AWS - Config Enum

AWS Config

AWS Config capture les changements de ressources, donc tout changement à une ressource supportée par Config peut être enregistré, ce qui enregistrera ce qui a changé ainsi que d'autres métadonnées utiles, le tout contenu dans un fichier connu sous le nom d'élément de configuration, un CI. Ce service est spécifique à une région.

Un élément de configuration ou CI comme on l'appelle, est un composant clé d'AWS Config. Il est composé d'un fichier JSON qui contient les informations de configuration, les informations de relation et d'autres métadonnées comme une vue instantanée d'une ressource supportée. Toutes les informations qu'AWS Config peut enregistrer pour une ressource sont capturées dans le CI. Un CI est créé chaque fois qu'une ressource supportée subit un changement de configuration de quelque manière que ce soit. En plus d'enregistrer les détails de la ressource affectée, AWS Config enregistrera également des CIs pour toutes les ressources directement liées afin de s'assurer que le changement n'a pas affecté ces ressources également.

• Métadonnées : Contient des détails sur l'élément de configuration lui-même. Un ID de version et un ID de configuration, qui identifient de manière unique le CI. D'autres informations peuvent inclure un MD5Hash qui vous permet de comparer d'autres CIs déjà enregistrés pour la même ressource.

• Attributs : Cela contient des informations d'attributs communs contre la ressource réelle. Dans cette section, nous avons également un ID de ressource unique et toutes les balises de valeur clé associées à la ressource. Le type de ressource est également listé. Par exemple, si c'était un CI pour une instance EC2, les types de ressources listés pourraient être l'interface réseau ou l'adresse IP élastique pour cette instance EC2.

• Relations : Cela contient des informations pour toute relation connectée que la ressource peut avoir. Donc, dans cette section, il montrerait une description claire de toute relation avec d'autres ressources que cette ressource avait. Par exemple, si le CI était pour une instance EC2, la section des relations pourrait montrer la connexion à un VPC ainsi que le sous-réseau dans lequel réside l'instance EC2.

• Configuration actuelle : Cela affichera les mêmes informations qui seraient générées si vous effectuiez un appel API de description ou de liste effectué par l'AWS CLI. AWS Config utilise les mêmes appels API pour obtenir les mêmes informations.

• Événements liés : Cela se rapporte à AWS CloudTrail. Cela affichera l'ID de l'événement AWS CloudTrail qui est lié au changement qui a déclenché la création de ce CI. Un nouveau CI est créé pour chaque changement apporté à une ressource. En conséquence, différents IDs d'événements CloudTrail seront créés.

Historique de configuration : Il est possible d'obtenir l'historique de configuration des ressources grâce aux éléments de configuration. Un historique de configuration est livré toutes les 6 heures et contient tous les CIs pour un type de ressource particulier.

Flux de configuration : Les éléments de configuration sont envoyés à un sujet SNS pour permettre l'analyse des données.

Instantanés de configuration : Les éléments de configuration sont utilisés pour créer un instantané ponctuel de toutes les ressources supportées.

S3 est utilisé pour stocker les fichiers d'historique de configuration et tous les instantanés de configuration de vos données dans un seul bucket, qui est défini dans l'enregistreur de configuration. Si vous avez plusieurs comptes AWS, vous pouvez vouloir agréger vos fichiers d'historique de configuration dans le même bucket S3 pour votre compte principal. Cependant, vous devrez accorder un accès en écriture pour ce principe de service, config.amazonaws.com, et vos comptes secondaires avec un accès en écriture au bucket S3 dans votre compte principal.

Fonctionnement

• Lorsque vous apportez des modifications, par exemple à la liste de contrôle d'accès du groupe de sécurité ou du bucket —> déclenchement d'un événement capté par AWS Config

• Tout est stocké dans le bucket S3

• Selon la configuration, dès qu'un changement se produit, il pourrait déclencher une fonction lambda OU programmer une fonction lambda pour examiner périodiquement les paramètres AWS Config

• Lambda renvoie à Config

• Si une règle a été enfreinte, Config déclenche un SNS

Règles de Config

Les règles de Config sont un excellent moyen de vous aider à appliquer des vérifications de conformité spécifiques et des contrôles sur vos ressources, et vous permettent d'adopter une spécification de déploiement idéale pour chacun de vos types de ressources. Chaque règle est essentiellement une fonction lambda qui, lorsqu'elle est appelée, évalue la ressource et effectue une logique simple pour déterminer le résultat de la conformité avec la règle. Chaque fois qu'un changement est apporté à l'une de vos ressources supportées, AWS Config vérifiera la conformité par rapport à toutes les règles de configuration que vous avez en place. AWS dispose d'un certain nombre de règles prédéfinies qui relèvent de la sécurité et qui sont prêtes à l'emploi. Par exemple, Rds-storage-encrypted. Cela vérifie si le chiffrement du stockage est activé par vos instances de base de données RDS. Encrypted-volumes. Cela vérifie si des volumes EBS ayant un état attaché sont chiffrés.

• Règles gérées par AWS : Ensemble de règles prédéfinies qui couvrent de nombreuses bonnes pratiques, il vaut donc toujours la peine de parcourir ces règles en premier avant de configurer les vôtres, car il est possible que la règle existe déjà.

• Règles personnalisées : Vous pouvez créer vos propres règles pour vérifier des configurations spécifiques personnalisées.

Limite de 50 règles de configuration par région avant de devoir contacter AWS pour une augmentation. Les résultats non conformes ne sont PAS supprimés.