- Produits›
- Outils de gestion›
- AWS Config
FAQ sur la configuration d'Amazon
Questions d'ordre général
Qu'est-ce qu'AWS Config ?
AWS Config est un service entièrement géré qui vous offre un inventaire des ressources, un historique de la configuration et des notifications de modification de la configuration pour assurer la sécurité et une bonne gestion. Avec AWS Config, vous pouvez découvrir les ressources AWS existantes, exporter un inventaire complet de vos ressources AWS avec tous les paramètres de configuration et déterminer la configuration d'une ressource à un moment donné. Ces fonctionnalités vous permettent d'effectuer un audit de conformité, une analyse de sécurité, un suivi des modifications au niveau des ressources et de résoudre des problèmes.
Qu'est-ce qu'une règle AWS Config ?
Une règle AWS Config représente les configurations souhaitées pour une ressource ; elle est comparée aux changements de configuration apportés aux ressources correspondantes et enregistrés par AWS Config. Les résultats de l'évaluation d'une règle par rapport à la configuration d'une ressource sont disponibles dans un tableau de bord. En utilisant les règles AWS Config, vous pouvez évaluer votre statut global en termes de conformité et de risques du point de vue de la configuration, afficher les tendances de conformité au fil du temps et identifier les changements de configuration à l'origine du non-respect d'une règle par une ressource.
Qu'est-ce qu'un pack de conformité ?
Un pack de conformité est un ensemble de règles AWS Config et d'actions correctives conçues à l'aide d'un cadre et d'un modèle d'empaquetage communs dans AWS Config. En empaquetant les artefacts d'AWS Config ci-dessus, vous pouvez simplifier les aspects de déploiement et de reporting des politiques de gouvernance et la conformité de la configuration sur plusieurs comptes et régions, et réduire la durée pendant laquelle une ressource est laissée dans un état non conforme.
Quels sont les avantages d'AWS Config ?
AWS Config facilite le suivi de la configuration de vos ressources sans investissements initiaux et sans que vous incombe la tâche complexe d'installer et de mettre à jour des agents pour le recueil de données ou de gérer de vastes bases de données. Une fois AWS Config activé, vous pouvez afficher en permanence les détails mis à jour de l'ensemble des caractéristiques de configuration associées aux ressources AWS. Amazon Simple Notification Service (SNS) vous informe de chaque modification apportée à la configuration.
De quelle manière AWS Config peut-il vous aider lors des audits ?
AWS Config vous donne accès à l'historique de configuration des ressources. Vous pouvez associer les modifications apportées à la configuration aux événements AWS CloudTrail qui ont probablement joué un rôle dans ces modifications. Ces informations vous donnent une visibilité totale, en allant de détails tels que « Qui a procédé à la modification ? » à « Quelle est l’incidence de ces modifications sur les ressources AWS et les ressources associées ? », en passant par « À partir de quelle adresse IP ? ». Vous pouvez utiliser ces informations pour générer des rapports afin de faciliter l’audit et l'évaluation de la conformité au cours d'une période.
À qui s'adressent AWS Config et les règles AWS Config ?
Cette fonctionnalité peut s'avérer utile à tout client AWS cherchant à améliorer sa sécurité et son approche de la gouvernance sur AWS en évaluant en permanence la configuration de ses ressources. Dans les grandes entreprises, les administrateurs qui dictent les bonnes pratiques de configuration des ressources peuvent codifier ces règles en tant que règles AWS Config pour permettre l'auto-gouvernance par les utilisateurs. Les experts en sécurité de l'information qui surveillent l'activité et les configurations d'utilisation pour détecter les vulnérabilités peuvent eux aussi tirer profit des règles AWS Config. Les clients dont les charges de travail doivent être conformes à des normes particulières (par ex. PCI-DSS ou HIPAA) peuvent s'appuyer sur cette fonctionnalité pour évaluer la conformité de leurs configurations d'infrastructure AWS et générer des rapports destinés à leurs auditeurs. Les opérateurs qui gèrent de grandes infrastructures AWS ou des composants fréquemment modifiés peuvent également utiliser des règles AWS Config pour faciliter le dépannage. Les clients qui souhaitent suivre les modifications apportées à la configuration de leurs ressources, répondre à des questions sur les configurations des ressources, rendre compte de la conformité, résoudre des problèmes ou réaliser une analyse de la sécurité doivent activer AWS Config.
À qui s'adressent les packs de conformité AWS Config ?
