Utilisation des règles d’activation de la télémétrie - Amazon CloudWatch
Intégration des règles d’activation avec AWS ConfigComprendre le comportement des règles d’activationCréation de règles d’activation de télémétrieGestion des règles de télémétrieRésolution des problèmes de configuration de la télémétrie

Utilisation des règles d’activation de la télémétrie

Vous pouvez créer des règles d’activation de la télémétrie afin de configurer automatiquement la collecte de données de télémétrie pour vos ressources AWS. Les règles vous aident à normaliser la collecte de données de télémétrie au sein de votre organisation ou de vos comptes et à garantir une couverture de surveillance cohérente.

Intégration des règles d’activation avec AWS Config

L’audit et la configuration de la télémétrie CloudWatch s’intègrent à AWS Config pour détecter automatiquement les ressources qui correspondent à votre règle d’activation et l’appliquer à votre collecte de données de télémétrie. Lorsque vous créez une règle d’activation, la configuration de télémétrie crée un enregistreur AWS Config correspondant. Cet enregistreur comprend des éléments de configuration pour les types de ressources spécifiques que vous définissez dans la règle d’activation.

Vous pouvez activer Configuration de la télémétrie sans frais supplémentaires. Lorsque vous utilisez des règles d’activation pour gérer automatiquement la télémétrie, les frais AWS Config s’appliquent en fonction du nombre d’éléments de configuration enregistrés pour les types de ressources que vous spécifiez dans la règle d’activation. Pour plus d’informations, consultez Tarification d’AWS Config.

Note

Si vous avez déjà activé AWS Config pour l’enregistrement des éléments de configuration pour le type de ressource spécifique, vous ne serez pas facturé à nouveau.

La configuration de télémétrie utilise AWS Config pour :

  • Détecter les ressources au sein de votre organisation ou de vos comptes

  • Suivre les modifications de configuration de télémétrie

Comprendre le comportement des règles d’activation

La configuration de la télémétrie suit des modèles spécifiques lors de l’évaluation et de l’application des règles :

Les règles d’activation sont évaluées selon un modèle hiérarchique. Les règles organisationnelles sont évaluées en premier, puis les règles qui s’appliquent aux unité organisationnelle (UO) et enfin les règles qui s’appliquent aux comptes individuels. Les règles au niveau organisationnel fournissent les données de télémétrie de base requises pour votre organisation. Les règles au niveau de l’unité organisationnelle et des comptes peuvent collecter des données de télémétrie supplémentaires, mais elles ne peuvent pas collecter moins de données de télémétrie. Si une telle règle est créée, elle entraînera un conflit de règles.

Dans chaque portée (organisation, unité organisationnelle ou compte), les règles doivent conserver leur caractère unique en fonction de leur type de ressource, de leur type de télémétrie et de leur configuration de destination. Les règles en double déclenchent une exception de conflit. Si la même règle existe dans différentes portées, par exemple une règle au niveau de l’organisation pour les journaux de flux VPC vers CloudWatch et une règle au niveau de l’unité organisationnelle pour les journaux de flux VPC, la règle la plus élevée dans la hiérarchie est appliquée. Toutefois, s’il existe plusieurs règles en conflit, aucune des règles n’est appliquée.

Pour les journaux de flux VPC, Configuration de la télémétrie crée uniquement de nouveaux journaux de flux pour les ressources qui correspondent à la portée de la règle. Il ne supprime pas et n’affecte pas les journaux de flux VPC précédemment établis, même s’ils diffèrent des paramètres de règle actuels. Pour CloudWatch Logs, les groupes de journaux existants sont conservés à condition qu’ils correspondent au modèle de ressource.

Si vous mettez à jour une règle d’activation, seules les nouvelles ressources qui correspondent à la règle adoptent la configuration mise à jour, les paramètres de télémétrie existants restent inchangés pour les ressources existantes. Si une ressource devient non conforme à une règle existante en raison de la suppression manuelle de données de télémétrie, la nouvelle règle d’activation est adoptée une fois que la ressource est remise en conformité.

Création de règles d’activation de télémétrie

Lorsque vous créez une règle d’activation de télémétrie, vous spécifiez :

  • La portée de la règle (organisation, unité organisationnelle ou compte)

  • Les types de ressources auxquels la règle s’applique

  • Les types de télémétrie à activer (métriques, journaux ou traces)

  • Les balises facultatives pour filtrer les ressources concernées par la règle

Pour créer une règle d’activation de télémétrie

  1. Ouvrez la console CloudWatch à l’adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, sélectionnez Configuration de la télémétrie.

  3. Sélectionnez l’onglet Règles d’activation.

  4. Choisissez Ajouter une règle.

  5. Pour Nom de la règle, entrez un nom pour votre règle.

  6. Pour Portée de la règle, sélectionnez l’une des options suivantes :

    • Organisation : la règle s’applique à l’ensemble de vos AWS Organizations

    • Unité organisationnelle : la règle s’applique à une unité organisationnelle spécifique

    • Compte : la règle s’applique à un seul compte

  7. Pour Source de données, sélectionnez le service AWS à configurer.

  8. Pour Type de télémétrie, sélectionnez les types de télémétrie à activer.

  9. Facultatif : ajoutez des balises pour filtrer les ressources concernées par la règle.

  10. Choisissez Créer une règle.

Gestion des règles de télémétrie

Après avoir créé des règles, vous pouvez les modifier ou les supprimer. Vous pouvez également afficher les ressources concernées par chaque règle et surveiller la conformité aux règles.

Pour gérer une règle existante

  1. Ouvrez la console CloudWatch à l’adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, sélectionnez Configuration de la télémétrie.

  3. Sélectionnez l’onglet Règles d’activation.

  4. Sélectionnez une règle pour afficher ses détails ou choisissez l’une des actions suivantes :

    • Modifier : modifier les paramètres de la règle

    • Supprimer : supprimer la règle

Résolution des problèmes de configuration de la télémétrie

Cette section décrit les problèmes courants que vous pouvez rencontrer lors de l’utilisation de la configuration de télémétrie et explique comment les résoudre.

Conflits de règles et résolution

Lorsque plusieurs règles s’appliquent à la même ressource, la configuration de télémétrie résout les conflits en utilisant les priorités suivantes :

  1. Les règles au niveau de l’organisation ont priorité sur les règles au niveau du compte

  2. Les correspondances de balises plus spécifiques ont priorité sur les règles générales

  3. S’il existe plusieurs règles en conflit, aucune des règles n’est appliquée. Vous devez d’abord résoudre les conflits.

Problèmes courants

Ressources n’apparaissant pas dans la découverte

Vérifiez que :

  • Le type de ressource est pris en charge

  • L’enregistreur AWS Config est activé

  • Vous disposez des autorisations IAM appropriées

Règles ne s’appliquant pas automatiquement

Vérifier :

  • Configuration de la portée des règles

  • Filtres de balises

Considérations spécifiques à un service

Journaux de flux Amazon VPC

Lors de la création de journaux de flux :

  • Utilise le modèle par défaut /aws/vpc/vpc-id si aucun n’est spécifié

  • Les journaux de flux existants créés par le client sont conservés

  • Les mises à jour des règles n’affectent que les nouveaux journaux de flux