FAQ sur la configuration d'Amazon

Le moyen le plus rapide pour faire vos premiers pas avec AWS Config est d'utiliser la console de gestion AWS. Vous pouvez activer AWS Config en quelques clics. Pour plus de détails, reportez-vous à la documentation Démarrer .

Vous pouvez rechercher la configuration actuelle et passée de vos ressources à l'aide de la console de gestion AWS, l'interface de ligne de commande AWS ou des kits de développement logiciel.

Pour plus d’informations, veuillez vous reporter à la documentation AWS Config.

Vous activez AWS Config à l'échelle régionale pour votre compte.

Oui, vous pouvez configurer AWS Config pour qu'il effectue des mises à jour de la configuration à partir de différents comptes dans un compartiment S3, une fois que les stratégies IAM appropriées sont appliquées au compartiment Amazon S3. Vous pouvez également publier des notifications dans la rubrique SNS au sein d'une même région, une fois les politiques IAM adéquates appliquées à la rubrique SNS.

Oui. Toutes les activités d'API AWS Config, notamment l'utilisation des API AWS Config pour lire les données de configuration, sont journalisées par AWS CloudTrail.

AWS Config affiche l'heure à laquelle les éléments de configuration (CI) d'une ressource ont été enregistrés dans une chronologie. Toutes les heures sont indiquées en temps universel coordonné (UTC). Lorsqu'une chronologie est visualisée dans la console de gestion, les services utilisent le fuseau horaire actuel (ajusté en fonction de l'heure d'été, le cas échéant) pour afficher toutes les heures dans la vue chronologique.

Un élément de configuration (CI) est la configuration d'une ressource à un instant donné. Un CI se compose de cinq sections :

Les informations basiques sur la ressource communes aux différents types de ressources (par ex. le nom de ressource Amazon, les balises),

les données de configuration spécifiques à la ressource (par ex. le type d'instance EC2),

une cartographie des relations avec d'autres ressources (par ex. EC2::Volume vol-3434df43 est « associé à l'instance » EC2 i-3432ee3a),

les ID d'événements AWS CloudTrail associés à cet état (uniquement pour les ressources AWS)

les métadonnées qui vous aident à identifier des informations sur l'élément de configuration, telles que la version de ce dernier et la date de sa capture.

En savoir plus sur les éléments de configuration.

Un élément de configuration personnalisé est l'élément de configuration pour un tiers ou une ressource personnalisée. On peut notamment citer les bases de données sur site, les serveurs Active Directory, les systèmes de contrôle de version tels que GitHub et les outils de surveillance tiers tels que Datadog.

AWS Config prend en compte les relations entre les ressources lors de l'enregistrement des modifications. Par exemple, si un nouveau groupe de sécurité EC2 est associé à une instance EC2, AWS Config enregistre les configurations mises à jour de la ressource principale, du groupe de sécurité EC2 et des ressources associées, si ces ressources ont changé.

AWS Config détecte une modification de la configuration d'une ressource et enregistre l'état de la configuration suite à cette modification. Si plusieurs modifications de configuration sont apportées à une ressource à intervalles rapprochés (en l'espace de quelques minutes, par exemple), AWS Config enregistre uniquement la dernière configuration de cette ressource qui représente l'effet cumulé de l'ensemble des modifications. Dans ces situations, AWS Config ne répertorie que la dernière modification dans le champ relatedEvents de l'élément de configuration. Cela permet aux utilisateurs et aux programmes de continuer à modifier les configurations de l'infrastructure sans devoir attendre qu'AWS Config enregistre les états transitoires intermédiaires.

L'enregistrement périodique vous permet de décider à quelle fréquence enregistrer les modifications apportées à votre environnement, réduisant ainsi les éléments de configuration liés aux ressources qui changent fréquemment. Au lieu de recevoir des mises à jour en continu, vous pouvez utiliser l'enregistrement périodique pour recevoir les modifications de configuration toutes les 24 heures afin de répondre à vos cas d'utilisation. 

