Questions d'ordre général

Q : Qu'est-ce qu'AWS Config ?

AWS Config est un service entièrement géré qui vous offre un inventaire des ressources AWS, un historique de la configuration et des notifications de modification de la configuration pour assurer la sécurité et la gouvernance. Avec AWS Config, vous pouvez découvrir les ressources AWS existantes, exporter un inventaire complet de vos ressources AWS avec tous les paramètres de configuration et déterminer la configuration d'une ressource à un moment donné. Ces fonctionnalités vous permettent d'effectuer un audit de conformité, une analyse de sécurité, un suivi des modifications au niveau des ressources et de résoudre des problèmes.

Q : Qu'est-ce qu'une règle Config ?

Une règle Config représente les configurations souhaitées pour une ressource ; elle est comparée aux changements de configuration apportés aux ressources correspondantes et enregistrés par AWS Config. Les résultats de l'évaluation d'une règle par rapport à la configuration d'une ressource sont disponibles dans un tableau de bord. En utilisant les règles Config, vous pouvez évaluer votre statut global en termes de conformité et de risques du point de vue de la configuration, afficher les tendances de conformité au fil du temps et identifier les changements de configuration à l’origine du non-respect d'une règle par une ressource.

Q : Qu'est-ce qu'un pack de conformité ?

Un pack de conformité est un ensemble de règles Config et d'actions correctives conçues à l'aide d'un cadre et d'un modèle d'empaquetage communs dans AWS Config. En empaquetant les artefacts de configuration ci-dessus, vous pouvez simplifier les aspects de déploiement et de reporting des politiques de gouvernance et la conformité de la configuration sur plusieurs comptes et régions, et réduire la durée pendant laquelle une ressource est laissée dans un état non conforme.

Q : Quels sont les avantages d'AWS Config ?

AWS Config facilite le suivi de la configuration de vos ressources sans investissements initiaux et sans que vous incombe la tâche complexe d'installer et de mettre à jour des agents pour le recueil de données ou de gérer de vastes bases de données. Une fois AWS Config activé, vous pouvez afficher en permanence les détails mis à jour de l'ensemble des caractéristiques de configuration associées aux ressources AWS. Amazon Simple Notification Service (SNS) vous informe de chaque modification apportée à la configuration.

Q : En quoi AWS Config peut-il aider lors des audits ?

AWS Config vous donne accès à l'historique de configuration des ressources. Vous pouvez associer les modifications apportées à la configuration aux événements d'AWS CloudTrail qui ont probablement joué un rôle dans ces modifications. Ces informations vous donnent une visibilité totale, en allant de détails tels que « Qui a procédé à la modification ? » à « Quelle est l’incidence de ces modifications sur les ressources AWS et les ressources associées ? », en passant par « À partir de quelle adresse IP ? ». Vous pouvez utiliser ces informations pour générer des rapports afin de faciliter l’audit et l'évaluation de la conformité au cours d'une période.

Q : À qui s'adressent AWS Config et les règles Config ?

Cette fonctionnalité peut s'avérer utile à tout client AWS cherchant à améliorer sa sécurité et son approche de la gouvernance sur AWS en évaluant en permanence la configuration de ses ressources. Dans les grandes entreprises, les administrateurs qui dictent les bonnes pratiques de configuration des ressources peuvent codifier ces règles en tant que règles Config pour permettre l'autogouvernance par les utilisateurs. Les experts en sécurité de l'information qui surveillent l'activité et les configurations d'utilisation pour détecter les vulnérabilités peuvent eux aussi tirer profit des règles Config. Les clients dont les charges de travail doivent être conformes à des normes particulières (par ex. PCI-DSS ou HIPAA) peuvent s'appuyer sur cette fonctionnalité pour évaluer la conformité de leurs configurations d'infrastructure AWS et générer des rapports destinés à leurs auditeurs. Les opérateurs assurant la gestion d'une infrastructure AWS étendue ou de composants fréquemment modifiés peuvent aussi profiter de règles Config pour leurs activités de dépannage. L'activation d'AWS Config est recommandée pour les clients désirant suivre les modifications apportées à la configuration de leurs ressources, s'informer sur les configurations de leurs ressources, démontrer leur conformité, effectuer des dépannages ou réaliser des analyses de sécurité.

