AWS Config exemples utilisant AWS CLI

Les exemples de code suivants vous montrent comment effectuer des actions et implémenter des scénarios courants à l'aide du AWS Command Line Interface with AWS Config.

Les actions sont des extraits de code de programmes plus larges et doivent être exécutées dans leur contexte. Alors que les actions vous indiquent comment appeler des fonctions de service individuelles, vous pouvez les voir en contexte dans leurs scénarios associés.

Chaque exemple inclut un lien vers le code source complet, où vous trouverez des instructions sur la façon de configurer et d'exécuter le code en contexte.

Actions

delete-config-rule

L'exemple de code suivant montre comment utiliserdelete-config-rule.

AWS CLI

Pour supprimer une règle AWS Config

La commande suivante supprime une règle AWS Config nommée MyConfigRule :

aws configservice delete-config-rule --config-rule-name MyConfigRule

• Pour plus de détails sur l'API, reportez-vous DeleteConfigRuleà la section Référence des AWS CLI commandes.

delete-config-rule

L'exemple de code suivant montre comment utiliserdelete-config-rule.

AWS CLI

Pour supprimer une règle AWS Config

La commande suivante supprime une règle AWS Config nommée MyConfigRule :

aws configservice delete-config-rule --config-rule-name MyConfigRule

• Pour plus de détails sur l'API, reportez-vous DeleteConfigRuleà la section Référence des AWS CLI commandes.

delete-delivery-channel

L'exemple de code suivant montre comment utiliserdelete-delivery-channel.

AWS CLI

Pour supprimer un canal de diffusion

La commande suivante supprime le canal de diffusion par défaut :

aws configservice delete-delivery-channel --delivery-channel-name default

• Pour plus de détails sur l'API, reportez-vous DeleteDeliveryChannelà la section Référence des AWS CLI commandes.

delete-delivery-channel

L'exemple de code suivant montre comment utiliserdelete-delivery-channel.

AWS CLI

Pour supprimer un canal de diffusion

La commande suivante supprime le canal de diffusion par défaut :

aws configservice delete-delivery-channel --delivery-channel-name default

• Pour plus de détails sur l'API, reportez-vous DeleteDeliveryChannelà la section Référence des AWS CLI commandes.

delete-evaluation-results

L'exemple de code suivant montre comment utiliserdelete-evaluation-results.

AWS CLI

Pour supprimer manuellement les résultats d'évaluation

La commande suivante supprime les résultats d'évaluation actuels pour la règle AWS gérée s3- : bucket-versioning-enabled

aws configservice delete-evaluation-results --config-rule-name s3-bucket-versioning-enabled

• Pour plus de détails sur l'API, reportez-vous DeleteEvaluationResultsà la section Référence des AWS CLI commandes.

delete-evaluation-results

L'exemple de code suivant montre comment utiliserdelete-evaluation-results.

AWS CLI

Pour supprimer manuellement les résultats d'évaluation

La commande suivante supprime les résultats d'évaluation actuels pour la règle AWS gérée s3- : bucket-versioning-enabled

aws configservice delete-evaluation-results --config-rule-name s3-bucket-versioning-enabled

• Pour plus de détails sur l'API, reportez-vous DeleteEvaluationResultsà la section Référence des AWS CLI commandes.

deliver-config-snapshot

L'exemple de code suivant montre comment utiliserdeliver-config-snapshot.

AWS CLI

Pour fournir un instantané de configuration

La commande suivante fournit un instantané de configuration au compartiment Amazon S3 qui appartient au canal de diffusion par défaut :

aws configservice deliver-config-snapshot --delivery-channel-name default

Sortie :

{
    "configSnapshotId": "d0333b00-a683-44af-921e-examplefb794"
}

• Pour plus de détails sur l'API, reportez-vous DeliverConfigSnapshotà la section Référence des AWS CLI commandes.

deliver-config-snapshot

L'exemple de code suivant montre comment utiliserdeliver-config-snapshot.

AWS CLI

Pour fournir un instantané de configuration

La commande suivante fournit un instantané de configuration au compartiment Amazon S3 qui appartient au canal de diffusion par défaut :

aws configservice deliver-config-snapshot --delivery-channel-name default

Sortie :

{
    "configSnapshotId": "d0333b00-a683-44af-921e-examplefb794"
}

• Pour plus de détails sur l'API, reportez-vous DeliverConfigSnapshotà la section Référence des AWS CLI commandes.

describe-compliance-by-config-rule

L'exemple de code suivant montre comment utiliserdescribe-compliance-by-config-rule.

AWS CLI

Pour obtenir des informations de conformité pour vos règles de AWS Config

La commande suivante renvoie des informations de conformité pour chaque règle de AWS Config violée par une ou plusieurs AWS ressources :

aws configservice describe-compliance-by-config-rule --compliance-types NON_COMPLIANT

Dans la sortie, la valeur de chaque CappedCount attribut indique le nombre de ressources qui ne sont pas conformes à la règle correspondante. Par exemple, le résultat suivant indique que 3 ressources ne sont pas conformes à la règle nomméeInstanceTypesAreT2micro.

Sortie :

{
    "ComplianceByConfigRules": [
        {
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            },
            "ConfigRuleName": "InstanceTypesAreT2micro"
        },
        {
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            },
            "ConfigRuleName": "RequiredTagsForVolumes"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeComplianceByConfigRuleà la section Référence des AWS CLI commandes.

describe-compliance-by-config-rule

L'exemple de code suivant montre comment utiliserdescribe-compliance-by-config-rule.

AWS CLI

Pour obtenir des informations de conformité pour vos règles de AWS Config

La commande suivante renvoie des informations de conformité pour chaque règle de AWS Config violée par une ou plusieurs AWS ressources :

aws configservice describe-compliance-by-config-rule --compliance-types NON_COMPLIANT

Dans la sortie, la valeur de chaque CappedCount attribut indique le nombre de ressources qui ne sont pas conformes à la règle correspondante. Par exemple, le résultat suivant indique que 3 ressources ne sont pas conformes à la règle nomméeInstanceTypesAreT2micro.