L'enregistrement périodique vous permet de décider à quelle fréquence vous souhaitez recevoir des mises à jour sur les configurations de vos ressources. Lorsqu'il est activé, AWS Config ne fournira la dernière configuration d'une ressource qu'au bout d'une période de 24 heures si elle a changé, ce qui réduit la fréquence des données de configuration et rend le coût de collecte de ces données plus prévisible pour des cas d'utilisation tels que la planification opérationnelle et l'audit. Si vos besoins en matière de sécurité et de conformité nécessitent une surveillance continue de vos ressources, un enregistrement continu doit être utilisé.

Oui, AWS Config recherche régulièrement les modifications de configuration des ressources qui n'ont pas été encore enregistrées pour les enregistrer. Les éléments de configuration enregistrés à partir de ces recherches ne disposent pas de champ relatedEvent dans la charge utile, et seul le dernier état qui est différent de celui déjà enregistré est sélectionné.

Oui. AWS Config vous permet d'enregistrer les changements de configuration de logiciels au sein des instances EC2 de votre compte AWS, mais aussi des machines virtuelles (VM) ou des serveurs de votre environnement sur site. Les informations de configuration enregistrées par AWS Config incluent les mises à jour du système d'exploitation, la configuration réseau, les applications installées, etc. Si vous souhaitez vérifier que vos instances, machines virtuelles et serveurs sont conformes à vos instructions, vous pouvez utiliser les règles AWS Config. Cette grande visibilité, associée aux capacités de surveillance continue offertes par AWS Config, vous permet d'évaluer la conformité et de résoudre les problèmes opérationnels.

AWS Config envoie uniquement des notifications si le statut de la conformité change. Si une ressource auparavant non conforme reste non conforme, AWS Config n'envoie pas de nouvelle notification. Si le statut de la conformité change et devient « conforme », vous recevrez une notification concernant le changement de statut.

Oui, vous pouvez exclure des ressources en accédant à la page « Paramètres de l'enregistreur » dans la console d'AWS Config, en sélectionnant l'option « Exclure les types de ressources » et en spécifiant les exclusions souhaitées. Par ailleurs, vous pouvez également utiliser l'API PutConfigurationRecorder pour accéder à cette fonctionnalité. Cette API désactivera l'enregistrement de la configuration pour ce type de ressource. De même, lors de la configuration des règles AWS Config, vous pouvez préciser si votre règle effectue les évaluations par rapport aux types de ressources mentionnés ou aux ressources avec une balise en particulier.

La configuration d'une ressource est définie par les données incluses dans l'élément de configuration (CI) d'AWS Config. La version initiale des règles AWS Config met le CI de la ressource à la disposition des règles appropriées. Les règles AWS Config peuvent utiliser ces informations ainsi que d'autres informations pertinentes, telles que les ressources connexes ou les heures d'ouverture, pour évaluer la conformité d’une configuration de ressource.

Une règle représente les valeurs d'attributs d'élément de configuration (CI) souhaitées pour les ressources ; elle est évaluée en comparant ces valeurs d'attributs aux CI enregistrés par AWS Config. On distingue deux types de règles :

Les règles gérées par AWS : ces règles sont prédéfinies et administrées par AWS. Vous choisissez simplement la règle à activer, puis vous fournissez quelques paramètres de configuration pour commencer. En savoir plus »

Les règles gérées par le client : ce sont des règles personnalisées que vous définissez et créez. Vous pouvez créer une fonction dans AWS Lambda qui peut être appelée dans le cadre d'une règle personnalisée ; cette fonction s'exécute dans votre compte. En savoir plus »

Le moyen le plus rapide pour faire vos premiers pas avec AWS Config est d'utiliser la console de gestion AWS. Vous pouvez activer AWS Config en quelques clics. Pour plus de détails, reportez-vous à la documentation Démarrer .

Les règles sont généralement mises en place par l'administrateur du compte AWS. Il est possible de les définir en reprenant les règles gérées par AWS (ensemble prédéfini de règles fourni par AWS) ou en utilisant les règles gérées par le client. Si vous utilisez les règles gérées par AWS, les mises à jour appliquées à une règle sont appliquées à tous les comptes utilisant cette règle. Dans le modèle géré par le client, les clients disposent d'une copie complète de la règle et l'appliquent dans leur propre compte. Ces règles sont gérées par le client.