Si vous recherchez un cadre pour créer et déployer des packages de conformité pour vos configurations de ressources AWS sur plusieurs comptes, vous devez utiliser des packs de conformité. Ce cadre peut être utilisé pour créer des packs personnalisés pour la sécurité, DevOps et d'autres personnes, et les clients peuvent démarrer rapidement avec l'un des exemples de modèles de packs de conformité.
Est-ce que le service garantit que mes configurations sont toujours conformes ?
Les règles AWS Config et les packs de conformité indiquent si vos ressources sont conformes aux règles de configuration que vous spécifiez. Ils évalueront les configurations des ressources par rapport aux règles AWS Config, soit périodiquement, soit lors de la détection de modifications de configuration, ou les deux, en fonction de la configuration de la règle. Cependant, ils ne garantissent pas que les ressources sont conformes et n'empêchent pas les utilisateurs d'effectuer des actions non conformes. Ils peuvent toutefois être utilisés pour rétablir la conformité d'une ressource non conforme en configurant les actions correctives appropriées pour chaque règle AWS Config.
Le service empêche-t-il les utilisateurs d'effectuer des actions non conformes ?
Les règles AWS Config n'influencent pas directement la façon dont les utilisateurs finaux ont recours à AWS. Elles évaluent les configurations de ressources uniquement après l'enregistrement d'un changement effectif de configuration par AWS Config. Les règles AWS Config n'empêchent pas les utilisateurs d'effectuer des actions susceptibles de nuire à la conformité. Pour contrôler les ressources qu'un utilisateur peut mettre en service sur AWS et les paramètres de configuration autorisés ce faisant, utilisez les politiques de gestion des identités et des accès AWS (IAM) et AWS Service Catalog respectivement.
Les règles peuvent-elles être évaluées avant la mise en service d'une ressource ?
Oui, les règles AWS Config peuvent être définies en mode proactif uniquement, en mode détective uniquement, ou à la fois en mode proactif et en mode détective. Pour une liste complète de ces règles, consultez la documentation.
J'utilise déjà les règles AWS Config pour mes ressources après le provisionnement. Comment puis-je exécuter ces mêmes règles en mode proactif ?
Vous pouvez utiliser l'API PutConfigRule existante ou la console AWS Config pour activer le mode proactif sur une règle AWS Config de votre compte.
AWS Config peut-il enregistrer les configurations des ressources sur site ou sur d'autres clouds ?
AWS Config vous permet d'enregistrer des configurations pour des ressources tierces ou des types de ressources personnalisés tels que des serveurs sur site, des outils de surveillance du logiciel en tant que service (SaaS) et des systèmes de contrôle de version. Pour ce faire, vous devez créer un schéma de fournisseur de ressources conforme à la configuration du type de ressource et la valider. Vous devez enregistrer la ressource personnalisée à l'aide d'AWS CloudFormation ou de votre outil Infrastructure en tant que code (IaC).
Si vous avez configuré AWS Config pour enregistrer tous les types de ressources, les ressources tierces qui sont gérées (créées, mises à jour ou supprimées) via AWS CloudFormation sont automatiquement suivies dans AWS Config en tant qu'éléments de configuration. Pour en savoir plus sur les étapes requises et comprendre dans quelles régions AWS cela est disponible, consultez le Guide du développeur AWS Config : Enregistrer les configurations pour les ressources tierces.
Comment fonctionne AWS Config avec AWS CloudTrail ?
AWS CloudTrail enregistre l'activité d'API de l'utilisateur sur votre compte et vous permet d'accéder à des informations relatives à cette dernière. Vous obtenez tous les détails relatifs aux actions d'API, tels que l'identité du mandataire, l'heure de l'appel d'API, les paramètres de la demande et les éléments de réponse envoyés par le service AWS. AWS Config enregistre les détails de configuration de vos ressources AWS à un instant donné sous forme d'éléments de configuration (CI). Vous pouvez utiliser une CI pour répondre à la question : « À quoi ressemblait ma ressource AWS ? » à un moment donné. Vous pouvez utiliser AWS CloudTrail pour répondre à la question : « Qui a passé un appel API pour modifier cette ressource ? » Vous pouvez, par exemple, utiliser la console de gestion AWS pour qu'AWS Config détermine que le groupe de sécurité « Production-DB » a été mal configuré dans le passé. En vous appuyant sur les informations AWS CloudTrail intégrées, vous pouvez déterminer quel utilisateur a mal configuré le groupe de sécurité « Production-DB ».
