Compliance-Informationen und Bewertungsergebnisse für Ihre AWS Ressourcen anzeigen mit AWS Config - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Compliance-Informationen und Bewertungsergebnisse für Ihre AWS Ressourcen anzeigen mit AWS Config

Wichtig

Für eine genaue Berichterstattung über den Compliance-Status müssen Sie den Ressourcentyp AWS::Config::ResourceCompliance aufzeichnen. Weitere Informationen finden Sie unter AWS Ressourcen aufzeichnen.

Sie können die AWS Config Konsole verwenden oder AWS SDKs um die Compliance-Informationen und die Evaluierungsergebnisse Ihrer Ressourcen einzusehen.

Anzeigen der Compliance (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Config Konsole unter https://console.aws.amazon.com/config/.

  2. Vergewissern Sie sich im AWS Management Console Menü, dass die Regionsauswahl auf eine Region eingestellt ist, die AWS Config Regeln unterstützt. Die Liste der unterstützten Regionen finden Sie unter AWS Config -Regionen und -Endpunkte im Allgemeine Amazon Web Services-Referenz.

  3. Wählen Sie im Navigationsbereich Resources aus. Auf der Seite „Ressourcenbestand“ können Sie nach Ressourcenkategorie, Ressourcentyp und Compliance-Status filtern. Wählen Sie gegebenenfalls Gelöschte Ressourcen einschließen aus. In der Tabelle werden die Ressourcen-ID für den Ressourcentyp und der Ressourcen-Compliance-Status für diese Ressource angezeigt. Bei der Ressourcen-ID kann es sich um eine Ressourcen-ID oder einen Ressourcennamen handeln.

  4. Wählen Sie eine Ressource aus der Spalte mit Ressourcen-IDs aus.

  5. Wählen Sie die Schaltfläche Ressourcen-Zeitachse aus. Sie können nach Konfigurationsereignissen, Konformitätsereignissen oder CloudTrail Ereignissen filtern.

    Anmerkung

    Alternativ können Sie auf der Seite „Ressourcenbestand“ direkt auf den Ressourcennamen klicken. Um von der Seite mit den Ressourcendetails auf die Ressourcen-Zeitachse zuzugreifen, wählen Sie die Schaltfläche Ressourcen-Zeitachse.

Sie können auch die Compliance der Ressourcen anzeigen, indem Sie diese auf der Seite Resource inventory (Ressourcenbestand) suchen. Weitere Informationen finden Sie unter Suchen nach Ressourcen, die entdeckt wurden von AWS Config.

Konformität anzeigen (AWS SDKs)

Die folgenden Code-Beispiele zeigen, wie DescribeComplianceByResource verwendet wird.

CLI
AWS CLI

Um Compliance-Informationen für Ihre AWS Ressourcen zu erhalten

Der folgende Befehl gibt Konformitätsinformationen für jede EC2 Instanz zurück, die von AWS Config aufgezeichnet wurde und gegen eine oder mehrere Regeln verstößt:

aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

In der Ausgabe gibt der Wert für jedes CappedCount Attribut an, gegen wie viele Regeln die Ressource verstößt. Die folgende Ausgabe gibt beispielsweise an, dass die Instanz i-1a2b3c4d gegen zwei Regeln verstößt.

Ausgabe:

{ "ComplianceByResources": [ { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "Compliance": { "ComplianceContributorCount": { "CappedCount": 2, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } }, { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-2a2b3c4d ", "Compliance": { "ComplianceContributorCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } } ] }
PowerShell
Tools für PowerShell

Beispiel 1: In diesem Beispiel wird der AWS::SSM::ManagedInstanceInventory Ressourcentyp auf den Konformitätstyp „COMPLIANT“ geprüft.

