Questions d'ordre général

Q : Qu'est-ce qu'AWS Config ?

AWS Config est un service entièrement géré qui vous offre un inventaire des ressources AWS, un historique de la configuration et des notifications de modification de la configuration pour assurer la sécurité et la gouvernance. Avec AWS Config, vous pouvez découvrir les ressources AWS existantes, exporter un inventaire complet de vos ressources AWS avec tous les paramètres de configuration et déterminer la configuration d'une ressource à un moment donné. Ces fonctionnalités vous permettent d'effectuer un audit de conformité, une analyse de sécurité, un suivi des modifications au niveau des ressources et de résoudre des problèmes.

Q : Qu'est-ce qu'une règle Config ?

Une règle Config représente les configurations souhaitées pour une ressource ; elle est comparée aux changements de configuration apportés aux ressources correspondantes et enregistrés par AWS Config. Les résultats de l'évaluation d'une règle par rapport à la configuration d'une ressource sont disponibles dans un tableau de bord. En utilisant les règles Config, vous pouvez évaluer votre statut global en termes de conformité et de risques du point de vue de la configuration, afficher les tendances de conformité au fil du temps et identifier les changements de configuration à l’origine du non-respect d'une règle par une ressource.

Q : Quels sont les avantages d'AWS Config ?

AWS Config facilite le suivi de la configuration de vos ressources sans investissements initiaux et sans que vous incombe la tâche complexe d'installer et de mettre à jour des agents pour le recueil de données ou de gérer de vastes bases de données. Une fois AWS Config activé, vous pouvez afficher en permanence les détails mis à jour de l'ensemble des caractéristiques de configuration associées aux ressources AWS. Amazon Simple Notification Service (SNS) vous informe de chaque modification apportée à la configuration.

Q : En quoi AWS Config peut-il aider lors des audits ?

AWS Config vous donne accès à l'historique de configuration des ressources. Vous pouvez associer les modifications apportées à la configuration aux événements d'AWS CloudTrail qui ont probablement joué un rôle dans ces modifications. Ces informations vous donnent une visibilité totale, en allant de détails tels que « Qui a procédé à la modification ? » à « Quelle est l’incidence de ces modifications sur les ressources AWS et les ressources associées ? », en passant par « À partir de quelle adresse IP ? ». Vous pouvez utiliser ces informations pour générer des rapports afin de faciliter l’audit et l'évaluation de la conformité au cours d'une période.

Q : À qui s'adressent AWS Config et les règles Config ?

Cette fonctionnalité peut s'avérer utile à tout client AWS cherchant à améliorer sa sécurité et son approche de la gouvernance sur AWS en évaluant en permanence la configuration de ses ressources. Dans les grandes entreprises, les administrateurs qui dictent les bonnes pratiques de configuration des ressources peuvent codifier ces règles en tant que règles Config pour permettre l'autogouvernance par les utilisateurs. Les experts en sécurité de l'information qui surveillent l'activité et les configurations d'utilisation pour détecter les vulnérabilités peuvent eux aussi tirer profit des règles Config. Les clients dont les charges de travail doivent être conformes à des normes particulières (par ex. PCI-DSS ou HIPAA) peuvent s'appuyer sur cette fonctionnalité pour évaluer la conformité de leurs configurations d'infrastructure AWS et générer des rapports destinés à leurs auditeurs. Les opérateurs assurant la gestion d'une infrastructure AWS étendue ou de composants fréquemment modifiés peuvent aussi profiter de règles Config pour leurs activités de dépannage. L'activation d'AWS Config est recommandée pour les clients désirant suivre les modifications apportées à la configuration de leurs ressources, s'informer sur les configurations de leurs ressources, démontrer leur conformité, effectuer des dépannages ou réaliser des analyses de sécurité.

Q : Est-ce que le service garantit que mes configurations sont toujours conformes ?