Puis-je surveiller les données de conformité de plusieurs comptes et régions depuis un compte centralisé ?
AWS Config facilite la surveillance de l'état de conformité sur plusieurs comptes et régions grâce à la capacité d'agrégation des données de plusieurs comptes et plusieurs régions. Il est possible de créer un agrégateur de configurations dans n'importe quel compte et d'y regrouper les données de conformité d'autres comptes. Cette capacité est également intégrée à AWS Organizations, afin de permettre l'agrégation des données de tous les comptes au sein d'une organisation donnée.
Puis-je connecter mes instances ServiceNow et Jira Service Desk à AWS Config ?
Oui. AWS Service Management Connector pour ServiceNow et Jira Service Desk (anciennement appelé Connecteur AWS Service Catalog) permet aux utilisateurs finaux de ServiceNow et Jira Service Desk de mettre en service, gérer et exploiter les ressources AWS de manière native en utilisant ServiceNow et Jira Service Desk. Les utilisateurs ServiceNow peuvent suivre sans problème les ressources dans une vue d'élément de configuration à technologie AWS Config sur ServiceNow avec le connecteur de gestion AWS. Les utilisateurs Jira Service Desk peuvent suivre les ressources à travers une demande relative à un problème, en utilisant AWS Service Management Connector. Cela simplifie les actions de demande de produits AWS pour les utilisateurs ServiceNow et Jira Service Desk et fournit aux administrateurs ServiceNow et Jira Service Desk la gouvernance et la supervision des produits AWS.
AWS Service Management Connector for ServiceNow est disponible sans frais dans ServiceNow Store. Cette nouvelle fonctionnalité est disponible pour tous dans toutes les régions AWS où AWS Service Catalog est disponible. Pour plus d'informations, reportez-vous à la documentation.
AWS Service Management Connector pour Jira Service Desk est disponible sans frais dans Atlassian Marketplace. Cette nouvelle fonctionnalité est disponible pour tous dans toutes les régions AWS où AWS Service Catalog est disponible. Pour plus d'informations, reportez-vous à la documentation.
Mise en route
Comment démarrer avec ce service ?
Le moyen le plus rapide pour faire vos premiers pas avec AWS Config est d'utiliser la console de gestion AWS. Vous pouvez activer AWS Config en quelques clics. Pour plus de détails, reportez-vous à la documentation Démarrer .
Comment accéder à la configuration de mes ressources ?
Vous pouvez rechercher la configuration actuelle et passée de vos ressources à l'aide de la console de gestion AWS, l'interface de ligne de commande AWS ou des kits de développement logiciel.
Pour plus d’informations, veuillez vous reporter à la documentation AWS Config.
Dois-je activer AWS Config à l'échelle régionale ou mondiale ?
Vous activez AWS Config à l'échelle régionale pour votre compte.
AWS Config peut-il regrouper des données à partir de plusieurs comptes AWS ?
Oui, vous pouvez configurer AWS Config pour qu'il effectue des mises à jour de la configuration à partir de différents comptes dans un compartiment S3, une fois que les stratégies IAM appropriées sont appliquées au compartiment Amazon S3. Vous pouvez également publier des notifications dans la rubrique SNS au sein d'une même région, une fois les politiques IAM adéquates appliquées à la rubrique SNS.
Les activités d'API sur AWS Config sont-elles journalisées par AWS CloudTrail ?
Oui. Toutes les activités d'API AWS Config, notamment l'utilisation des API AWS Config pour lire les données de configuration, sont journalisées par AWS CloudTrail.
Quelle heure et quels fuseaux horaires sont affichés dans la vue chronologique d'une ressource ? Qu'en est-il de l'heure d'été ?
AWS Config affiche l'heure à laquelle les éléments de configuration (CI) d'une ressource ont été enregistrés dans une chronologie. Toutes les heures sont indiquées en temps universel coordonné (UTC). Lorsqu'une chronologie est visualisée dans la console de gestion, les services utilisent le fuseau horaire actuel (ajusté en fonction de l'heure d'été, le cas échéant) pour afficher toutes les heures dans la vue chronologique.
Configuration des ressources
Qu'est-ce qu'un élément de configuration ?
