翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用した AWS リソースのコンプライアンス情報と評価結果の表示 AWS Config
重要
コンプライアンスステータスを正確に報告するには、AWS::Config::ResourceCompliance
リソースタイプを記録する必要があります。詳細については、AWS 「リソースの記録」を参照してください。
AWS Config コンソールまたは AWS SDKs を使用して、リソースのコンプライアンス情報と評価結果を表示できます。
コンプライアンスの表示 (コンソール)
にサインイン AWS Management Console し、https://console.aws.amazon.com/config/home
で AWS Config コンソールを開きます。 -
AWS Management Console メニューで、リージョンセレクタが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされているリージョンのリストについては、AWS Config の「Amazon Web Services 全般のリファレンスのリージョンとエンドポイント」を参照してください。
-
ナビゲーションペインで、[Resources] (リソース) を選択します。[Resource inventory] (リソースのインベントリ) ページで、リソースカテゴリ、リソースタイプ、およびコンプライアンスステータスでフィルタリングできます。必要に応じて、[Include deleted resources] (削除されたリソースを含める) をクリックします。この表には、リソースタイプのリソース識別子、およびそのリソースのリソースコンプライアンスのステータスが表示されます。リソース識別子とは、リソース ID またはリソース名です。
-
リソース識別子の列からリソースを選択します。
-
[Resource Timeline] (リソースタイムライン) ボタンをクリックします。設定イベント、コンプライアンスイベント、または CloudTrail イベントでフィルターできます。
注記
または、[Resource inventory] (リソースのインベントリ) ページでリソース名を直接クリックすることもできます。[Resource Details] (リソースの詳細) ページからリソースタイムラインにアクセスする場合は、[Resource Timeline] (リソースタイムライン) ボタンを使用します。
また、[Resource inventory] (リソースのインベントリ) ページでリソースを探し、そのコンプライアンス状態を確認することもできます。詳細については、「によって検出されたリソースの検索 AWS Config」を参照してください。
コンプライアンス (AWS SDKsの表示
次のサンプルコードは、DescribeComplianceByResource
を使用する方法を説明しています。
- CLI
-
- AWS CLI
-
AWS リソースのコンプライアンス情報を取得するには
次のコマンドは、Config によって記録され、1 つ以上のルールに違反する各 EC2 AWS インスタンスのコンプライアンス情報を返します。
aws configservice describe-compliance-by-resource --resource-type
AWS::EC2::Instance
--compliance-typesNON_COMPLIANT
出力では、各
CappedCount
属性の値は、リソースが違反するルールの数を示します。例えば、次の出力は、インスタンスi-1a2b3c4d
が 2 つのルールに違反していることを示しています。出力:
{ "ComplianceByResources": [ { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "Compliance": { "ComplianceContributorCount": { "CappedCount": 2, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } }, { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-2a2b3c4d ", "Compliance": { "ComplianceContributorCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } } ] }
-
API の詳細については、「AWS CLI コマンドリファレンス」の「DescribeComplianceByResource
」を参照してください。
-
- PowerShell
-
- Tools for PowerShell V4
-
例 1: この例では、「COMPLIANT」コンプライアンスタイプの
AWS::SSM::ManagedInstanceInventory
リソースタイプをチェックします。Get-CFGComplianceByResource -ComplianceType COMPLIANT -ResourceType AWS::SSM::ManagedInstanceInventory
出力:
Compliance ResourceId ResourceType ---------- ---------- ------------ Amazon.ConfigService.Model.Compliance i-0123bcf4b567890e3 AWS::SSM::ManagedInstanceInventory Amazon.ConfigService.Model.Compliance i-0a1234f6f5d6b78f7 AWS::SSM::ManagedInstanceInventory
-
API の詳細については、「 コマンドレットリファレンス (V4)」のDescribeComplianceByResource」を参照してください。 AWS Tools for PowerShell
-
- Tools for PowerShell V5
-
例 1: この例では、「COMPLIANT」コンプライアンスタイプの
AWS::SSM::ManagedInstanceInventory
リソースタイプをチェックします。Get-CFGComplianceByResource -ComplianceType COMPLIANT -ResourceType AWS::SSM::ManagedInstanceInventory
出力:
Compliance ResourceId ResourceType ---------- ---------- ------------ Amazon.ConfigService.Model.Compliance i-0123bcf4b567890e3 AWS::SSM::ManagedInstanceInventory Amazon.ConfigService.Model.Compliance i-0a1234f6f5d6b78f7 AWS::SSM::ManagedInstanceInventory
-
API の詳細については、「 コマンドレットリファレンス (V5)」のDescribeComplianceByResource」を参照してください。 AWS Tools for PowerShell
-
次のサンプルコードは、GetComplianceSummaryByResourceType
を使用する方法を説明しています。
- CLI
-
- AWS CLI
-
すべてのリソースタイプのコンプライアンス概要を取得するには
次のコマンドは、非準拠の AWS リソースの数と準拠しているリソースの数を返します。
aws configservice get-compliance-summary-by-resource-type
出力では、各
CappedCount
属性の値は、準拠または非準拠のリソースの数を示します。出力:
