AWS Config esempi utilizzando AWS CLI - AWS Command Line Interface
Azioni

Questa documentazione è valida AWS CLI solo per la versione 1. Per la documentazione relativa alla versione 2 di AWS CLI, consulta la Guida per l'utente della versione 2.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Config esempi utilizzando AWS CLI

I seguenti esempi di codice mostrano come eseguire azioni e implementare scenari comuni utilizzando AWS Command Line Interface with AWS Config.

Le operazioni sono estratti di codice da programmi più grandi e devono essere eseguite nel contesto. Mentre le azioni mostrano come richiamare le singole funzioni di servizio, è possibile visualizzare le azioni nel loro contesto negli scenari correlati.

Ogni esempio include un collegamento al codice sorgente completo, in cui è possibile trovare istruzioni su come configurare ed eseguire il codice nel contesto.

Argomenti

Azioni

Il seguente esempio di codice mostra come utilizzaredelete-config-rule.

AWS CLI

Per eliminare una regola di AWS Config

Il comando seguente elimina una regola AWS Config denominata: MyConfigRule

aws configservice delete-config-rule --config-rule-name MyConfigRule

Il seguente esempio di codice mostra come utilizzaredelete-delivery-channel.

AWS CLI

Per eliminare un canale di distribuzione

Il comando seguente elimina il canale di consegna predefinito:

aws configservice delete-delivery-channel --delivery-channel-name default

Il seguente esempio di codice mostra come utilizzaredelete-evaluation-results.

AWS CLI

Per eliminare manualmente i risultati della valutazione

Il comando seguente elimina i risultati di valutazione correnti per la regola AWS gestita s3-: bucket-versioning-enabled

aws configservice delete-evaluation-results --config-rule-name s3-bucket-versioning-enabled

Il seguente esempio di codice mostra come utilizzaredeliver-config-snapshot.

AWS CLI

Per fornire un'istantanea della configurazione

Il comando seguente fornisce uno snapshot di configurazione al bucket Amazon S3 che appartiene al canale di distribuzione predefinito:

aws configservice deliver-config-snapshot --delivery-channel-name default

Output:

{
    "configSnapshotId": "d0333b00-a683-44af-921e-examplefb794"
}

Il seguente esempio di codice mostra come utilizzaredescribe-compliance-by-config-rule.

AWS CLI

Per ottenere informazioni sulla conformità per le regole di AWS Config

Il comando seguente restituisce informazioni sulla conformità per ogni regola di AWS Config violata da una o più risorse: AWS 

aws configservice describe-compliance-by-config-rule --compliance-types NON_COMPLIANT

Nell'output, il valore di ogni CappedCount attributo indica quante risorse non sono conformi alla regola correlata. Ad esempio, l'output seguente indica che 3 risorse non sono conformi alla regola denominataInstanceTypesAreT2micro.

Output:

{
    "ComplianceByConfigRules": [
        {
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            },
            "ConfigRuleName": "InstanceTypesAreT2micro"
        },
        {
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            },
            "ConfigRuleName": "RequiredTagsForVolumes"
        }
    ]
}

Il seguente esempio di codice mostra come utilizzaredescribe-compliance-by-resource.

AWS CLI

Per ottenere informazioni sulla conformità delle tue AWS risorse

Il comando seguente restituisce informazioni sulla conformità per ogni EC2 istanza registrata da AWS Config e che viola una o più regole:

aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

Nell'output, il valore di ogni CappedCount attributo indica quante regole viene violata dalla risorsa. Ad esempio, l'output seguente indica che l'istanza i-1a2b3c4d viola 2 regole.

Output:

{
    "ComplianceByResources": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-1a2b3c4d",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 2,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        },
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-2a2b3c4d ",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        }
    ]
}

Il seguente esempio di codice mostra come utilizzaredescribe-config-rule-evaluation-status.

AWS CLI

Per ottenere informazioni sullo stato di una regola di AWS Config

Il comando seguente restituisce le informazioni sullo stato di una regola AWS Config denominata: MyConfigRule

aws configservice describe-config-rule-evaluation-status --config-rule-names MyConfigRule

Output:

{
    "ConfigRulesEvaluationStatus": [
        {
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "FirstActivatedTime": 1450311703.844,
            "ConfigRuleId": "config-rule-abcdef",
            "LastSuccessfulInvocationTime": 1450314643.156,
            "ConfigRuleName": "MyConfigRule"
        }
    ]
}

Il seguente esempio di codice mostra come utilizzaredescribe-config-rules.

