Qu'est-ce qu'AWS Config ?

AWS Config est un service entièrement géré qui vous offre un inventaire des ressources AWS, un historique de la configuration et des notifications de modification de la configuration pour assurer la sécurité et une bonne gestion. Avec AWS Config, vous pouvez découvrir les ressources AWS existantes, exporter un inventaire complet de vos ressources AWS avec tous les détails de configuration et déterminer la configuration d'une ressource à un moment donné. Ces fonctionnalités vous permettent d'effectuer un audit de conformité, une analyse de sécurité, un suivi des modifications au niveau des ressources et de résoudre des problèmes.

Qu'est-ce qu'une règle de configuration ?

Une règle de configuration représente les configurations souhaitées pour une ressource ; elle est comparée aux changements de configuration apportés aux ressources correspondantes et enregistrés par AWS Config. Les résultats de l'évaluation d'une règle par rapport à la configuration d'une ressource sont disponibles dans un tableau de bord. En utilisant Config Rules, vous pouvez évaluer votre statut global en termes de conformité et de risques du point de vue de la configuration, voir se dessiner des tendances de conformité au fil du temps et identifier les changements de configuration qui ont entraîné le non-respect d'une règle.

Quels sont les avantages d'AWS Config ?

AWS Config facilite le suivi de la configuration de vos ressources sans investissements initiaux et sans que vous incombe la tâche complexe d'installer et de mettre à jour des agents pour le recueil de données ou de gérer de vastes bases de données. Une fois AWS Config activé, vous pouvez afficher en permanence les détails mis à jour de l'ensemble des caractéristiques de configuration associées aux ressources AWS. Amazon Simple Notification Service (SNS) vous informe de chaque modification apportée à la configuration.

 

De quelle manière AWS Config peut-il vous aider lors des audits ?

AWS Config vous donne accès à l'historique de configuration des ressources. Vous pouvez associer les modifications apportées à la configuration aux événements d'AWS CloudTrail qui ont probablement joué un rôle dans ces modifications. Cette information vous donne une visibilité totale, en allant de détails tels que « Qui a procédé à la modification ? », « A partir de quelle adresse IP ? » jusqu'à l'effet de cette modification sur les ressources AWS et les ressources connexes. Vous pouvez utiliser cette information pour générer des rapports afin de faciliter la vérification et l'évaluation de la conformité au cours d'une période.

A qui s'adressent AWS Config et Config Rules ?

Cette fonctionnalité peut s'avérer utile à tout client AWS cherchant à améliorer sa sécurité et son approche de la gouvernance sur AWS en évaluant en permanence la configuration de ses ressources. Dans les grandes entreprises, les administrateurs qui dictent les bonnes pratiques de configuration des ressources peuvent codifier ces règles en tant que Config Rules pour permettre l'auto-gouvernance par les utilisateurs. Les experts en sécurité de l'information qui surveillent l'activité et les configurations d'utilisation pour détecter les vulnérabilités peuvent eux aussi tirer profit des règles de configuration. Les clients dont les charges de travail doivent être conformes à des normes particulières (par ex. PCI-DSS ou HIPAA) peuvent s'appuyer sur cette fonctionnalité pour évaluer la conformité de leurs configurations d'infrastructure AWS et générer des rapports destinés à leurs auditeurs. Les opérateurs assurant la gestion d'une infrastructure AWS étendue ou de composants fréquemment modifiés peuvent aussi profiter de Config Rules pour leurs activités de dépannage. L'activation d'AWS Config est recommandée pour les clients désirant suivre les modifications apportées à la configuration de leurs ressources, s'informer sur les configurations de leurs ressources, démontrer leur conformité, dépanner ou réaliser des analyses de sécurité.

Est-ce que le service garantit que mes configurations sont toujours conformes ?

