設定のコンプライアンスの確認
AWS Config コンソール、AWS CLI、または AWS Config API を使用して、ルールとリソースのコンプライアンス状態を確認できます。
コンプライアンスを確認するには (コンソール)
-
AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/
) を開きます。 -
AWS Management Console メニューで、リージョンセレクターが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされるリージョンの一覧については、Amazon Web Services 全般のリファレンスの AWS Config リージョンとエンドポイントを参照してください。
-
ナビゲーションペインで、[Resources (リソース)] を選択します。[Resource inventory] (リソースのインベントリ) ページで、リソースカテゴリ、リソースタイプ、およびコンプライアンスステータスでフィルタリングできます。必要に応じて、[Include deleted resources] (削除されたリソースを含める) をクリックします。この表には、リソースタイプのリソース識別子、およびそのリソースのリソースコンプライアンスのステータスが表示されます。リソース識別子とは、リソース ID またはリソース名です。
-
リソース識別子の列からリソースを選択します。
-
[Resource Timeline] (リソースタイムライン) ボタンをクリックします。設定イベント、コンプライアンスイベント、または CloudTrail イベントでフィルターできます。
注記 または、[Resource inventory] (リソースのインベントリ) ページでリソース名を直接クリックすることもできます。[Resource Details] (リソースの詳細) ページからリソースタイムラインにアクセスする場合は、[Resource Timeline] (リソースタイムライン) ボタンを使用します。
また、[リソースのインベントリ] ページでリソースを探し、そのコンプライアンス状態を確認することもできます。詳細については、「AWS Config で検出されたリソースの検索」を参照してください。
例 コンプライアンスを確認するには (AWS CLI)
コンプライアンスを確認するには、以下のいずれかの CLI コマンドを使用します。
-
各ルールのコンプライアンスステータスを確認するには、次の例に示すように
describe-compliance-by-config-ruleコマンドを使用します。$ aws configservice describe-compliance-by-config-rule { "ComplianceByConfigRules": [ { "Compliance": { "ComplianceContributorCount": { "CappedCount": 2, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "instances-in-vpc" }, { "Compliance": { "ComplianceType": "COMPLIANT" }, "ConfigRuleName": "restricted-common-ports" }, ...コンプライアンスタイプが
NON_COMPLIANTになっているルールごとに、AWS Config は準拠していないリソースの数をCappedCountパラメータで返します。 -
AWS Config で評価された特定のルールに対する各リソースのコンプライアンスステータスの結果を確認するには、次の例に示すように
get-compliance-details-by-config-ruleコマンドを使用します。$ aws configservice get-compliance-details-by-config-rule --config-rule-nameConfigRuleName{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "ConfigRuleName" } }, "ResultRecordedTime": 1443751424.969, "ConfigRuleInvokedTime": 1443751421.208, "ComplianceType": "COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "ConfigRuleName" } }, "ResultRecordedTime": 1443751425.083, "ConfigRuleInvokedTime": 1443751421.301, "ComplianceType": "NON_COMPLIANT" }, ... -
特定のタイプに属する各 AWS リソースのコンプライアンスステータスを確認するには、次の例に示すように
describe-compliance-by-resourceコマンドを使用します。$ aws configservice describe-compliance-by-resource --resource-typeAWS::EC2::Instance{ "ComplianceByResources": [ { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "Compliance": { "ComplianceContributorCount": { "CappedCount": 1, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } }, { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "Compliance": { "ComplianceType": "COMPLIANT" } }, ... -
個別の AWS リソースのコンプライアンスの詳細を確認するには、
get-compliance-details-by-resourceコマンドを使用します。$ aws configservice get-compliance-details-by-resource --resource-typeAWS::EC2::Instance--resource-idi-nnnnnnnn{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "instances-in-vpc" } }, "ResultRecordedTime": 1443751425.083, "ConfigRuleInvokedTime": 1443751421.301, "ComplianceType": "NON_COMPLIANT" } ] }
例 コンプライアンスを確認するには (AWS Config API)
コンプライアンスを確認するには、以下のいずれかの API アクションを使用します。
-
各ルールのコンプライアンスステータスを確認するには、DescribeComplianceByConfigRule アクションを使用します。
-
AWS Config で評価された特定のルールに対する各リソースのコンプライアンスステータスを確認するには、GetComplianceDetailsByConfigRule アクションを使用します。
-
特定のタイプに属する各 AWS リソースのコンプライアンスステータスを確認するには、DescribeComplianceByResource アクションを使用します。
-
個別の AWS リソースのコンプライアンスの詳細を確認するには GetComplianceDetailsByResource アクションを使用します。詳細には、そのリソースを評価した AWS Config ルール、最終評価日、リソースが各ルールに準拠しているかどうかが表示されます。
