Details und Compliance-Informationen zu Ihren AWS Config Regeln anzeigen - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Details und Compliance-Informationen zu Ihren AWS Config Regeln anzeigen

Wichtig

Für eine genaue Berichterstattung über den Compliance-Status müssen Sie den Ressourcentyp AWS::Config::ResourceCompliance aufzeichnen. Weitere Informationen finden Sie unter AWS Aufzeichnungsressourcen.

Sie können die AWS Config Konsole oder die verwenden AWS SDKs , um Ihre Regeln einzusehen.

Regeln anzeigen (Konsole)

Auf der Seite Regeln werden Ihre Regeln und deren aktuelle Compliance-Ergebnisse in einer Tabelle dargestellt. Das Ergebnis für jede Regel lautet Evaluierung... bis die Bewertung Ihrer Ressourcen anhand der Regel AWS Config abgeschlossen ist. Sie können die Ergebnisse über die Aktualisieren-Schaltfläche aktualisieren. Wenn die AWS Config Evaluierungen abgeschlossen sind, können Sie sehen, welche Regeln und Ressourcentypen den Anforderungen entsprechen oder nicht. Weitere Informationen finden Sie unter Compliance-Informationen und Bewertungsergebnisse für Ihre AWS Ressourcen anzeigen mit AWS Config.

Anmerkung

AWS Config wertet nur die Ressourcentypen aus, die gerade aufgezeichnet werden. Wenn Sie beispielsweise die cloudtrail-aktivierte Regel hinzufügen, aber den CloudTrail Trail-Ressourcentyp nicht aufzeichnen, AWS Config kann nicht bewertet werden, ob die Trails in Ihrem Konto konform sind oder nicht. Weitere Informationen finden Sie unter AWS Ressourcen aufzeichnen mit AWS Config.

So zeigen Sie Ihre Regeln an
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Konsole unter. AWS Config https://console.aws.amazon.com/config/

  2. Vergewissern Sie sich im AWS Management Console Menü, dass die Regionsauswahl auf eine Region eingestellt ist, die AWS Config Regeln unterstützt. Die Liste der unterstützten Regionen finden Sie unter AWS Config -Regionen und -Endpunkte im Allgemeine Amazon Web Services-Referenz.

  3. Klicken Sie im linken Navigationsbereich auf die Option Regeln.

  4. Auf der Seite Regeln werden alle Regeln angezeigt, die sich derzeit in Ihrem AWS-Konto befinden. Es werden der Name, die zugehörigen Korrekturmaßnahmen und der Compliance-Status jeder Regel aufgeführt.

    • Klicken Sie auf Add Rule (Regel hinzufügen), um mit der Regelerstellung zu beginnen.

    • Wählen Sie eine Regel aus, um ihre Einstellungen zu sehen, oder wählen Sie eine Regel aus und klicken Sie auf Details anzeigen.

    • Zeigen Sie die Compliance-Status der Regel bei der Auswertung Ihrer Ressourcen an.

    • Wählen Sie eine Regel aus und klicken Sie auf Regel bearbeiten, um die Konfigurationseinstellungen der Regel zu ändern und eine Korrekturmaßnahme für eine nicht konforme Regel festzulegen.

Regeln anzeigen (AWS SDKs)

Die folgenden Code-Beispiele zeigen, wie DescribeConfigRules verwendet wird.

CLI
AWS CLI

Um Details für eine AWS Config-Regel abzurufen

Der folgende Befehl gibt Details für eine AWS Config-Regel mit dem Namen zurückInstanceTypesAreT2micro:

aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro

Ausgabe:

{ "ConfigRules": [ { "ConfigRuleState": "ACTIVE", "Description": "Evaluates whether EC2 instances are the t2.micro type.", "ConfigRuleName": "InstanceTypesAreT2micro", "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef", "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] }, "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "ConfigRuleId": "config-rule-abcdef" } ] }
PowerShell
Tools für PowerShell

Beispiel 1: In diesem Beispiel werden die Konfigurationsregeln für das Konto mit ausgewählten Eigenschaften aufgeführt.

Get-CFGConfigRule | Select-Object ConfigRuleName, ConfigRuleId, ConfigRuleArn, ConfigRuleState

Ausgabe:

ConfigRuleName ConfigRuleId ConfigRuleArn ConfigRuleState -------------- ------------ ------------- --------------- ALB_REDIRECTION_CHECK config-rule-12iyn3 arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-12iyn3 ACTIVE access-keys-rotated config-rule-aospfr arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-aospfr ACTIVE autoscaling-group-elb-healthcheck-required config-rule-cn1f2x arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-cn1f2x ACTIVE
Python
SDK für Python (Boto3)
Anmerkung

Es gibt noch mehr dazu. GitHub Sie sehen das vollständige Beispiel und erfahren, wie Sie das AWS -Code-Beispiel-Repository einrichten und ausführen.

class ConfigWrapper: """ Encapsulates AWS Config functions. """ def __init__(self, config_client): """ :param config_client: A Boto3 AWS Config client. """ self.config_client = config_client def describe_config_rule(self, rule_name): """ Gets data for the specified rule. :param rule_name: The name of the rule to retrieve. :return: The rule data. """ try: response = self.config_client.describe_config_rules( ConfigRuleNames=[rule_name] ) rule = response["ConfigRules"] logger.info("Got data for rule %s.", rule_name) except ClientError: logger.exception("Couldn't get data for rule %s.", rule_name) raise else: return rule
  • Einzelheiten zur API finden Sie DescribeConfigRulesin AWS SDK for Python (Boto3) API Reference.