Par défaut, vous pouvez créer jusqu’à 150 règles dans votre compte AWS. Par ailleurs, vous pouvez demander une augmentation de la limite du nombre de règles dans votre compte en consultant la page AWS Service Limits

Une règle peut être définie pour s'exécuter en cas de modification ou périodiquement. Une règle déclenchée en cas de modification est exécutée lorsque AWS Config enregistre un changement de configuration pour l'une des ressources indiquées. De plus, l'une des options suivantes doit être indiquée :

Clé de balise:(valeur facultative) : une clé de balise:valeur implique que les changements de configuration enregistrés pour les ressources associées à cette clé de balise déclencheront une évaluation de la règle.

Type(s) de ressources : les modifications de configuration enregistrées pour toutes les ressources du ou des types spécifiés déclencheront une évaluation de la règle.

ID de ressource : les modifications enregistrées pour la ressource désignée par le type de ressource et l'ID de ressource déclencheront une évaluation de la règle.

Une règle périodique se déclenche à la fréquence indiquée. Les fréquences disponibles sont de 1 h, 3 h, 6 h, 12 h ou 24 h. Une règle périodique possède un instantané complet des éléments de configuration (CI) actuels pour toutes les ressources dont elle dispose.

L'évaluation d'une règle consiste à déterminer si celle-ci est conforme à une ressource à un moment donné. Il s'agit du résultat du contrôle de l'application d'une règle par rapport à la configuration d'une ressource. Les règles AWS Config capturent et stockent le résultat de chaque évaluation. Ce résultat inclut la ressource, la règle, l'heure d'évaluation et un lien vers l'élément de configuration (CI) qui n'a pas respecté la conformité.

Une ressource est conforme si elle respecte toutes les règles qui lui sont applicables ; dans le cas contraire, elle n'est pas conforme. De même, une règle est conforme si toutes les ressources qu'elle évalue la respectent. Dans certains cas, par exemple lorsque la règle ne dispose pas d'autorisations adéquates, la ressource peut ne pas faire l'objet d'une évaluation, ce qui conduit à une insuffisance de données. Cet état empêche de déterminer le statut de conformité d'une ressource ou d'une règle.

Le tableau de bord des règles AWS Config fournit une vue d'ensemble des ressources surveillées par AWS Config, ainsi qu'une synthèse de l'état de conformité actuel par ressource et par règle. Lorsque vous affichez la conformité par ressource, vous pouvez déterminer si une règle qui s'applique à la ressource est actuellement non conforme. Vous pouvez afficher la conformité par règle, ce qui vous indique si une ressource soumise à la règle est actuellement non conforme. Grâce à ces vues synthétiques, vous pouvez explorer de manière plus approfondie la chronologie des ressources AWS Config, afin de savoir quels paramètres de configuration ont changé. En utilisant ce tableau de bord, vous pouvez commencer avec une vue d'ensemble, puis passer à des vues détaillées fournissant des informations complètes sur les changements de statut de conformité et sur les modifications qui sont à l'origine de chaque non-conformité.

Vous pouvez utiliser des règles AWS Config individuelles pour évaluer la conformité de la configuration des ressources dans un ou plusieurs comptes. Les packs de conformité offrent l'avantage supplémentaire des règles d'empaquetage ainsi que des actions correctives dans une seule entité qui peut être déployée dans l'intégralité d'une entreprise en un seul clic. Les packs de conformité ont pour objectif de simplifier la gestion de la conformité et les rapports à grande échelle, lorsque vous gérez plusieurs comptes. Les packs de conformité sont conçus pour fournir des rapports de conformité agrégés au niveau du pack et de manière immuable. Cela permet aux règles AWS Config gérées et aux documents de correction contenus dans le pack de conformité de ne pas être modifiés ou supprimés par les comptes des membres individuels d'une organisation.

AWS Security Hub est un service de sécurité et de conformité, et un outil de gestion des stratégies de sécurité et de conformité. Il utilise les règles AWS Config et AWS Config comme principal moyen pour évaluer la configuration des ressources AWS. Les règles AWS Config peuvent également être utilisées pour évaluer directement la configuration des ressources. Les règles AWS Config sont aussi utilisées par d'autres services AWS tels que AWS Control Tower et AWS Firewall Manager.