Config Rules fournit des informations permettant de savoir si vos ressources sont conformes aux règles de configuration que vous spécifiez. Il évalue les règles dès que des éléments de configuration (CI) de la ressource sont disponibles dans AWS Config. Cependant, il ne garantit pas que les ressources sont conformes et n'empêche pas les utilisateurs d'effectuer des actions non conformes. De plus, Config Rules ne rétablit pas automatiquement la conformité des ressources non conformes.

Le service empêche-t-il les utilisateurs d'effectuer des actions non conformes ?

Config Rules n'influence pas directement la façon dont les utilisateurs finaux ont recours à AWS. Il évalue les configurations de ressources uniquement après l'enregistrement d'un changement effectif de configuration par AWS Config. Config Rules n'empêche pas les utilisateurs d'effectuer des actions susceptibles de nuire à la conformité. Pour contrôler les ressources qu'un utilisateur peut mettre en service sur AWS et les paramètres de configuration autorisés ce faisant, utilisez les politiques AWS Identity and Access Management (IAM) et AWS Service Catalog respectivement.

Les règles peuvent-elles être évaluées avant la mise en service d'une ressource ?

Config Rules évalue les règles après qu'AWS Config a capturé l'élément de configuration (CI) de la ressource. Il n'évalue pas les règles avant la mise en service d'une ressource ou la modification de la configuration de la ressource.

Comment fonctionne AWS Config avec AWS CloudTrail ?

AWS CloudTrail enregistre l'activité API de l'utilisateur sur votre compte et vous permet d'accéder à des informations relatives à cette dernière. Vous obtenez tous les détails relatifs aux actions API, tels que l'identité du mandataire, l'heure de l'appel API, les paramètres de la demande et les éléments de réponse envoyés par le service AWS. AWS Config enregistre les détails de configuration de vos ressources AWS à un instant donné sous forme d'éléments de configuration. Vous pouvez utiliser un élément de configuration pour répondre à la question « A quoi ressemblait ma ressource AWS ? » à un instant donné. Vous pouvez utiliser AWS CloudTrail pour répondre à la question « Qui a passé un appel API pour modifier cette ressource ? ». Vous pouvez, par exemple, utiliser AWS Management Console pour qu'AWS Config détermine que le groupe de sécurité « Production-DB » a été mal configuré dans le passé. En vous appuyant sur les informations intégrées AWS CloudTrail, vous pouvez déterminer quel utilisateur a mal configuré le groupe de sécurité « Production-DB ».

 

Découvrez gratuitement AWS

Créer un compte gratuit

 

Profitez pendant 12 mois du niveau d'utilisation gratuit d'AWS. Vous bénéficierez également du niveau de base d'AWS Support qui inclut un service client disponible 24h/24, 7j/7 et 365 jours par an, l'accès à des forums d'assistance et bien d'autres avantages.

En savoir plus sur la version préliminaire d'AWS Config Rules.

Comment démarrer avec ce service ?

Le moyen le plus rapide pour faire vos premiers pas avec AWS Config est d'utiliser AWS Management Console. Vous pouvez activer AWS Config en quelques clics. Pour plus de détails, reportez-vous à la documentation Démarrez.

Comment accéder à la configuration de mes ressources ?

Vous pouvez rechercher la configuration actuelle et passée de vos ressources à l'aide de AWS Management Console, l'interface de ligne de commande AWS ou des kits de développement logiciel.

Pour plus de détails, veuillez vous reporter à ladocumentation AWS Config.

Dois-je activer AWS Config à l'échelle régionale ou mondiale ?

Vous activez AWS Config à l'échelle régionale pour votre compte.

AWS Config peut-il regrouper des données à partir de plusieurs comptes AWS ?

Oui, vous pouvez configurer AWS Config pour qu'il effectue des mises à jour de la configuration à partir de différents comptes dans un compartiment S3, une fois les politiques IAM adéquates appliquées à ce dernier. Vous pouvez également publier des notifications dans la rubrique SNS au sein d'une même région, une fois les politiques IAM adéquates appliquées à la rubrique SNS.

Les activités d'API sur AWS Config sont-elles consignées par AWS CloudTrail ?

