Demande de modification des réponses par défaut Modification des réponses par défaut pour vos résultats et vos comptes Modification des réponses par défaut par ressource

Constatations et réponses personnalisées

Vous pouvez choisir la manière dont vous souhaitez qu'AMS Accelerate réponde à certaines constatations (règles de configuration non conformes). Vous pouvez configurer AMS pour qu'il réponde aux constatations en corrigeant la constatation, en demandant votre approbation pour y remédier ou simplement en vous faisant rapport dans votre prochaine revue commerciale mensuelle (MBR). Vous pouvez modifier les réponses par défaut pour les règles AMS Accelerate Config. Pour consulter les règles, accédez à Configuration Conformité > Tableau des règles ou téléchargez le tableau des règles sous forme de fichier ZIP ams_config_rules.zip.

La modification des réponses par défaut vous permet d'améliorer l'état de sécurité et de conformité de votre compte en permettant de corriger davantage de résultats. Lorsque vous corrigez un plus grand nombre de résultats, vous avez moins de cas à attendre pour une révision et une approbation manuelles. La vaste bibliothèque de runbooks de remédiation AMS corrige en permanence les ressources non conformes et vous n'êtes contacté que lorsque cela est nécessaire.

Les réponses personnalisées ne sont utilisées qu'avec de nouvelles ressources ou avec des ressources existantes présentant de nouveaux événements. Par exemple, une ressource devenue non conforme à la suite d'une modification. Cela s'explique par le fait que les anciennes ressources ont tendance à nécessiter une inspection plus approfondie avant d'être corrigées et qu'il est plus facile d'appliquer la correction des ressources au fur et à mesure de leur création ou de leur modification. Pour demander la correction de la recherche pour une ressource à tout moment, soumettez une demande de service.

Demande de modification des réponses par défaut

Les architectes du cloud (CAs) travaillent avec vous lors de l'intégration pour recueillir vos préférences. CAspuis configurez la configuration initiale sur les systèmes AMS internes. Après l'intégration, créez une demande de service pour demander des mises à jour de vos configurations. Vous pouvez demander des mises à jour de configuration autant de fois que nécessaire. Veuillez noter que Operations met uniquement à jour les configurations pour le compte dans lequel la demande de service a été créée. Si vous devez mettre à jour plusieurs comptes en même temps, contactez votre architecte cloud. Votre autorité de certification vous demandera de supprimer une demande de service en fonction de vos préférences à des fins d'audit.

Modification des réponses par défaut pour vos résultats et vos comptes

Vous avez toujours besoin d'une préférence de réponse pour chaque compte et chaque résultat. AMS fournit une réponse par défaut (voir Conformité des configurations), cette configuration est donc facultative. Vous pouvez remplacer les réponses par défaut pour chaque résultat par les options suivantes :

Corriger : AMS corrige le résultat manuellement ou automatiquement. AMS examine la correction et vous avertit en cas d'échec.
Demande d'approbation : AMS crée un dossier sortant pour vous informer de la découverte. Utilisez cette option lorsque vous souhaitez examiner le résultat avant d'approuver sa correction ou de l'exempter. AMS exécute ensuite l'action que vous préférez.
Aucune action (rapport uniquement) : AMS ne prend aucune mesure pour corriger ou aggraver le résultat. Les résultats peuvent toujours apparaître sur la console et les rapports présentés pendant MBRs.

Note

Vous ne pouvez pas modifier la configuration des règles qui doivent être corrigées par AMS. Par exemple, activer Amazon GuardDuty et VPC Flow Logs.

Modification des réponses par défaut par ressource

Vous pouvez également configurer la réponse à des ressources spécifiques à l'aide de balises. Vous pouvez utiliser vos balises ou ressources de balises préexistantes à l'aide de Resource Tagger. Pour plus de détails, voirAccélérez Resource Tagger). La configuration des ressources avec des balises a priorité sur l'action par défaut pour la recherche. Lorsqu'une ressource possède plusieurs balises associées à différentes configurations, AMS ne peut pas exécuter de corrections personnalisées. AMS vous envoie plutôt une demande de service sortante pour vous informer de la situation. Par exemple, pour la recherche bucket-server-side-encryptionactivée par s3, vous pouvez :

Modifiez la réponse pour « corriger » les compartiments S3 non chiffrés avec la paire clé-valeur de balise « Regulated : True »
Remplacez la réponse par « aucune action » lorsque les compartiments S3 non chiffrés comportent les balises « Regulated : False », et
Remplacez la réponse par défaut des compartiments S3 non chiffrés par « demander l'approbation ». Cela s'applique à tous les compartiments S3 qui ne possèdent pas les balises « Regulated : True » ou « Regulated : False »

Vous pouvez également ajouter l'entrée requise pour exécuter une réponse de recherche personnalisée. Par exemple, pour les corrections qui nécessitent une clé de chiffrement, vous pouvez fournir votre clé IDs à AMS. Vous pouvez modifier les paramètres d'entrée des runbooks de correction, mais AMS ne prend pas en charge l'intégration avec les runbooks personnalisés. Pour une description des runbooks de correction AMS dans le rapport de configuration, consultez. AWS Config Rapport de conformité des contrôles

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Conformité de la configuration

Intervention en cas d’incidents