AWS CLI

Per ottenere i dettagli di una regola di AWS Config

Il comando seguente restituisce i dettagli per una regola AWS Config denominata: InstanceTypesAreT2micro

aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro

Output:

{
    "ConfigRules": [
        {
            "ConfigRuleState": "ACTIVE",
            "Description": "Evaluates whether EC2 instances are the t2.micro type.",
            "ConfigRuleName": "InstanceTypesAreT2micro",
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "Source": {
                "Owner": "CUSTOM_LAMBDA",
                "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
                "SourceDetails": [
                    {
                        "EventSource": "aws.config",
                        "MessageType": "ConfigurationItemChangeNotification"
                    }
                ]
            },
            "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}",
            "Scope": {
                "ComplianceResourceTypes": [
                    "AWS::EC2::Instance"
                ]
            },
            "ConfigRuleId": "config-rule-abcdef"
        }
    ]
}

Il seguente esempio di codice mostra come utilizzaredescribe-configuration-recorder-status.

AWS CLI

Per ottenere informazioni sullo stato del registratore di configurazione

Il comando seguente restituisce lo stato del registratore di configurazione predefinito:

aws configservice describe-configuration-recorder-status

Output:

{
    "ConfigurationRecordersStatus": [
        {
            "name": "default",
            "lastStatus": "SUCCESS",
            "recording": true,
            "lastStatusChangeTime": 1452193834.344,
            "lastStartTime": 1441039997.819,
            "lastStopTime": 1441039992.835
        }
    ]
}

Il seguente esempio di codice mostra come utilizzaredescribe-configuration-recorders.

AWS CLI

Per ottenere dettagli sul registratore di configurazione

Il comando seguente restituisce dettagli sul registratore di configurazione predefinito:

aws configservice describe-configuration-recorders

Output:

{
    "ConfigurationRecorders": [
        {
            "recordingGroup": {
                "allSupported": true,
                "resourceTypes": [],
                "includeGlobalResourceTypes": true
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-ConfigRole-A1B2C3D4E5F6",
            "name": "default"
        }
    ]
}

Il seguente esempio di codice mostra come utilizzaredescribe-delivery-channel-status.

AWS CLI

Per ottenere informazioni sullo stato del canale di consegna

Il comando seguente restituisce lo stato del canale di consegna:

aws configservice describe-delivery-channel-status

Output:

{
    "DeliveryChannelsStatus": [
        {
            "configStreamDeliveryInfo": {
                "lastStatusChangeTime": 1452193834.381,
                "lastStatus": "SUCCESS"
            },
            "configHistoryDeliveryInfo": {
                "lastSuccessfulTime": 1450317838.412,
                "lastStatus": "SUCCESS",
                "lastAttemptTime": 1450317838.412
            },
            "configSnapshotDeliveryInfo": {
                "lastSuccessfulTime": 1452185597.094,
                "lastStatus": "SUCCESS",
                "lastAttemptTime": 1452185597.094
            },
            "name": "default"
        }
    ]
}

Il seguente esempio di codice mostra come utilizzaredescribe-delivery-channels.

AWS CLI

Per ottenere dettagli sul canale di consegna

Il comando seguente restituisce i dettagli sul canale di consegna:

aws configservice describe-delivery-channels

Output:

{
    "DeliveryChannels": [
        {
            "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

Il seguente esempio di codice mostra come utilizzareget-compliance-details-by-config-rule.

AWS CLI

Per ottenere i risultati della valutazione per una regola di AWS Config

Il comando seguente restituisce i risultati della valutazione per tutte le risorse che non sono conformi a una regola AWS Config denominata: InstanceTypesAreT2micro

aws configservice get-compliance-details-by-config-rule --config-rule-name InstanceTypesAreT2micro --compliance-types NON_COMPLIANT

Output:

{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-2a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314645.18,
            "ConfigRuleInvokedTime": 1450314642.902,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-3a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.346,
            "ConfigRuleInvokedTime": 1450314643.124,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

Il seguente esempio di codice mostra come utilizzareget-compliance-details-by-resource.

