Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Prévention et notification de la dérive
Vous pouvez activer certains contrôles et vous abonner à certaines notifications SNS qui vous aident à maintenir la conformité dans AWS Control Tower.
Protection contre le contrôle de la dérive
AWS Control Tower fournit des méthodes passives et actives de protection par surveillance de la dérive à des fins de contrôles préventifs.
-
Protection passive : AWS Organizations surveille et enregistre la dérive du contrôle préventif (SCP).
-
Protection active : le service de surveillance de la dérive d'AWS Control Tower analyse activement les SCP de contrôle préventif, sur une base régulière.
AWS Control Tower vous avertit par message SNS si une dérive est détectée.
Prévention de la dérive
Certains contrôles empêchent la modification des mécanismes de déclaration de conformité.
-
Interdire les modifications apportées à la AWS Config Rules configuration par AWS Control Tower(Contrôle préventif obligatoire)
-
Interdire la suppression des autorisations d'agrégation AWS Config créées par AWS Control Tower(Contrôle préventif obligatoire)
-
Interdire les modifications apportées aux balises créées par AWS Control Tower for Resources AWS Config(Contrôle préventif obligatoire)
-
Interdire les changements de la configuration de AWS Config(Contrôle préventif obligatoire)
Contrairement aux contrôles préventifs, les contrôles de détection vous signalent les ressources qui enfreignent la règle AWS Config associée.
Pour recevoir des notifications SNS concernant la dérive et la conformité aux commandes
Pour plus d'informations sur la manière de recevoir des notifications de conformité appropriées en matière de dérive et de contrôle par Amazon SNS, consultez. Notifications de conformité par le SNS dans le compte d'audit
Éditeurs et abonnés aux rubriques du réseau social
Le aws-controltower-AllConfigNotifications sujet :
-
La
AWS::Config::DeliveryChannelressource est configurée pour envoyer des notifications concernant les modifications de configuration apportées à cette rubrique. -
Les types possibles de notifications AWS Config pouvant être envoyées sont définis dans la section de la documentation consacrée à Amazon SNS. AWS Config
-
La
AWS::CloudTrail::Trailressource est configurée pour envoyer des notifications de livraison de fichiers journaux à cette rubrique. -
Vous pouvez vous abonner à ce sujet.
Le aws-controltower-SecurityNotifications sujet :
-
La
AWS::Events::Ruleressource est configurée pour envoyer des notifications concernant les modifications de conformité aux AWS Config règles (l'un des types de notification SNS) à cette rubrique. -
La fonction
aws-controltower-NotificationForwarderLambda est abonnée à cette rubrique, et elle transmet les notifications SNS à la rubrique.aws-controltower-AggregateSecurityNotifications
Le aws-controltower-AggregateSecurityNotifications sujet :
-
Cette rubrique reçoit des notifications de
aws-controltower-SecurityNotifications, transmises par la fonction Lambda. -
Il reçoit également des notifications de dérive dans la région d'origine.
-
Lorsque AWS Control Tower crée le sujet, un abonnement est ajouté pour l'adresse e-mail du compte d'audit, et vous devez confirmer l'abonnement.
Note
Le point de terminaison, tel qu'une adresse e-mail, doit confirmer chaque abonnement, le SNS n'envoie pas de messages à un point de terminaison tant que l'abonnement n'est pas confirmé.
