votre zone de landing zone est antérieure à la version 3.0 : pour vos comptes inscrits, AWS Config enregistre toutes les modifications apportées aux ressources, pour toutes les régions dans lesquelles le compte fonctionne. Chaque modification est modélisée sous la forme d'un élément de configuration (CI), qui contient des informations telles que l'identifiant de la ressource, la région, la date à laquelle chaque modification a été enregistrée et si la modification concerne une ressource connue ou une ressource récemment découverte.

Si la version de votre zone de landing zone est 3.0 ou ultérieure : AWS Control Tower limite l'enregistrement des ressources globales, telles que les utilisateurs, les groupes, les rôles et les politiques gérées par le client IAM, à votre région d'origine uniquement. Les copies des modifications des ressources globales ne sont pas stockées dans toutes les régions. Cette limitation de l'enregistrement des ressources est conforme aux AWS Config meilleures pratiques. Une liste complète des ressources mondiales est disponible dans AWS Config la documentation.

Pour en savoir plus AWS Config, consultez la section AWS Config Fonctionnement.
Pour obtenir la liste des ressources AWS Config pouvant être prises en charge, consultez la section Types de ressources pris en charge.
Pour savoir comment personnaliser le suivi des ressources dans l'environnement AWS Control Tower, consultez le billet de blog intitulé Personnaliser le suivi AWS Config des ressources dans AWS Control Tower.

AWS Control Tower met en place un canal AWS Config de diffusion pour tous les comptes inscrits. Ce canal de diffusion enregistre toutes les modifications enregistrées par AWS Config le compte d'archivage des journaux, où elles sont stockées dans un dossier d'un bucket Amazon Simple Storage Service.

Afficher les données de l' AWS Config enregistreur sur les comptes inscrits

AWS Config est intégré CloudWatch afin que vous puissiez afficher les AWS Config CI dans un tableau de bord. Pour plus d'informations, consultez le billet de blog intitulé AWS Config Supports Amazon CloudWatch metrics.

Par programmation, pour afficher les AWS Config données, vous pouvez utiliser la AWS CLI ou utiliser d'autres AWS outils.

Interrogez les données de l' AWS Config enregistreur sur une ressource spécifique

Vous pouvez utiliser la AWS CLI pour récupérer la liste des modifications les plus récentes apportées à une ressource.

Commande d'historique des ressources :

aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION

Pour en savoir plus, consultez la documentation de l'API pour get-config-history.

Visualisez AWS Config les données avec Amazon QuickSight

Vous pouvez visualiser et interroger les ressources enregistrées par AWS Config l'ensemble de votre organisation. Pour plus d'informations, consultez Visualisation des AWS Config données à l'aide d'Amazon Athena et Amazon. QuickSight

Résolution des problèmes AWS Config dans AWS Control Tower

Cette section fournit des informations sur certains problèmes que vous pouvez rencontrer lors de l'utilisation AWS Config d'AWS Control Tower.

AWS Config Coûts élevés

Si votre flux de travail inclut des processus qui créent, mettent à jour ou suppriment fréquemment des ressources, ou s'il gère un grand nombre de ressources, ce flux de travail peut générer un grand nombre de CI. Si vous exécutez ces processus dans un compte hors production, pensez à désinscrire le compte. Vous devrez peut-être désactiver manuellement l' AWS Config enregistreur de ce compte.

Note

Une fois le compte désinscrit, AWS Control Tower ne peut pas appliquer de contrôles de détection ni enregistrer les événements du compte, tels que les AWS Config activités, pour les ressources de ce compte.

Pour plus d'informations, voir Annuler la gestion d'un compte inscrit. Pour savoir comment désactiver l' AWS Config enregistreur, voir Gestion de l'enregistreur de configuration.

La même ressource est enregistrée plusieurs fois

Vérifiez si la ressource est une ressource globale. Pour les zones d'atterrissage d'AWS Control Tower antérieures à la version 3.0, certaines ressources globales AWS Config peuvent être enregistrées une fois pour chaque région dans laquelle AWS Config elle opère. Par exemple, s'il AWS Config est activé dans huit régions, chaque rôle est enregistré huit fois.

Les ressources suivantes sont enregistrées une fois pour chaque région dans laquelle AWS Config elle opère :

AWS::IAM::Group
AWS::IAM::Policy
AWS::IAM::Role
AWS::IAM::User

Les autres ressources globales ne sont enregistrées qu'une seule fois. Voici quelques exemples de ressources enregistrées une seule fois :

AWS::Route53::HostedZone
AWS::Route53::HealthCheck
AWS::ECR::PublicRepository
AWS::GlobalAccelerator::Listener
AWS::GlobalAccelerator::EndpointGroup
AWS::GlobalAccelerator::Accelerator

AWS Config n'a pas enregistré de ressource

Certaines ressources ont des relations de dépendance avec d'autres ressources. Ces relations peuvent être directes ou indirectes. Vous trouverez une liste des relations indirectes déconseillées dans la AWS Config FAQ.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Journalisation des actions d'AWS Control Tower avec AWS CloudTrail

Gérer les coûts de configuration