Si une norme de conformité telle que PCI DSS est déjà présente dans AWS Security Hub, le service entièrement géré d’AWS Security Hub est le moyen le plus simple de la rendre opérationnelle. Vous pouvez examiner les résultats grâce à l'intégration du Security Hub d’Amazon Detective. Vous pouvez également mettre en place des actions correctives automatisées ou semi-automatisées grâce à l'intégration du Security Hub d’Amazon EventBridge. Cependant, si vous souhaitez créer vos propres normes de conformité ou de sécurité, qui peuvent inclure des contrôles de sécurité, de fonctionnement ou d'optimisation des coûts, optez pour les packs de conformité AWS Config. Les packs de conformité AWS Config simplifient la gestion des règles AWS Config en regroupant en une seule entité un groupe de règles AWS Config et les actions de remédiation associées. Ce regroupement simplifie le déploiement des règles et des actions correctives au sein d’une organisation. Cela permet également de créer des rapports agrégés, puisque les résumés de conformité sont souvent déclarés sous le format pack. Vous pouvez démarrer avec les échantillons de packs de conformité AWS Config que nous vous fournissons, puis les personnaliser comme bon vous semble.

Oui, les packs de conformité AWS Security Hub et AWS Config prennent en charge la surveillance continue de la conformité, puisqu’ils s’appuient sur AWS Config et les règles AWS Config. Les règles AWS Config sous-jacentes peuvent être déclenchées soit périodiquement, soit lorsque des changements sont détectés dans la configuration des ressources. AWS Config vous permet de contrôler et d'évaluer en continu la conformité générale des configurations de vos ressources AWS par rapport aux règlements et directives de votre organisation.

Le moyen le plus rapide de faire vos premiers pas est de créer un pack de conformité à l'aide de l'un de nos exemples de modèles via l'interface de ligne de commande ou la console AWS Config. Certains exemples de modèles incluent les meilleures pratiques opérationnelles Amazon S3, les meilleures pratiques opérationnelles Amazon DynamoDB et les meilleures pratiques opérationnelles pour PCI. Ces modèles sont écrits en YAML. Vous pouvez télécharger ces modèles sur notre site de documentation et les modifier en fonction de votre environnement à l'aide de l'éditeur de texte de votre choix. Vous pouvez même ajouter au pack des règles AWS Config personnalisées que vous avez peut-être précédemment écrites.

Les packs de conformité seront facturés selon un modèle de tarification progressif. Pour en savoir plus, consultez la page Tarification d'AWS Config.

L'agrégation de données dans AWS Config permet de regrouper les données AWS Config de plusieurs comptes et régions dans un seul compte et dans une seule région. L'agrégation de données sur plusieurs comptes est intéressante pour les administrateurs informatiques centraux chargés de surveiller la conformité de plusieurs comptes AWS dans l'entreprise.

La capacité d'agrégation de données ne peut pas être utilisée pour affecter des règles sur plusieurs comptes. Elle est exclusivement destinée à renforcer la visibilité de votre conformité. Vous pouvez utiliser des AWS CloudFormation StackSets pour affecter des règles sur plusieurs comptes et plusieurs régions. Pour en savoir plus, lisez cet article surlien du blog.

Quand AWS Config et les règles AWS Config sont activées sur votre compte et sur les comptes ciblés par l'agrégation, vous pouvez activer l'agrégation des données en créant un agrégateur dans votre compte. En savoir plus.

Un agrégateur est un type de ressource AWS Config qui collecte les données AWS Config de plusieurs comptes et régions. Les agrégateurs permettent de consulter les données de configuration et de conformité de ressources enregistrées dans AWS Config pour plusieurs comptes et régions.

La vue agrégée affiche le nombre total de règles non conformes au sein de l'organisation, les cinq premières règles non conformes par nombre de ressources et les cinq premiers comptes AWS qui présentent le plus de règles non conformes. Vous pouvez ensuite aller en profondeur pour afficher plus de détails sur les ressources contrevenant aux règles et sur les listes de règles violées par un compte.

