Comment puis-je recréer un canal de diffusion AWS Config ?

Brève description

Lorsque vous utilisez la console AWS Config pour configurer AWS Config, un processus de configuration vous guide pour configurer les ressources AWS. Les ressources sont configurées pour envoyer des notifications au canal de diffusion. La configuration d'AWS Config inclut la configuration des ressources suivantes :

• Compartiment Amazon Simple Storage Service (Amazon S3)
• Rubrique Amazon Simple Notification Service (Amazon SNS)
• Rôle AWS Identity and Access Management (IAM)
• Les types de ressources à enregistrer

Si vous utilisez la commande de l’interface de ligne de commande AWS (WAS CLI) delete-delivery-channel pour supprimer un canal de diffusion AWS Config, l'enregistreur de configuration s’éteint. Si vous tentez d'activer l'enregistreur de configuration, le message d'erreur suivant s'affiche :

« Delivery channel is not available to start configuration recorder. »

Remarque : Vous ne pouvez pas utiliser la console AWS Config pour recréer le canal de diffusion.

Résolution

**Remarque :**Si des erreurs surviennent lorsque vous exécutez des commandes AWS CLI, consultez l’article Résoudre les erreurs AWS CLI. Vérifiez également que vous utilisez la version la plus récente de l’AWS CLI.

Pour recréer manuellement le canal de diffusion AWS Config et activer l'enregistreur de configuration, procédez comme suit.

Remarque : Si vous n'avez pas supprimé le compartiment Amazon S3, la rubrique S3 et le rôle IAM associés au canal de diffusion AWS Config supprimé, vous pouvez ignorer ces étapes.

Créer le compartiment Amazon S3

Procédez comme suit :

1. Ouvrez la console Amazon S3 dans la même région AWS que votre service AWS Config.
2. Dans le volet de navigation, sélectionnez Créer un compartiment.
3. Dans Nom du compartiment, saisissez un nom pour le compartiment S3, puis sélectionnez Créer un compartiment.
4. Dans Compartiments S3, choisissez le compartiment S3 que vous venez de créer.
5. Sélectionnez Autorisations, puis Stratégie de compartiment.
6. Saisissez l'exemple de stratégie de compartiment suivant, puis sélectionnez Enregistrer :

   {
    "Version": "2012-10-17",
    "Statement": [
     {
      "Sid": "AWSConfigBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
       "Service": "config.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::targetBucketName",
      "Condition": {
       "StringEquals": {
        "AWS:SourceAccount": "sourceAccountID"
       }
      }
     },
     {
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
       "Service": "config.amazonaws.com"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::targetBucketName",
      "Condition": {
       "StringEquals": {
        "AWS:SourceAccount": "sourceAccountID"
       }
      }
     },
     {
      "Sid": "AWSConfigBucketDelivery",
      "Effect": "Allow",
      "Principal": {
       "Service": "config.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
      "Condition": {
       "StringEquals": {
        "s3:x-amz-acl": "bucket-owner-full-control",
        "AWS:SourceAccount": "sourceAccountID"
       }
      }
     }
    ]
   }

Créer la rubrique SNS

Procédez comme suit :

1. Ouvrez la console Amazon SNS dans la même région que votre service AWS Config.
2. Dans le volet de navigation, sélectionnez Rubriques, puis Créer une rubrique.
3. Pour Nom, saisissez le nom de votre rubrique SNS. Sélectionnez Créer une rubrique.
4. Sélectionnez Créer un abonnement.
5. Pour Protocole, sélectionnez E-mail.
6. Pour Point de terminaison, saisissez l'adresse e-mail que vous souhaitez associer à cette rubrique SNS, puis sélectionnez Créer un abonnement.
7. Vérifiez votre e-mail pour la confirmation d'abonnement, puis sélectionnez Confirmer l'abonnement.

Après avoir confirmé votre inscription, le message Abonnement confirmé ! s’affiche

Remarque : Pour utiliser votre rubrique SNS, assurez-vous de disposer des autorisations requises.

Créer le rôle IAM

Procédez comme suit :

1. Ouvrez la console IAM.

2. Sélectionnez Rôles, puis Créer un rôle.

3. Dans le champ Sélectionner le type d’entité de confiance, sélectionnez Service AWS.

4. Sous Cas d'utilisation pour d'autres services AWS, sélectionnez Configurer.

5. Pour Sélectionner votre cas d'utilisation, sélectionnez Configuration - Personnalisable, puis Suivant : Autorisations.