Un élément de configuration (CI) est la configuration d'une ressource à un instant donné. Un CI se compose de cinq sections :
Les informations basiques sur la ressource communes aux différents types de ressources (par ex. le nom de ressource Amazon, les balises),
les données de configuration spécifiques à la ressource (par ex. le type d'instance EC2),
une cartographie des relations avec d'autres ressources (par ex. EC2::Volume vol-3434df43 est « associé à l'instance » EC2 i-3432ee3a),
les ID d'événements AWS CloudTrail associés à cet état (uniquement pour les ressources AWS)
les métadonnées qui vous aident à identifier des informations sur l'élément de configuration, telles que la version de ce dernier et la date de sa capture.
Qu'est-ce qu'un élément de configuration personnalisé ?
Un élément de configuration personnalisé est l'élément de configuration pour un tiers ou une ressource personnalisée. On peut notamment citer les bases de données sur site, les serveurs Active Directory, les systèmes de contrôle de version tels que GitHub et les outils de surveillance tiers tels que Datadog.
Quelles sont les relations d'AWS Config et comment sont-elles utilisées ?
AWS Config prend en compte les relations entre les ressources lors de l'enregistrement des modifications. Par exemple, si un nouveau groupe de sécurité EC2 est associé à une instance EC2, AWS Config enregistre les configurations mises à jour de la ressource principale, du groupe de sécurité EC2 et des ressources associées, si ces ressources ont changé.
Le service AWS Config enregistre-t-il chaque état d'une ressource ?
AWS Config détecte une modification de la configuration d'une ressource et enregistre l'état de la configuration suite à cette modification. Si plusieurs modifications de configuration sont apportées à une ressource à intervalles rapprochés (en l'espace de quelques minutes, par exemple), AWS Config enregistre uniquement la dernière configuration de cette ressource qui représente l'effet cumulé de l'ensemble des modifications. Dans ces situations, AWS Config ne répertorie que la dernière modification dans le champ relatedEvents de l'élément de configuration. Cela permet aux utilisateurs et aux programmes de continuer à modifier les configurations de l'infrastructure sans devoir attendre qu'AWS Config enregistre les états transitoires intermédiaires.
Comment puis-je choisir la fréquence à laquelle AWS Config enregistre les modifications de configuration ?
L'enregistrement périodique vous permet de décider à quelle fréquence enregistrer les modifications apportées à votre environnement, réduisant ainsi les éléments de configuration liés aux ressources qui changent fréquemment. Au lieu de recevoir des mises à jour en continu, vous pouvez utiliser l'enregistrement périodique pour recevoir les modifications de configuration toutes les 24 heures afin de répondre à vos cas d'utilisation.
Q : Quand dois-je utiliser l'enregistrement périodique au lieu de l'enregistrement continu ?
L'enregistrement périodique vous permet de décider à quelle fréquence vous souhaitez recevoir des mises à jour sur les configurations de vos ressources. Lorsqu'il est activé, AWS Config ne fournira la dernière configuration d'une ressource qu'au bout d'une période de 24 heures si elle a changé, ce qui réduit la fréquence des données de configuration et rend le coût de collecte de ces données plus prévisible pour des cas d'utilisation tels que la planification opérationnelle et l'audit. Si vos besoins en matière de sécurité et de conformité nécessitent une surveillance continue de vos ressources, un enregistrement continu doit être utilisé.
Le service AWS Config enregistre-t-il les modifications de configuration qui ne sont pas le résultat des activités d'API sur cette ressource ?
Oui, AWS Config recherche régulièrement les modifications de configuration des ressources qui n'ont pas été encore enregistrées pour les enregistrer. Les éléments de configuration enregistrés à partir de ces recherches ne disposent pas de champ relatedEvent dans la charge utile, et seul le dernier état qui est différent de celui déjà enregistré est sélectionné.
Le service AWS Config enregistre-t-il les changements de configuration de logiciels au sein des instances EC2 ?
Oui. AWS Config vous permet d'enregistrer les changements de configuration de logiciels au sein des instances EC2 de votre compte AWS, mais aussi des machines virtuelles (VM) ou des serveurs de votre environnement sur site. Les informations de configuration enregistrées par AWS Config incluent les mises à jour du système d'exploitation, la configuration réseau, les applications installées, etc. Si vous souhaitez vérifier que vos instances, machines virtuelles et serveurs sont conformes à vos instructions, vous pouvez utiliser les règles AWS Config. Cette grande visibilité, associée aux capacités de surveillance continue offertes par AWS Config, vous permet d'évaluer la conformité et de résoudre les problèmes opérationnels.