Sortie :

{
    "ComplianceByConfigRules": [
        {
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            },
            "ConfigRuleName": "InstanceTypesAreT2micro"
        },
        {
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            },
            "ConfigRuleName": "RequiredTagsForVolumes"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeComplianceByConfigRuleà la section Référence des AWS CLI commandes.

describe-compliance-by-resource

L'exemple de code suivant montre comment utiliserdescribe-compliance-by-resource.

AWS CLI

Pour obtenir des informations de conformité pour vos AWS ressources

La commande suivante renvoie des informations de conformité pour chaque EC2 instance enregistrée par AWS Config qui enfreint une ou plusieurs règles :

aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

Dans le résultat, la valeur de chaque CappedCount attribut indique le nombre de règles violées par la ressource. Par exemple, le résultat suivant indique que l'instance i-1a2b3c4d enfreint 2 règles.

Sortie :

{
    "ComplianceByResources": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-1a2b3c4d",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 2,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        },
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-2a2b3c4d ",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeComplianceByResourceà la section Référence des AWS CLI commandes.

describe-compliance-by-resource

L'exemple de code suivant montre comment utiliserdescribe-compliance-by-resource.

AWS CLI

Pour obtenir des informations de conformité pour vos AWS ressources

La commande suivante renvoie des informations de conformité pour chaque EC2 instance enregistrée par AWS Config qui enfreint une ou plusieurs règles :

aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

Dans le résultat, la valeur de chaque CappedCount attribut indique le nombre de règles violées par la ressource. Par exemple, le résultat suivant indique que l'instance i-1a2b3c4d enfreint 2 règles.

Sortie :

{
    "ComplianceByResources": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-1a2b3c4d",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 2,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        },
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-2a2b3c4d ",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeComplianceByResourceà la section Référence des AWS CLI commandes.

describe-config-rule-evaluation-status

L'exemple de code suivant montre comment utiliserdescribe-config-rule-evaluation-status.

AWS CLI

Pour obtenir des informations sur le statut d'une règle AWS Config

La commande suivante renvoie les informations d'état d'une règle AWS Config nommée MyConfigRule :

aws configservice describe-config-rule-evaluation-status --config-rule-names MyConfigRule

Sortie :

{
    "ConfigRulesEvaluationStatus": [
        {
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "FirstActivatedTime": 1450311703.844,
            "ConfigRuleId": "config-rule-abcdef",
            "LastSuccessfulInvocationTime": 1450314643.156,
            "ConfigRuleName": "MyConfigRule"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeConfigRuleEvaluationStatusà la section Référence des AWS CLI commandes.

describe-config-rule-evaluation-status

L'exemple de code suivant montre comment utiliserdescribe-config-rule-evaluation-status.

AWS CLI

Pour obtenir des informations sur le statut d'une règle AWS Config

La commande suivante renvoie les informations d'état d'une règle AWS Config nommée MyConfigRule :

aws configservice describe-config-rule-evaluation-status --config-rule-names MyConfigRule

Sortie :

{
    "ConfigRulesEvaluationStatus": [
        {
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "FirstActivatedTime": 1450311703.844,
            "ConfigRuleId": "config-rule-abcdef",
            "LastSuccessfulInvocationTime": 1450314643.156,
            "ConfigRuleName": "MyConfigRule"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeConfigRuleEvaluationStatusà la section Référence des AWS CLI commandes.

describe-config-rules

L'exemple de code suivant montre comment utiliserdescribe-config-rules.

AWS CLI

Pour obtenir les détails d'une règle AWS Config

La commande suivante renvoie les détails d'une règle AWS Config nommée InstanceTypesAreT2micro :

aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro

Sortie :

{
    "ConfigRules": [
        {
            "ConfigRuleState": "ACTIVE",
            "Description": "Evaluates whether EC2 instances are the t2.micro type.",
            "ConfigRuleName": "InstanceTypesAreT2micro",
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "Source": {
                "Owner": "CUSTOM_LAMBDA",
                "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
                "SourceDetails": [
                    {
                        "EventSource": "aws.config",
                        "MessageType": "ConfigurationItemChangeNotification"
                    }
                ]
            },
            "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}",
            "Scope": {
                "ComplianceResourceTypes": [
                    "AWS::EC2::Instance"
                ]
            },
            "ConfigRuleId": "config-rule-abcdef"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeConfigRulesà la section Référence des AWS CLI commandes.

describe-config-rules

L'exemple de code suivant montre comment utiliserdescribe-config-rules.

AWS CLI

Pour obtenir les détails d'une règle AWS Config

La commande suivante renvoie les détails d'une règle AWS Config nommée InstanceTypesAreT2micro :

aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro

Sortie :

{
    "ConfigRules": [
        {
            "ConfigRuleState": "ACTIVE",
            "Description": "Evaluates whether EC2 instances are the t2.micro type.",
            "ConfigRuleName": "InstanceTypesAreT2micro",
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "Source": {
                "Owner": "CUSTOM_LAMBDA",
                "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
                "SourceDetails": [
                    {
                        "EventSource": "aws.config",
                        "MessageType": "ConfigurationItemChangeNotification"
                    }
                ]
            },
            "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}",
            "Scope": {
                "ComplianceResourceTypes": [
                    "AWS::EC2::Instance"
                ]
            },
            "ConfigRuleId": "config-rule-abcdef"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeConfigRulesà la section Référence des AWS CLI commandes.

describe-configuration-recorder-status

L'exemple de code suivant montre comment utiliserdescribe-configuration-recorder-status.