Les règles Config fournissent des informations permettant de savoir si vos ressources sont conformes aux règles de configuration que vous spécifiez. Elles évaluent les règles dès que des éléments de configuration (CI) de la ressource sont disponibles dans AWS Config. Cependant, il ne garantit pas que les ressources sont conformes et n'empêche pas les utilisateurs d'effectuer des actions non conformes. De plus, les règles Config ne rétablissent pas automatiquement la conformité des ressources non conformes.

Q : Le service empêche-t-il les utilisateurs d'effectuer des actions non conformes ?

Les règles Config n'influencent pas directement la façon dont les utilisateurs finaux ont recours à AWS. Elles évaluent les configurations de ressources uniquement après l'enregistrement d'un changement effectif de configuration par AWS Config. Les règles Config n'empêchent pas les utilisateurs d'effectuer des actions susceptibles de nuire à la conformité. Pour contrôler les ressources qu'un utilisateur peut mettre en service sur AWS et les paramètres de configuration autorisés ce faisant, utilisez les politiques AWS Identity and Access Management (IAM) et AWS Service Catalog respectivement.

Q : Les règles peuvent-elles être évaluées avant la mise en service d'une ressource ?

Les règles Config évaluent les règles après qu'AWS Config a capturé l'élément de configuration (CI) de la ressource. Elles n'évaluent pas les règles avant la mise en service d'une ressource ou la modification de la configuration de la ressource.

Q : Comment fonctionne AWS Config avec AWS CloudTrail ?

AWS CloudTrail enregistre l'activité d'API de l'utilisateur sur votre compte et vous permet d'accéder à des informations relatives à cette dernière. Vous obtenez tous les détails relatifs aux actions d'API, tels que l'identité du mandataire, l'heure de l'appel d'API, les paramètres de la demande et les éléments de réponse envoyés par le service AWS. AWS Config enregistre les détails de configuration de vos ressources AWS à un instant donné sous forme d'éléments de configuration (CI). Vous pouvez utiliser un élément de configuration pour répondre à la question : « À quoi ressemblait ma ressource AWS ? » à un moment donné Vous pouvez utiliser AWS CloudTrail pour répondre à la question : « Qui a passé un appel API pour modifier cette ressource ? ». Vous pouvez, par exemple, utiliser AWS Management Console pour qu'AWS Config détermine que le groupe de sécurité « Production-DB » a été mal configuré dans le passé. En vous appuyant sur les informations AWS CloudTrail intégrées, vous pouvez déterminer quel utilisateur a mal configuré le groupe de sécurité « Production-DB ».

Q : Puis-je surveiller les données de conformité de plusieurs comptes et régions depuis un compte centralisé ?

AWS Config facilite la surveillance de l'état de conformité sur plusieurs comptes et régions grâce à la capacité d'agrégation des données de plusieurs comptes et plusieurs régions. Il est possible de créer un agrégateur de configurations dans n'importe quel compte et d'y regrouper les données de conformité d'autres comptes. Cette capacité est également intégrée à AWS Organizations, afin de permettre l'agrégation des données de tous les comptes au sein d'une organisation donnée.

Démarrage

Q : Comment démarrer ce service ?

Le moyen le plus rapide pour faire vos premiers pas avec AWS Config est d'utiliser AWS Management Console. Vous pouvez activer AWS Config en quelques clics. Pour plus d’informations, reportez-vous à la documentation Démarrez.

Q : Comment accéder à la configuration de mes ressources ?

Vous pouvez rechercher la configuration actuelle et passée de vos ressources à l'aide de AWS Management Console, l'interface de ligne de commande AWS ou des kits de développement logiciel.

Pour plus d’informations, veuillez vous reporter à la documentation AWS Config.

Q : Dois-je activer AWS Config à l'échelle régionale ou mondiale ?

Vous activez AWS Config à l'échelle régionale pour votre compte.

Q : AWS Config peut-il regrouper des données à partir de plusieurs comptes AWS ?

Oui, vous pouvez configurer AWS Config pour qu'il effectue des mises à jour de la configuration à partir de différents comptes dans un compartiment S3, une fois les politiques IAM adéquates appliquées à ce dernier. Vous pouvez également publier des notifications dans la rubrique SNS au sein d'une même région, une fois les politiques IAM adéquates appliquées à la rubrique SNS.

