Surveillance de l'évolution des ressources avecAWS Config - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Surveillance de l'évolution des ressources avecAWS Config

AWS Control TowerAWS Configsur tous les comptes inscrits, afin qu'il puisse contrôler la conformité aux garde-fous de détection, enregistrer les modifications apportées aux ressources et transmettre les journaux des modifications des ressources au compte d'archivage des journaux.

Si la version de votre landing zone est antérieure à 3.0 : Pour vos comptes inscrits,AWS Configenregistre toutes les modifications apportées aux ressources, pour toutes les régions dans lesquelles le compte fonctionne. Chaque modification est modélisée sous la forme d'un élément de configuration (CI), qui contient des informations telles que l'identifiant de la ressource, la région, la date à laquelle chaque modification a été enregistrée et si la modification concerne une ressource connue ou une ressource récemment découverte.

Si votre version de landing zone est 3.0 ou ultérieure : AWS Control Tower limite l'enregistrement des ressources mondiales, telles que les utilisateurs IAM, les groupes, les rôles et les politiques gérées par le client, à votre région d'origine uniquement. Les copies des modifications des ressources globales ne sont pas stockées dans toutes les régions. Cette limitation de l'enregistrement des ressources est conforme àAWS Config bonnes pratiques. UNliste complète des ressources mondialesest disponible enAWS Config.

AWS Control TowerAWS Configcanal de distribution dans tous les comptes inscrits. Grâce à ce canal de distribution, il enregistre toutes les modifications enregistrées parAWS Configdans le compte d'archivage des journaux, où ils sont stockés dans un dossier d'un compartiment Amazon Simple Storage Service.

Gestion d'AWS Configcoûts dans AWS Control Tower

Cette section décrit commentAWS Configenregistre et vous facture les modifications apportées aux ressources de vos comptes AWS Control Tower. Ces informations peuvent vous aider à comprendre comment gérer les coûts associés àAWS Config, lorsque vous utilisez AWS Control Tower. AWS Control Tower n'entraîne aucun coût supplémentaire.

Note

Si votre version de landing zone est 3.0 ou ultérieure : Limites de AWS Control TowerAWS Configenregistrement pour les ressources mondiales, telles que les utilisateurs, les groupes, les rôles et les politiques gérées par les clients IAM, dans votre région d'origine uniquement. Par conséquent, certaines informations de cette section peuvent ne pas s'appliquer à votre landing zone.

AWS Configest conçu pour enregistrer chaque modification apportée à chaque ressource, dans chaque région où un compte fonctionne, en tant qu'élément de configuration (CI).AWS Configvous facture pour chaque élément de configuration qu'il génère.

CommentAWS Configfonctionne

AWS Configenregistre les ressources dans chaque région, séparément. Certaines ressources globales, telles que les rôles IAM, sont enregistrées une fois par région. Par exemple, si vous créez un nouveau rôle IAM sur un compte inscrit qui fonctionne dans cinq régions,AWS Configgénère cinq CI, un pour chaque région. Les autres ressources mondiales, telles que les zones hébergées de Route 53, ne sont enregistrées qu'une seule fois dans toutes les régions. Par exemple, si vous créez une nouvelle zone hébergée Route 53 dans un compte inscrit,AWS Configgénère un CI, quel que soit le nombre de régions sélectionnées pour ce compte. Pour obtenir une liste qui vous aide à distinguer ces types de ressources, voirLa même ressource est enregistrée plusieurs fois.

Note

Quand AWS Control TowerAWS Config, une région peut être régie par AWS Control Tower ou ne pas être gouvernée, etAWS Configenregistre toujours les modifications si le compte fonctionne dans cette région.

AWS Configdétecte deux types de relations dans les ressources

AWS Configfait une distinction entredirectetindirecteles relations entre les ressources. Si une ressource est renvoyée dans celle d'une autre ressourceDécrireAppel d'API, ces ressources sont enregistrées en tant que relation directe. Lorsque vous modifiez une ressource en relation directe avec une autre ressource,AWS Configne crée pas de CI pour les deux ressources.

Par exemple, si vous créez une instance Amazon EC2 et que l'API vous oblige à créer une interface réseau,AWS Configconsidère que l'instance Amazon EC2 a une relation directe avec l'interface réseau. En conséquence,AWS Configgénère un seul CI.