AWS CLI

Pour obtenir des informations sur l'état de l'enregistreur de configuration

La commande suivante renvoie l'état de l'enregistreur de configuration par défaut :

aws configservice describe-configuration-recorder-status

Sortie :

{
    "ConfigurationRecordersStatus": [
        {
            "name": "default",
            "lastStatus": "SUCCESS",
            "recording": true,
            "lastStatusChangeTime": 1452193834.344,
            "lastStartTime": 1441039997.819,
            "lastStopTime": 1441039992.835
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeConfigurationRecorderStatusà la section Référence des AWS CLI commandes.

describe-configuration-recorder-status

L'exemple de code suivant montre comment utiliserdescribe-configuration-recorder-status.

AWS CLI

Pour obtenir des informations sur l'état de l'enregistreur de configuration

La commande suivante renvoie l'état de l'enregistreur de configuration par défaut :

aws configservice describe-configuration-recorder-status

Sortie :

{
    "ConfigurationRecordersStatus": [
        {
            "name": "default",
            "lastStatus": "SUCCESS",
            "recording": true,
            "lastStatusChangeTime": 1452193834.344,
            "lastStartTime": 1441039997.819,
            "lastStopTime": 1441039992.835
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeConfigurationRecorderStatusà la section Référence des AWS CLI commandes.

describe-configuration-recorders

L'exemple de code suivant montre comment utiliserdescribe-configuration-recorders.

AWS CLI

Pour obtenir des informations sur l'enregistreur de configuration

La commande suivante renvoie des informations sur l'enregistreur de configuration par défaut :

aws configservice describe-configuration-recorders

Sortie :

{
    "ConfigurationRecorders": [
        {
            "recordingGroup": {
                "allSupported": true,
                "resourceTypes": [],
                "includeGlobalResourceTypes": true
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-ConfigRole-A1B2C3D4E5F6",
            "name": "default"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeConfigurationRecordersà la section Référence des AWS CLI commandes.

describe-configuration-recorders

L'exemple de code suivant montre comment utiliserdescribe-configuration-recorders.

AWS CLI

Pour obtenir des informations sur l'enregistreur de configuration

La commande suivante renvoie des informations sur l'enregistreur de configuration par défaut :

aws configservice describe-configuration-recorders

Sortie :

{
    "ConfigurationRecorders": [
        {
            "recordingGroup": {
                "allSupported": true,
                "resourceTypes": [],
                "includeGlobalResourceTypes": true
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-ConfigRole-A1B2C3D4E5F6",
            "name": "default"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeConfigurationRecordersà la section Référence des AWS CLI commandes.

describe-delivery-channel-status

L'exemple de code suivant montre comment utiliserdescribe-delivery-channel-status.

AWS CLI

Pour obtenir des informations sur le statut du canal de distribution

La commande suivante renvoie l'état du canal de diffusion :

aws configservice describe-delivery-channel-status

Sortie :

{
    "DeliveryChannelsStatus": [
        {
            "configStreamDeliveryInfo": {
                "lastStatusChangeTime": 1452193834.381,
                "lastStatus": "SUCCESS"
            },
            "configHistoryDeliveryInfo": {
                "lastSuccessfulTime": 1450317838.412,
                "lastStatus": "SUCCESS",
                "lastAttemptTime": 1450317838.412
            },
            "configSnapshotDeliveryInfo": {
                "lastSuccessfulTime": 1452185597.094,
                "lastStatus": "SUCCESS",
                "lastAttemptTime": 1452185597.094
            },
            "name": "default"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeDeliveryChannelStatusà la section Référence des AWS CLI commandes.

describe-delivery-channel-status

L'exemple de code suivant montre comment utiliserdescribe-delivery-channel-status.

AWS CLI

Pour obtenir des informations sur le statut du canal de distribution

La commande suivante renvoie l'état du canal de diffusion :

aws configservice describe-delivery-channel-status

Sortie :

{
    "DeliveryChannelsStatus": [
        {
            "configStreamDeliveryInfo": {
                "lastStatusChangeTime": 1452193834.381,
                "lastStatus": "SUCCESS"
            },
            "configHistoryDeliveryInfo": {
                "lastSuccessfulTime": 1450317838.412,
                "lastStatus": "SUCCESS",
                "lastAttemptTime": 1450317838.412
            },
            "configSnapshotDeliveryInfo": {
                "lastSuccessfulTime": 1452185597.094,
                "lastStatus": "SUCCESS",
                "lastAttemptTime": 1452185597.094
            },
            "name": "default"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeDeliveryChannelStatusà la section Référence des AWS CLI commandes.

describe-delivery-channels

L'exemple de code suivant montre comment utiliserdescribe-delivery-channels.

AWS CLI

Pour obtenir des informations sur le canal de livraison

La commande suivante renvoie des informations sur le canal de diffusion :

aws configservice describe-delivery-channels

Sortie :

{
    "DeliveryChannels": [
        {
            "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeDeliveryChannelsà la section Référence des AWS CLI commandes.

describe-delivery-channels

L'exemple de code suivant montre comment utiliserdescribe-delivery-channels.

AWS CLI

Pour obtenir des informations sur le canal de livraison

La commande suivante renvoie des informations sur le canal de diffusion :

aws configservice describe-delivery-channels

Sortie :

{
    "DeliveryChannels": [
        {
            "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous DescribeDeliveryChannelsà la section Référence des AWS CLI commandes.

get-compliance-details-by-config-rule

L'exemple de code suivant montre comment utiliserget-compliance-details-by-config-rule.

AWS CLI

Pour obtenir les résultats de l'évaluation d'une règle AWS Config

La commande suivante renvoie les résultats de l'évaluation pour toutes les ressources qui ne sont pas conformes à une règle de AWS configuration nommée InstanceTypesAreT2micro :

aws configservice get-compliance-details-by-config-rule --config-rule-name InstanceTypesAreT2micro --compliance-types NON_COMPLIANT

Sortie :

{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-2a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314645.18,
            "ConfigRuleInvokedTime": 1450314642.902,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-3a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.346,
            "ConfigRuleInvokedTime": 1450314643.124,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous GetComplianceDetailsByConfigRuleà la section Référence des AWS CLI commandes.

get-compliance-details-by-config-rule

L'exemple de code suivant montre comment utiliserget-compliance-details-by-config-rule.