Q : Les activités d'API sur AWS Config sont-elles journalisées par AWS CloudTrail ?

Oui. Toutes les activités d'API AWS Config, notamment l'utilisation des API AWS Config pour lire les données de configuration, sont journalisées par AWS CloudTrail.

Q : Quelle heure et quels fuseaux horaires sont affichés dans la vue chronologique d'une ressource ? Qu'en est-il de l'heure d'été ?

AWS Config affiche l'heure à laquelle les éléments de configuration (CI) d'une ressource ont été enregistrés dans une chronologie. Toutes les heures sont indiquées en temps universel coordonné (UTC). Lorsqu'une chronologie est visualisée dans la console de gestion, les services utilisent le fuseau horaire actuel (ajusté en fonction de l'heure d'été, le cas échéant) pour afficher toutes les heures dans la vue chronologique.

Règles Config

Q : Qu'est-ce qu'une configuration de ressource ?

La configuration d'une ressource est définie par les données incluses dans l'élément de configuration (CI) d'AWS Config. La version initiale des règles Config met le CI de la ressource à la disposition des règles appropriées. Les règles Config peuvent utiliser ces informations ainsi que d'autres informations pertinentes, telles que les ressources connexes ou les heures d'ouverture, pour évaluer la conformité d’une configuration de ressource.

Q : Qu'est-ce qu'une règle ?

Une règle représente les valeurs d'attributs d'élément de configuration (CI) souhaitées pour les ressources ; elle est évaluée en comparant ces valeurs d'attributs aux CI enregistrés par AWS Config. On distingue deux types de règles :

Les règles gérées par AWS : ces règles sont prédéfinies et administrées par AWS. Vous choisissez simplement la règle à activer, puis vous fournissez quelques paramètres de configuration pour commencer. En savoir plus »

Les règles gérées par le client : ce sont des règles personnalisées que vous définissez et créez. Vous pouvez créer une fonction dans AWS Lambda qui peut être appelée dans le cadre d'une règle personnalisée ; cette fonction s'exécute dans votre compte. En savoir plus »

Le moyen le plus rapide pour faire vos premiers pas avec AWS Config est d'utiliser AWS Management Console. Vous pouvez activer AWS Config en quelques clics. Pour plus d’informations, reportez-vous à la documentation Démarrez.

Q : Comment les règles sont-elles créées ?

Les règles sont généralement mises en place par l'administrateur du compte AWS. Il est possible de les définir en reprenant les règles gérées AWS (ensemble prédéfini de règles fourni par AWS) ou en utilisant les règles gérées par le client. Si vous utilisez les règles gérées AWS, les mises à jour appliquées à une règle sont appliquées à tous les comptes utilisant cette règle. Dans le modèle géré par le client, le client possède une copie intégrale de la règle qu'il exécute dans son propre compte. Ces règles sont gérées par le client.

Q : Combien de règles puis-je créer ?

Par défaut, vous pouvez créer jusqu’à 50 règles dans votre compte AWS. Par ailleurs, vous pouvez demander une augmentation de la limite du nombre de règles dans votre compte en consultant la page Limites des services AWS.

Q : Comment les règles sont-elles évaluées ?

Une règle peut être définie pour s'exécuter en cas de modification ou périodiquement. Une règle déclenchée en cas de modification est exécutée lorsque AWS Config enregistre un changement de configuration pour l'une des ressources indiquées. De plus, l'une des options suivantes doit être spécifiée :

Clé de balise:(valeur facultative) : une clé de balise:valeur implique que les changements de configuration enregistrés pour les ressources associées à cette clé de balise déclencheront une évaluation de la règle.

Type(s) de ressources : les modifications de configuration enregistrées pour toutes les ressources du ou des types spécifiés déclencheront une évaluation de la règle.

ID de ressource : les modifications enregistrées pour la ressource désignée par le type de ressource et l'ID de ressource déclencheront une évaluation de la règle.