AWS CLI

Per ottenere i risultati della valutazione di una AWS risorsa

Il comando seguente restituisce i risultati della valutazione per ogni regola a cui l'EC2istanza i-1a2b3c4d non è conforme:

aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

Output:

{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.288,
            "ConfigRuleInvokedTime": 1450314643.034,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "RequiredTagForEC2Instances"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

Il seguente esempio di codice mostra come utilizzareget-compliance-summary-by-config-rule.

AWS CLI

Per ottenere il riepilogo della conformità per le tue regole di AWS Config

Il comando seguente restituisce il numero di regole conformi e il numero di regole non conformi:

aws configservice get-compliance-summary-by-config-rule

Nell'output, il valore di ogni CappedCount attributo indica quante regole sono conformi o non conformi.

Output:

{
    "ComplianceSummary": {
        "NonCompliantResourceCount": {
            "CappedCount": 3,
            "CapExceeded": false
        },
        "ComplianceSummaryTimestamp": 1452204131.493,
        "CompliantResourceCount": {
            "CappedCount": 2,
            "CapExceeded": false
        }
    }
}

Il seguente esempio di codice mostra come utilizzareget-compliance-summary-by-resource-type.

AWS CLI

Per ottenere il riepilogo della conformità per tutti i tipi di risorse

Il comando seguente restituisce il numero di AWS risorse non conformi e il numero di risorse conformi:

aws configservice get-compliance-summary-by-resource-type

Nell'output, il valore di ogni CappedCount attributo indica quante risorse sono conformi o non conformi.

Output:

{
    "ComplianceSummariesByResourceType": [
        {
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 16,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1453237464.543,
                "CompliantResourceCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                }
            }
        }
    ]
}

Per ottenere il riepilogo della conformità per un tipo di risorsa specifico

Il comando seguente restituisce il numero di EC2 istanze non conformi e il numero di istanze conformi:

aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

Nell'output, il valore di ogni CappedCount attributo indica quante risorse sono conformi o non conformi.

Output:

{
    "ComplianceSummariesByResourceType": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1452204923.518,
                "CompliantResourceCount": {
                    "CappedCount": 7,
                    "CapExceeded": false
                }
            }
        }
    ]
}

Il seguente esempio di codice mostra come utilizzareget-resource-config-history.

AWS CLI

Per ottenere la cronologia di configurazione di una AWS risorsa

Il comando seguente restituisce un elenco di elementi di configurazione per un'EC2istanza con un ID dii-1a2b3c4d:

aws configservice get-resource-config-history --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d

Il seguente esempio di codice mostra come utilizzareget-status.

AWS CLI

Per ottenere lo stato di AWS Config

Il comando seguente restituisce lo stato del canale di distribuzione e del registratore di configurazione:

aws configservice get-status

Output:

Configuration Recorders:

name: default
recorder: ON
last status: SUCCESS

Delivery Channels:

name: default
last stream delivery status: SUCCESS
last history delivery status: SUCCESS
last snapshot delivery status: SUCCESS

  • Per API i dettagli, vedere GetStatusin AWS CLI Command Reference.

Il seguente esempio di codice mostra come utilizzarelist-discovered-resources.

AWS CLI

Per elencare le risorse scoperte da AWS Config

Il comando seguente elenca le EC2 istanze rilevate da AWS Config:

aws configservice list-discovered-resources --resource-type AWS::EC2::Instance

Output:

{
    "resourceIdentifiers": [
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-1a2b3c4d"
        },
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-2a2b3c4d"
        },
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-3a2b3c4d"
        }
    ]
}

Il seguente esempio di codice mostra come utilizzareput-config-rule.

AWS CLI

Per aggiungere una regola AWS Config gestita

Il comando seguente fornisce il JSON codice per aggiungere una regola Config AWS gestita:

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.jsonè un JSON file che contiene la configurazione delle regole:

{
  "ConfigRuleName": "RequiredTagsForEC2Instances",
  "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "REQUIRED_TAGS"
  },
  "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}"
}

Per l'ComplianceResourceTypesattributo, questo JSON codice limita l'ambito alle risorse del AWS::EC2::Instance tipo, quindi AWS Config valuterà solo EC2 le istanze rispetto alla regola. Poiché la regola è una regola gestita, l'Ownerattributo è impostato su e l'SourceIdentifierattributo è impostato sull'identificatore della regolaAWS,. REQUIRED_TAGS Per l'InputParametersattributo, vengono specificate le chiavi di tag richieste dalla regola CostCenter eOwner.

