設定のコンプライアンスの確認
AWS Config コンソール、AWS CLI、または AWS Config API を使用して、ルールとリソースのコンプライアンス状態を確認できます。
コンプライアンスの表示 (コンソール)
コンプライアンスを表示する
AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/
) を開きます。 -
AWS Management Console メニューで、リージョンセレクターが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされるリージョンの一覧については、Amazon Web Services 全般のリファレンスの AWS Config リージョンとエンドポイントを参照してください。
-
ナビゲーションペインで、[Resources] (リソース) を選択します。[Resource inventory] (リソースのインベントリ) ページで、リソースカテゴリ、リソースタイプ、およびコンプライアンスステータスでフィルタリングできます。必要に応じて、[Include deleted resources] (削除されたリソースを含める) をクリックします。この表には、リソースタイプのリソース識別子、およびそのリソースのリソースコンプライアンスのステータスが表示されます。リソース識別子とは、リソース ID またはリソース名です。
-
リソース識別子の列からリソースを選択します。
-
[Resource Timeline] (リソースタイムライン) ボタンをクリックします。設定イベント、コンプライアンスイベント、または CloudTrail イベントでフィルターできます。
注記 または、[Resource inventory] (リソースのインベントリ) ページでリソース名を直接クリックすることもできます。[Resource Details] (リソースの詳細) ページからリソースタイムラインにアクセスする場合は、[Resource Timeline] (リソースタイムライン) ボタンを使用します。
また、[Resource inventory] (リソースのインベントリ) ページでリソースを探し、そのコンプライアンス状態を確認することもできます。詳細については、「AWS Config で検出されたリソースの検索」を参照してください。
コンプライアンスの表示 (CLI)
例 コンプライアンスを表示する
コンプライアンスを表示するには、以下のいずれかの CLI コマンドを使用します。
-
各ルールのコンプライアンスステータスを確認するには、次の例に示すように
describe-compliance-by-config-rule
コマンドを使用します。$ aws configservice describe-compliance-by-config-rule { "ComplianceByConfigRules": [ { "Compliance": { "ComplianceContributorCount": { "CappedCount": 2, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "instances-in-vpc" }, { "Compliance": { "ComplianceType": "COMPLIANT" }, "ConfigRuleName": "restricted-common-ports" }, ...
コンプライアンスタイプが
NON_COMPLIANT
になっているルールごとに、AWS Config は準拠していないリソースの数をCappedCount
パラメータで返します。 -
AWS Config で評価された特定のルールに対する各リソースのコンプライアンスステータスの結果を確認するには、次の例に示すように
get-compliance-details-by-config-rule
コマンドを使用します。$ aws configservice get-compliance-details-by-config-rule --config-rule-name
ConfigRuleName
{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "ConfigRuleName" } }, "ResultRecordedTime": 1443751424.969, "ConfigRuleInvokedTime": 1443751421.208, "ComplianceType": "COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "ConfigRuleName" } }, "ResultRecordedTime": 1443751425.083, "ConfigRuleInvokedTime": 1443751421.301, "ComplianceType": "NON_COMPLIANT" }, ... -
特定のタイプに属する各 AWS リソースのコンプライアンスステータスを確認するには、次の例に示すように
describe-compliance-by-resource
コマンドを使用します。$ aws configservice describe-compliance-by-resource --resource-type
AWS::EC2::Instance
{ "ComplianceByResources": [ { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "Compliance": { "ComplianceContributorCount": { "CappedCount": 1, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } }, { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "Compliance": { "ComplianceType": "COMPLIANT" } }, ... -
個別の AWS リソースのコンプライアンスの詳細を確認するには、
get-compliance-details-by-resource
コマンドを使用します。$ aws configservice get-compliance-details-by-resource --resource-type
AWS::EC2::Instance
--resource-idi-nnnnnnnn
{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn
", "ConfigRuleName": "instances-in-vpc" } }, "ResultRecordedTime": 1443751425.083, "ConfigRuleInvokedTime": 1443751421.301, "ComplianceType": "NON_COMPLIANT" } ] }
コンプライアンスの表示 (API)
例 コンプライアンスを表示する
コンプライアンスを表示するには、以下のいずれかの API アクションを使用します。
-
各ルールのコンプライアンスステータスを確認するには、DescribeComplianceByConfigRule アクションを使用します。
-
AWS Config で評価された特定のルールに対する各リソースのコンプライアンスステータスを確認するには、GetComplianceDetailsByConfigRule アクションを使用します。
-
特定のタイプに属する各 AWS リソースのコンプライアンスステータスを確認するには、DescribeComplianceByResource アクションを使用します。
-
個別の AWS リソースのコンプライアンスの詳細を確認するには GetComplianceDetailsByResource アクションを使用します。詳細には、そのリソースを評価した AWS Config ルール、最終評価日、リソースが各ルールに準拠しているかどうかが表示されます。