Oui. Toutes les activités d'API AWS Config, notamment l'utilisation des API AWS Config pour lire les données de configuration, sont consignées par AWS CloudTrail.

Quelle heure et quels fuseaux horaires sont affichés dans la vue chronologique d'une ressource ? Qu'en est-il de l'heure d'été ?

AWS Config affiche l'heure à laquelle les éléments de configuration (CI) d'une ressource ont été enregistrés dans une chronologie. Toutes les heures sont indiquées en temps universel coordonné (UTC). Lorsqu'une chronologie est visualisée dans la console de gestion, les services utilisent le fuseau horaire actuel (ajusté en fonction de l'heure d'été, le cas échéant) pour afficher toutes les heures dans la vue chronologique.

Qu'est-ce que la configuration d'une ressource ?

La configuration d'une ressource est définie par les données incluses dans l'élément de configuration (CI) d'AWS Config. La version initiale de Config Rules met le CI de la ressource à la disposition des règles appropriées. Config Rules peut utiliser ces informations ainsi que d'autres informations pertinentes, telles que les ressources connexes ou les heures d'ouverture, pour évaluer la conformité de la configuration d'une ressource.

Qu'est-ce qu'une règle ?

Une règle représente les valeurs d'attributs d'élément de configuration (CI) souhaitées pour les ressources ; elle est évaluée en comparant ces valeurs d'attributs aux CI enregistrés par AWS Config. On distingue deux types de règles :

Règles gérées par AWS : ces règles sont prédéfinies et administrées par AWS. Vous choisissez simplement la règle à activer, puis vous fournissez quelques paramètres de configuration pour commencer. En savoir plus »

Règles gérées par le client : ce sont des règles personnalisées que vous définissez et créez. Vous pouvez créer une fonction dans AWS Lambda qui peut être appelée dans le cadre d'une règle personnalisée ; ces fonctions s'exécutent dans votre compte. En savoir plus »

Le moyen le plus rapide pour faire vos premiers pas avec AWS Config est d'utiliser AWS Management Console. Vous pouvez activer AWS Config en quelques clics. Pour plus de détails, reportez-vous à la documentation Démarrez.

Comment les règles sont-elles créées ?

Les règles sont généralement mises en place par l'administrateur du compte AWS. Il est possible de les définir en reprenant des règles gérées AWS (ensemble prédéfini de règles fourni par AWS) ou en utilisant des règles gérées par le client. Si vous utilisez des règles gérées AWS, les mises à jour appliquées à une règle sont appliquées à tous les comptes utilisant cette règle. Dans le modèle géré par le client, le client possède une copie de la règle qu'il exécute dans son propre compte. Ces règles sont gérées par le client.

Combien de règles puis-je créer ?

Vous pouvez créer jusqu’à 50 règles dans votre compte AWS par défaut. Par ailleurs, vous pouvez demander un augmentation de la limite sur le nombre de règles dans votre compte en consultant la page Limites des services AWS.

Comment les règles sont-elles évaluées ?

Une règle peut être définie pour s'exécuter en cas de modification ou périodiquement. Une règle déclenchée en cas de modification est exécutée lorsque AWS Config enregistre un changement de configuration pour l'une des ressources indiquées. De plus, l'une des options suivantes doit être indiquée :

Paire clé de tag:(valeur facultative) : une paire clé de tag:valeur implique que les changements de configuration enregistrés pour les ressources associées à cette paire déclencheront une évaluation de la règle.

Type(s) de ressource : les modifications de configuration enregistrées pour toutes les ressources du ou des types spécifiés déclencheront une évaluation de la règle.

ID de ressource : les modifications enregistrées pour la ressource désignée par le type de ressource et l'ID de ressource déclencheront une évaluation de la règle.

Une règle périodique se déclenche à la fréquence indiquée. Les fréquences disponibles sont 1 h, 3 h, 6 h, 12 h et 24 h. Une règle périodique possède un instantané complet des éléments de configuration (CI) actuels pour toutes les ressources dont elle dispose.