AWS CLI

Pour obtenir les résultats de l'évaluation d'une règle AWS Config

La commande suivante renvoie les résultats de l'évaluation pour toutes les ressources qui ne sont pas conformes à une règle de AWS configuration nommée InstanceTypesAreT2micro :

aws configservice get-compliance-details-by-config-rule --config-rule-name InstanceTypesAreT2micro --compliance-types NON_COMPLIANT

Sortie :

{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-2a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314645.18,
            "ConfigRuleInvokedTime": 1450314642.902,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-3a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.346,
            "ConfigRuleInvokedTime": 1450314643.124,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous GetComplianceDetailsByConfigRuleà la section Référence des AWS CLI commandes.

get-compliance-details-by-resource

L'exemple de code suivant montre comment utiliserget-compliance-details-by-resource.

AWS CLI

Pour obtenir les résultats de l'évaluation d'une AWS ressource

La commande suivante renvoie les résultats de l'évaluation pour chaque règle à laquelle l' EC2 instance i-1a2b3c4d n'est pas conforme :

aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

Sortie :

{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.288,
            "ConfigRuleInvokedTime": 1450314643.034,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "RequiredTagForEC2Instances"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous GetComplianceDetailsByResourceà la section Référence des AWS CLI commandes.

get-compliance-details-by-resource

L'exemple de code suivant montre comment utiliserget-compliance-details-by-resource.

AWS CLI

Pour obtenir les résultats de l'évaluation d'une AWS ressource

La commande suivante renvoie les résultats de l'évaluation pour chaque règle à laquelle l' EC2 instance i-1a2b3c4d n'est pas conforme :

aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

Sortie :

{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.288,
            "ConfigRuleInvokedTime": 1450314643.034,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "RequiredTagForEC2Instances"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous GetComplianceDetailsByResourceà la section Référence des AWS CLI commandes.

get-compliance-summary-by-config-rule

L'exemple de code suivant montre comment utiliserget-compliance-summary-by-config-rule.

AWS CLI

Pour obtenir le résumé de conformité de vos règles de AWS Config

La commande suivante renvoie le nombre de règles conformes et le nombre de règles non conformes :

aws configservice get-compliance-summary-by-config-rule

Dans la sortie, la valeur de chaque CappedCount attribut indique le nombre de règles conformes ou non conformes.

Sortie :

{
    "ComplianceSummary": {
        "NonCompliantResourceCount": {
            "CappedCount": 3,
            "CapExceeded": false
        },
        "ComplianceSummaryTimestamp": 1452204131.493,
        "CompliantResourceCount": {
            "CappedCount": 2,
            "CapExceeded": false
        }
    }
}

• Pour plus de détails sur l'API, reportez-vous GetComplianceSummaryByConfigRuleà la section Référence des AWS CLI commandes.

get-compliance-summary-by-config-rule

L'exemple de code suivant montre comment utiliserget-compliance-summary-by-config-rule.

AWS CLI

Pour obtenir le résumé de conformité de vos règles de AWS Config

La commande suivante renvoie le nombre de règles conformes et le nombre de règles non conformes :

aws configservice get-compliance-summary-by-config-rule

Dans la sortie, la valeur de chaque CappedCount attribut indique le nombre de règles conformes ou non conformes.

Sortie :

{
    "ComplianceSummary": {
        "NonCompliantResourceCount": {
            "CappedCount": 3,
            "CapExceeded": false
        },
        "ComplianceSummaryTimestamp": 1452204131.493,
        "CompliantResourceCount": {
            "CappedCount": 2,
            "CapExceeded": false
        }
    }
}

• Pour plus de détails sur l'API, reportez-vous GetComplianceSummaryByConfigRuleà la section Référence des AWS CLI commandes.

get-compliance-summary-by-resource-type

L'exemple de code suivant montre comment utiliserget-compliance-summary-by-resource-type.

AWS CLI

Pour obtenir le résumé de conformité pour tous les types de ressources

La commande suivante renvoie le nombre de AWS ressources non conformes et le nombre de ressources conformes :

aws configservice get-compliance-summary-by-resource-type

Dans la sortie, la valeur de chaque CappedCount attribut indique le nombre de ressources conformes ou non conformes.

Sortie :

{
    "ComplianceSummariesByResourceType": [
        {
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 16,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1453237464.543,
                "CompliantResourceCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                }
            }
        }
    ]
}

Pour obtenir le résumé de conformité pour un type de ressource spécifique

La commande suivante renvoie le nombre d' EC2 instances non conformes et le nombre d'instances conformes :

aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

Dans la sortie, la valeur de chaque CappedCount attribut indique le nombre de ressources conformes ou non conformes.

Sortie :

{
    "ComplianceSummariesByResourceType": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1452204923.518,
                "CompliantResourceCount": {
                    "CappedCount": 7,
                    "CapExceeded": false
                }
            }
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous GetComplianceSummaryByResourceTypeà la section Référence des AWS CLI commandes.

get-compliance-summary-by-resource-type

L'exemple de code suivant montre comment utiliserget-compliance-summary-by-resource-type.

AWS CLI

Pour obtenir le résumé de conformité pour tous les types de ressources

La commande suivante renvoie le nombre de AWS ressources non conformes et le nombre de ressources conformes :

aws configservice get-compliance-summary-by-resource-type

Dans la sortie, la valeur de chaque CappedCount attribut indique le nombre de ressources conformes ou non conformes.