Get-CFGComplianceByResource -ComplianceType COMPLIANT -ResourceType AWS::SSM::ManagedInstanceInventory

Ausgabe:

Compliance ResourceId ResourceType ---------- ---------- ------------ Amazon.ConfigService.Model.Compliance i-0123bcf4b567890e3 AWS::SSM::ManagedInstanceInventory Amazon.ConfigService.Model.Compliance i-0a1234f6f5d6b78f7 AWS::SSM::ManagedInstanceInventory

Die folgenden Code-Beispiele zeigen, wie GetComplianceSummaryByResourceType verwendet wird.

CLI
AWS CLI

Um die Konformitätsübersicht für alle Ressourcentypen abzurufen

Der folgende Befehl gibt die Anzahl der AWS Ressourcen zurück, die nicht konform sind, und die Anzahl, die konform sind:

aws configservice get-compliance-summary-by-resource-type

In der Ausgabe gibt der Wert für jedes CappedCount Attribut an, wie viele Ressourcen konform oder nicht konform sind.

Ausgabe:

{ "ComplianceSummariesByResourceType": [ { "ComplianceSummary": { "NonCompliantResourceCount": { "CappedCount": 16, "CapExceeded": false }, "ComplianceSummaryTimestamp": 1453237464.543, "CompliantResourceCount": { "CappedCount": 10, "CapExceeded": false } } } ] }

Um die Konformitätsübersicht für einen bestimmten Ressourcentyp abzurufen

Der folgende Befehl gibt die Anzahl der EC2 Instanzen zurück, die nicht konform sind, und die Anzahl, die konform sind:

aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

In der Ausgabe gibt der Wert für jedes CappedCount Attribut an, wie viele Ressourcen konform oder nicht konform sind.

Ausgabe:

{ "ComplianceSummariesByResourceType": [ { "ResourceType": "AWS::EC2::Instance", "ComplianceSummary": { "NonCompliantResourceCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceSummaryTimestamp": 1452204923.518, "CompliantResourceCount": { "CappedCount": 7, "CapExceeded": false } } } ] }
PowerShell
Tools für PowerShell

Beispiel 1: Dieses Beispiel gibt die Anzahl der Ressourcen zurück, die konform oder nicht konform sind, und konvertiert die Ausgabe in JSON.

Get-CFGComplianceSummaryByResourceType -Select ComplianceSummariesByResourceType.ComplianceSummary | ConvertTo-Json { "ComplianceSummaryTimestamp": "2019-12-14T06:14:49.778Z", "CompliantResourceCount": { "CapExceeded": false, "CappedCount": 2 }, "NonCompliantResourceCount": { "CapExceeded": true, "CappedCount": 100 } }

Die folgenden Code-Beispiele zeigen, wie GetComplianceDetailsByResource verwendet wird.

CLI
AWS CLI

Um die Bewertungsergebnisse für eine AWS Ressource abzurufen

Der folgende Befehl gibt die Evaluierungsergebnisse für jede Regel zurück, der die EC2 Instanz i-1a2b3c4d nicht entspricht:

aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

Ausgabe:

{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314643.288, "ConfigRuleInvokedTime": 1450314643.034, "ComplianceType": "NON_COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "ConfigRuleName": "RequiredTagForEC2Instances" } }, "ResultRecordedTime": 1450314645.261, "ConfigRuleInvokedTime": 1450314642.948, "ComplianceType": "NON_COMPLIANT" } ] }
PowerShell
Tools für PowerShell

Beispiel 1: Die Ergebnisse dieser Beispielauswertung für die angegebene Ressource.

Get-CFGComplianceDetailsByResource -ResourceId ABCD5STJ4EFGHIVEW6JAH -ResourceType 'AWS::IAM::User'

Ausgabe:

Annotation : ComplianceType : COMPLIANT ConfigRuleInvokedTime : 8/25/2019 11:34:56 PM EvaluationResultIdentifier : Amazon.ConfigService.Model.EvaluationResultIdentifier ResultRecordedTime : 8/25/2019 11:34:56 PM ResultToken :