Une règle périodique se déclenche à la fréquence indiquée. Les fréquences disponibles sont 1 h, 3 h, 6 h, 12 h et 24 h. Une règle périodique possède un instantané complet des éléments de configuration (CI) actuels pour toutes les ressources dont elle dispose.

Q : Qu'est-ce qu'une évaluation ?

L'évaluation d'une règle consiste à déterminer si celle-ci est conforme à une ressource à un moment donné. Il s'agit du résultat du contrôle de l'application d'une règle par rapport à la configuration d'une ressource. Les règles Config capturent et stockent le résultat de chaque évaluation. Ce résultat inclut la ressource, la règle, l'heure d'évaluation et un lien vers l'élément de configuration (CI) qui n'a pas respecté la règle.

Q : Que signifie « conformité » ?

Une ressource est conforme si elle respecte toutes les règles qui s'appliquent à elle. Dans le cas contraire, elle n'est pas conforme. De même, une règle est conforme si toutes les ressources qu'elle évalue la respectent. Dans le cas contraire, elle n'est pas conforme. Dans certains cas, par exemple lorsque la règle ne dispose pas d'autorisations adéquates, la ressource peut ne pas faire l'objet d'une évaluation, ce qui conduit à une insuffisance de données. Cet état empêche de déterminer le statut de conformité d'une ressource ou d'une règle.

Q : Quelles informations le tableau de bord des règles Config fournit-il ?

Le tableau de bord des règles Config fournit une vue d'ensemble des ressources surveillées par AWS Config, ainsi qu'une synthèse de l'état de conformité actuel par ressource et par règle. Lorsque vous affichez la conformité par ressource, vous pouvez déterminer si une règle qui s'applique à la ressource est actuellement non conforme. Vous pouvez afficher la conformité par règle, ce qui vous indique si une ressource soumise à la règle est actuellement non conforme. Grâce à ces vues synthétiques, vous pouvez explorer de manière plus approfondie la chronologie des ressources Config, afin de savoir quels paramètres de configuration ont changé. En utilisant ce tableau de bord, vous pouvez commencer avec une vue d'ensemble, puis passer à des vues détaillées fournissant des informations complètes sur les changements de statut de conformité et sur les modifications qui sont à l'origine de chaque non-conformité.

Agrégation de données multicompte et multirégion

Q : Qu'est-ce que l'agrégation de données données multicompte et multirégion ?

L'agrégation de données dans AWS Config permet de regrouper les données AWS Config de plusieurs comptes et régions sur un seul et même compte. L'agrégation de données sur plusieurs comptes est intéressante pour les administrateurs informatiques centraux chargés de surveiller la conformité de plusieurs comptes AWS dans l'entreprise.

Q : Puis-je utiliser la capacité d'agrégation de données pour allouer des règles Config sur plusieurs comptes de façon centralisée ?

La capacité d'agrégation de données ne peut pas être utilisée pour affecter des règles sur plusieurs comptes. Elle est exclusivement destinée à renforcer la visibilité de votre conformité. Vous pouvez utiliser des StackSets CloudFormation pour affecter des règles sur plusieurs comptes et plusieurs régions. Voici un article de blog utile.

Q : Comment puis-je activer l'agrégation des données dans mon compte ?

Quand Config et les règles Config sont activées sur votre compte et sur les comptes ciblés par l'agrégation, vous pouvez activer l'agrégation des données en créant un agrégateur dans votre compte. En savoir plus.

Q : Qu'est-ce qu'un agrégateur ?

Un agrégateur est un type de ressource AWS Config qui collecte les données AWS Config de plusieurs comptes et régions. Les agrégateurs permettent de consulter les données de configuration et de conformité de ressources enregistrées dans AWS Config pour plusieurs comptes et régions.

Q : Quelles sont les informations fournies par la vue agrégée ?

La vue agrégée affiche le nombre total de règles non conformes au sein de l'organisation, les cinq premières règles non conformes par nombre de ressources et les cinq premiers comptes AWS qui présentent le plus de règles non conformes. Vous pouvez ensuite aller en profondeur pour afficher plus de détails sur les ressources contrevenant aux règles et sur la liste de règles violées par un compte.