Sortie :

{
    "ComplianceSummariesByResourceType": [
        {
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 16,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1453237464.543,
                "CompliantResourceCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                }
            }
        }
    ]
}

Pour obtenir le résumé de conformité pour un type de ressource spécifique

La commande suivante renvoie le nombre d' EC2 instances non conformes et le nombre d'instances conformes :

aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

Dans la sortie, la valeur de chaque CappedCount attribut indique le nombre de ressources conformes ou non conformes.

Sortie :

{
    "ComplianceSummariesByResourceType": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1452204923.518,
                "CompliantResourceCount": {
                    "CappedCount": 7,
                    "CapExceeded": false
                }
            }
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous GetComplianceSummaryByResourceTypeà la section Référence des AWS CLI commandes.

get-resource-config-history

L'exemple de code suivant montre comment utiliserget-resource-config-history.

AWS CLI

Pour obtenir l'historique de configuration d'une AWS ressource

La commande suivante renvoie une liste d'éléments de configuration pour une EC2 instance avec un ID de i-1a2b3c4d :

aws configservice get-resource-config-history --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d

• Pour plus de détails sur l'API, reportez-vous GetResourceConfigHistoryà la section Référence des AWS CLI commandes.

get-resource-config-history

L'exemple de code suivant montre comment utiliserget-resource-config-history.

AWS CLI

Pour obtenir l'historique de configuration d'une AWS ressource

La commande suivante renvoie une liste d'éléments de configuration pour une EC2 instance avec un ID de i-1a2b3c4d :

aws configservice get-resource-config-history --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d

• Pour plus de détails sur l'API, reportez-vous GetResourceConfigHistoryà la section Référence des AWS CLI commandes.

get-status

L'exemple de code suivant montre comment utiliserget-status.

AWS CLI

Pour obtenir le statut de AWS Config

La commande suivante renvoie l'état du canal de diffusion et de l'enregistreur de configuration :

aws configservice get-status

Sortie :

Configuration Recorders:

name: default
recorder: ON
last status: SUCCESS

Delivery Channels:

name: default
last stream delivery status: SUCCESS
last history delivery status: SUCCESS
last snapshot delivery status: SUCCESS

• Pour plus de détails sur l'API, reportez-vous GetStatusà la section Référence des AWS CLI commandes.

get-status

L'exemple de code suivant montre comment utiliserget-status.

AWS CLI

Pour obtenir le statut de AWS Config

La commande suivante renvoie l'état du canal de diffusion et de l'enregistreur de configuration :

aws configservice get-status

Sortie :

Configuration Recorders:

name: default
recorder: ON
last status: SUCCESS

Delivery Channels:

name: default
last stream delivery status: SUCCESS
last history delivery status: SUCCESS
last snapshot delivery status: SUCCESS

• Pour plus de détails sur l'API, reportez-vous GetStatusà la section Référence des AWS CLI commandes.

list-discovered-resources

L'exemple de code suivant montre comment utiliserlist-discovered-resources.

AWS CLI

Pour répertorier les ressources découvertes par AWS Config

La commande suivante répertorie les EC2 instances découvertes par AWS Config :

aws configservice list-discovered-resources --resource-type AWS::EC2::Instance

Sortie :

{
    "resourceIdentifiers": [
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-1a2b3c4d"
        },
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-2a2b3c4d"
        },
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-3a2b3c4d"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous ListDiscoveredResourcesà la section Référence des AWS CLI commandes.

list-discovered-resources

L'exemple de code suivant montre comment utiliserlist-discovered-resources.

AWS CLI

Pour répertorier les ressources découvertes par AWS Config

La commande suivante répertorie les EC2 instances découvertes par AWS Config :

aws configservice list-discovered-resources --resource-type AWS::EC2::Instance

Sortie :

{
    "resourceIdentifiers": [
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-1a2b3c4d"
        },
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-2a2b3c4d"
        },
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-3a2b3c4d"
        }
    ]
}

• Pour plus de détails sur l'API, reportez-vous ListDiscoveredResourcesà la section Référence des AWS CLI commandes.

put-config-rule

L'exemple de code suivant montre comment utiliserput-config-rule.

AWS CLI

Pour ajouter une règle Config AWS gérée

La commande suivante fournit du code JSON pour ajouter une règle de configuration AWS gérée :

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.jsonest un fichier JSON qui contient la configuration des règles :

{
  "ConfigRuleName": "RequiredTagsForEC2Instances",
  "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "REQUIRED_TAGS"
  },
  "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}"
}

Pour l'ComplianceResourceTypesattribut, ce code JSON limite la portée aux ressources de ce AWS::EC2::Instance type, de sorte que AWS Config évaluera uniquement les EC2 instances par rapport à la règle. Comme la règle est une règle gérée, l'Ownerattribut est défini surAWS, et l'SourceIdentifierattribut est défini sur l'identifiant de règle,REQUIRED_TAGS. Pour l'InputParametersattribut, les clés de balise requises par la règle, CostCenter etOwner, sont spécifiées.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier la configuration de la règle, exécutez la describe-config-rules commande et spécifiez le nom de la règle.

Pour ajouter une règle Config gérée par le client

La commande suivante fournit du code JSON pour ajouter une règle de configuration gérée par le client :

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.jsonest un fichier JSON qui contient la configuration des règles :

{
  "ConfigRuleName": "InstanceTypesAreT2micro",
  "Description": "Evaluates whether EC2 instances are the t2.micro type.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "CUSTOM_LAMBDA",
    "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
    "SourceDetails": [
      {
        "EventSource": "aws.config",
        "MessageType": "ConfigurationItemChangeNotification"
      }
    ]
  },
  "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}"
}

Pour l'ComplianceResourceTypesattribut, ce code JSON limite la portée aux ressources de ce AWS::EC2::Instance type, de sorte que AWS Config évaluera uniquement les EC2 instances par rapport à la règle. Cette règle étant une règle gérée par le client, l'Ownerattribut est défini surCUSTOM_LAMBDA, et l'SourceIdentifierattribut est défini sur l'ARN de la fonction AWS Lambda. L'SourceDetailsobjet est obligatoire. Les paramètres spécifiés pour l'InputParametersattribut sont transmis à la fonction AWS Lambda lorsque AWS Config l'invoque pour évaluer les ressources par rapport à la règle.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier la configuration de la règle, exécutez la describe-config-rules commande et spécifiez le nom de la règle.