Qu'est-ce qu'une évaluation ?

L'évaluation d'une règle consiste à déterminer si celle-ci est conforme à une ressource à un moment particulier. Il s'agit du résultat du contrôle de l'application d'une règle par rapport à la configuration d'une ressource. Config Rules capture et stocke le résultat de chaque évaluation. Ce résultat inclut la ressource, la règle, l'heure d'évaluation et un lien vers l'élément de configuration (CI) qui n'a pas respecté la règle.

Que signifie le terme « conformité » ?

Une ressource est conforme si elle respecte toutes les règles qui s'appliquent à elle. Dans le cas contraire, elle n'est pas conforme. De même, une règle est conforme si toutes les ressources qu'elle évalue la respectent. Dans le cas contraire, elle n'est pas conforme. Dans certains cas, par exemple lorsque la règle ne dispose pas d'autorisations adéquates, la ressource peut ne pas faire l'objet d'une évaluation, ce qui conduit à une insuffisance de données. Cet état empêche de déterminer le statut de conformité d'une ressource ou d'une règle.

Quelles informations le tableau de bord Config Rules fournit-il ?

Le tableau de bord Config Rules fournit une vue d'ensemble des ressources surveillées par AWS Config, ainsi qu'une synthèse de l'état de conformité actuel par ressource et par règle. Lorsque vous affichez la conformité par ressource, vous pouvez déterminer si une règle qui s'applique à la ressource est actuellement non conforme. Vous pouvez afficher la conformité par règle, ce qui vous indique si une ressource soumise à la règle est actuellement non conforme. Grâce à ces vues synthétiques, vous pouvez explorer de manière plus approfondie la chronologie des ressources Config, afin de savoir quels paramètres de configuration ont changé. En utilisant ce tableau de bord, vous pouvez commencer avec une vue d'ensemble, puis passer à des vues détaillées fournissant des informations complètes sur les changements de statut de conformité et sur les modifications qui sont à l'origine de chaque non-conformité.

Quels sont les types de ressources AWS pris en charge par AWS Config ?

Consultez notre documentation pour obtenir la liste complète des types de ressources pris en charge.

Dans quelles régions le service AWS Config est-il disponible ?

Pour obtenir des informations sur les régions dans lesquelles AWS Config est disponible, consultez cette page :

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

 

Qu'est-ce qu'un élément de configuration ?

Un élément de configuration est la configuration d'une ressource à un instant donné. Il se compose de cinq parties :

  1. des informations basiques sur la ressource communes aux différents types de ressources (par ex. nom de ressource Amazon, balises) ;
  2. des données de configuration spécifiques à la ressource (par ex. type d'instance EC2) ;
  3. une cartographie des relations avec d'autres ressources (par ex. EC2::Volume vol-3434df43 est « associé à l'instance » EC2 i-3432ee3a) ;
  4. les ID d'événements AWS CloudTrail associés à cet état ;
  5. les métadonnées qui vous aident à identifier des informations sur l'élément de configuration, telles que la version de ce dernier et la date de sa capture.

En savoir plus sur les éléments de configuration

Quelles sont les relations d'AWS Config et comment sont-elles utilisées ?

AWS Config prend en compte les relations entre les ressources lors de l'enregistrement des modifications. Ainsi, si un nouveau groupe de sécurité Amazon EC2 est associé à une instance Amazon EC2, AWS Config enregistre les configurations mises à jour de la ressource principale, du groupe de sécurité Amazon EC2 et des ressources associées, telles que l'instance Amazon EC2, si ces ressources sont effectivement modifiées.

Le service AWS Config enregistre-t-il chaque état d'une ressource ?