Die folgenden Code-Beispiele zeigen, wie DescribeComplianceByConfigRule verwendet wird.

CLI
AWS CLI

Um Compliance-Informationen für Ihre AWS Config-Regeln zu erhalten

Der folgende Befehl gibt Konformitätsinformationen für jede AWS Config-Regel zurück, gegen die eine oder mehrere AWS Ressourcen verstoßen:

aws configservice describe-compliance-by-config-rule --compliance-types NON_COMPLIANT

In der Ausgabe gibt der Wert für jedes CappedCount Attribut an, wie viele Ressourcen der zugehörigen Regel nicht entsprechen. Die folgende Ausgabe gibt beispielsweise an, dass 3 Ressourcen der genannten Regel nicht entsprechenInstanceTypesAreT2micro.

Ausgabe:

{ "ComplianceByConfigRules": [ { "Compliance": { "ComplianceContributorCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "InstanceTypesAreT2micro" }, { "Compliance": { "ComplianceContributorCount": { "CappedCount": 10, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "RequiredTagsForVolumes" } ] }
PowerShell
Tools für PowerShell

Beispiel 1: In diesem Beispiel werden Konformitätsdetails für die Regel abgerufen ebs-optimized-instance, für die es keine aktuellen Bewertungsergebnisse für die Regel gibt. Daher wird INSUFFICIENT_DATA zurückgegeben

(Get-CFGComplianceByConfigRule -ConfigRuleName ebs-optimized-instance).Compliance

Ausgabe:

ComplianceContributorCount ComplianceType -------------------------- -------------- INSUFFICIENT_DATA

Beispiel 2: Dieses Beispiel gibt die Anzahl der nicht konformen Ressourcen für die Regel ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK zurück.

(Get-CFGComplianceByConfigRule -ConfigRuleName ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK -ComplianceType NON_COMPLIANT).Compliance.ComplianceContributorCount

Ausgabe:

CapExceeded CappedCount ----------- ----------- False 2

Die folgenden Code-Beispiele zeigen, wie GetComplianceSummaryByConfigRule verwendet wird.

CLI
AWS CLI

Um die Konformitätsübersicht für Ihre AWS Config-Regeln abzurufen

Der folgende Befehl gibt die Anzahl der Regeln zurück, die konform sind, und die Anzahl der nicht konformen Regeln:

aws configservice get-compliance-summary-by-config-rule

In der Ausgabe gibt der Wert für jedes CappedCount Attribut an, wie viele Regeln konform oder nicht konform sind.

Ausgabe:

{ "ComplianceSummary": { "NonCompliantResourceCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceSummaryTimestamp": 1452204131.493, "CompliantResourceCount": { "CappedCount": 2, "CapExceeded": false } } }
PowerShell
Tools für PowerShell

Beispiel 1: Dieses Beispiel gibt die Anzahl der Config-Regeln zurück, die nicht konform sind.

Get-CFGComplianceSummaryByConfigRule -Select ComplianceSummary.NonCompliantResourceCount

Ausgabe:

CapExceeded CappedCount ----------- ----------- False 9

Die folgenden Code-Beispiele zeigen, wie GetComplianceDetailsByConfigRule verwendet wird.

CLI
AWS CLI

Um die Auswertungsergebnisse für eine AWS Config-Regel abzurufen

Der folgende Befehl gibt die Auswertungsergebnisse für alle Ressourcen zurück, die nicht einer AWS Config-Regel mit dem Namen entsprechenInstanceTypesAreT2micro:

aws configservice get-compliance-details-by-config-rule --config-rule-name InstanceTypesAreT2micro --compliance-types NON_COMPLIANT

Ausgabe:

{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314645.261, "ConfigRuleInvokedTime": 1450314642.948, "ComplianceType": "NON_COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-2a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314645.18, "ConfigRuleInvokedTime": 1450314642.902, "ComplianceType": "NON_COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-3a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314643.346, "ConfigRuleInvokedTime": 1450314643.124, "ComplianceType": "NON_COMPLIANT" } ] }
PowerShell
Tools für PowerShell

Beispiel 1: In diesem Beispiel werden die Auswertungsergebnisse für die Regel abgerufen access-keys-rotated und die Ausgabe nach Konformitätstyp gruppiert zurückgegeben

Get-CFGComplianceDetailsByConfigRule -ConfigRuleName access-keys-rotated | Group-Object ComplianceType

Ausgabe:

Count Name Group ----- ---- ----- 2 COMPLIANT {Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationResult} 5 NON_COMPLIANT {Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationRes...

Beispiel 2: In diesem Beispiel werden Konformitätsdetails für die Regel access-keys-rotated für COMPLIANT-Ressourcen abgefragt.

Get-CFGComplianceDetailsByConfigRule -ConfigRuleName access-keys-rotated -ComplianceType COMPLIANT | ForEach-Object {$_.EvaluationResultIdentifier.EvaluationResultQualifier}

Ausgabe:

ConfigRuleName ResourceId ResourceType -------------- ---------- ------------ access-keys-rotated BCAB1CDJ2LITAPVEW3JAH AWS::IAM::User access-keys-rotated BCAB1CDJ2LITL3EHREM4Q AWS::IAM::User