AWS Config continue-t-il à envoyer des notifications si une ressource auparavant non conforme reste non conforme après une évaluation périodique par les règles ?
AWS Config envoie uniquement des notifications si le statut de la conformité change. Si une ressource auparavant non conforme reste non conforme, AWS Config n'envoie pas de nouvelle notification. Si le statut de la conformité change et devient « conforme », vous recevrez une notification concernant le changement de statut.
Q : Puis-je marquer des ressources pour une évaluation par les règles AWS Config ou les dispenser ou les exempter de l'évaluation ?
Oui, vous pouvez exclure des ressources en accédant à la page « Paramètres de l'enregistreur » dans la console d'AWS Config, en sélectionnant l'option « Exclure les types de ressources » et en spécifiant les exclusions souhaitées. Par ailleurs, vous pouvez également utiliser l'API PutConfigurationRecorder pour accéder à cette fonctionnalité. Cette API désactivera l'enregistrement de la configuration pour ce type de ressource. De même, lors de la configuration des règles AWS Config, vous pouvez préciser si votre règle effectue les évaluations par rapport aux types de ressources mentionnés ou aux ressources avec une balise en particulier.
AWS Config Rules
Qu'est-ce que la configuration d'une ressource ?
La configuration d'une ressource est définie par les données incluses dans l'élément de configuration (CI) d'AWS Config. La version initiale des règles AWS Config met le CI de la ressource à la disposition des règles appropriées. Les règles AWS Config peuvent utiliser ces informations ainsi que d'autres informations pertinentes, telles que les ressources connexes ou les heures d'ouverture, pour évaluer la conformité d’une configuration de ressource.
Qu'est-ce qu'une règle ?
Une règle représente les valeurs d'attributs d'élément de configuration (CI) souhaitées pour les ressources ; elle est évaluée en comparant ces valeurs d'attributs aux CI enregistrés par AWS Config. On distingue deux types de règles :
Les règles gérées par AWS : ces règles sont prédéfinies et administrées par AWS. Vous choisissez simplement la règle à activer, puis vous fournissez quelques paramètres de configuration pour commencer. En savoir plus »
Les règles gérées par le client : ce sont des règles personnalisées que vous définissez et créez. Vous pouvez créer une fonction dans AWS Lambda qui peut être appelée dans le cadre d'une règle personnalisée ; cette fonction s'exécute dans votre compte. En savoir plus »
Le moyen le plus rapide pour faire vos premiers pas avec AWS Config est d'utiliser la console de gestion AWS. Vous pouvez activer AWS Config en quelques clics. Pour plus de détails, reportez-vous à la documentation Démarrer .
Comment les règles sont-elles créées ?
Les règles sont généralement mises en place par l'administrateur du compte AWS. Il est possible de les définir en reprenant les règles gérées par AWS (ensemble prédéfini de règles fourni par AWS) ou en utilisant les règles gérées par le client. Si vous utilisez les règles gérées par AWS, les mises à jour appliquées à une règle sont appliquées à tous les comptes utilisant cette règle. Dans le modèle géré par le client, les clients disposent d'une copie complète de la règle et l'appliquent dans leur propre compte. Ces règles sont gérées par le client.
Combien de règles puis-je créer ?
Par défaut, vous pouvez créer jusqu’à 150 règles dans votre compte AWS. Par ailleurs, vous pouvez demander une augmentation de la limite du nombre de règles dans votre compte en consultant la page AWS Service Limits
Comment les règles sont-elles évaluées ?
Une règle peut être définie pour s'exécuter en cas de modification ou périodiquement. Une règle déclenchée en cas de modification est exécutée lorsque AWS Config enregistre un changement de configuration pour l'une des ressources indiquées. De plus, l'une des options suivantes doit être indiquée :
Clé de balise:(valeur facultative) : une clé de balise:valeur implique que les changements de configuration enregistrés pour les ressources associées à cette clé de balise déclencheront une évaluation de la règle.
Type(s) de ressources : les modifications de configuration enregistrées pour toutes les ressources du ou des types spécifiés déclencheront une évaluation de la règle.
ID de ressource : les modifications enregistrées pour la ressource désignée par le type de ressource et l'ID de ressource déclencheront une évaluation de la règle.
Une règle périodique se déclenche à la fréquence indiquée. Les fréquences disponibles sont de 1 h, 3 h, 6 h, 12 h ou 24 h. Une règle périodique possède un instantané complet des éléments de configuration (CI) actuels pour toutes les ressources dont elle dispose.
