設定のコンプライアンスの確認 - AWS Config
コンプライアンスの表示 (コンソール)コンプライアンスの表示 (AWS CLI)コンプライアンスの表示 (API)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

設定のコンプライアンスの確認

重要

コンプライアンスステータスを正確に報告するには、AWS::Config::ResourceCompliance リソースタイプを記録する必要があります。詳細については、「 AWS Config が記録するリソースの選択」を参照してください。

AWS Config コンソール、、または AWS Config API を使用して AWS CLI、ルールとリソースのコンプライアンス状態を表示できます。

コンプライアンスの表示 (コンソール)

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/config/ で AWS Config コンソールを開きます。

  2. AWS Management Console メニューで、リージョンセレクタが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされているリージョンのリストについては、AWS Config の「Amazon Web Services 全般のリファレンス のリージョンとエンドポイント」を参照してください。

  3. ナビゲーションペインで、[Resources] (リソース) を選択します。[Resource inventory] (リソースのインベントリ) ページで、リソースカテゴリ、リソースタイプ、およびコンプライアンスステータスでフィルタリングできます。必要に応じて、[Include deleted resources] (削除されたリソースを含める) をクリックします。この表には、リソースタイプのリソース識別子、およびそのリソースのリソースコンプライアンスのステータスが表示されます。リソース識別子とは、リソース ID またはリソース名です。

  4. リソース識別子の列からリソースを選択します。

  5. [Resource Timeline] (リソースタイムライン) ボタンをクリックします。設定イベント、コンプライアンスイベント、または CloudTrail イベントでフィルタリングできます。

    注記

    または、[Resource inventory] (リソースのインベントリ) ページでリソース名を直接クリックすることもできます。[Resource Details] (リソースの詳細) ページからリソースタイムラインにアクセスする場合は、[Resource Timeline] (リソースタイムライン) ボタンを使用します。

また、[Resource inventory] (リソースのインベントリ) ページでリソースを探し、そのコンプライアンス状態を確認することもできます。詳細については、「によって検出されたリソースの検索 AWS Config」を参照してください。

コンプライアンスの表示 (AWS CLI)

コンプライアンスを表示するには、以下のいずれかの CLI コマンドを使用します。

To see the compliance state of each of your rules

各ルールのコンプライアンスステータスを確認するには、次の例に示すように describe-compliance-by-config-rule コマンドを使用します。

$ aws configservice describe-compliance-by-config-rule
{
    "ComplianceByConfigRules": [
        {
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 2,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            },
            "ConfigRuleName": "instances-in-vpc"
        },
        {
            "Compliance": {
                "ComplianceType": "COMPLIANT"
            },
            "ConfigRuleName": "restricted-common-ports"
        },
...

コンプライアンスタイプが NON_COMPLIANT になっているルールごとに、 AWS Config は準拠していないリソースの数を CappedCount パラメータで返します。

To see the compliance state of each resource that AWS Config evaluates for a specific rule

が特定のルールについて AWS Config 評価する各リソースのコンプライアンス状態を確認するには、次の例に示すように、 get-compliance-details-by-config-rule コマンドを使用します。

$ aws configservice get-compliance-details-by-config-rule --config-rule-name ConfigRuleName{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1443610576.349,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-nnnnnnnn",
                    "ConfigRuleName": "ConfigRuleName"
                }
            },
            "ResultRecordedTime": 1443751424.969,
            "ConfigRuleInvokedTime": 1443751421.208,
            "ComplianceType": "COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1443610576.349,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-nnnnnnnn",
                    "ConfigRuleName": "ConfigRuleName"
                }
            },
            "ResultRecordedTime": 1443751425.083,
            "ConfigRuleInvokedTime": 1443751421.301,
            "ComplianceType": "NON_COMPLIANT"
        },
...
To see the compliance state for each AWS resource of a specific type

特定のタイプの各 AWS リソースのコンプライアンス状態を確認するには、次の例に示すように、 describe-compliance-by-resource コマンドを使用します。

$ aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance
{
    "ComplianceByResources": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-nnnnnnnn",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 1,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        },
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-nnnnnnnn",
            "Compliance": {
                "ComplianceType": "COMPLIANT"
            }
        },
...
To see the compliance details of an individual AWS resource

個々の AWS リソースのコンプライアンスの詳細を表示するには、 get-compliance-details-by-resource コマンドを使用します。

$ aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-nnnnnnnn
{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1443610576.349,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-nnnnnnnn",
                    "ConfigRuleName": "instances-in-vpc"
                }
            },
            "ResultRecordedTime": 1443751425.083,
            "ConfigRuleInvokedTime": 1443751421.301,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

コンプライアンスの表示 (API)

コンプライアンスを表示するには、以下のいずれかの API アクションを使用します。

  • 各ルールのコンプライアンス状態を確認するには、DescribeComplianceByConfigRule アクションを使用します。

  • が特定のルールについて AWS Config 評価する各リソースのコンプライアンス状態を確認するには、 GetComplianceDetailsByConfigRuleアクションを使用します。

  • 特定のタイプの各 AWS リソースのコンプライアンス状態を表示するには、 DescribeComplianceByResourceアクションを使用します。

  • 個々の AWS リソースのコンプライアンスの詳細を表示するには、 GetComplianceDetailsByResourceアクションを使用します。詳細には、リソースを評価した AWS Config ルール、各ルールが最後に評価された日時、リソースが各ルールに準拠しているかどうかが含まれます。