• Pour plus de détails sur l'API, reportez-vous PutConfigRuleà la section Référence des AWS CLI commandes.

put-config-rule

L'exemple de code suivant montre comment utiliserput-config-rule.

AWS CLI

Pour ajouter une règle Config AWS gérée

La commande suivante fournit du code JSON pour ajouter une règle de configuration AWS gérée :

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.jsonest un fichier JSON qui contient la configuration des règles :

{
  "ConfigRuleName": "RequiredTagsForEC2Instances",
  "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "REQUIRED_TAGS"
  },
  "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}"
}

Pour l'ComplianceResourceTypesattribut, ce code JSON limite la portée aux ressources de ce AWS::EC2::Instance type, de sorte que AWS Config évaluera uniquement les EC2 instances par rapport à la règle. Comme la règle est une règle gérée, l'Ownerattribut est défini surAWS, et l'SourceIdentifierattribut est défini sur l'identifiant de règle,REQUIRED_TAGS. Pour l'InputParametersattribut, les clés de balise requises par la règle, CostCenter etOwner, sont spécifiées.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier la configuration de la règle, exécutez la describe-config-rules commande et spécifiez le nom de la règle.

Pour ajouter une règle Config gérée par le client

La commande suivante fournit du code JSON pour ajouter une règle de configuration gérée par le client :

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.jsonest un fichier JSON qui contient la configuration des règles :

{
  "ConfigRuleName": "InstanceTypesAreT2micro",
  "Description": "Evaluates whether EC2 instances are the t2.micro type.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "CUSTOM_LAMBDA",
    "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
    "SourceDetails": [
      {
        "EventSource": "aws.config",
        "MessageType": "ConfigurationItemChangeNotification"
      }
    ]
  },
  "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}"
}

Pour l'ComplianceResourceTypesattribut, ce code JSON limite la portée aux ressources de ce AWS::EC2::Instance type, de sorte que AWS Config évaluera uniquement les EC2 instances par rapport à la règle. Cette règle étant une règle gérée par le client, l'Ownerattribut est défini surCUSTOM_LAMBDA, et l'SourceIdentifierattribut est défini sur l'ARN de la fonction AWS Lambda. L'SourceDetailsobjet est obligatoire. Les paramètres spécifiés pour l'InputParametersattribut sont transmis à la fonction AWS Lambda lorsque AWS Config l'invoque pour évaluer les ressources par rapport à la règle.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier la configuration de la règle, exécutez la describe-config-rules commande et spécifiez le nom de la règle.

• Pour plus de détails sur l'API, reportez-vous PutConfigRuleà la section Référence des AWS CLI commandes.

put-configuration-recorder

L'exemple de code suivant montre comment utiliserput-configuration-recorder.

AWS CLI

Exemple 1 : pour enregistrer toutes les ressources prises en charge

La commande suivante crée un enregistreur de configuration qui suit les modifications apportées à tous les types de ressources pris en charge, y compris les types de ressources globaux :

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group allSupported=true,includeGlobalResourceTypes=true

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre enregistreur de configuration, exécutez la describe-configuration-recorders commande.

Exemple 2 : pour enregistrer des types de ressources spécifiques

La commande suivante crée un enregistreur de configuration qui suit les modifications apportées uniquement aux types de ressources spécifiés dans le fichier JSON pour l'option --recording-group :

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group file://recordingGroup.json

RecordingGroup.json est un fichier JSON qui spécifie les types de ressources que Config AWS enregistrera :

{
    "allSupported": false,
    "includeGlobalResourceTypes": false,
    "resourceTypes": [
        "AWS::EC2::EIP",
        "AWS::EC2::Instance",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::SecurityGroup",
        "AWS::CloudTrail::Trail",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC",
        "AWS::IAM::User",
        "AWS::IAM::Policy"
    ]
}

Avant de pouvoir spécifier des types de ressources pour la clé ResourceTypes, vous devez définir les options AllSupported includeGlobalResource et Types sur false ou les omettre.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre enregistreur de configuration, exécutez la describe-configuration-recorders commande.

Exemple 3 : Pour sélectionner toutes les ressources prises en charge, à l'exception de certains types de ressources

La commande suivante crée un enregistreur de configuration qui suit les modifications apportées à tous les types de ressources pris en charge actuels et futurs, à l'exception des types de ressources spécifiés dans le fichier JSON pour l'option --recording-group :

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group file://recordingGroup.json

RecordingGroup.json est un fichier JSON qui spécifie les types de ressources que Config AWS enregistrera :

{
    "allSupported": false,
    "exclusionByResourceTypes": {
        "resourceTypes": [
        "AWS::Redshift::ClusterSnapshot",
        "AWS::RDS::DBClusterSnapshot",
        "AWS::CloudFront::StreamingDistribution"
    ]
    },
        "includeGlobalResourceTypes": false,
        "recordingStrategy": {
        "useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
    },
}

Avant de pouvoir spécifier les types de ressources à exclure de l'enregistrement : 1) Vous devez définir les options AllSupported et includeGlobalResource Types sur false ou les omettre, et 2) Vous devez définir le champ UseOnly sur EXCLUSION_BY_RESOURCE_TYPES RecordingStrategy .

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre enregistreur de configuration, exécutez la describe-configuration-recorders commande.

• Pour plus de détails sur l'API, reportez-vous PutConfigurationRecorderà la section Référence des AWS CLI commandes.

put-configuration-recorder

L'exemple de code suivant montre comment utiliserput-configuration-recorder.