Qu'est-ce qu'une évaluation ?
L'évaluation d'une règle consiste à déterminer si celle-ci est conforme à une ressource à un moment donné. Il s'agit du résultat du contrôle de l'application d'une règle par rapport à la configuration d'une ressource. Les règles AWS Config capturent et stockent le résultat de chaque évaluation. Ce résultat inclut la ressource, la règle, l'heure d'évaluation et un lien vers l'élément de configuration (CI) qui n'a pas respecté la conformité.
Que signifie le terme « conformité » ?
Une ressource est conforme si elle respecte toutes les règles qui lui sont applicables ; dans le cas contraire, elle n'est pas conforme. De même, une règle est conforme si toutes les ressources qu'elle évalue la respectent. Dans certains cas, par exemple lorsque la règle ne dispose pas d'autorisations adéquates, la ressource peut ne pas faire l'objet d'une évaluation, ce qui conduit à une insuffisance de données. Cet état empêche de déterminer le statut de conformité d'une ressource ou d'une règle.
Quelles informations le tableau de bord des règles AWS Config fournit-il ?
Le tableau de bord des règles AWS Config fournit une vue d'ensemble des ressources surveillées par AWS Config, ainsi qu'une synthèse de l'état de conformité actuel par ressource et par règle. Lorsque vous affichez la conformité par ressource, vous pouvez déterminer si une règle qui s'applique à la ressource est actuellement non conforme. Vous pouvez afficher la conformité par règle, ce qui vous indique si une ressource soumise à la règle est actuellement non conforme. Grâce à ces vues synthétiques, vous pouvez explorer de manière plus approfondie la chronologie des ressources AWS Config, afin de savoir quels paramètres de configuration ont changé. En utilisant ce tableau de bord, vous pouvez commencer avec une vue d'ensemble, puis passer à des vues détaillées fournissant des informations complètes sur les changements de statut de conformité et sur les modifications qui sont à l'origine de chaque non-conformité.
Packs de conformité
Dans quels cas dois-je utiliser des règles AWS Config plutôt que des packs de conformité ?
Vous pouvez utiliser des règles AWS Config individuelles pour évaluer la conformité de la configuration des ressources dans un ou plusieurs comptes. Les packs de conformité offrent l'avantage supplémentaire des règles d'empaquetage ainsi que des actions correctives dans une seule entité qui peut être déployée dans l'intégralité d'une entreprise en un seul clic. Les packs de conformité ont pour objectif de simplifier la gestion de la conformité et les rapports à grande échelle, lorsque vous gérez plusieurs comptes. Les packs de conformité sont conçus pour fournir des rapports de conformité agrégés au niveau du pack et de manière immuable. Cela permet aux règles AWS Config gérées et aux documents de correction contenus dans le pack de conformité de ne pas être modifiés ou supprimés par les comptes des membres individuels d'une organisation.
Comment les règles AWS Config et AWS Config sont-ils liés à AWS Security Hub?
AWS Security Hub est un service de sécurité et de conformité, et un outil de gestion des stratégies de sécurité et de conformité. Il utilise les règles AWS Config et AWS Config comme principal moyen pour évaluer la configuration des ressources AWS. Les règles AWS Config peuvent également être utilisées pour évaluer directement la configuration des ressources. Les règles AWS Config sont aussi utilisées par d'autres services AWS tels que AWS Control Tower et AWS Firewall Manager.
Q : Quand utiliser AWS Security Hub et les packs de conformité AWS Config ?
Si une norme de conformité telle que PCI DSS est déjà présente dans AWS Security Hub, le service entièrement géré d’AWS Security Hub est le moyen le plus simple de la rendre opérationnelle. Vous pouvez examiner les résultats grâce à l'intégration du Security Hub d’Amazon Detective. Vous pouvez également mettre en place des actions correctives automatisées ou semi-automatisées grâce à l'intégration du Security Hub d’Amazon EventBridge. Cependant, si vous souhaitez créer vos propres normes de conformité ou de sécurité, qui peuvent inclure des contrôles de sécurité, de fonctionnement ou d'optimisation des coûts, optez pour les packs de conformité AWS Config. Les packs de conformité AWS Config simplifient la gestion des règles AWS Config en regroupant en une seule entité un groupe de règles AWS Config et les actions de remédiation associées. Ce regroupement simplifie le déploiement des règles et des actions correctives au sein d’une organisation. Cela permet également de créer des rapports agrégés, puisque les résumés de conformité sont souvent déclarés sous le format pack. Vous pouvez démarrer avec les échantillons de packs de conformité AWS Config que nous vous fournissons, puis les personnaliser comme bon vous semble.
