設定のコンプライアンスの確認 - AWS Config

設定のコンプライアンスの確認

AWS Config コンソール、AWS CLI、または AWS Config API を使用して、ルールとリソースのコンプライアンス状態を確認できます。

コンプライアンスを確認するには (コンソール)

  1. AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/) を開きます。

  2. AWS Management Console メニューで、リージョンセレクターが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされるリージョンの一覧については、Amazon Web Services 全般のリファレンスAWS Config リージョンとエンドポイントを参照してください。

  3. ナビゲーションペインで、[Resources (リソース)] を選択します。[Resource inventory] (リソースのインベントリ) ページで、リソースカテゴリ、リソースタイプ、およびコンプライアンスステータスでフィルタリングできます。必要に応じて、[Include deleted resources] (削除されたリソースを含める) をクリックします。この表には、リソースタイプのリソース識別子、およびそのリソースのリソースコンプライアンスのステータスが表示されます。リソース識別子とは、リソース ID またはリソース名です。

  4. リソース識別子の列からリソースを選択します。

  5. [Resource Timeline] (リソースタイムライン) ボタンをクリックします。設定イベント、コンプライアンスイベント、または CloudTrail イベントでフィルターできます。

    注記

    または、[Resource inventory] (リソースのインベントリ) ページでリソース名を直接クリックすることもできます。[Resource Details] (リソースの詳細) ページからリソースタイムラインにアクセスする場合は、[Resource Timeline] (リソースタイムライン) ボタンを使用します。

また、[リソースのインベントリ] ページでリソースを探し、そのコンプライアンス状態を確認することもできます。詳細については、「AWS Config で検出されたリソースの検索」を参照してください。

例 コンプライアンスを確認するには (AWS CLI)

コンプライアンスを確認するには、以下のいずれかの CLI コマンドを使用します。

  • 各ルールのコンプライアンスステータスを確認するには、次の例に示すように describe-compliance-by-config-rule コマンドを使用します。

    $ aws configservice describe-compliance-by-config-rule { "ComplianceByConfigRules": [ { "Compliance": { "ComplianceContributorCount": { "CappedCount": 2, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "instances-in-vpc" }, { "Compliance": { "ComplianceType": "COMPLIANT" }, "ConfigRuleName": "restricted-common-ports" }, ...

    コンプライアンスタイプが NON_COMPLIANT になっているルールごとに、AWS Config は準拠していないリソースの数を CappedCount パラメータで返します。

  • AWS Config で評価された特定のルールに対する各リソースのコンプライアンスステータスの結果を確認するには、次の例に示すように get-compliance-details-by-config-rule コマンドを使用します。

    $ aws configservice get-compliance-details-by-config-rule --config-rule-name ConfigRuleName{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "ConfigRuleName" } }, "ResultRecordedTime": 1443751424.969, "ConfigRuleInvokedTime": 1443751421.208, "ComplianceType": "COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "ConfigRuleName" } }, "ResultRecordedTime": 1443751425.083, "ConfigRuleInvokedTime": 1443751421.301, "ComplianceType": "NON_COMPLIANT" }, ...
  • 特定のタイプに属する各 AWS リソースのコンプライアンスステータスを確認するには、次の例に示すように describe-compliance-by-resource コマンドを使用します。

    $ aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance { "ComplianceByResources": [ { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "Compliance": { "ComplianceContributorCount": { "CappedCount": 1, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } }, { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "Compliance": { "ComplianceType": "COMPLIANT" } }, ...
  • 個別の AWS リソースのコンプライアンスの詳細を確認するには、get-compliance-details-by-resource コマンドを使用します。

    $ aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-nnnnnnnn { "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "instances-in-vpc" } }, "ResultRecordedTime": 1443751425.083, "ConfigRuleInvokedTime": 1443751421.301, "ComplianceType": "NON_COMPLIANT" } ] }

例 コンプライアンスを確認するには (AWS Config API)

コンプライアンスを確認するには、以下のいずれかの API アクションを使用します。

  • 各ルールのコンプライアンスステータスを確認するには、DescribeComplianceByConfigRule アクションを使用します。

  • AWS Config で評価された特定のルールに対する各リソースのコンプライアンスステータスを確認するには、GetComplianceDetailsByConfigRule アクションを使用します。

  • 特定のタイプに属する各 AWS リソースのコンプライアンスステータスを確認するには、DescribeComplianceByResource アクションを使用します。

  • 個別の AWS リソースのコンプライアンスの詳細を確認するには GetComplianceDetailsByResource アクションを使用します。詳細には、そのリソースを評価した AWS Config ルール、最終評価日、リソースが各ルールに準拠しているかどうかが表示されます。