6. Saisissez Suivant, saisissez un Nom de rôle, puis sélectionnez Créer un rôle.

7. Sélectionnez le rôle que vous avez créé, sélectionnez Créer une politique en ligne, puis sélectionnez l’onglet JSON.

8. Saisissez l'exemple de politique suivant :

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "s3:PutObject",
           "s3:PutObjectAcl"
         ],
         "Resource": [
           "arn:aws:s3:::arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID-WithoutHyphens/*"
         ],
         "Condition": {
           "StringLike": {
             "s3:x-amz-acl": "bucket-owner-full-control"
           }
         }
       },
       {
         "Effect": "Allow",
         "Action": [
           "s3:GetBucketAcl"
         ],
         "Resource": "arn:aws:s3:::targetBucketName"
       },
       {
         "Effect": "Allow",
         "Action": "sns:Publish",
         "Resource": "arn:aws:sns:region:account_number:targetTopicName"
       }
     ]
   }

9. Pour Nom de la stratégie, saisissez un nom, puis sélectionnez Créer une stratégie.

Créer la clé KMS

Il est recommandé d'utiliser le chiffrement basé sur AWS Key Management Service (AWS KMS) sur les objets fournis par AWS Config à un compartiment Amazon S3. Créez une clé KMS dans la même région que votre service AWS Config.

Procédez comme suit :

1. Ouvrez la console AWS KMS.
2. Dans le volet de navigation, sélectionnez Clés gérées par le client, puis sélectionnez Créer une clé.
3. Dans Type de clé, sélectionnez Symétrique pour créer une clé KMS de chiffrement symétrique.
4. Pour Utilisation de la clé, choisissez l'option Chiffrer et déchiffrer, puis sélectionnez Suivant.
5. Saisissez un alias pour votre clé KMS. Puis, sélectionnez Suivant.
   Remarque : Votre nom d'alias ne peut pas commencer par aws/.
6. Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé KMS. Puis, sélectionnez Suivant.
7. Sélectionnez les utilisateurs et les rôles IAM qui peuvent utiliser la clé dans le cadre d'opérations cryptographiques. Puis, sélectionnez Suivant.
8. Sélectionnez Terminer pour créer la clé KMS.
9. Dans le volet de navigation, sélectionnez Clés gérées par le client. Puis, sous Clés gérées par le client, sélectionnez la clé que vous avez créée.
10. Dans l'onglet Stratégie de clé, sélectionnez Passer à la vue de stratégie. Puis, cliquez sur Modifier.
11. Si vous utilisez un rôle IAM personnalisé pour AWS Config, saisissez l’instruction de politique suivante comme instruction de stratégie de clé supplémentaire. Sélectionnez Enregistrer les modifications.

{
  "Statement": [
    {
      "Sid": "AWSConfigKMSPolicy",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Effect": "Allow",
      "Resource": "myKMSKeyARN",
      "Principal": {
        "AWS": [
          "arn:aws:iam:account_id:role/my-config-role-name"
        ]
      }
    }
  ]
}

Ou, si vous utilisez Rôles liés à un service (SLR) pour AWS Config, utilisez la déclaration de stratégie suivante pour mettre à jour la stratégie de clé KMS :

{
  "Statement": [
    {
      "Sid": "AWSConfigKMSPolicy",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "myKMSKeyARN",
      "Condition": {
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

Créer le canal de diffusion

Procédez comme suit :

1. Saisissez l'exemple de modèle suivant dans un éditeur de texte, puis enregistrez-le en tant que fichier JSON :

   {
       "name": "default",
       "s3BucketName": "targetBucketName",
       "s3KeyPrefix": "Optionalprefix",
       "snsTopicARN": "arn:aws:sns:region:account_ID:targetTopicName",
       "s3KmsKeyArn": "arn:aws:kms:region:account_ID:KmsKey",
       "configSnapshotDeliveryProperties": {
           "deliveryFrequency": "Twelve_Hours"
       }
   }

   Remarque : Vous devez fournir le préfixe S3KeyPrefix si la stratégie de compartiment S3 limite PutObject à un certain préfixe à la place du préfixe par défaut. Modifiez la valeur de deliveryFrequency en fonction de votre cas d'utilisation. Si vous choisissez de ne pas activer le chiffrement, omettez la valeur de s3KmsKeyArn dans le fichier JSON.

2. Exécutez la commande de l'interface de ligne de commande AWS put-delivery-channel :

   $ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

3. Pour confirmer que le canal de diffusion a été créé, exécutez la commande de l'interface de ligne de commande AWS describe-delivery-channels :

   $ aws configservice describe-delivery-channels

Démarrer l'enregistreur de configuration

Procédez comme suit :

1. Ouvrez la console AWS Config.
2. Dans le volet de navigation, sélectionnez Paramètres.
3. Si l'enregistrement est désactivé, sélectionnez Activer, puis Continuer. Vous pouvez également exécuter la commande de l'interface de ligne de commande AWS start-configuration-recorder :

   $ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

Pour plus d'informations, consultez la section Gestion de l'enregistreur de configuration et Évaluation des ressources à l'aide des règles AWS Config.

Informations connexes

Configuration d'AWS Config à l'aide de la console

Comment puis-je résoudre les messages d'erreur dans la console AWS Config ?