Se il comando ha esito positivo, AWS Config non restituisce alcun output. Per verificare la configurazione della regola, esegui il describe-config-rules comando e specifica il nome della regola.

Per aggiungere una regola Config gestita dal cliente

Il comando seguente fornisce il JSON codice per aggiungere una regola Config gestita dal cliente:

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.jsonè un JSON file che contiene la configurazione delle regole:

{
  "ConfigRuleName": "InstanceTypesAreT2micro",
  "Description": "Evaluates whether EC2 instances are the t2.micro type.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "CUSTOM_LAMBDA",
    "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
    "SourceDetails": [
      {
        "EventSource": "aws.config",
        "MessageType": "ConfigurationItemChangeNotification"
      }
    ]
  },
  "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}"
}

Per l'ComplianceResourceTypesattributo, questo JSON codice limita l'ambito alle risorse del AWS::EC2::Instance tipo, quindi AWS Config valuterà solo EC2 le istanze rispetto alla regola. Poiché questa regola è una regola gestita dal cliente, l'Ownerattributo è impostato su e l'SourceIdentifierattributo è impostato sulla ARN funzione AWS Lambda. CUSTOM_LAMBDA L'SourceDetailsoggetto è obbligatorio. I parametri specificati per l'InputParametersattributo vengono passati alla funzione AWS Lambda quando AWS Config la richiama per valutare le risorse rispetto alla regola.

Se il comando ha esito positivo, AWS Config non restituisce alcun output. Per verificare la configurazione della regola, esegui il describe-config-rules comando e specifica il nome della regola.

  • Per API i dettagli, vedere PutConfigRulein AWS CLI Command Reference.

Il seguente esempio di codice mostra come utilizzareput-configuration-recorder.

AWS CLI

Esempio 1: per registrare tutte le risorse supportate

Il comando seguente crea un registratore di configurazione che tiene traccia delle modifiche a tutti i tipi di risorse supportati, inclusi i tipi di risorse globali:

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group allSupported=true,includeGlobalResourceTypes=true

Se il comando ha esito positivo, AWS Config non restituisce alcun output. Per verificare le impostazioni del registratore di configurazione, esegui il comando. describe-configuration-recorders

Esempio 2: Per registrare tipi specifici di risorse

Il comando seguente crea un registratore di configurazione che tiene traccia delle modifiche solo ai tipi di risorse specificati nel JSON file per l'opzione --recording-group:

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group file://recordingGroup.json

recordingGroup.json è un JSON file che specifica i tipi di risorse che Config AWS registrerà:

{
    "allSupported": false,
    "includeGlobalResourceTypes": false,
    "resourceTypes": [
        "AWS::EC2::EIP",
        "AWS::EC2::Instance",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::SecurityGroup",
        "AWS::CloudTrail::Trail",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC",
        "AWS::IAM::User",
        "AWS::IAM::Policy"
    ]
}

Prima di poter specificare i tipi di risorse per la resourceTypes chiave, è necessario impostare le opzioni allSupported and includeGlobalResource Types su false o ometterle.

Se il comando ha esito positivo, AWS Config non restituisce alcun output. Per verificare le impostazioni del registratore di configurazione, esegui il comando. describe-configuration-recorders

Esempio 3: Per selezionare tutte le risorse supportate, esclusi tipi specifici di risorse

Il comando seguente crea un registratore di configurazione che tiene traccia delle modifiche a tutti i tipi di risorse supportati attuali e futuri, esclusi i tipi di risorse specificati nel JSON file per l'opzione --recording-group:

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group file://recordingGroup.json

recordingGroup.json è un JSON file che specifica i tipi di risorse che Config AWS registrerà:

{
    "allSupported": false,
    "exclusionByResourceTypes": {
        "resourceTypes": [
        "AWS::Redshift::ClusterSnapshot",
        "AWS::RDS::DBClusterSnapshot",
        "AWS::CloudFront::StreamingDistribution"
    ]
    },
        "includeGlobalResourceTypes": false,
        "recordingStrategy": {
        "useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
    },
}

Prima di poter specificare i tipi di risorse da escludere dalla registrazione: 1) È necessario impostare le opzioni allSupported e includeGlobalResource Types su false o ometterle e 2) è necessario impostare il useOnly campo su _BY_ _. RecordingStrategy EXCLUSION RESOURCE TYPES

Se il comando ha esito positivo, AWS Config non restituisce alcun output. Per verificare le impostazioni del registratore di configurazione, esegui il comando. describe-configuration-recorders

Il seguente esempio di codice mostra come utilizzareput-delivery-channel.