Q : À qui s'adressent les packs de conformité AWS Config ?

Si vous recherchez un cadre pour créer et déployer des packages de conformité pour vos configurations de ressources AWS sur plusieurs comptes, y compris des règles et des actions correctives créées par des partenaires AWS APN ou même eux-mêmes, vous devez utiliser des packs de conformité. Ce cadre peut être utilisé pour créer des packs personnalisés pour Security, DevOps et d'autres personnes, et les clients peuvent démarrer rapidement avec l'un des exemples de modèles de packs de conformité.

Q : Est-ce que le service garantit que mes configurations sont toujours conformes ?

Les règles Config et les packs de conformité indiquent si vos ressources sont conformes aux règles de configuration que vous spécifiez. Ils évalueront les configurations des ressources par rapport aux règles Config, soit périodiquement, soit lors de la détection de modifications de configuration, ou les deux, en fonction de la configuration de la règle. Cependant, ils ne garantissent pas que les ressources sont conformes et n'empêchent pas les utilisateurs d'effectuer des actions non conformes. Ils peuvent toutefois être utilisés pour rétablir la conformité d'une ressource non conforme en configurant les actions correctives appropriées pour chaque règle Config.

Q : Le service empêche-t-il les utilisateurs d'effectuer des actions non conformes ?

Les règles Config n'influencent pas directement la façon dont les utilisateurs finaux ont recours à AWS. Elles évaluent les configurations de ressources uniquement après l'enregistrement d'un changement effectif de configuration par AWS Config. Les règles Config n'empêchent pas les utilisateurs d'effectuer des actions susceptibles de nuire à la conformité. Pour contrôler les ressources qu'un utilisateur peut mettre en service sur AWS et les paramètres de configuration autorisés ce faisant, utilisez les politiques AWS Identity and Access Management (IAM) et AWS Service Catalog respectivement.

Q : Les règles peuvent-elles être évaluées avant la mise en service d'une ressource ?

Les règles Config évaluent les règles après qu'AWS Config a capturé l'élément de configuration (CI) de la ressource. Elles n'évaluent pas les règles avant la mise en service d'une ressource ou la modification de la configuration de la ressource.

Q : Comment fonctionne AWS Config avec AWS CloudTrail ?

AWS CloudTrail enregistre l'activité d'API de l'utilisateur sur votre compte et vous permet d'accéder à des informations relatives à cette dernière. Vous obtenez tous les détails relatifs aux actions d'API, tels que l'identité du mandataire, l'heure de l'appel d'API, les paramètres de la demande et les éléments de réponse envoyés par le service AWS. AWS Config enregistre les détails de configuration de vos ressources AWS à un instant donné sous forme d'éléments de configuration (CI). Vous pouvez utiliser un élément de configuration pour répondre à la question : « À quoi ressemblait ma ressource AWS ? » à un moment donné Vous pouvez utiliser AWS CloudTrail pour répondre à la question : « Qui a passé un appel API pour modifier cette ressource ? ». Vous pouvez, par exemple, utiliser AWS Management Console pour qu'AWS Config détermine que le groupe de sécurité « Production-DB » a été mal configuré dans le passé. En vous appuyant sur les informations AWS CloudTrail intégrées, vous pouvez déterminer quel utilisateur a mal configuré le groupe de sécurité « Production-DB ».

Q : Puis-je surveiller les données de conformité de plusieurs comptes et régions depuis un compte centralisé ?

AWS Config facilite la surveillance de l'état de conformité sur plusieurs comptes et régions grâce à la capacité d'agrégation des données de plusieurs comptes et plusieurs régions. Il est possible de créer un agrégateur de configurations dans n'importe quel compte et d'y regrouper les données de conformité d'autres comptes. Cette capacité est également intégrée à AWS Organizations, afin de permettre l'agrégation des données de tous les comptes au sein d'une organisation donnée.