Vous pouvez spécifier les comptes dont vous souhaitez agréger les données AWS Config en chargeant un fichier ou en saisissant manuellement les comptes. Notez que comme ces comptes ne font partie d'aucune organisation AWS, vous devrez autoriser explicitement le compte de l'agrégateur pour chacun d'entre eux. En savoir plus.

La capacité d'agrégation de données est également utile pour l'agrégation de données multi-région. Ainsi, vous pouvez agréger les données AWS Config pour votre compte sur plusieurs régions à l'aide de cette capacité.

Pour en savoir plus sur les régions dans lesquelles l'agrégation de données multi-comptes et multi-régions est disponible, consultez le Guide du développeur AWS Config : Agrégation de données multi-comptes et multi-régions.

Pendant la création d'un agrégateur, vous devez spécifier les régions dont vous souhaitez regrouper les données. Cette liste n'affiche que les régions dans lesquelles cette fonctionnalité est disponible. Il est également possible de sélectionner « Toutes les régions », afin d’étendre automatiquement le regroupement des données aux nouvelles régions prises en charge.

Consultez notre documentation pour obtenir la liste complète des types de ressources pris en charge.

Pour plus d'informations sur les régions AWS où AWS Config est disponible, consultez le tableau des régions AWS.

Avec AWS Config, vous êtes facturé en fonction du nombre d'éléments de configuration enregistrés, du nombre d'évaluations de règles AWS Config actives et du nombre d'évaluations de packs de conformité dans votre compte. Un élément de configuration est un enregistrement de l'état de la configuration d'une ressource dans votre compte AWS. AWS Config peut fournir des éléments de configuration à deux fréquences : continue et périodique. L'enregistrement continu enregistre et fournit les modifications de configuration chaque fois qu'une modification se produit. L'enregistrement périodique fournit les données de configuration toutes les 24 heures, uniquement en cas de modification. Une évaluation de règle AWS Config est une évaluation de l'état de conformité d'une ressource par une règle AWS Config dans votre compte AWS. Une évaluation de pack de conformité est définie comme une évaluation d'une ressource par une règle AWS Config dans le pack de conformité. Pour plus de détails et d'exemples, rendez-vous sur https://aws.amazon.com/config/pricing/.

Vous pouvez faire votre choix parmi un ensemble de règles gérées fourni par AWS ou créer vos propres règles écrites sous forme de fonctions AWS Lambda. Les règles gérées sont entièrement gérées et maintenues par AWS, et leur exécution n'entraîne pas de frais supplémentaires AWS Lambda. Il suffit d'activer les règles gérées, de fournir des paramètres requis et de payer un tarif unique pour chaque règle AWS Config active au cours d’un mois donné. Les règles sur mesure vous offrent un contrôle total, car elles sont exécutées comme la fonction AWS Lambda au sein de votre compte. Outre les frais mensuels applicables à toute règle active, les tarifs standard de l'offre gratuite AWS Lambda* et des exécutions de fonctions s'appliquent aux règles AWS Config personnalisées.

*L'offre gratuite d'AWS n'est pas disponible dans la région AWS Chine (Pékin) ou la région AWS Chine (Ningxia).

Des frais vous sont facturés chaque fois d’une nouvelle règle est créée et devient active. Si vous souhaitez mettre à jour ou actualiser la fonctionnalité Lambda associée à une règle, l’approche recommandée consiste à mettre à jour la règle, plutôt que de la supprimer pour en créer une nouvelle.

Les solutions de partenaires APN, tels que Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks et Red Hat CloudForms, proposent des offres totalement intégrées avec des données provenant d'AWS Config. Des fournisseurs de services gérés, tels que 2nd Watch et CloudNexa ont également annoncé des intégrations avec AWS Config. De plus, avec les règles AWS Config, des partenaires comme CloudHealth Technologies, AlertLogic et TrendMicro fournissent des offres intégrées pouvant être utilisées par les clients. Ces solutions incluent des fonctions telles que la gestion des modifications et l'analyse de la sécurité. Elles vous permettent de visualiser, contrôler et gérer les configurations des ressources AWS.