AWS Config détecte une modification de la configuration d'une ressource et enregistre l'état de la configuration suite à cette modification. Si plusieurs modifications de configuration sont apportées à une ressource à intervalles rapprochés (en l'espace de quelques minutes, par exemple), AWS Config enregistre uniquement la dernière configuration de cette ressource qui représente l'effet cumulé de l'ensemble des modifications. Dans ces types de situation, AWS Config répertorie uniquement la dernière modification dans le champ relatedEvents de l'élément de configuration. Les utilisateurs et les programmes peuvent ainsi poursuivre les modifications des configurations d'infrastructure sans avoir à attendre qu'AWS Config enregistre les états transitoires intermédiaires.

Le service AWS Config enregistre-t-il les modifications de configuration qui ne sont pas le résultat des activités d'API sur cette ressource ?

Oui, AWS Config recherche régulièrement les modifications de configuration des ressources qui n'ont pas été encore enregistrées pour les enregistrer. Les éléments de configuration enregistrés à partir de ces recherches ne disposent pas de champ relatedEvent dans la charge utile, et seul le dernier état qui est différent de celui déjà enregistré est sélectionné.

Le service AWS Config enregistre-t-il les changements de configuration de logiciels au sein des instances EC2 ?
Oui. AWS Config vous permet d'enregistrer les changements de configuration de logiciels au sein des instances EC2 de votre compte AWS, mais aussi des serveurs ou machines virtuelles de votre environnement sur site. Les informations de configuration enregistrées par AWS Config incluent les mises à jour du système d'exploitation, la configuration réseau, les applications installées, etc. Si vous souhaitez vérifier que vos instances, machines virtuelles et serveurs sont conformes à vos instructions, vous pouvez utiliser les règles AWS Config Rules. Cette grande visibilité, associée aux capacités de surveillance continue offertes par AWS Config, vous permet d'évaluer la conformité et de résoudre les problèmes opérationnels.

AWS Config continue-t-il à envoyer des notifications si une ressource auparavant non conforme reste non conforme après une évaluation périodique par les règles ? AWS Config envoie uniquement des notifications si le statut de la conformité change. Si une ressource auparavant non conforme reste non conforme, AWS Config n'envoie pas de nouvelle notification. Si le statut de la conformité change et devient « conforme », vous recevrez une notification concernant le changement de statut.

Puis-je marquer des ressources pour une évaluation par les règles AWS Config ou les dispenser d'évaluation ? Lors de la configuration des règles AWS Config, vous pouvez préciser si votre règle effectue les évaluations par rapport aux types de ressources mentionnés ou aux ressources d'une balise en particulier.

Combien me coûtera ce service ?

Avec AWS Config, vous payez en fonction du nombre d'éléments de configuration enregistrés pour les ressources prises en charge dans votre compte AWS. Vous n'êtes facturé qu'une seule fois pour l'enregistrement du CI. Aucun frais supplémentaire n'est appliqué pour la conservation du CI, et il n'y a pas d'engagement initial. Vous pouvez arrêter à tout moment d'enregistrer des CI et continuer à accéder à ceux qui ont déjà été enregistrés. Les coûts par élément de configuration s'ajoutent à votre facture mensuelle. En savoir plus sur les détails de latarification.

Si vous utilisez AWS Config Rules, vous serez facturé selon les règles de configuration actives ce mois-ci. Quand une règle est comparée à une ressource AWS, le résultat est enregistré sous forme d'évaluation. Une règle est active lorsqu'elle fait l'objet d'au moins une évaluation au cours du mois.

Les instantanés de configuration et les fichiers d'historique des configurations vous sont envoyés dans le compartiment Amazon S3 que vous choisissez, et les notifications de modification de configuration sont envoyées par l'intermédiaire d'Amazon Simple Notification Service (SNS). Les tarifs standard d'Amazon S3 et Amazon SNS s'appliquent. Les règles gérées par l'utilisateur sont créées à l'aide d'AWS Lambda. Les tarifs standard d'AWS Lambda s'appliquent.

La tarification de Config Rules comprend-elle les coûts des fonctions AWS Lambda ?