Q : Je ne suis pas client d'AWS Organizations. Puis-je tout de même utiliser la capacité d'agrégation de données ?

Vous pouvez spécifier les comptes dont vous souhaitez agréger les données Config en chargeant un fichier ou en saisissant manuellement les comptes. Veuillez noter que puisque ces comptes ne sont pas regroupés dans AWS Organizations, ils doivent tous autoriser explicitement le compte agrégateur à regrouper les données. En savoir plus.

Q : Je n'ai qu'un seul compte. Puis-je quand même profiter de la capacité d'agrégation de données ?

La capacité d'agrégation de données est également utile pour l'agrégation de données multirégion. Ainsi, vous pouvez agréger les données Config pour votre compte sur plusieurs régions à l'aide de cette capacité.

Q : Dans quelles régions la capacité d'agrégation de données multicompte et multirégion est-elle disponible ?

La capacité d'agrégation de données est disponible dans les neuf régions suivantes : USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), USA Ouest (San Francisco), UE (Irlande), UE (Francfort), Asie-Pacifique (Tokyo), Asie-Pacifique (Sydney) et Asie-Pacifique (Singapour).

Q : Que faire si mon compte comporte des ressources dans une région non prise en charge par cette fonction ?

Pendant la création d'un agrégateur, vous devez spécifier les régions dont vous souhaitez regrouper les données. Cette liste n'affiche que les régions dans lesquelles cette fonction est disponible. Il est également possible de sélectionner « Toutes les régions », afin d’étendre automatiquement le regroupement des données aux nouvelles régions prises en charge.

Services et régions pris en charge

Q : Quels sont les types de ressources AWS pris en charge par AWS Config ?

Consultez notre documentation pour obtenir la liste complète des types de ressources pris en charge.

Q : Dans quelles régions AWS Config est-il disponible ?

Pour obtenir des informations sur les régions dans lesquelles AWS Config est disponible, consultez cette page :

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

Configuration des ressources

Q : Qu'est-ce qu'un élément de configuration ?

Un élément de configuration (CI) est la configuration d'une ressource à un instant donné. Il se compose de cinq parties :

  1. les informations basiques sur la ressource communes aux différents types de ressources (par ex. le nom de ressource Amazon, les balises) ;
  2. les données de configuration spécifiques à la ressource (par ex. le type d'instance EC2) ;
  3. une cartographie des relations avec d'autres ressources (par ex. EC2::Volume vol-3434df43 est « associé à l'instance » EC2 i-3432ee3a) ;
  4. les ID d'événements AWS CloudTrail associés à cet état ;
  5. les métadonnées qui vous aident à identifier des informations sur l'élément de configuration, telles que la version de ce dernier et la date de sa capture.

En savoir plus sur les éléments de configuration.

Q : Quelles sont les relations d'AWS Config et comment sont-elles utilisées ?

AWS Config prend en compte les relations entre les ressources lors de l'enregistrement des modifications. Ainsi, si un nouveau groupe de sécurité Amazon EC2 est associé à une instance Amazon EC2, AWS Config enregistre les configurations mises à jour de la ressource principale, du groupe de sécurité Amazon EC2 et des ressources associées, telles que l'instance Amazon EC2, si ces ressources sont effectivement modifiées.

Q : Le service AWS Config enregistre-t-il chaque état d'une ressource ?

AWS Config détecte une modification de la configuration d'une ressource et enregistre l'état de la configuration suite à cette modification. Si plusieurs modifications de configuration sont apportées à une ressource à intervalles rapprochés (en l'espace de quelques minutes, par exemple), AWS Config enregistre uniquement la dernière configuration de cette ressource qui représente l'effet cumulé de l'ensemble des modifications. Dans ces types de situations, AWS Config répertorie uniquement la dernière modification dans le champ relatedEvents de l'élément de configuration. Les utilisateurs et les programmes peuvent ainsi poursuivre les modifications des configurations d'infrastructure sans avoir à attendre qu'AWS Config enregistre les états transitoires intermédiaires.

