AWS Config Rules est un nouvel ensemble de fonctionnalités de gouvernance de cloud permettant aux administrateurs informatiques de définir des lignes directrices pour l'allocation et la configuration de ressources AWS, puis de contrôler en permanence la conformité à ces lignes directrices. AWS Config Rules vous permet de choisir des règles parmi un ensemble préintégré basé sur les bonnes pratiques AWS ou des règles personnalisées que vous définissez. Par exemple, ces règles peuvent vérifier que les volumes EBS sont cryptés, que les instances EC2 sont correctement étiquetées et que les adresses IP élastiques (EIP) sont rattachées à des instances. AWS Config Rules peut surveiller en permanence les changements de configuration apportés à vos ressources AWS, et fournit un nouveau tableau de bord permettant de suivre leur statut en termes de conformité. Grâce aux règles Config Rules, un administrateur informatique peut rapidement déterminer quand et comment une ressource s'est écartée d'une règle.
La version préliminaire d'AWS Config Rules est à présent disponible
S'inscrire à la version préliminaireVous pouvez activer AWS Config Rules en quelques clics dans AWS Management Console. Utilisez les modèles de règles prédéfinis ou créez vos propres règles à l'aide de fonctions AWS Lambda pour permettre des contrôles de conformité, des flux de travail et des notifications plus élaborés. Vous pouvez accéder aux informations concernant la configuration de toutes les ressources via AWS Management Console, l'interface de ligne de commande ou les kits de développement logiciel (SDK).
AWS Config Rules fournit un tableau de bord visuel comprenant des listes, des tableaux et des graphiques pour vous aider à repérer rapidement les ressources non conformes et à prendre les mesures appropriées. Les administrateurs informatiques, les experts en sécurité, les développeurs et les opérateurs peuvent bénéficier d'une vue partagée de la conformité. Pour les entreprises soumises à des normes industrielles précises, Config Rules peut contribuer à assurer la conformité.
AWS Config Rules offre une vue en temps quasi réel de la conformité des ressources AWS par rapport aux politiques et directives de l'entreprise. Il n'est pas nécessaire de lancer une analyse de la conformité pour afficher le statut de vos ressources AWS. Vous pouvez choisir de contrôler le respect des règles à chaque modification d'une ressource AWS ou à intervalle régulier. Vous pouvez également autoriser Amazon SNS à envoyer un e-mail ou un SMS chaque fois qu'un changement de configuration est détecté.
AWS Config Rules comprend une interface pratique à utiliser pour les audits de conformité et la résolution des problèmes de configuration. Vous pouvez également planifier, à partir de la console, des instantanés automatiques de conformité au niveau du compte, ce qui permet d'avoir une vue d'ensemble de la conformité au fil du temps.
Grâce au réseau de partenaires d'AWS (APN), vous pouvez faire appel à des partenaires offrant des solutions qui s'intègrent à AWS Config pour assurer l'exploration des ressources, la gestion des modifications, la conformité ou la sécurité.
Avec AWS Config Rules, vous êtes facturé en fonction du nombre de règles actives dans votre compte. Chaque fois qu'une ressource AWS est comparée à une règle, le résultat est enregistré en tant que résultat d'évaluation. Vous pouvez choisir d'évaluer le respect des règles à chaque modification des ressources AWS ou à intervalle régulier (toutes les heures ou tous les jours, par exemple). Une règle est active lorsqu'elle fait l'objet d'au moins une évaluation au cours du mois.
Coûts liés à Config Rules :
2 USD par règle active et par mois.
Pour chaque règle active, votre compte reçoit sans supplément pour ce mois :
20 000 évaluations
Les évaluations non utilisées ne sont pas conservées pour le mois suivant. Si vous avez besoin d'évaluations supplémentaires pour vos règles, celles-ci seront facturées au prix de :
0,10 USD pour mille évaluations
Les instantanés de configuration et les fichiers d'historique des configurations vous sont envoyés dans le compartiment Amazon S3 que vous choisissez, et les notifications de modification de configuration sont envoyées par l'intermédiaire d'Amazon Simple Notification Service (SNS). Les tarifs standard d'Amazon S3 et Amazon SNS s'appliquent. Les règles gérées par l'utilisateur sont créées à l'aide d'AWS Lambda. Les tarifs standard d'AWS Lambda s'appliquent.
