AWS Config

AWS Config capture les modifications des ressources, donc toute modification apportée à une ressource prise en charge par Config peut être enregistrée, ce qui enregistrera ce qui a changé ainsi que d'autres métadonnées utiles, le tout contenu dans un fichier appelé élément de configuration, un CI. Ce service est spécifique à la région.

Un élément de configuration ou CI comme on l'appelle, est un composant clé d'AWS Config. Il est composé d'un fichier JSON qui contient les informations de configuration, les informations de relation et d'autres métadonnées en tant que vue instantanée à un moment donné d'une ressource prise en charge. Toutes les informations qu'AWS Config peut enregistrer pour une ressource sont capturées dans le CI. Un CI est créé à chaque fois qu'une ressource prise en charge subit une modification de sa configuration de quelque manière que ce soit. En plus d'enregistrer les détails de la ressource affectée, AWS Config enregistrera également des CIs pour toutes les ressources directement liées pour garantir que le changement n'a pas affecté ces ressources également.

• Métadonnées : Contient des détails sur l'élément de configuration lui-même. Un ID de version et un ID de configuration, qui identifie de manière unique le CI. D'autres informations peuvent inclure un hachage MD5 qui vous permet de comparer d'autres CIs déjà enregistrés pour la même ressource.

• Attributs : Contient des informations d'attribut courantes sur la ressource réelle. Dans cette section, nous avons également un ID de ressource unique, et toutes les balises clé-valeur associées à la ressource. Le type de ressource est également répertorié. Par exemple, s'il s'agissait d'un CI pour une instance EC2, les types de ressources répertoriés pourraient être l'interface réseau, ou l'adresse IP élastique de cette instance EC2.

• Relations : Contient des informations sur toute relation connectée que la ressource peut avoir. Ainsi, dans cette section, il montrerait une description claire de toute relation avec d'autres ressources que cette ressource aurait. Par exemple, si le CI était pour une instance EC2, la section des relations pourrait montrer la connexion à un VPC ainsi que le sous-réseau dans lequel réside l'instance EC2.

• Configuration actuelle : Affiche les mêmes informations qui seraient générées si vous deviez effectuer un appel API de description ou de liste effectué par l'AWS CLI. AWS Config utilise les mêmes appels API pour obtenir les mêmes informations.

• Événements associés : Cela concerne AWS CloudTrail. Cela affichera l'ID d'événement AWS CloudTrail lié à la modification qui a déclenché la création de ce CI. Un nouveau CI est créé pour chaque modification apportée à une ressource. Par conséquent, différents IDs d'événements CloudTrail seront créés.

Historique de configuration : Il est possible d'obtenir l'historique de configuration des ressources grâce aux éléments de configuration. Un historique de configuration est fourni toutes les 6 heures et contient tous les CI pour un type de ressource particulier.

Flux de configuration : Les éléments de configuration sont envoyés à un sujet SNS pour permettre l'analyse des données.

Instantanés de configuration : Les éléments de configuration sont utilisés pour créer un instantané à un moment donné de toutes les ressources prises en charge.

S3 est utilisé pour stocker les fichiers d'historique de configuration et tous les instantanés de configuration de vos données dans un seul compartiment, défini dans l'enregistreur de configuration. Si vous avez plusieurs comptes AWS, vous voudrez peut-être agréger vos fichiers d'historique de configuration dans le même compartiment S3 pour votre compte principal. Cependant, vous devrez accorder un accès en écriture pour ce principe de service, config.amazonaws.com, et vos comptes secondaires avec un accès en écriture au compartiment S3 de votre compte principal.

Fonctionnement

• Lorsque des modifications sont apportées, par exemple à un groupe de sécurité ou à une liste de contrôle d'accès au compartiment —> déclenche un événement capté par AWS Config

• Stocke tout dans un compartiment S3

• Selon la configuration, dès qu'un changement se produit, cela pourrait déclencher une fonction lambda OU planifier une fonction lambda pour examiner périodiquement les paramètres AWS Config

• Lambda renvoie à Config

• Si une règle est enfreinte, Config déclenche un SNS

Règles de configuration

Les règles de configuration sont un excellent moyen de vous aider à appliquer des vérifications de conformité spécifiques et des contrôles sur l'ensemble de vos ressources, et vous permettent d'adopter une spécification de déploiement idéale pour chacun de vos types de ressources. Chaque règle est essentiellement une fonction lambda qui, lorsqu'elle est appelée, évalue la ressource et effectue une logique simple pour déterminer le résultat de conformité avec la règle. Chaque fois qu'une modification est apportée à l'une de vos ressources prises en charge, AWS Config vérifiera la conformité par rapport à toutes les règles de configuration que vous avez en place. AWS propose un certain nombre de règles prédéfinies qui relèvent du domaine de la sécurité et qui sont prêtes à l'emploi. Par exemple, Rds-storage-encrypted. Cela vérifie si le chiffrement du stockage est activé par vos instances de base de données RDS. Encrypted-volumes. Cela vérifie si des volumes EBS qui ont un état attaché sont chiffrés.

• Règles gérées par AWS : Ensemble de règles prédéfinies qui couvrent de nombreuses meilleures pratiques, il vaut donc toujours la peine de parcourir ces règles avant de mettre en place les vôtres car il est possible que la règle existe déjà.

• Règles personnalisées : Vous pouvez créer vos propres règles pour vérifier des configurations personnalisées spécifiques.

Limite de 50 règles de configuration par région avant de devoir contacter AWS pour une augmentation. Les résultats non conformes NE sont PAS supprimés.