Q : Les packs de conformité AWS Security Hub et AWS Config prennent-ils en charge la surveillance continue de la conformité ?
Oui, les packs de conformité AWS Security Hub et AWS Config prennent en charge la surveillance continue de la conformité, puisqu’ils s’appuient sur AWS Config et les règles AWS Config. Les règles AWS Config sous-jacentes peuvent être déclenchées soit périodiquement, soit lorsque des changements sont détectés dans la configuration des ressources. AWS Config vous permet de contrôler et d'évaluer en continu la conformité générale des configurations de vos ressources AWS par rapport aux règlements et directives de votre organisation.
Comment démarrer avec les packs de conformité ?
Le moyen le plus rapide de faire vos premiers pas est de créer un pack de conformité à l'aide de l'un de nos exemples de modèles via l'interface de ligne de commande ou la console AWS Config. Certains exemples de modèles incluent les meilleures pratiques opérationnelles Amazon S3, les meilleures pratiques opérationnelles Amazon DynamoDB et les meilleures pratiques opérationnelles pour PCI. Ces modèles sont écrits en YAML. Vous pouvez télécharger ces modèles sur notre site de documentation et les modifier en fonction de votre environnement à l'aide de l'éditeur de texte de votre choix. Vous pouvez même ajouter au pack des règles AWS Config personnalisées que vous avez peut-être précédemment écrites.
Q : L'utilisation de cette fonctionnalité dans AWS Config engendre-t-elle des frais ?
Les packs de conformité seront facturés selon un modèle de tarification progressif. Pour en savoir plus, consultez la page Tarification d'AWS Config.
Agrégation de données multi-compte et multi-région
Qu'est-ce que l'agrégation des données de plusieurs comptes et plusieurs régions ?
L'agrégation de données dans AWS Config permet de regrouper les données AWS Config de plusieurs comptes et régions dans un seul compte et dans une seule région. L'agrégation de données sur plusieurs comptes est intéressante pour les administrateurs informatiques centraux chargés de surveiller la conformité de plusieurs comptes AWS dans l'entreprise.
Puis-je utiliser la capacité d'agrégation de données pour allouer des règles AWS Config sur plusieurs comptes de façon centralisée ?
La capacité d'agrégation de données ne peut pas être utilisée pour affecter des règles sur plusieurs comptes. Elle est exclusivement destinée à renforcer la visibilité de votre conformité. Vous pouvez utiliser des AWS CloudFormation StackSets pour affecter des règles sur plusieurs comptes et plusieurs régions. Pour en savoir plus, lisez cet article surlien du blog.
Comment puis-je activer l'agrégation des données dans mon compte ?
Quand AWS Config et les règles AWS Config sont activées sur votre compte et sur les comptes ciblés par l'agrégation, vous pouvez activer l'agrégation des données en créant un agrégateur dans votre compte. En savoir plus.
Qu'est-ce qu'un agrégateur ?
Un agrégateur est un type de ressource AWS Config qui collecte les données AWS Config de plusieurs comptes et régions. Les agrégateurs permettent de consulter les données de configuration et de conformité de ressources enregistrées dans AWS Config pour plusieurs comptes et régions.
Quelles sont les informations fournies par la vue agrégée ?
La vue agrégée affiche le nombre total de règles non conformes au sein de l'organisation, les cinq premières règles non conformes par nombre de ressources et les cinq premiers comptes AWS qui présentent le plus de règles non conformes. Vous pouvez ensuite aller en profondeur pour afficher plus de détails sur les ressources contrevenant aux règles et sur les listes de règles violées par un compte.
Je ne suis pas client d'AWS Organizations. Puis-je tout de même utiliser la capacité d'agrégation de données ?
Vous pouvez spécifier les comptes dont vous souhaitez agréger les données AWS Config en chargeant un fichier ou en saisissant manuellement les comptes. Notez que comme ces comptes ne font partie d'aucune organisation AWS, vous devrez autoriser explicitement le compte de l'agrégateur pour chacun d'entre eux. En savoir plus.
Je n'ai qu'un seul compte. Puis-je quand même profiter de la capacité d'agrégation de données ?