Q : Le service AWS Config enregistre-t-il les modifications de configuration qui ne sont pas le résultat des activités d'API sur cette ressource ?

Oui, AWS Config recherche régulièrement les modifications de configuration des ressources qui n'ont pas été encore enregistrées pour les enregistrer. Les éléments de configuration enregistrés à partir de ces recherches ne disposent pas de champ relatedEvent dans la charge utile, et seul le dernier état qui est différent de celui déjà enregistré est sélectionné.

Q : AWS Config enregistre-t-il les changements de configuration de logiciels au sein des instances EC2 ?

Oui. AWS Config vous permet d'enregistrer les changements de configuration de logiciels au sein des instances EC2 de votre compte AWS, mais aussi des machines virtuelles ou des serveurs de votre environnement sur site. Les informations de configuration enregistrées par AWS Config incluent les mises à jour du système d'exploitation, la configuration réseau, les applications installées, etc. Si vous souhaitez vérifier que vos instances, machines virtuelles et serveurs sont conformes à vos instructions, vous pouvez utiliser les règles Config AWS. Cette grande visibilité, associée aux capacités de surveillance continue offertes par AWS Config, vous permet d'évaluer la conformité et de résoudre les problèmes opérationnels.

Q : AWS Config continue-t-il à envoyer des notifications si une ressource auparavant non conforme reste non conforme après une évaluation périodique par les règles ?

AWS Config envoie uniquement des notifications si le statut de la conformité change. Si une ressource auparavant non conforme reste non conforme, AWS Config n'envoie pas de nouvelle notification. Si le statut de la conformité change et devient « conforme », vous recevrez une notification concernant le changement de statut.

Q : Puis-je marquer des ressources pour une évaluation par les règles AWS Config ou les dispenser d'évaluation ?

Lors de la configuration des règles Config, vous pouvez préciser si votre règle effectue les évaluations par rapport aux types de ressources mentionnés ou aux ressources avec une balise en particulier.

Tarification

Q : Comment s’effectue la tarification pour AWS Config et les règles AWS Config ?

Avec AWS Config, vous payez en fonction du nombre d'éléments de configuration enregistrés pour les ressources prises en charge dans votre compte AWS. AWS Config crée un élément de configuration chaque fois qu’il détecte un changement apporté à un type de ressource qu’il enregistre.

Par exemple, si AWS Config enregistre les compartiments Amazon S3, AWS Config crée un élément de configuration chaque fois qu’un compartiment est créé, mis à jour ou supprimé. Vous êtes facturé pour l’enregistrement de l’élément de configuration, car un changement a été opéré. Aucuns frais supplémentaires ne sont appliqués pour la conservation du CI, et il n'y a pas d'engagement initial. Vous pouvez arrêter à tout moment d'enregistrer des CI et continuer à accéder à ceux qui ont déjà été enregistrés. Les coûts par élément de configuration s'ajoutent à votre facture mensuelle. Voir les informations de tarification.

Si vous utilisez les règles AWS Config, vous serez facturé mensuellement selon le nombre de règles AWS Config actives. Lorsqu’une règle effectue des évaluations par rapport à une ressource, le résultat est enregistré comme une « évaluation », sur la base des règles AWS Config actives au cours du mois. Une règle est considérée comme active lorsqu'elle fait l'objet d'au moins une évaluation au cours du mois.

Les niveaux de tarification des règles AWS Config sont définis pour répondre aux cas d’utilisation à toute échelle. Étant donné que les règles sont évaluées sur plusieurs comptes au sein de votre organisation au cours d’un mois, les 10 premières règles actives dans une région donnée sont facturées à 2,00 USD chacune, les 40 suivantes à 1,50 USD chacune, et au-delà à 1,00 USD chacune. Des niveaux similaires s’appliquent à d’autres régions. Les informations de tarification par région sont disponibles sur la page de tarification d’AWS Config.

AWS Config envoie également des fichiers d’instantanés et d’historiques de configuration dans le compartiment Amazon S3, ainsi que des notifications à votre rubrique SNS. Les tarifs standard pour Amazon S3 et Amazon SNS s'appliquent. Si vous créez vos propres fonctions AWS Lambda pour élaborer des règles AWS Config personnalisées, les tarifs standard pour AWS Lambda s’appliquent.