AWS CLI

Exemple 1 : pour enregistrer toutes les ressources prises en charge

La commande suivante crée un enregistreur de configuration qui suit les modifications apportées à tous les types de ressources pris en charge, y compris les types de ressources globaux :

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group allSupported=true,includeGlobalResourceTypes=true

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre enregistreur de configuration, exécutez la describe-configuration-recorders commande.

Exemple 2 : pour enregistrer des types de ressources spécifiques

La commande suivante crée un enregistreur de configuration qui suit les modifications apportées uniquement aux types de ressources spécifiés dans le fichier JSON pour l'option --recording-group :

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group file://recordingGroup.json

RecordingGroup.json est un fichier JSON qui spécifie les types de ressources que Config AWS enregistrera :

{
    "allSupported": false,
    "includeGlobalResourceTypes": false,
    "resourceTypes": [
        "AWS::EC2::EIP",
        "AWS::EC2::Instance",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::SecurityGroup",
        "AWS::CloudTrail::Trail",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC",
        "AWS::IAM::User",
        "AWS::IAM::Policy"
    ]
}

Avant de pouvoir spécifier des types de ressources pour la clé ResourceTypes, vous devez définir les options AllSupported includeGlobalResource et Types sur false ou les omettre.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre enregistreur de configuration, exécutez la describe-configuration-recorders commande.

Exemple 3 : Pour sélectionner toutes les ressources prises en charge, à l'exception de certains types de ressources

La commande suivante crée un enregistreur de configuration qui suit les modifications apportées à tous les types de ressources pris en charge actuels et futurs, à l'exception des types de ressources spécifiés dans le fichier JSON pour l'option --recording-group :

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group file://recordingGroup.json

RecordingGroup.json est un fichier JSON qui spécifie les types de ressources que Config AWS enregistrera :

{
    "allSupported": false,
    "exclusionByResourceTypes": {
        "resourceTypes": [
        "AWS::Redshift::ClusterSnapshot",
        "AWS::RDS::DBClusterSnapshot",
        "AWS::CloudFront::StreamingDistribution"
    ]
    },
        "includeGlobalResourceTypes": false,
        "recordingStrategy": {
        "useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
    },
}

Avant de pouvoir spécifier les types de ressources à exclure de l'enregistrement : 1) Vous devez définir les options AllSupported et includeGlobalResource Types sur false ou les omettre, et 2) Vous devez définir le champ UseOnly sur EXCLUSION_BY_RESOURCE_TYPES RecordingStrategy .

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre enregistreur de configuration, exécutez la describe-configuration-recorders commande.

• Pour plus de détails sur l'API, reportez-vous PutConfigurationRecorderà la section Référence des AWS CLI commandes.

put-delivery-channel

L'exemple de code suivant montre comment utiliserput-delivery-channel.

AWS CLI

Pour créer un canal de diffusion

La commande suivante fournit les paramètres du canal de diffusion sous forme de code JSON :

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Le deliveryChannel.json fichier spécifie les attributs du canal de diffusion :

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Cet exemple définit les attributs suivants :

name- Le nom du canal de diffusion. Par défaut, AWS Config attribue le nom default à un nouveau canal de distribution. Vous ne pouvez pas mettre à jour le nom du canal de distribution avec la commande. put-delivery-channel Pour connaître les étapes à suivre pour modifier le nom, voir Renommer le canal de diffusion. s3BucketName - Le nom du compartiment Amazon S3 auquel AWS Config fournit des instantanés de configuration et des fichiers d'historique de configuration. Si vous spécifiez un compartiment appartenant à un autre AWS compte, ce compartiment doit disposer de politiques accordant des autorisations d'accès à Config. AWS Pour de plus d'informations, consultez Autorisations pour le compartiment Amazon S3.

snsTopicARN- Le nom de ressource Amazon (ARN) de la rubrique Amazon SNS à laquelle AWS Config envoie des notifications concernant les modifications de configuration. Si vous choisissez un sujet depuis un autre compte, le sujet doit comporter des politiques accordant des autorisations d'accès à Config. AWS Pour plus d'informations, consultez la rubrique Autorisations pour Amazon SNS.

configSnapshotDeliveryProperties- Contient l'deliveryFrequencyattribut, qui définit la fréquence à laquelle AWS Config fournit des instantanés de configuration et la fréquence à laquelle il invoque des évaluations pour les règles de configuration périodiques.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre canal de diffusion, exécutez la describe-delivery-channels commande.

• Pour plus de détails sur l'API, reportez-vous PutDeliveryChannelà la section Référence des AWS CLI commandes.

put-delivery-channel

L'exemple de code suivant montre comment utiliserput-delivery-channel.

AWS CLI

Pour créer un canal de diffusion

La commande suivante fournit les paramètres du canal de diffusion sous forme de code JSON :

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Le deliveryChannel.json fichier spécifie les attributs du canal de diffusion :

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Cet exemple définit les attributs suivants :

name- Le nom du canal de diffusion. Par défaut, AWS Config attribue le nom default à un nouveau canal de distribution. Vous ne pouvez pas mettre à jour le nom du canal de distribution avec la commande. put-delivery-channel Pour connaître les étapes à suivre pour modifier le nom, voir Renommer le canal de diffusion. s3BucketName - Le nom du compartiment Amazon S3 auquel AWS Config fournit des instantanés de configuration et des fichiers d'historique de configuration. Si vous spécifiez un compartiment appartenant à un autre AWS compte, ce compartiment doit disposer de politiques accordant des autorisations d'accès à Config. AWS Pour de plus d'informations, consultez Autorisations pour le compartiment Amazon S3.

snsTopicARN- Le nom de ressource Amazon (ARN) de la rubrique Amazon SNS à laquelle AWS Config envoie des notifications concernant les modifications de configuration. Si vous choisissez un sujet depuis un autre compte, le sujet doit comporter des politiques accordant des autorisations d'accès à Config. AWS Pour plus d'informations, consultez la rubrique Autorisations pour Amazon SNS.

configSnapshotDeliveryProperties- Contient l'deliveryFrequencyattribut, qui définit la fréquence à laquelle AWS Config fournit des instantanés de configuration et la fréquence à laquelle il invoque des évaluations pour les règles de configuration périodiques.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre canal de diffusion, exécutez la describe-delivery-channels commande.