Sauf indication contraire, nos prix n'incluent pas les taxes et redevances applicables, y compris la TVA, la taxe australienne sur les biens et services (GST) et les taxes de vente applicables. Pour en savoir plus, consultez la FAQ sur la tarification de Config Rules »
Qu'est-ce qu'une règle de configuration ?
Une règle de configuration représente les configurations souhaitées pour une ressource ; elle est évaluée par rapport aux changements de configuration apportés aux ressources correspondantes, recodés par AWS Config. Les résultats de l'évaluation d'une règle par rapport à la configuration d'une ressource sont disponibles dans un tableau de bord. En utilisant Config Rules, vous pouvez évaluer votre statut global en termes de conformité et de risques du point de vue de la configuration, voir se dessiner des tendances de conformité au fil du temps et identifier les changements de configuration qui ont entraîné le non-respect d'une règle.
A qui s'adresse Config Rules ?
Cette fonctionnalité peut s'avérer utile à tout client AWS cherchant à améliorer sa sécurité et son approche de la gouvernance sur AWS en évaluant en permanence la configuration de ses ressources. Dans les grandes entreprises, les administrateurs qui dictent les bonnes pratiques de configuration des ressources peuvent codifier ces règles en tant que Config Rules pour permettre l'auto-gouvernance par les utilisateurs. Les experts en sécurité de l'information qui surveillent l'activité et les configurations d'utilisation pour détecter les vulnérabilités peuvent eux aussi tirer profit des règles de configuration. Les clients dont les charges de travail doivent être conformes à des normes particulières (par ex. PCI-DSS ou HIPAA) peuvent s'appuyer sur cette fonctionnalité pour évaluer la conformité de leurs configurations d'infrastructure AWS et générer des rapports destinés à leurs auditeurs. Les opérateurs qui gèrent de grandes infrastructures AWS ou des composants fréquemment modifiés peuvent également utiliser Config Rules pour faciliter le dépannage.
Est-ce que le service garantit que mes configurations sont toujours conformes ?
Config Rules fournit des informations permettant de savoir si vos ressources sont conformes aux règles de configuration que vous spécifiez. Il évalue les règles dès que des éléments de configuration (CI) de la ressource sont disponibles dans AWS Config. Cependant, il ne garantit pas que les ressources sont conformes et n'empêche pas les utilisateurs d'effectuer des actions non conformes. De plus, Config Rules ne rétablit pas automatiquement la conformité des ressources non conformes.
Le service empêche-t-il les utilisateurs d'effectuer des actions non conformes ?
Config Rules n'influence pas directement la façon dont les utilisateurs finaux ont recours à AWS. Il évalue les configurations de ressources uniquement après l'enregistrement d'un changement effectif de configuration par AWS Config. Config Rules n'empêche pas les utilisateurs d'effectuer des actions susceptibles de nuire à la conformité. Pour contrôler les ressources qu'un utilisateur peut mettre en service sur AWS et les paramètres de configuration autorisés ce faisant, utilisez les politiques AWS Identity and Access Management (IAM) et AWS Service Catalog respectivement.
Les règles peuvent-elles être évaluées avant la mise en service d'une ressource ?
Config Rules évalue les règles après qu'AWS Config a capturé l'élément de configuration (CI) de la ressource. Il n'évalue pas les règles avant la mise en service d'une ressource ou la modification de la configuration de la ressource.
Qu'est-ce que la configuration d'une ressource ?