Q : La tarification des règles AWS Config comprend-elle les coûts des fonctions AWS Lambda ?

Vous pouvez faire votre choix parmi un ensemble de règles gérées fourni par AWS ou créer vos propres règles écrites sous forme de fonctions AWS Lambda. Les règles gérées sont entièrement gérées et maintenues par AWS, et leur exécution n'entraîne pas de frais supplémentaires AWS Lambda. Il suffit d'activer les règles gérées, de fournir des paramètres requis et de payer un tarif unique pour chaque règle AWS Config active au cours d’un mois donné. Les règles sur mesure vous offrent un contrôle total, car elles sont exécutées comme des fonctions AWS Lambda au sein de votre compte. Outre les frais mensuels applicables à toute règle active, les tarifs standard du niveau gratuit AWS Lambda* et des exécutions de fonctions s'appliquent aux règles AWS Config personnalisées.


*L'offre gratuite d'AWS n'est pas disponible dans la région AWS Chine (Pékin) ou la région AWS Chine (Ningxia).

Q : Je souhaite modifier la fonction Lambda pour ma règle AWS Config personnalisée. Quelle est l’approche recommandée ?

Des frais vous sont facturés chaque fois d’une nouvelle règle est créée et devient active. Si vous souhaitez mettre à jour ou actualiser la fonction Lambda associée à une règle, l’approche recommandée consiste à mettre à jour la règle, plutôt que de la supprimer pour en créer une nouvelle.

Q : Je souhaite configurer 10 règles AWS Config au sein de deux régions AWS, à raison de 100 comptes par région. Pouvez-vous me détailler mes coûts mensuels pour ces règles AWS Config ?

En vertu de la facturation consolidée, vous serez facturé sur la base de la tarification progressive au sein de chaque région AWS, selon le cas.

Dans cet exemple, le coût maximal pouvant vous être facturé si toutes vos règles sont actives au sein de tous les comptes est :

10 règles X 100 comptes = 1 000 règles par région.

Les 10 premières règles facturées à 2,00 USD chacune = 10 X 2 USD = 20 USD

Les 40 règles suivantes facturées à 1,50 USD chacune = 40 X 1,5 USD = 60 USD

Les 950 règles suivantes facturées à 1,00 USD chacune = 950 X 1,00 USD = 950 USD

Coût total possible par région = 20 USD + 60 USD + 950 USD = 1 030 USD

Coût total possible pour les 2 régions = 1 030 USD X 2 = 2 060 USD

Remarque : ces prix sont fournis uniquement à titre indicatif. Pour connaître la tarification réelle, consultez la page de tarification d’AWS Config.

Le pourcentage de règles actives dans un mois donné peut largement varier. Dans l’exemple ci-dessus, si seulement 30 % des règles totales au sein de votre compte sont actives au cours d’un mois donné, le niveau de tarification ne s’appliquerait que pour les 300 règles actives dans la région, ce qui ramènerait le coût total dans cette région à 330 USD.

Solutions partenaires

Q : Quelles sont les solutions partenaires disponibles pour AWS Config ?

Les partenaires de l'écosystème, tels que Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks et RedHat CloudForms, proposent des offres totalement intégrées avec des données provenant d'AWS Config. Des fournisseurs de services gérés, par exemple 2ndWatch Watch et CloudNexa, ont également annoncé des intégrations avec AWS Config. De plus, avec les règles Config, des partenaires comme CloudHealth Technologies, AlertLogic et TrendMicro fournissent des offres intégrées pouvant être utilisées par les clients. Ces solutions incluent des fonctions telles que la gestion des modifications et l'analyse de la sécurité. Elles vous permettent de visualiser, contrôler et gérer les configurations des ressources AWS.

Pour en savoir plus, cliquez ici.

En savoir plus sur AWS Config

Consultez la page des partenaires
Prêt à créer ?
Démarrez avec AWS Config
D'autres questions ?
Contactez-nous