Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de l'enregistreur de configuration
L'enregistreur de configuration enregistre les modifications de configuration apportées aux types de ressources concernés sous forme d'éléments de configuration (CIs).
Il existe deux types d'enregistreurs de configuration.
| Type | Description |
|---|---|
| Enregistreur de configuration géré par le client | Un enregistreur de configuration que vous avez géré. Les types de ressources concernés sont définis par vous. Par défaut, un enregistreur de configuration géré par le client enregistre toutes les ressources prises en charge dans Région AWS le AWS Config répertoire d'exécution. |
| Enregistreur de configuration lié au service | Un enregistreur de configuration lié à un fichier spécifique Service AWS. Les types de ressources concernés sont définis par le service lié. |
Rubriques
Considérations relatives à l'enregistreur de configuration géré par le client
Un enregistreur de configuration géré par le client par compte et par région
Vous ne pouvez avoir qu'un seul enregistreur de configuration géré par le client Compte AWS pour chacun Région AWS.
Par défaut, tous les types de ressources pris en charge sont enregistrés, à l'exception des types de ressources IAM globaux
Par défaut, un enregistreur de configuration géré par le client enregistre tous les types de ressources pris en charge, à l'exception des types de ressources IAM globaux suivants : AWS::IAM::Group AWS::IAM::PolicyAWS::IAM::Role,, et AWS::IAM::User Vous pouvez spécifier les types de ressources que vous souhaitez inclure ou exclure de l'enregistrement.
Pour de plus amples informations, veuillez consulter AWS Ressources d'enregistrement avec AWS Config.
Des frais d'utilisation du service vous sont facturés pour l'utilisation de l'enregistreur de configuration géré par le client
Des frais d'utilisation du service vous sont facturés lorsque vous AWS Config commencez à enregistrer des configurations avec l'enregistreur de configuration géré par le client.
Pour de plus amples informations sur la tarification, veuillez consulter AWS Config
Pricing
AWS Systems Manager À utiliser pour créer un enregistreur de configuration géré par le client au sein d'une organisation
Vous pouvez utiliser AWS Systems Manager Quick Setup pour créer un enregistreur de configuration géré par le client dans plusieurs unités organisationnelles (OUs) et Régions AWS en utilisant les AWS meilleures pratiques.
Pour plus d'informations, consultez la section Création d'un enregistreur AWS Config de configuration à l'aide de Quick Setup dans le guide de l'utilisateur de Systems Manager.
Important
Politiques et résultats en matière de conformité
Les politiques IAM et les autres politiques gérées dans AWS Organizations peuvent avoir une incidence sur le AWS Config fait de disposer des autorisations nécessaires pour enregistrer les modifications de configuration de vos ressources. En outre, les règles évaluent directement la configuration d'une ressource et les règles ne tiennent pas compte de ces politiques lors de l'exécution des évaluations. Assurez-vous que les politiques en vigueur correspondent à la manière dont vous avez l'intention de les utiliser AWS Config.
Les résultats d'évaluation périmés pour les ressources supprimées peuvent persister si l'enregistreur de configuration est désactivé
Si l'enregistreur de configuration géré par le client est désactivé, il désactive la capacité de AWS Config Config à suivre les modifications apportées à la configuration des ressources que vous avez spécifiées, y compris leurs suppressions. Cela signifie que vous risquez de voir des résultats d'évaluation périmés pour les ressources supprimées lorsque l'enregistreur de configuration géré par le client est désactivé, car il est AWS Config impossible de capturer les événements de suppression si l'enregistrement n'est pas activé.
Considérations relatives aux enregistreurs de configuration liés aux services
Le rôle AWS Config lié au service doit être utilisé
Le rôle AWS Config lié à un service est requis pour les enregistreurs de configuration liés à un service.
Pour de plus amples informations, veuillez consulter Utilisation des rôles liés à un service pour AWS Config.
Les enregistreurs de configuration liés au service enregistrent toujours
Les enregistreurs liés au service sont réparés. Vous ne pouvez pas modifier directement les paramètres d'un enregistreur lié à un service. Pour modifier les paramètres de l'enregistreur tels que le démarrage, l'arrêt ou la mise à jour de l'enregistreur, effectuez ces modifications via le AWS service associé qui utilise l'enregistreur lié au service.
Pour plus d'informations, voir Suppression de l'enregistreur de configuration.
L'étendue de l'enregistrement détermine si vous recevez des éléments de configuration
L'étendue de l'enregistrement est définie par celui Service AWS qui est lié à l'enregistreur de configuration et détermine si vous recevez des éléments de configuration (CIs) dans le canal de diffusion. Si l'étendue d'enregistrement est INTERNE, vous ne recevrez pas CIs dans le canal de livraison.