Q : Puis-je connecter mes instances ServiceNow et Jira Service Desk à AWS Config ?

Oui. AWS Service Management Connector pour ServiceNow et Jira Service Desk (anciennement appelé AWS Service Catalog Connector) permet aux utilisateurs finaux de ServiceNow et Jira Service Desk de mettre en service, gérer et exploiter les ressources AWS de manière native en utilisant ServiceNow et Jira Service Desk. Les utilisateurs ServiceNow peuvent suivre sans problème les ressources dans une vue d'élément de configuration à technologie AWS Config sur ServiceNow avec AWS Management Connector. Les utilisateurs Jira Service Desk peuvent suivre les ressources à travers une demande relative à un problème, en utilisant AWS Service Management Connector. Cela simplifie les actions de demande de produits AWS pour les utilisateurs ServiceNow et Jira Service Desk et fournit aux administrateurs ServiceNow et Jira Service Desk la gouvernance et la supervision des produits AWS.

AWS Service Management Connector pour ServiceNow est disponible sans frais dans ServiceNow Store. Cette nouvelle fonctionnalité est disponible pour tous dans toutes les régions AWS où AWS Service Catalog est disponible. Pour plus d'informations, reportez-vous à la documentation.

AWS Service Management Connector pour Jira Service Desk est disponible sans frais dans Atlassian Marketplace. Cette nouvelle fonctionnalité est disponible pour tous dans toutes les régions AWS où AWS Service Catalog est disponible. Pour plus d'informations, veuillez consulter la documentation.

Démarrage

Q : Comment démarrer ce service ?

Le moyen le plus rapide pour faire vos premiers pas avec AWS Config est d'utiliser AWS Management Console. Vous pouvez activer AWS Config en quelques clics. Pour plus d’informations, reportez-vous à la documentation Démarrez.

Q : Comment accéder à la configuration de mes ressources ?

Vous pouvez rechercher la configuration actuelle et passée de vos ressources à l'aide de AWS Management Console, l'interface de ligne de commande AWS ou des kits de développement logiciel.

Pour plus d’informations, veuillez vous reporter à la documentation AWS Config.

Q : Dois-je activer AWS Config à l'échelle régionale ou mondiale ?

Vous activez AWS Config à l'échelle régionale pour votre compte.

Q : AWS Config peut-il regrouper des données à partir de plusieurs comptes AWS ?

Oui, vous pouvez configurer AWS Config pour qu'il effectue des mises à jour de la configuration à partir de différents comptes dans un compartiment S3, une fois les politiques IAM adéquates appliquées à ce dernier. Vous pouvez également publier des notifications dans la rubrique SNS au sein d'une même région, une fois les politiques IAM adéquates appliquées à la rubrique SNS.

Q : Les activités d'API sur AWS Config sont-elles journalisées par AWS CloudTrail ?

Oui. Toutes les activités d'API AWS Config, notamment l'utilisation des API AWS Config pour lire les données de configuration, sont journalisées par AWS CloudTrail.

Q : Quelle heure et quels fuseaux horaires sont affichés dans la vue chronologique d'une ressource ? Qu'en est-il de l'heure d'été ?

AWS Config affiche l'heure à laquelle les éléments de configuration (CI) d'une ressource ont été enregistrés dans une chronologie. Toutes les heures sont indiquées en temps universel coordonné (UTC). Lorsqu'une chronologie est visualisée dans la console de gestion, les services utilisent le fuseau horaire actuel (ajusté en fonction de l'heure d'été, le cas échéant) pour afficher toutes les heures dans la vue chronologique.

Règles Config

Q : Qu'est-ce qu'une configuration de ressource ?

La configuration d'une ressource est définie par les données incluses dans l'élément de configuration (CI) d'AWS Config. La version initiale des règles Config met le CI de la ressource à la disposition des règles appropriées. Les règles Config peuvent utiliser ces informations ainsi que d'autres informations pertinentes, telles que les ressources connexes ou les heures d'ouverture, pour évaluer la conformité d’une configuration de ressource.

Q : Qu'est-ce qu'une règle ?