La configuration d'une ressource est définie par les données incluses dans l'élément de configuration (CI) d'AWS Config. La version initiale de Config Rules met le CI de la ressource à la disposition des règles appropriées. Les règles de configuration peuvent utiliser ces informations ainsi que d'autres informations pertinentes, telles que les ressources connexes ou les heures d'ouverture, pour évaluer la conformité de la configuration d'une ressource.
Qu'est-ce qu'une règle ?
Une règle représente les valeurs d'attributs d'élément de configuration (CI) souhaitées pour les ressources ; elle est évaluée en comparant ces valeurs d'attributs aux CI enregistrés par AWS Config. On distingue deux types de règles :
- Règles gérées par AWS : ces règles sont prédéfinies et administrées par AWS. Vous choisissez simplement la règle à activer, puis vous fournissez quelques paramètres de configuration pour commencer. En savoir plus »
- Règles gérées par le client : ce sont des règles personnalisées que vous définissez et créez. Vous pouvez créer une fonction dans AWS Lambda qui peut être appelée dans le cadre d'une règle personnalisée ; ces fonctions s'exécutent dans votre compte. En savoir plus »
Comment les règles sont-elles créées ?
Les règles sont généralement mises en place par l'administrateur du compte AWS. Il est possible de les définir en reprenant des règles gérées AWS (ensemble prédéfini de règles fourni par AWS) ou en utilisant des règles gérées par le client. Si vous utilisez des règles gérées AWS, les mises à jour appliquées à une règle sont appliquées à tous les comptes utilisant cette règle. Dans le modèle géré par le client, le client possède une copie de la règle qu'il exécute dans son propre compte. Ces règles sont gérées par le client.
Comment les règles sont-elles évaluées ?
Une règle peut être définie pour s'exécuter en cas de modification ou périodiquement. Une règle déclenchée en cas de modification est exécutée lorsque AWS Config enregistre un changement de configuration pour l'une des ressources indiquées. De plus, l'une des options suivantes doit être indiquée :
- Paire clé balise:(valeur facultative) : une paire clé balise:valeur implique que les changements de configuration enregistrés pour les ressources associées à cette paire déclencheront une évaluation de la règle.
- Type(s) de ressource : les modifications de configuration enregistrées pour toutes les ressources du ou des types spécifiés déclencheront une évaluation de la règle.
- ID de ressource : les modifications enregistrées pour la ressource désignée par le type de ressource et l'ID de ressource déclencheront une évaluation de la règle.
Une règle périodique se déclenche à la fréquence indiquée. Les fréquences disponibles sont 1 h, 3 h, 6 h, 12 h et 24 h. Une règle périodique possède un instantané complet des éléments de configuration (CI) actuels pour toutes les ressources dont elle dispose.
Qu'est-ce qu'une évaluation ?
L'évaluation d'une règle consiste à déterminer si celle-ci est conforme à une ressource à un moment particulier. Il s'agit du résultat du contrôle de l'application d'une règle par rapport à la configuration d'une ressource. Config Rules capture et stocke le résultat de chaque évaluation. Ce résultat inclut la ressource, la règle, l'heure d'évaluation et un lien vers l'élément de configuration (CI) qui n'a pas respecté la règle.
Que signifie le terme « conformité » ?
Une ressource est conforme si elle respecte toutes les règles qui s'appliquent à elle. Dans le cas contraire, elle n'est pas conforme. De même, une règle est conforme si toutes les ressources qu'elle évalue la respectent. Dans le cas contraire, elle n'est pas conforme. Dans certains cas, par exemple lorsque la règle ne dispose pas d'autorisations adéquates, la ressource peut ne pas faire l'objet d'une évaluation, ce qui conduit à une insuffisance de données. Cet état empêche de déterminer le statut de conformité d'une ressource ou d'une règle.
Quelles informations le tableau de bord Config Rules fournit-il ?
