「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
設定のコンプライアンスの確認
AWS Config コンソール、AWS CLI、または AWS Config API を使用して、ルールとリソースのコンプライアンス状態を確認できます。
コンプライアンスを確認するには (コンソール)
-
AWS マネジメントコンソール にサインインして、https://console.aws.amazon.com/config/
にある AWS Config コンソールを開きます。 -
AWS マネジメントコンソール メニューで、リージョンセレクターが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされているリージョンのリストについては、『アマゾン ウェブ サービス全般のリファレンス』の「AWS Config のリージョンとエンドポイント」を参照してください。
-
ナビゲーションペインで [Rules] を選択します。コンソールの [ルール] ページには、各ルールとそのコンプライアンス状態が一覧表示されます。
-
ルールを選択し、その [ルールの詳細] ページを表示します。このページには、ルールの設定とステータス、ルールに準拠していない AWS リソースが表示されます。
-
準拠していないリソースが [ルールの詳細] に表示された場合は、リソースの [Config のタイムライン] アイコン
を選択してその設定タイムラインページを表示します。このページには、AWS Config で準拠していないリソースを検出したときにキャプチャされた設定内容が表示されます。この情報から、リソースがルールに準拠していない理由を判断できます。詳細については、「設定詳細の表示」を参照してください。
また、[リソースのインベントリ] ページでリソースを探し、そのコンプライアンス状態を確認することもできます。詳細については、「AWS Config で検出されたリソースの検索」を参照してください。
例 コンプライアンスを確認するには (AWS CLI)
コンプライアンスを確認するには、以下のいずれかの CLI コマンドを使用します。
-
各ルールのコンプライアンス状態を確認するには、次の例に示すように、
describe-compliance-by-config-ruleコマンドを使用します。$ aws configservice describe-compliance-by-config-rule { "ComplianceByConfigRules": [ { "Compliance": { "ComplianceContributorCount": { "CappedCount": 2, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "instances-in-vpc" }, { "Compliance": { "ComplianceType": "COMPLIANT" }, "ConfigRuleName": "restricted-common-ports" }, ...コンプライアンスタイプが
NON_COMPLIANTになっているルールごとに、AWS Config は準拠していないリソースの数をCappedCountパラメータで返します。 -
特定のルールに対する各リソースのコンプライアンス状態を AWS Config で評価した結果を確認するには、次の例に示すように、
get-compliance-details-by-config-ruleコマンドを使用します。$ aws configservice get-compliance-details-by-config-rule --config-rule-nameConfigRuleName{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "ConfigRuleName" } }, "ResultRecordedTime": 1443751424.969, "ConfigRuleInvokedTime": 1443751421.208, "ComplianceType": "COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "ConfigRuleName" } }, "ResultRecordedTime": 1443751425.083, "ConfigRuleInvokedTime": 1443751421.301, "ComplianceType": "NON_COMPLIANT" }, ... -
特定のタイプに属する各 AWS リソースのコンプライアンス状態を確認するには、次の例に示すように、
describe-compliance-by-resourceコマンドを使用します。$ aws configservice describe-compliance-by-resource --resource-typeAWS::EC2::Instance{ "ComplianceByResources": [ { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "Compliance": { "ComplianceContributorCount": { "CappedCount": 1, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } }, { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "Compliance": { "ComplianceType": "COMPLIANT" } }, ... -
個別の AWS リソースのコンプライアンスの詳細を確認するには、
get-compliance-details-by-resourceコマンドを使用します。$ aws configservice get-compliance-details-by-resource --resource-typeAWS::EC2::Instance--resource-idi-nnnnnnnn{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "instances-in-vpc" } }, "ResultRecordedTime": 1443751425.083, "ConfigRuleInvokedTime": 1443751421.301, "ComplianceType": "NON_COMPLIANT" } ] }
例 コンプライアンスを確認するには (AWS Config API)
コンプライアンスを確認するには、以下のいずれかの API アクションを使用します。
-
各ルールのコンプライアンス状態を確認するには、DescribeComplianceByConfigRule アクションを使用します。
-
特定のルールに対する各リソースのコンプライアンス状態を AWS Config で評価した結果を確認するには、GetComplianceDetailsByConfigRule アクションを使用します。
-
特定のタイプに属する各 AWS リソースのコンプライアンス状態を確認するには、DescribeComplianceByResource アクションを使用します。
-
個別の AWS リソースのコンプライアンスの詳細を確認するには、GetComplianceDetailsByResource アクションを使用します。詳細には、そのリソースを評価した AWS Config ルール、最終評価日、リソースが各ルールに準拠しているかどうかが表示されます。