AWS Configenregistre les modifications distinctes pour les relations entre les ressources qui sontindirecteles relations. Par exemple,AWS Configgénère deux CI si vous créez un groupe de sécurité et ajoutez une instance Amazon EC2 associée à ce groupe.

Pour plus d'informations sur les connexions directes et indirectes, consultezQu'est-ce qu'une relation directe et indirecte par rapport à une ressource ?

Vous trouverezune liste des connexions entre les ressourcesdans leAWS Config.

Consulter lesAWS Configenregistrer des données sur les comptes inscrits

AWS Configest intégré à CloudWatch afin que vous puissiez voirAWS ConfigCI dans un tableau de bord. Pour plus d'informations, consultez le billet de blog intituléAWS Configprend en charge Amazon CloudWatch indicateurs.

Par programmation, pour afficherAWS Configdonnées, vous pouvez utiliserAWSCLI, ou vous pouvez utiliser d'autresAWSoutils.

QueryAWS Configenregistrer des données sur une ressource spécifique

Vous pouvez utiliser le pluginAWSCLI pour récupérer la liste des modifications les plus récentes apportées à une ressource.

Commande d'historique des ressources :

  • aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION

Pour en savoir plus, consultezla documentation sur les API pourget-config-history.

VisualisationAWS Configdonnées avec Amazon QuickSight

Vous pouvez visualiser et interroger les ressources enregistrées parAWS Configdans l'ensemble de votre organisation. Pour plus d'informations, veuillez consulter la rubriqueVisualisationAWS Configdonnées utilisant Amazon Athena et Amazon Athena QuickSight.

Résolution des problèmesAWS Configdans AWS Control Tower

Cette section fournit des informations sur certains problèmes que vous pouvez rencontrer lors de l'utilisationAWS Configavec AWS Control Tower.

ElevéAWS Configfrais

Si votre flux de travail inclut des processus qui créent, mettent à jour ou suppriment des ressources fréquemment, ou s'il gère des ressources en grand nombre, ce flux de travail peut générer un grand nombre de CI. Si vous exécutez ces processus sur un compte qui n'est pas un compte de production, pensez à désinscrire le compte. Vous devrez peut-être désactiverAWS Configenregistreur manuel pour ce compte.

Note

Une fois que vous avez désinscrire le compte, AWS Control Tower ne peut pas appliquer de garde-fous de détection ni enregistrer les événements du compte, tels queAWS Configactivités, pour les ressources de ce compte.

Pour plus d'informations, veuillez consulter la rubriqueAnnuler la gestion d'un compte inscrit. Pour savoir comment désactiverAWS Configenregistreur, voirGestion de l'enregistreur de configuration.

La même ressource est enregistrée plusieurs fois

Vérifiez si la ressource est uneressource globale. Pour les zones d'atterrissage de la AWS Control Tower antérieures à la version 3.0,AWS Configpeut enregistrer certaines ressources globales une fois pour chaque région dans laquelleAWS Configfonctionne. Par exemple, siAWS Configest activé sur huit régions, chaque rôle est enregistré huit fois.

Les ressources suivantes sont enregistrées une fois pour chaque région dans laquelleAWS Configfonctionne :

  • AWS::IAM::Group

  • AWS::IAM::Policy

  • AWS::IAM::Role

  • AWS::IAM::User

Les autres ressources globales ne sont enregistrées qu'une seule fois. Voici quelques exemples de ressources qui sont enregistrées une seule fois :

  • AWS::Route53::HostedZone

  • AWS::Route53::HealthCheck

  • AWS::ECR::PublicRepository

  • AWS::GlobalAccelerator::Listener

  • AWS::GlobalAccelerator::EndpointGroup

  • AWS::GlobalAccelerator::Accelerator

AWS Confign'a pas enregistré de ressource

Certaines ressources entretiennent des relations de dépendance avec d'autres ressources. Ces relations peuvent êtredirectouindirecte.AWS Confign'enregistre plus les modifications des ressources pour certaines relations indirectes. Vous trouverez une liste des connexions indirectes obsolètes dansleAWS ConfigFAQ.