Une règle représente les valeurs d'attributs d'élément de configuration (CI) souhaitées pour les ressources ; elle est évaluée en comparant ces valeurs d'attributs aux CI enregistrés par AWS Config. On distingue deux types de règles :

Les règles gérées par AWS : ces règles sont prédéfinies et administrées par AWS. Vous choisissez simplement la règle à activer, puis vous fournissez quelques paramètres de configuration pour commencer. En savoir plus »

Les règles gérées par le client : ce sont des règles personnalisées que vous définissez et créez. Vous pouvez créer une fonction dans AWS Lambda qui peut être appelée dans le cadre d'une règle personnalisée ; cette fonction s'exécute dans votre compte. En savoir plus »

Le moyen le plus rapide pour faire vos premiers pas avec AWS Config est d'utiliser AWS Management Console. Vous pouvez activer AWS Config en quelques clics. Pour plus d’informations, reportez-vous à la documentation Démarrez.

Q : Comment les règles sont-elles créées ?

Les règles sont généralement mises en place par l'administrateur du compte AWS. Il est possible de les définir en reprenant les règles gérées AWS (ensemble prédéfini de règles fourni par AWS) ou en utilisant les règles gérées par le client. Si vous utilisez les règles gérées AWS, les mises à jour appliquées à une règle sont appliquées à tous les comptes utilisant cette règle. Dans le modèle géré par le client, le client possède une copie intégrale de la règle qu'il exécute dans son propre compte. Ces règles sont gérées par le client.

Q : Combien de règles puis-je créer ?

Par défaut, vous pouvez créer jusqu’à 150 règles dans votre compte AWS. Par ailleurs, vous pouvez demander une augmentation de la limite du nombre de règles dans votre compte en consultant la page AWS Service Limits.

Q : Comment les règles sont-elles évaluées ?

Une règle peut être définie pour s'exécuter en cas de modification ou périodiquement. Une règle déclenchée en cas de modification est exécutée lorsque AWS Config enregistre un changement de configuration pour l'une des ressources indiquées. De plus, l'une des options suivantes doit être spécifiée :

Clé de balise:(valeur facultative) : une clé de balise:valeur implique que les changements de configuration enregistrés pour les ressources associées à cette clé de balise déclencheront une évaluation de la règle.

Type(s) de ressources : les modifications de configuration enregistrées pour toutes les ressources du ou des types spécifiés déclencheront une évaluation de la règle.

ID de ressource : les modifications enregistrées pour la ressource désignée par le type de ressource et l'ID de ressource déclencheront une évaluation de la règle.

Une règle périodique se déclenche à la fréquence indiquée. Les fréquences disponibles sont 1 h, 3 h, 6 h, 12 h et 24 h. Une règle périodique possède un instantané complet des éléments de configuration (CI) actuels pour toutes les ressources dont elle dispose.

Q : Qu'est-ce qu'une évaluation ?

L'évaluation d'une règle consiste à déterminer si celle-ci est conforme à une ressource à un moment donné. Il s'agit du résultat du contrôle de l'application d'une règle par rapport à la configuration d'une ressource. Les règles Config capturent et stockent le résultat de chaque évaluation. Ce résultat inclut la ressource, la règle, l'heure d'évaluation et un lien vers l'élément de configuration (CI) qui n'a pas respecté la règle.

Q : Que signifie « conformité » ?

Une ressource est conforme si elle respecte toutes les règles qui s'appliquent à elle. Dans le cas contraire, elle n'est pas conforme. De même, une règle est conforme si toutes les ressources qu'elle évalue la respectent. Dans le cas contraire, elle n'est pas conforme. Dans certains cas, par exemple lorsque la règle ne dispose pas d'autorisations adéquates, la ressource peut ne pas faire l'objet d'une évaluation, ce qui conduit à une insuffisance de données. Cet état empêche de déterminer le statut de conformité d'une ressource ou d'une règle.

Q : Quelles informations le tableau de bord des règles Config fournit-il ?