Le tableau de bord Config Rules fournit une vue d'ensemble des ressources surveillées par AWS Config, ainsi qu'une synthèse de l'état de conformité actuel par ressource et par règle. Lorsque vous affichez la conformité par ressource, vous pouvez déterminer si une règle qui s'applique à la ressource est actuellement non conforme. Vous pouvez afficher la conformité par règle, ce qui vous indique si une ressource soumise à la règle est actuellement non conforme. Grâce à ces vues synthétiques, vous pouvez explorer de manière plus approfondie la chronologie des ressources Config, afin de savoir quels paramètres de configuration ont changé. En utilisant ce tableau de bord, vous pouvez commencer avec une vue d'ensemble, puis passer à des vues détaillées fournissant des informations complètes sur les changements de statut de conformité et sur les modifications qui sont à l'origine de chaque non-conformité.
La tarification comprend-elle les coûts des fonctions AWS Lambda ?
Vous pouvez faire votre choix parmi un ensemble de règles gérées fourni par AWS ou créer vos propres règles écrites sous forme de fonctions AWS Lambda. Les règles gérées sont entièrement gérées et maintenues par AWS, et leur exécution n'entraîne pas de frais supplémentaires AWS Lambda. Il suffit d'activer les règles gérées, de fournir des paramètres requis et de payer chaque règle AWS Config à un tarif unique. Toutefois, les règles gérées par le client garantissent un contrôle complet, car vous pouvez les exécuter en tant que fonctions AWS Lambda dans votre compte. Outre les frais mensuels applicables à toute règle active, les tarifs standard du niveau gratuit AWS Lambda et des exécutions de fonction s'appliquent aux règles gérées par le client.
Qu'est-ce qu'une règle active ?
Une règle est considérée comme active si elle a fait l'objet d'au moins une évaluation au cours d'un cycle de facturation (mois). Une évaluation est enregistrée quand une ressource AWS est comparée à une règle et que le résultat est enregistré par AWS Config.
Que signifie l'expression « quota partagé » ?
Vous recevez un quota de 20 000 évaluations par règle active et par mois. Par exemple, si vous disposez de trois règles Config Rules, vous obtenez un quota de 60 000 évaluations pour le compte. Vous pouvez choisir de les répartir à votre gré entre les règles.
Les évaluations inutilisées sont-elles reportées sur le mois suivant ?
Les évaluations inutilisées sont perdues lorsqu'un nouveau cycle de facturation commence.
Pouvez-vous donner quelques exemples de tarification pour les règles AWS Config Rules ?
Exemple de tarification 1 :
AWS Config enregistre chaque changement de ressource et de configuration AWS en tant qu'élément de configuration (CI). Supposons que vous enregistriez 7 000 CI par mois et que vous ayez créé 5 règles actives (2 règles périodiques et 3 règles déclenchées par les modifications), pour un total de 150 évaluations par jour.
Coûts AWS Config : 7 000 * 0,003 USD = 21,00 USD
Coût pour 5 règles actives = 5 * 2,00 USD = 10,00 USD
Quota pour les résultats d'évaluation = 5 * 20 000 = 100 000
Nombre de résultats d'évaluation utilisés = 150 évaluations * 30 jours = 4 500 évaluations par mois
Frais supplémentaires liés aux résultats d'évaluation = 0,0 USD
Frais mensuels totaux pour AWS Config = 31,00 USD
Exemple de tarification 2 :
Supposons que vous génériez 50 000 CI par mois et que vous ayez créé 2 règles actives, chacune d'elles étant évaluée pour chaque CI et produisant des résultats à chaque fois.
Coûts AWS Config : 50 000 * 0,003 USD = 150,00 USD
Coût pour 2 règles actives = 2 * 2,00 USD = 4,00 USD
Quota pour les résultats d'évaluation = 2 * 20 000 = 40 000
Nombre de résultats d'évaluation utilisés = 2 * 50 000 = 100 000
Frais supplémentaires liés aux résultats d'évaluation = (100 000 – 40 000) = 60 000 * 0,0001 = 6,00 USD
Frais mensuels totaux pour AWS Config = 150,00 USD + 4,00 USD + 6,00 USD = 160,00 USD