AWS CLI

Per creare un canale di distribuzione

Il comando seguente fornisce le impostazioni per il canale di consegna sotto forma di JSON codice:

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Il deliveryChannel.json file specifica gli attributi del canale di consegna:

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

L'esempio seguente imposta i seguenti attributi:

name- Il nome del canale di consegna. Per impostazione predefinita, AWS Config assegna il nome default a un nuovo canale di consegna. Non è possibile aggiornare il nome del canale di consegna con il comando. put-delivery-channel Per i passaggi per modificare il nome, vedi Ridenominazione del canale di consegna. s3BucketName - Il nome del bucket Amazon S3 a cui AWS Config fornisce istantanee di configurazione e file di cronologia della configurazione. Se si specifica un bucket che appartiene a un altro AWS account, tale bucket deve disporre di politiche che concedano le autorizzazioni di accesso a Config. AWS Per ulteriori informazioni, consulta Autorizzazioni per il bucket Amazon S3.

snsTopicARN- L'Amazon Resource Name (ARN) dell'SNSargomento Amazon a cui AWS Config invia notifiche sulle modifiche alla configurazione. Se scegli un argomento da un altro account, l'argomento deve avere politiche che concedano le autorizzazioni di accesso a Config. AWS Per ulteriori informazioni, consulta Autorizzazioni per l'SNSargomento Amazon.

configSnapshotDeliveryProperties- Contiene l'deliveryFrequencyattributo, che imposta la frequenza con cui AWS Config fornisce istantanee di configurazione e la frequenza con cui richiama le valutazioni per le regole Config periodiche.

Se il comando ha esito positivo, AWS Config non restituisce alcun output. Per verificare le impostazioni del tuo canale di consegna, esegui il describe-delivery-channels comando.

Il seguente esempio di codice mostra come utilizzarestart-config-rules-evaluation.

AWS CLI

Per eseguire una valutazione su richiesta per le regole AWS Config

Il comando seguente avvia una valutazione per due regole AWS gestite:

aws configservice start-config-rules-evaluation --config-rule-names s3-bucket-versioning-enabled cloudtrail-enabled

Il seguente esempio di codice mostra come utilizzarestart-configuration-recorder.

AWS CLI

Per avviare il registratore di configurazione

Il comando seguente avvia il registratore di configurazione predefinito:

aws configservice start-configuration-recorder --configuration-recorder-name default

Se il comando ha esito positivo, AWS Config non restituisce alcun output. Per verificare che AWS Config stia registrando le tue risorse, esegui il comando get-status.

Il seguente esempio di codice mostra come utilizzarestop-configuration-recorder.

AWS CLI

Per arrestare il registratore di configurazione

Il comando seguente arresta il registratore di configurazione predefinito:

aws configservice stop-configuration-recorder --configuration-recorder-name default

Se il comando ha esito positivo, AWS Config non restituisce alcun output. Per verificare che AWS Config non stia registrando le tue risorse, esegui il comando get-status.

Il seguente esempio di codice mostra come utilizzaresubscribe.

AWS CLI

Per abbonarsi a AWS Config

Il comando seguente crea il canale di consegna e il registratore di configurazione predefiniti. Il comando specifica anche il bucket Amazon S3 e l'argomento SNS Amazon a AWS cui Config fornirà le informazioni di configurazione:

aws configservice subscribe --s3-bucket config-bucket-123456789012 --sns-topic arn:aws:sns:us-east-1:123456789012:config-topic --iam-role arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6

Output:

Using existing S3 bucket: config-bucket-123456789012
Using existing SNS topic: arn:aws:sns:us-east-1:123456789012:config-topic
Subscribe succeeded:

Configuration Recorders: [
    {
        "recordingGroup": {
            "allSupported": true,
            "resourceTypes": [],
            "includeGlobalResourceTypes": false
        },
        "roleARN": "arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6",
        "name": "default"
    }
]

Delivery Channels: [
    {
        "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
        "name": "default",
        "s3BucketName": "config-bucket-123456789012"
    }
]

  • Per API i dettagli, consulta Subscribe in Command Reference.AWS CLI