Le tableau de bord des règles Config fournit une vue d'ensemble des ressources surveillées par AWS Config, ainsi qu'une synthèse de l'état de conformité actuel par ressource et par règle. Lorsque vous affichez la conformité par ressource, vous pouvez déterminer si une règle qui s'applique à la ressource est actuellement non conforme. Vous pouvez afficher la conformité par règle, ce qui vous indique si une ressource soumise à la règle est actuellement non conforme. Grâce à ces vues synthétiques, vous pouvez explorer de manière plus approfondie la chronologie des ressources Config, afin de savoir quels paramètres de configuration ont changé. En utilisant ce tableau de bord, vous pouvez commencer avec une vue d'ensemble, puis passer à des vues détaillées fournissant des informations complètes sur les changements de statut de conformité et sur les modifications qui sont à l'origine de chaque non-conformité.

Packs de conformité

Q : Dans quels cas dois-je utiliser des règles AWS Config plutôt que des packs de conformité ?

Vous pouvez utiliser des règles AWS Config individuelles pour évaluer la conformité de la configuration des ressources dans un ou plusieurs comptes. Les packs de conformité offrent l'avantage supplémentaire des règles d'empaquetage ainsi que des actions correctives dans une seule entité qui peut être déployée dans l'intégralité d'une entreprise en un seul clic. Les packs de conformité ont pour objectif de simplifier la gestion de la conformité et le reporting à grande échelle, lorsque vous gérez plusieurs comptes. Les packs de conformité sont conçus pour fournir des rapports de conformité agrégés au niveau du pack ainsi que leur immuabilité, pour vous aider à vous assurer que les règles gérées AWS Config et les documents de correction du pack de conformité ne peuvent pas être modifiés ni supprimés par les comptes membres individuels d'une organisation.

Q : Comment les règles AWS Config et AWS Config sont-ils liés à AWS Security Hub ?

AWS Security Hub est un service de sécurité et de conformité, et un outil de gestion des stratégies de sécurité et de conformité. Il utilise les règles Config et AWS Config comme principal moyen pour évaluer la configuration des ressources AWS. Les règles AWS Config peuvent également être utilisées pour évaluer directement la configuration des ressources. Les règles de configuration sont aussi utilisées par d'autres services AWS tels que AWS Control Tower et AWS Firewall Manager.

Q : Quand utiliser AWS Security Hub et les packs de conformité AWS Config ?

Si une norme de conformité telle que PCI DSS est déjà présente dans AWS Security Hub, le service entièrement géré d’AWS Security Hub est le moyen le plus simple de la rendre opérationnelle. Vous pouvez examiner les résultats grâce à l'intégration du Security Hub d’Amazon Detective. Vous pouvez également mettre en place des actions correctives automatisées ou semi-automatisées grâce à l'intégration du Security Hub d’Amazon EventBridge. Cependant, si vous souhaitez créer vos propres normes de conformité ou de sécurité, qui peuvent inclure des contrôles de sécurité, de fonctionnement ou d'optimisation des coûts, optez pour les packs de conformité AWS Config. Ils facilitent la gestion des règles Config en regroupant un ensemble de règles Config et les actions correctives associées en une seule entité. Ce regroupement simplifie le déploiement des règles et des actions correctives au sein d’une organisation. Cela permet également de créer des rapports agrégés, puisque les résumés de conformité sont souvent déclarés sous le format pack. Vous pouvez démarrer avec les échantillons de packs de conformité Config que nous vous fournissons, puis les personnaliser comme bon vous semble.

Q : Les packs de conformité AWS Security Hub et AWS Config prennent-ils en charge la surveillance continue de la conformité ?

Oui, les packs de conformité AWS Security Hub et AWS Config prennent en charge la surveillance continue de la conformité, puisqu’ils s’appuient sur AWS Config et les règles AWS Config. Les règles AWS Config sous-jacentes peuvent être déclenchées soit périodiquement, soit lorsque des changements sont détectés dans la configuration des ressources. AWS Config vous permet de contrôler et d'évaluer en continu la conformité générale des configurations de vos ressources AWS par rapport aux règlements et directives de votre organisation.