L'étendue de l'enregistrement détermine si des frais de service vous sont facturés
L'étendue d'enregistrement est définie par Service AWS celui qui est lié à l'enregistreur de configuration et détermine si les éléments de configuration (CIs) concernés sont enregistrés gratuitement (INTERNE) ou s'ils ont un impact sur le coût de votre facture (PAYÉ).
Priorité de fréquence d'enregistrement entre les enregistreurs
Lorsque vous disposez à la fois d'un enregistreur de configuration géré par le client et d'un enregistreur de configuration lié à un service avec une étendue d'enregistrement « PAID » qui enregistrent les mêmes types de ressources, l'enregistreur ayant la fréquence d'enregistrement la plus élevée a priorité. Par exemple, si votre enregistreur géré par le client est configuré pour un enregistrement quotidien, mais que vous activez un AWS service qui utilise un enregistreur lié au service avec une portée d'enregistrement « PAYANT » et un enregistrement continu, les types de ressources concernés seront enregistrés en continu.
Cela signifie que même si les paramètres de votre enregistreur géré par le client indiquent toujours « Enregistrement quotidien », l'enregistrement continu vous sera facturé pour les types de ressources concernés par les deux enregistreurs. Cela n'affecte que les types de ressources enregistrés par les deux enregistreurs.
Note
Vous n'êtes facturé qu'une seule fois par élément de configuration, quel que soit le nombre d'éléments de configuration générés par un enregistreur de configuration géré par le client ou par des enregistreurs de configuration liés à un service que vous payez.
Exemple : enregistrement de la priorité des fréquences
Vous avez configuré votre enregistreur géré par le client pour enregistrer EC2 les instances Amazon avec une fréquence d'enregistrement quotidienne. Plus tard, vous activez une fonctionnalité de AWS service qui utilise un enregistreur lié à un service avec une portée d'enregistrement « PAYANT » et un enregistrement continu qui enregistre également les instances Amazon EC2. Dans ce scénario :
Les paramètres de votre enregistreur géré par le client afficheront toujours « Enregistrement quotidien »
EC2 Les instances Amazon seront enregistrées en continu et fournissent des informations supplémentaires, CIs car l'enregistreur lié au service dont l'étendue d'enregistrement est « PAID » a une fréquence d'enregistrement plus élevée
L'enregistrement continu des EC2 instances Amazon vous sera facturé
Les autres types de ressources qui ne sont enregistrés que par votre enregistreur géré par le client continueront d'être enregistrés selon une fréquence d'enregistrement quotidienne.
Services pris en charge
Les enregistreurs de configuration liés aux services sont pris en charge pour les services suivants :
| AWS web | Service principal | Avantages de l'utilisation avec AWS Config | En savoir plus |
|---|---|---|---|
| Amazon CloudWatch | observabilityadmin.amazonaws.com,
telemetry-enablement.observabilityadmin.amazonaws.com |
Vous pouvez utiliser Amazon CloudWatch Observability Admin pour découvrir et comprendre l'état de la configuration télémétrique de votre AWS organisation ou CloudWatch de votre compte. | Pour plus d'informations, consultez la section Audit des configurations de CloudWatch télémétrie dans le guide de l'CloudWatch utilisateur. |
| AWS Security Hub | securityhub.amazonaws.com |
Vous pouvez l'utiliser AWS Security Hub pour gérer de manière centralisée les résultats de sécurité et effectuer des évaluations de sécurité sur l'ensemble de vos AWS comptes. L'enregistreur lié au service permet une approche axée sur les événements pour obtenir les éléments de configuration des ressources nécessaires à la couverture de l'analyse d'exposition. | Pour plus d'informations, consultez la section Enabling Security Hub dans le guide de l'utilisateur de Security Hub. |
Détection de dérive pour l'enregistreur de configuration
Le type de ressource AWS::Config::ConfigurationRecorder est un élément de configuration (CI) pour l'enregistreur de configuration qui suit toutes les modifications apportées à l'état de l'enregistreur de configuration. Vous pouvez utiliser ce CI pour vérifier si l'état de l'enregistreur de configuration est différent ou s'il a dérivé de son état précédent.
Par exemple, ce CI surveille si des mises à jour ont été apportées aux types de ressources surveillés par AWS Config , si vous avez arrêté ou démarré l'enregistreur de configuration, ou si vous avez supprimé ou désinstallé l'enregistreur de configuration. Un enregistreur de configuration dérivé indique que vous ne détectez pas avec précision les modifications apportées aux types de ressources souhaités. Si votre enregistreur de configuration a dérivé, il peut induire des faux négatifs ou des faux positifs dans les résultats de conformité.
Le type de AWS::Config::ConfigurationRecorder ressource est un type de ressource système AWS Config et l'enregistrement de ce type de ressource est activé par défaut dans toutes les régions prises en charge. L'enregistrement du type de ressource AWS::Config::ConfigurationRecorder est effectué sans frais supplémentaires.