• Pour plus de détails sur l'API, reportez-vous PutDeliveryChannelà la section Référence des AWS CLI commandes.

start-config-rules-evaluation

L'exemple de code suivant montre comment utiliserstart-config-rules-evaluation.

AWS CLI

Pour exécuter une évaluation à la demande des règles AWS Config

La commande suivante lance une évaluation pour deux règles AWS gérées :

aws configservice start-config-rules-evaluation --config-rule-names s3-bucket-versioning-enabled cloudtrail-enabled

• Pour plus de détails sur l'API, reportez-vous StartConfigRulesEvaluationà la section Référence des AWS CLI commandes.

start-config-rules-evaluation

L'exemple de code suivant montre comment utiliserstart-config-rules-evaluation.

AWS CLI

Pour exécuter une évaluation à la demande des règles AWS Config

La commande suivante lance une évaluation pour deux règles AWS gérées :

aws configservice start-config-rules-evaluation --config-rule-names s3-bucket-versioning-enabled cloudtrail-enabled

• Pour plus de détails sur l'API, reportez-vous StartConfigRulesEvaluationà la section Référence des AWS CLI commandes.

start-configuration-recorder

L'exemple de code suivant montre comment utiliserstart-configuration-recorder.

AWS CLI

Pour démarrer l'enregistreur de configuration

La commande suivante démarre l'enregistreur de configuration par défaut :

aws configservice start-configuration-recorder --configuration-recorder-name default

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier que AWS Config enregistre vos ressources, exécutez la commande get-status.

• Pour plus de détails sur l'API, reportez-vous StartConfigurationRecorderà la section Référence des AWS CLI commandes.

start-configuration-recorder

L'exemple de code suivant montre comment utiliserstart-configuration-recorder.

AWS CLI

Pour démarrer l'enregistreur de configuration

La commande suivante démarre l'enregistreur de configuration par défaut :

aws configservice start-configuration-recorder --configuration-recorder-name default

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier que AWS Config enregistre vos ressources, exécutez la commande get-status.

• Pour plus de détails sur l'API, reportez-vous StartConfigurationRecorderà la section Référence des AWS CLI commandes.

stop-configuration-recorder

L'exemple de code suivant montre comment utiliserstop-configuration-recorder.

AWS CLI

Pour arrêter l'enregistreur de configuration

La commande suivante arrête l'enregistreur de configuration par défaut :

aws configservice stop-configuration-recorder --configuration-recorder-name default

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier que AWS Config n'enregistre pas vos ressources, exécutez la commande get-status.

• Pour plus de détails sur l'API, reportez-vous StopConfigurationRecorderà la section Référence des AWS CLI commandes.

stop-configuration-recorder

L'exemple de code suivant montre comment utiliserstop-configuration-recorder.

AWS CLI

Pour arrêter l'enregistreur de configuration

La commande suivante arrête l'enregistreur de configuration par défaut :

aws configservice stop-configuration-recorder --configuration-recorder-name default

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier que AWS Config n'enregistre pas vos ressources, exécutez la commande get-status.

• Pour plus de détails sur l'API, reportez-vous StopConfigurationRecorderà la section Référence des AWS CLI commandes.

subscribe

L'exemple de code suivant montre comment utilisersubscribe.

AWS CLI

Pour vous abonner à AWS Config

La commande suivante crée le canal de diffusion et l'enregistreur de configuration par défaut. La commande spécifie également le compartiment Amazon S3 et la rubrique Amazon SNS auxquels AWS Config fournira les informations de configuration :

aws configservice subscribe --s3-bucket config-bucket-123456789012 --sns-topic arn:aws:sns:us-east-1:123456789012:config-topic --iam-role arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6

Sortie :

Using existing S3 bucket: config-bucket-123456789012
Using existing SNS topic: arn:aws:sns:us-east-1:123456789012:config-topic
Subscribe succeeded:

Configuration Recorders: [
    {
        "recordingGroup": {
            "allSupported": true,
            "resourceTypes": [],
            "includeGlobalResourceTypes": false
        },
        "roleARN": "arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6",
        "name": "default"
    }
]

Delivery Channels: [
    {
        "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
        "name": "default",
        "s3BucketName": "config-bucket-123456789012"
    }
]

• Pour plus d'informations sur l'API, consultez Subscribe dans la Référence des commandes AWS CLI .

subscribe

L'exemple de code suivant montre comment utilisersubscribe.

AWS CLI

Pour vous abonner à AWS Config

La commande suivante crée le canal de diffusion et l'enregistreur de configuration par défaut. La commande spécifie également le compartiment Amazon S3 et la rubrique Amazon SNS auxquels AWS Config fournira les informations de configuration :

aws configservice subscribe --s3-bucket config-bucket-123456789012 --sns-topic arn:aws:sns:us-east-1:123456789012:config-topic --iam-role arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6

Sortie :

Using existing S3 bucket: config-bucket-123456789012
Using existing SNS topic: arn:aws:sns:us-east-1:123456789012:config-topic
Subscribe succeeded:

Configuration Recorders: [
    {
        "recordingGroup": {
            "allSupported": true,
            "resourceTypes": [],
            "includeGlobalResourceTypes": false
        },
        "roleARN": "arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6",
        "name": "default"
    }
]

Delivery Channels: [
    {
        "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
        "name": "default",
        "s3BucketName": "config-bucket-123456789012"
    }
]

• Pour plus d'informations sur l'API, consultez Subscribe dans la Référence des commandes AWS CLI .