Q : Comment démarrer avec les packs de conformité ?

Le moyen le plus rapide de faire vos premiers pas est de créer un pack de conformité à l'aide de l'un de nos exemples de modèles via l'interface de ligne de commande ou la console AWS Config. Certains exemples de modèles incluent les meilleures pratiques opérationnelles Amazon S3, les meilleures pratiques opérationnelles Amazon DynamoDB et les meilleures pratiques opérationnelles pour PCI. Ces modèles sont écrits en YAML. Vous pouvez télécharger ces modèles sur notre site de documentation et les modifier en fonction de votre environnement à l'aide de l'éditeur de texte de votre choix. Vous pouvez même ajouter au pack des règles AWS Config personnalisées que vous avez peut-être précédemment écrites.

Q : L'utilisation de cette fonctionnalité dans Config engendre-t-elle des frais ?

Les packs de conformité seront facturés selon un modèle de tarification progressif. Pour en savoir plus, consultez la page Tarification d'AWS Config.

Agrégation de données multicompte et multirégion

Q : Qu'est-ce que l'agrégation de données multicompte et multirégion ?

L'agrégation de données dans AWS Config permet de regrouper les données AWS Config de plusieurs comptes et régions. L'agrégation de données sur plusieurs comptes est intéressante pour les administrateurs informatiques centraux chargés de surveiller la conformité de plusieurs comptes AWS dans l'entreprise.

Q : Puis-je utiliser la capacité d'agrégation de données pour allouer des règles Config sur plusieurs comptes de façon centralisée ?

La capacité d'agrégation de données ne peut pas être utilisée pour affecter des règles sur plusieurs comptes. Elle est exclusivement destinée à renforcer la visibilité de votre conformité. Vous pouvez utiliser des StackSets CloudFormation pour affecter des règles sur plusieurs comptes et plusieurs régions. Voici un article de blog utile.

Q : Comment puis-je activer l'agrégation des données dans mon compte ?

Quand Config et les règles Config sont activées sur votre compte et sur les comptes ciblés par l'agrégation, vous pouvez activer l'agrégation des données en créant un agrégateur dans votre compte. En savoir plus.

Q : Qu'est-ce qu'un agrégateur ?

Un agrégateur est un type de ressource AWS Config qui collecte les données AWS Config de plusieurs comptes et régions. Les agrégateurs permettent de consulter les données de configuration et de conformité de ressources enregistrées dans AWS Config pour plusieurs comptes et régions.

Q : Quelles sont les informations fournies par la vue agrégée ?

La vue agrégée affiche le nombre total de règles non conformes au sein de l'organisation, les cinq premières règles non conformes par nombre de ressources et les cinq premiers comptes AWS qui présentent le plus de règles non conformes. Vous pouvez ensuite aller en profondeur pour afficher plus de détails sur les ressources contrevenant aux règles et sur la liste de règles violées par un compte.

Q : Je ne suis pas client d'AWS Organizations. Puis-je tout de même utiliser la capacité d'agrégation de données ?

Vous pouvez spécifier les comptes dont vous souhaitez agréger les données Config en chargeant un fichier ou en saisissant manuellement les comptes. Veuillez noter que puisque ces comptes ne sont pas regroupés dans AWS Organizations, ils doivent tous autoriser explicitement le compte agrégateur à regrouper les données. En savoir plus.

Q : Je n'ai qu'un seul compte. Puis-je quand même profiter de la capacité d'agrégation de données ?

La capacité d'agrégation de données est également utile pour l'agrégation de données multirégion. Ainsi, vous pouvez agréger les données Config pour votre compte sur plusieurs régions à l'aide de cette capacité.

Q : Dans quelles régions la capacité d'agrégation de données multicompte et multirégion est-elle disponible ?

Pour en savoir plus sur les régions dans lesquelles l’agrégation de données multicompte et multirégion est disponible, rendez-vous sur cette page :

https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html

Q : Que faire si mon compte comporte des ressources dans une région non prise en charge par cette fonction ?

