Dans l’article précédent, nous avons parlé de gouvernance des ressources AWS en utilisant le Service Config. Ce service permettait d'avoir un inventaire complet des ressources y compris celles qui étaient modifiées ou supprimées, avec l’historiques de tous les changements. Ceci consistait à une première étape pour bien gouverner nos ressources. En effet, il faut qu’on se repose sur ces fonctionnalités pour surveiller l’évolution de nos plateformes, et fouiller dans les configurations pour s’assurer qu’elles sont conformes à nos règles d’architectures et de sécurité. Mais on risque d’être très vite débordés. Que ce soit avec le nombre de ressources à gérer d’une part, ou bien la fréquence de changements d’autre part. Pour remédier à cette limite, AWS propose une fonctionnalité qui complète ce service, il s’agit de Configuration Rules, l’utilisation de cette dernière permet de définir nos propres règles d’architecture et de sécurité, et laisser le service surveiller la conformité des ressources par rapport aux règles définies. Et nous alerter dans le cas où une ou plusieurs configurations ne sont pas en adéquation avec une de nos règles. Attention, ce service n’a pas comme rôle d’interdire les actions de création ou de modification des ressources.  

Création d’une règle

Activation de AWS Config Service

Pour créer une règle, on doit d’abord activer Config Service. Si ce n’est pas déjà fait, tout est détaillé dans cet article.

Création d’une règle

Accès au service : Pour accéder au service, il suffit de saisir « config » dans la barre des services AWS, de la console. Dans le tableau de bord, on y trouve déjà notre inventaire, et un bilan de conformité aux règles si on en a déjà configuré. Pour ajouter une nouvelle règle, on accès au menu Rules puis on clique sur Add rule. AWS propose une multitude de règles gérées et prêtes à l’emploi, si on ne trouve pas celle qu’on veut appliquer, on peut créer une règle custom. Comme exemple, on peut vérifier la conformité de nos ressources par rapport à la présence d’un Tag requis, « Project », qui permet d’identifier par convention le projet à qui appartient chaque ressource. On passe ensuite au détail de la règle, on peut spécifier un nom de règle, puis on choisit les types de ressource auxquels la règle va s’appliquer, ensuite on passe à la définition du Tag qui doit avoir comme clé « Project », et une valeur parmi les trois projets (projet1, projet2 et projet3).  

Vérification de la conformité

Une fois la règle créée, Config Service va automatiquement procéder à la vérification des ressources concernées par la conformité par rapport à notre règle. Dans le Dashboard, on trouve l’état général de conformité de nos règles, et le détail par règle : On peut lister les ressources non conformes : En accédant à la page d’une ressource, on peut visualiser l’historique de configuration, et aussi l’historique de conformité dans des timelines.        

Conclusion

Pour aller plus loin dans la gouvernance des plateformes sur AWS, je vous invite à consulter la page dédiée à ce service https://aws.amazon.com/fr/config/.   Et si vous souhaitez vous former sur Amazon Web Services, découvrez notre offre de formations AWS.