Utilisation des règles d'activation de la télémétrie - Amazon CloudWatch
Intégration des règles d'activation avec AWS ConfigComprendre le comportement des règles d'habilitationCréation de règles d'activation de la télémétrieGestion des règles de télémétrieRésolution des problèmes de configuration de télémétrie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des règles d'activation de la télémétrie

Vous pouvez créer des règles d'activation de la télémétrie afin de configurer automatiquement la collecte de données télémétriques pour vos ressources. AWS Les règles vous aident à normaliser la collecte de données télémétriques au sein de votre organisation ou de vos comptes et à garantir une couverture de surveillance cohérente.

Intégration des règles d'activation avec AWS Config

CloudWatch l'audit et la configuration de la télémétrie s'intègrent AWS Config pour découvrir automatiquement les ressources qui correspondent à votre règle d'activation et les appliquer à votre collecte de données de télémétrie. Lorsque vous créez une règle d'activation, la configuration de télémétrie crée un enregistreur correspondant. AWS Config Cet enregistreur inclut des éléments de configuration pour les types de ressources spécifiques que vous définissez dans la règle d'activation.

Vous pouvez activer la configuration de télémétrie sans frais supplémentaires. Lorsque vous utilisez des règles d'activation pour gérer automatiquement la télémétrie, des AWS Config frais s'appliquent en fonction du nombre d'éléments de configuration enregistrés pour les types de ressources que vous spécifiez dans la règle d'activation. Pour en savoir plus, consultez Pricing AWS Config (Tarification).

Note

Si vous avez AWS Config déjà activé l'enregistrement des éléments de configuration pour le type de ressource spécifique, vous n'êtes pas débité à nouveau.

La configuration de télémétrie permet de : AWS Config

  • Découvrez les ressources de votre organisation ou de vos comptes

  • Suivez les modifications de configuration de télémétrie

Comprendre le comportement des règles d'habilitation

La configuration de la télémétrie suit des modèles spécifiques lors de l'évaluation et de l'application des règles :

Les règles d'habilitation sont évaluées selon un schéma hiérarchique. Les règles organisationnelles sont d'abord évaluées, puis les règles qui s'appliquent aux unités organisationnelles (OUs), et enfin les règles qui s'appliquent aux comptes individuels. Les règles au niveau organisationnel fournissent la télémétrie de base requise pour votre organisation. Les règles au niveau de l'unité d'organisation et du compte peuvent collecter des données de télémétrie supplémentaires, mais elles ne peuvent pas collecter moins de données de télémétrie. Si une telle règle est créée, elle créera un conflit de règles.

Dans chaque périmètre (organisation, unité d'organisation ou compte), les règles doivent conserver leur caractère unique en fonction du type de ressource, du type de télémétrie et de la configuration de destination. Les règles dupliquées déclenchent une exception de conflit. Si la même règle existe dans des domaines différents, par exemple une règle au niveau de l'organisation pour les journaux de flux VPC et une règle CloudWatch au niveau de l'unité d'organisation pour les journaux de flux VPC, la règle située au niveau supérieur de la hiérarchie est appliquée. Toutefois, en cas de conflit entre plusieurs règles, aucune d'entre elles n'est appliquée.

Pour les journaux de flux VPC, Telemetry Config crée uniquement de nouveaux journaux de flux pour les ressources correspondant à la portée de la règle. Cela ne supprime ni n'a d'impact sur les journaux de flux VPC précédemment établis, même s'ils diffèrent des paramètres de règle actuels. Pour les CloudWatch journaux, les groupes de journaux existants sont conservés à condition qu'ils correspondent au modèle de ressources.

Si vous mettez à jour une règle d'activation, seules les nouvelles ressources qui correspondent à la règle adoptent la configuration mise à jour, les paramètres de télémétrie existants restent inchangés pour les ressources existantes. Si une ressource devient non conforme à une règle existante en raison de la suppression manuelle de données de télémétrie, la nouvelle règle d'activation est adoptée une fois que la ressource est remise en conformité.

Création de règles d'activation de la télémétrie

Lorsque vous créez une règle d'activation de la télémétrie, vous spécifiez :

  • Le champ d'application de la règle (organisation, unité organisationnelle ou compte)

  • Les types de ressources auxquels la règle s'applique

  • Les types de télémétrie à activer (métriques, journaux ou traces)

  • Tags facultatifs pour filtrer les ressources affectées par la règle

Pour créer une règle d'activation de la télémétrie

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, choisissez Configuration de la télémétrie.

  3. Choisissez l'onglet Règles d'habilitation.

  4. Choisissez Ajouter une règle.

  5. Pour Nom de la règle, entrez un nom pour votre règle.

  6. Dans le champ d'application de la règle, choisissez l'une des options suivantes :

    • Organisation - La règle s'applique à l'ensemble de votre organisation AWS Organizations

    • Unité organisationnelle : la règle s'applique à une unité d'organisation spécifique

    • Compte - La règle s'applique à un seul compte

  7. Pour Source de données, sélectionnez le AWS service à configurer.

  8. Pour le type de télémétrie, sélectionnez les types de télémétrie à activer.

  9. Facultatif : ajoutez des balises pour filtrer les ressources concernées par la règle.

  10. Choisissez Créer une règle.

Gestion des règles de télémétrie

Après avoir créé les règles, vous pouvez les modifier ou les supprimer. Vous pouvez également consulter les ressources affectées par chaque règle et surveiller la conformité aux règles.

Pour gérer une règle existante

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, choisissez Configuration de la télémétrie.

  3. Choisissez l'onglet Règles d'habilitation.

  4. Sélectionnez une règle pour en afficher les détails ou choisissez l'une des actions suivantes :

    • Modifier - Modifier les paramètres des règles

    • Supprimer - Supprimer la règle

Résolution des problèmes de configuration de télémétrie

Cette section décrit les problèmes courants que vous pouvez rencontrer lors de l'utilisation de la configuration de télémétrie et explique comment les résoudre.

Conflits de règles et résolution

Lorsque plusieurs règles s'appliquent à la même ressource, la configuration de télémétrie résout les conflits en utilisant les priorités suivantes :

  1. Les règles au niveau de l'organisation ont priorité sur les règles au niveau du compte

  2. Les correspondances de tags plus spécifiques ont priorité sur les règles générales

  3. En cas de conflit entre plusieurs règles, aucune d'entre elles n'est appliquée. Vous devez d'abord résoudre les conflits.

Problèmes courants

Ressources n'apparaissant pas dans Discovery

Vérifiez que :

  • Le type de ressource est pris en charge

  • AWS L'enregistreur de configuration est activé

  • Vous disposez des autorisations IAM appropriées

Les règles ne s'appliquent pas automatiquement

Vérifiez :

  • Configuration de l'étendue des règles

  • Filtres de balises

Considérations spécifiques au service

Journaux de flux Amazon VPC

Lors de la création de journaux de flux :

  • Utilise le modèle par défaut vpc-id /aws/vpc/ si aucun n'est spécifié

  • Les journaux de flux existants créés par le client sont conservés

  • Les mises à jour des règles n'affectent que les nouveaux journaux de flux