Pendant la création d'un agrégateur, vous devez spécifier les régions dont vous souhaitez regrouper les données. Cette liste n'affiche que les régions dans lesquelles cette fonction est disponible. Il est également possible de sélectionner « Toutes les régions », afin d’étendre automatiquement le regroupement des données aux nouvelles régions prises en charge.

Services et régions pris en charge

Q : Quels sont les types de ressources AWS pris en charge par AWS Config ?

Consultez notre documentation pour obtenir la liste complète des types de ressources pris en charge.

Q : Dans quelles régions AWS Config est-il disponible ?

Pour obtenir des informations sur les régions dans lesquelles AWS Config est disponible, consultez cette page :

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

Configuration des ressources

Q : Qu'est-ce qu'un élément de configuration ?

Un élément de configuration (CI) est la configuration d'une ressource à un instant donné. Il se compose de cinq parties :

  1. les informations basiques sur la ressource communes aux différents types de ressources (par ex. le nom de ressource Amazon, les balises) ;
  2. les données de configuration spécifiques à la ressource (par ex. le type d'instance EC2) ;
  3. une cartographie des relations avec d'autres ressources (par ex. EC2::Volume vol-3434df43 est « associé à l'instance » EC2 i-3432ee3a) ;
  4. les ID d'événements AWS CloudTrail associés à cet état (uniquement pour les ressources AWS) ;
  5. les métadonnées qui vous aident à identifier des informations sur l'élément de configuration, telles que la version de ce dernier et la date de sa capture.

En savoir plus sur les éléments de configuration.

Q : Qu'est-ce qu'un élément de configuration personnalisé ?

Un élément de configuration personnalisé est l'élément de configuration pour un tiers ou une ressource personnalisée. On peut notamment citer les bases de données sur site, les serveurs Active Directory, les systèmes de contrôle de version tels que GitHub et les outils de surveillance tiers tels que Datadog.

Q : Quelles sont les relations d'AWS Config et comment sont-elles utilisées ?

AWS Config prend en compte les relations entre les ressources lors de l'enregistrement des modifications. Ainsi, si un nouveau groupe de sécurité Amazon EC2 est associé à une instance Amazon EC2, AWS Config enregistre les configurations mises à jour de la ressource principale, du groupe de sécurité Amazon EC2 et des ressources associées, telles que l'instance Amazon EC2, si ces ressources sont effectivement modifiées.

Q : Le service AWS Config enregistre-t-il chaque état d'une ressource ?

AWS Config détecte une modification de la configuration d'une ressource et enregistre l'état de la configuration suite à cette modification. Si plusieurs modifications de configuration sont apportées à une ressource à intervalles rapprochés (en l'espace de quelques minutes, par exemple), AWS Config enregistre uniquement la dernière configuration de cette ressource qui représente l'effet cumulé de l'ensemble des modifications. Dans ces types de situations, AWS Config répertorie uniquement la dernière modification dans le champ relatedEvents de l'élément de configuration. Les utilisateurs et les programmes peuvent ainsi poursuivre les modifications des configurations d'infrastructure sans avoir à attendre qu'AWS Config enregistre les états transitoires intermédiaires.

Q : Le service AWS Config enregistre-t-il les modifications de configuration qui ne sont pas le résultat des activités d'API sur cette ressource ?

Oui, AWS Config recherche régulièrement les modifications de configuration des ressources qui n'ont pas été encore enregistrées pour les enregistrer. Les éléments de configuration enregistrés à partir de ces recherches ne disposent pas de champ relatedEvent dans la charge utile, et seul le dernier état qui est différent de celui déjà enregistré est sélectionné.

Q : AWS Config enregistre-t-il les changements de configuration de logiciels au sein des instances EC2 ?

Oui. AWS Config vous permet d'enregistrer les changements de configuration de logiciels au sein des instances EC2 de votre compte AWS, mais aussi des machines virtuelles ou des serveurs de votre environnement sur site. Les informations de configuration enregistrées par AWS Config incluent les mises à jour du système d'exploitation, la configuration réseau, les applications installées, etc. Si vous souhaitez vérifier que vos instances, machines virtuelles et serveurs sont conformes à vos instructions, vous pouvez utiliser les règles Config AWS. Cette grande visibilité, associée aux capacités de surveillance continue offertes par AWS Config, vous permet d'évaluer la conformité et de résoudre les problèmes opérationnels.

