設定のコンプライアンスの確認

AWS Config コンソール、AWS CLI、または AWS Config API を使用して、ルールとリソースのコンプライアンス状態を確認できます。

目次

• コンプライアンスの表示 (コンソール)
• コンプライアンスの表示 (CLI)
• コンプライアンスの表示 (API)

コンプライアンスの表示 (コンソール)

コンプライアンスを表示する

1. AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/) を開きます。

2. AWS Management Console メニューで、リージョンセレクターが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされるリージョンの一覧については、Amazon Web Services 全般のリファレンスの AWS Config リージョンとエンドポイントを参照してください。

3. ナビゲーションペインで、[Resources] (リソース) を選択します。[Resource inventory] (リソースのインベントリ) ページで、リソースカテゴリ、リソースタイプ、およびコンプライアンスステータスでフィルタリングできます。必要に応じて、[Include deleted resources] (削除されたリソースを含める) をクリックします。この表には、リソースタイプのリソース識別子、およびそのリソースのリソースコンプライアンスのステータスが表示されます。リソース識別子とは、リソース ID またはリソース名です。

4. リソース識別子の列からリソースを選択します。

5. [Resource Timeline] (リソースタイムライン) ボタンをクリックします。設定イベント、コンプライアンスイベント、または CloudTrail イベントでフィルターできます。

   注記

   または、[Resource inventory] (リソースのインベントリ) ページでリソース名を直接クリックすることもできます。[Resource Details] (リソースの詳細) ページからリソースタイムラインにアクセスする場合は、[Resource Timeline] (リソースタイムライン) ボタンを使用します。

また、[Resource inventory] (リソースのインベントリ) ページでリソースを探し、そのコンプライアンス状態を確認することもできます。詳細については、「AWS Config で検出されたリソースの検索」を参照してください。

コンプライアンスの表示 (CLI)

例 コンプライアンスを表示する

コンプライアンスを表示するには、以下のいずれかの CLI コマンドを使用します。

• 各ルールのコンプライアンスステータスを確認するには、次の例に示すように describe-compliance-by-config-rule コマンドを使用します。

  $ aws configservice describe-compliance-by-config-rule
  {
      "ComplianceByConfigRules": [
          {
              "Compliance": {
                  "ComplianceContributorCount": {
                      "CappedCount": 2,
                      "CapExceeded": false
                  },
                  "ComplianceType": "NON_COMPLIANT"
              },
              "ConfigRuleName": "instances-in-vpc"
          },
          {
              "Compliance": {
                  "ComplianceType": "COMPLIANT"
              },
              "ConfigRuleName": "restricted-common-ports"
          },
  ...

  コンプライアンスタイプが NON_COMPLIANT になっているルールごとに、AWS Config は準拠していないリソースの数を CappedCount パラメータで返します。

• AWS Config で評価された特定のルールに対する各リソースのコンプライアンスステータスの結果を確認するには、次の例に示すように get-compliance-details-by-config-rule コマンドを使用します。

  $ aws configservice get-compliance-details-by-config-rule --config-rule-name ConfigRuleName{
      "EvaluationResults": [
          {
              "EvaluationResultIdentifier": {
                  "OrderingTimestamp": 1443610576.349,
                  "EvaluationResultQualifier": {
                      "ResourceType": "AWS::EC2::Instance",
                      "ResourceId": "i-nnnnnnnn",
                      "ConfigRuleName": "ConfigRuleName"
                  }
              },
              "ResultRecordedTime": 1443751424.969,
              "ConfigRuleInvokedTime": 1443751421.208,
              "ComplianceType": "COMPLIANT"
          },
          {
              "EvaluationResultIdentifier": {
                  "OrderingTimestamp": 1443610576.349,
                  "EvaluationResultQualifier": {
                      "ResourceType": "AWS::EC2::Instance",
                      "ResourceId": "i-nnnnnnnn",
                      "ConfigRuleName": "ConfigRuleName"
                  }
              },
              "ResultRecordedTime": 1443751425.083,
              "ConfigRuleInvokedTime": 1443751421.301,
              "ComplianceType": "NON_COMPLIANT"
          },
  ...

• 特定のタイプに属する各 AWS リソースのコンプライアンスステータスを確認するには、次の例に示すように describe-compliance-by-resource コマンドを使用します。

  $ aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance
  {
      "ComplianceByResources": [
          {
              "ResourceType": "AWS::EC2::Instance",
              "ResourceId": "i-nnnnnnnn",
              "Compliance": {
                  "ComplianceContributorCount": {
                      "CappedCount": 1,
                      "CapExceeded": false
                  },
                  "ComplianceType": "NON_COMPLIANT"
              }
          },
          {
              "ResourceType": "AWS::EC2::Instance",
              "ResourceId": "i-nnnnnnnn",
              "Compliance": {
                  "ComplianceType": "COMPLIANT"
              }
          },
  ...
  

• 個別の AWS リソースのコンプライアンスの詳細を確認するには、get-compliance-details-by-resource コマンドを使用します。

  $ aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-nnnnnnnn
  {
      "EvaluationResults": [
          {
              "EvaluationResultIdentifier": {
                  "OrderingTimestamp": 1443610576.349,
                  "EvaluationResultQualifier": {
                      "ResourceType": "AWS::EC2::Instance",
                      "ResourceId": "i-nnnnnnnn",
                      "ConfigRuleName": "instances-in-vpc"
                  }
              },
              "ResultRecordedTime": 1443751425.083,
              "ConfigRuleInvokedTime": 1443751421.301,
              "ComplianceType": "NON_COMPLIANT"
          }
      ]
  }

コンプライアンスの表示 (API)

例 コンプライアンスを表示する

コンプライアンスを表示するには、以下のいずれかの API アクションを使用します。

• 各ルールのコンプライアンスステータスを確認するには、DescribeComplianceByConfigRule アクションを使用します。

• AWS Config で評価された特定のルールに対する各リソースのコンプライアンスステータスを確認するには、GetComplianceDetailsByConfigRule アクションを使用します。

• 特定のタイプに属する各 AWS リソースのコンプライアンスステータスを確認するには、DescribeComplianceByResource アクションを使用します。

• 個別の AWS リソースのコンプライアンスの詳細を確認するには GetComplianceDetailsByResource アクションを使用します。詳細には、そのリソースを評価した AWS Config ルール、最終評価日、リソースが各ルールに準拠しているかどうかが表示されます。