La capacité d'agrégation de données est également utile pour l'agrégation de données multi-région. Ainsi, vous pouvez agréger les données AWS Config pour votre compte sur plusieurs régions à l'aide de cette capacité.
Dans quelles régions la capacité d'agrégation de données multi-comptes et multi-régions est-elle disponible ?
Pour en savoir plus sur les régions dans lesquelles l'agrégation de données multi-comptes et multi-régions est disponible, consultez le Guide du développeur AWS Config : Agrégation de données multi-comptes et multi-régions.
Que faire si mon compte comporte des ressources dans une région non prise en charge par cette fonctionnalité ?
Pendant la création d'un agrégateur, vous devez spécifier les régions dont vous souhaitez regrouper les données. Cette liste n'affiche que les régions dans lesquelles cette fonctionnalité est disponible. Il est également possible de sélectionner « Toutes les régions », afin d’étendre automatiquement le regroupement des données aux nouvelles régions prises en charge.
Services et régions pris en charge
Quels sont les types de ressources AWS pris en charge par AWS Config ?
Consultez notre documentation pour obtenir la liste complète des types de ressources pris en charge.
Dans quelles régions le service AWS Config est-il disponible ?
Pour plus d'informations sur les régions AWS où AWS Config est disponible, consultez le tableau des régions AWS.
Tarification
Q : Combien me coûtera AWS Config ?
Avec AWS Config, vous êtes facturé en fonction du nombre d'éléments de configuration enregistrés, du nombre d'évaluations de règles AWS Config actives et du nombre d'évaluations de packs de conformité dans votre compte. Un élément de configuration est un enregistrement de l'état de la configuration d'une ressource dans votre compte AWS. AWS Config peut fournir des éléments de configuration à deux fréquences : continue et périodique. L'enregistrement continu enregistre et fournit les modifications de configuration chaque fois qu'une modification se produit. L'enregistrement périodique fournit les données de configuration toutes les 24 heures, uniquement en cas de modification. Une évaluation de règle AWS Config est une évaluation de l'état de conformité d'une ressource par une règle AWS Config dans votre compte AWS. Une évaluation de pack de conformité est définie comme une évaluation d'une ressource par une règle AWS Config dans le pack de conformité. Pour plus de détails et d'exemples, rendez-vous sur https://aws.amazon.com/config/pricing/.
Q : La tarification des règles AWS Config comprend-elle les coûts des fonctions AWS Lambda ?
Vous pouvez faire votre choix parmi un ensemble de règles gérées fourni par AWS ou créer vos propres règles écrites sous forme de fonctions AWS Lambda. Les règles gérées sont entièrement gérées et maintenues par AWS, et leur exécution n'entraîne pas de frais supplémentaires AWS Lambda. Il suffit d'activer les règles gérées, de fournir des paramètres requis et de payer un tarif unique pour chaque règle AWS Config active au cours d’un mois donné. Les règles sur mesure vous offrent un contrôle total, car elles sont exécutées comme la fonction AWS Lambda au sein de votre compte. Outre les frais mensuels applicables à toute règle active, les tarifs standard de l'offre gratuite AWS Lambda* et des exécutions de fonctions s'appliquent aux règles AWS Config personnalisées.
*L'offre gratuite d'AWS n'est pas disponible dans la région AWS Chine (Pékin) ou la région AWS Chine (Ningxia).
Q : Je souhaite modifier la fonction Lambda pour ma règle AWS Config personnalisée. Quelle est l’approche recommandée ?
Des frais vous sont facturés chaque fois d’une nouvelle règle est créée et devient active. Si vous souhaitez mettre à jour ou actualiser la fonctionnalité Lambda associée à une règle, l’approche recommandée consiste à mettre à jour la règle, plutôt que de la supprimer pour en créer une nouvelle.
Solutions partenaires
Quelles sont les solutions partenaires AWS disponibles pour AWS Config ?
Les solutions de partenaires APN, tels que Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks et Red Hat CloudForms, proposent des offres totalement intégrées avec des données provenant d'AWS Config. Des fournisseurs de services gérés, tels que 2nd Watch et CloudNexa ont également annoncé des intégrations avec AWS Config. De plus, avec les règles AWS Config, des partenaires comme CloudHealth Technologies, AlertLogic et TrendMicro fournissent des offres intégrées pouvant être utilisées par les clients. Ces solutions incluent des fonctions telles que la gestion des modifications et l'analyse de la sécurité. Elles vous permettent de visualiser, contrôler et gérer les configurations des ressources AWS.