Q : AWS Config continue-t-il à envoyer des notifications si une ressource auparavant non conforme reste non conforme après une évaluation périodique par les règles ?

AWS Config envoie uniquement des notifications si le statut de la conformité change. Si une ressource auparavant non conforme reste non conforme, AWS Config n'envoie pas de nouvelle notification. Si le statut de la conformité change et devient « conforme », vous recevrez une notification concernant le changement de statut.

Q : Puis-je marquer des ressources pour une évaluation par les règles AWS Config ou les dispenser d'évaluation ?

Lors de la configuration des règles Config, vous pouvez préciser si votre règle effectue les évaluations par rapport aux types de ressources mentionnés ou aux ressources avec une balise en particulier.

Tarification

Q : Combien me coûtera AWS Config ?

Avec AWS Config, vous êtes facturé en fonction du nombre d'éléments de configuration enregistrés, du nombre d'évaluations de règles AWS Config actives et du nombre d'évaluations des packs de conformité dans votre compte. Un élément de configuration est un enregistrement de l'état de la configuration d'une ressource dans votre compte AWS. Une évaluation de règle AWS Config est une évaluation de l'état de conformité d'une ressource par une règle AWS Config dans votre compte AWS, et une évaluation de pack de conformité est l'évaluation d'une ressource par une règle AWS Config au sein du pack de conformité. Pour plus de détails et d'exemples, rendez-vous sur https://aws.amazon.com/config/pricing/

Q : La tarification des règles AWS Config comprend-elle les coûts des fonctions AWS Lambda ?

Vous pouvez faire votre choix parmi un ensemble de règles gérées fourni par AWS ou créer vos propres règles écrites sous forme de fonctions AWS Lambda. Les règles gérées sont entièrement gérées et maintenues par AWS, et leur exécution n'entraîne pas de frais supplémentaires AWS Lambda. Il suffit d'activer les règles gérées, de fournir des paramètres requis et de payer un tarif unique pour chaque règle AWS Config active au cours d’un mois donné. Les règles sur mesure vous offrent un contrôle total, car elles sont exécutées comme des fonctions AWS Lambda au sein de votre compte. Outre les frais mensuels applicables à toute règle active, les tarifs standard de l’offre gratuite AWS Lambda* et des exécutions de fonctions s'appliquent aux règles AWS Config personnalisées.


*L'offre gratuite d'AWS n'est pas disponible dans la région AWS Chine (Pékin) ou la région AWS Chine (Ningxia).

Q : Je souhaite modifier la fonction Lambda pour ma règle AWS Config personnalisée. Quelle est l’approche recommandée ?

Des frais vous sont facturés chaque fois d’une nouvelle règle est créée et devient active. Si vous souhaitez mettre à jour ou actualiser la fonction Lambda associée à une règle, l’approche recommandée consiste à mettre à jour la règle, plutôt que de la supprimer pour en créer une nouvelle.

Solutions partenaires

Q : Quelles sont les solutions partenaires disponibles pour AWS Config ?

Les solutions de partenaires APN, tels que Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks et RedHat CloudForms, proposent des offres totalement intégrées avec des données provenant d'AWS Config. Des fournisseurs de services gérés, par exemple 2ndWatch et CloudNexa, ont également annoncé des intégrations avec AWS Config. De plus, avec les règles Config, des partenaires comme CloudHealth Technologies, AlertLogic et TrendMicro fournissent des offres intégrées pouvant être utilisées par les clients. Ces solutions incluent des fonctions telles que la gestion des modifications et l'analyse de la sécurité. Elles vous permettent de visualiser, contrôler et gérer les configurations des ressources AWS.

Pour en savoir plus, cliquez ici.

En savoir plus sur AWS Config

Consultez la page des partenaires
Prêt à créer ?
Démarrez avec AWS Config
D'autres questions ?
Nous contacter