Vous pouvez faire votre choix parmi un ensemble de règles gérées fourni par AWS ou créer vos propres règles écrites sous forme de fonctions AWS Lambda. Les règles gérées sont entièrement gérées et maintenues par AWS, et leur exécution n'entraîne pas de frais supplémentaires AWS Lambda. Il suffit d'activer les règles gérées, de fournir des paramètres requis et de payer chaque règle AWS Config à un tarif unique. Toutefois, les règles gérées par le client garantissent un contrôle complet, car vous pouvez les exécuter en tant que fonctions AWS Lambda dans votre compte. Outre les frais mensuels applicables à toute règle active, les tarifs standard du niveau gratuit AWS Lambda et des exécutions de fonction s'appliquent aux règles gérées par le client.

Que sont les quotas partagés pour Config Rules ?

Vous recevez un quota de 20 000 évaluations par règle active et par mois. Par exemple, si vous disposez de trois règles Config Rules, vous obtenez un quota de 60 000 évaluations pour le compte. Vous pouvez choisir de les répartir à votre gré entre les règles.

Les évaluations inutilisées sont-elles reportées sur le mois suivant ?

Les évaluations inutilisées sont perdues lorsqu'un nouveau cycle de facturation commence.

Pouvez-vous fournir un décompte des frais à titre d'exemple ?

Exemple de tarification 1 :
AWS Config enregistre chaque changement de ressource et de configuration AWS en tant qu'élément de configuration (CI). Supposons que vous enregistriez 7 000 CI par mois et que vous ayez créé 5 règles actives (2 règles périodiques et 3 règles déclenchées par les modifications), pour un total de 150 évaluations par jour.

Coûts AWS Config : 7 000 * 0,003 USD = 21,00 USD
Coût pour 5 règles actives = 5 * 2,00 USD = 10,00 USD

Quota pour les résultats d'évaluation = 5 * 20 000 = 100 000
Nombre de résultats d'évaluation utilisés = 150 évaluations * 30 jours = 4 500 évaluations par mois
Frais supplémentaires liés aux résultats d'évaluation = 0,0 USD

Frais mensuels totaux pour AWS Config = 31,00 USD

Les frais de service qui vous seront facturés dépendent du nombre d'éléments de configuration reprogrammés par vos ressources. Cela dépend du nombre de ressources sur votre compte et des modifications de configuration apportées à ces ressources. Pour un compte comportant plusieurs centaines de ressources et une activité de modification de la configuration standard, AWS Config devrait enregistrer moins de 3 000 éléments de configuration par mois, soit un coût inférieur à 9 USD par mois.


Exemple de tarification 2 :
Supposons que vous génériez 50 000 CI par mois et que vous ayez créé 2 règles actives, chacune d'elles étant évaluée pour chaque CI et produisant des résultats à chaque fois.

Coûts AWS Config : 50 000 * 0,003 USD = 150,00 USD
Coût pour 2 règles actives = 2 * 2,00 USD = 4,00 USD

Quota pour les résultats d'évaluation = 2 * 20 000 = 40 000
Nombre de résultats d'évaluation utilisés = 2 * 50 000 = 100 000
Frais supplémentaires liés aux résultats d'évaluation = (100 000 – 40 000) = 60 000 * 0,0001 = 6,00 USD

Frais mensuels totaux pour AWS Config = 150,00 USD + 4,00 USD + 6,00 USD = 160,00 USD

Quelles sont les solutions partenaires disponibles pour AWS Config ?

Les partenaires de l'écosystème, tels que Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks et RedHat CloudForms proposent des offres totalement intégrées avec des données provenant d'AWS Config. Des fournisseurs de services gérés, tels que 2nd Watch et CloudNexa ont également annoncé des intégrations avec AWS Config. De plus, avec Config Rules, des partenaires comme CloudHealth Technologies, AlertLogic et TrendMicro fournissent des offres intégrées pouvant être utilisées par leurs clients. Ces solutions incluent des fonctions telles que la gestion des modifications et l'analyse de la sécurité. Elles vous permettent de visualiser, contrôler et gérer les configurations des ressources AWS.

Pour plus d'informations, reportez-vous aux solutions partenaires AWS Config.