{ "ComplianceSummariesByResourceType": [ { "ComplianceSummary": { "NonCompliantResourceCount": { "CappedCount": 16, "CapExceeded": false }, "ComplianceSummaryTimestamp": 1453237464.543, "CompliantResourceCount": { "CappedCount": 10, "CapExceeded": false } } } ] }
特定のリソースタイプのコンプライアンス概要を取得するには
次のコマンドは、準拠していない EC2 インスタンスの数と準拠しているインスタンスの数を返します。
aws configservice get-compliance-summary-by-resource-type --resource-types
AWS::EC2::Instance
出力では、各
CappedCount
属性の値は、準拠または非準拠のリソースの数を示します。出力:
{ "ComplianceSummariesByResourceType": [ { "ResourceType": "AWS::EC2::Instance", "ComplianceSummary": { "NonCompliantResourceCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceSummaryTimestamp": 1452204923.518, "CompliantResourceCount": { "CappedCount": 7, "CapExceeded": false } } } ] }
-
API の詳細については、「AWS CLI コマンドリファレンス」の「GetComplianceSummaryByResourceType
」を参照してください。
-
- PowerShell
-
- Tools for PowerShell V4
-
例 1: このサンプルは、準拠または非準拠のリソースの数を返し、出力を json に変換します。
Get-CFGComplianceSummaryByResourceType -Select ComplianceSummariesByResourceType.ComplianceSummary | ConvertTo-Json { "ComplianceSummaryTimestamp": "2019-12-14T06:14:49.778Z", "CompliantResourceCount": { "CapExceeded": false, "CappedCount": 2 }, "NonCompliantResourceCount": { "CapExceeded": true, "CappedCount": 100 } }
-
API の詳細については、「 コマンドレットリファレンス (V4)」のGetComplianceSummaryByResourceType」を参照してください。 AWS Tools for PowerShell
-
- Tools for PowerShell V5
-
例 1: このサンプルは、準拠または非準拠のリソースの数を返し、出力を json に変換します。
Get-CFGComplianceSummaryByResourceType -Select ComplianceSummariesByResourceType.ComplianceSummary | ConvertTo-Json { "ComplianceSummaryTimestamp": "2019-12-14T06:14:49.778Z", "CompliantResourceCount": { "CapExceeded": false, "CappedCount": 2 }, "NonCompliantResourceCount": { "CapExceeded": true, "CappedCount": 100 } }
-
API の詳細については、「 コマンドレットリファレンス (V5)」のGetComplianceSummaryByResourceType」を参照してください。 AWS Tools for PowerShell
-
次のサンプルコードは、GetComplianceDetailsByResource
を使用する方法を説明しています。
- CLI
-
- AWS CLI
-
AWS リソースの評価結果を取得するには
次のコマンドは、EC2 インスタンス
i-1a2b3c4d
が準拠していない各ルールの評価結果を返します。aws configservice get-compliance-details-by-resource --resource-type
AWS::EC2::Instance
--resource-idi-1a2b3c4d
--compliance-typesNON_COMPLIANT
出力:
{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314643.288, "ConfigRuleInvokedTime": 1450314643.034, "ComplianceType": "NON_COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "ConfigRuleName": "RequiredTagForEC2Instances" } }, "ResultRecordedTime": 1450314645.261, "ConfigRuleInvokedTime": 1450314642.948, "ComplianceType": "NON_COMPLIANT" } ] }
-
API の詳細については、「AWS CLI コマンドリファレンス」の「GetComplianceDetailsByResource
」を参照してください。
-
- PowerShell
-
- Tools for PowerShell V4
-
例 1: この例では、指定されたリソースについて次のような結果が出ました。
Get-CFGComplianceDetailsByResource -ResourceId ABCD5STJ4EFGHIVEW6JAH -ResourceType 'AWS::IAM::User'
出力:
Annotation : ComplianceType : COMPLIANT ConfigRuleInvokedTime : 8/25/2019 11:34:56 PM EvaluationResultIdentifier : Amazon.ConfigService.Model.EvaluationResultIdentifier ResultRecordedTime : 8/25/2019 11:34:56 PM ResultToken :
-
API の詳細については、AWS Tools for PowerShell 「 コマンドレットリファレンス (V4)」のGetComplianceDetailsByResource」を参照してください。
-
- Tools for PowerShell V5
-
例 1: この例では、指定されたリソースについて次のような結果が出ました。
Get-CFGComplianceDetailsByResource -ResourceId ABCD5STJ4EFGHIVEW6JAH -ResourceType 'AWS::IAM::User'
出力:
Annotation : ComplianceType : COMPLIANT ConfigRuleInvokedTime : 8/25/2019 11:34:56 PM EvaluationResultIdentifier : Amazon.ConfigService.Model.EvaluationResultIdentifier ResultRecordedTime : 8/25/2019 11:34:56 PM ResultToken :
-
API の詳細については、AWS Tools for PowerShell 「 コマンドレットリファレンス (V5)」のGetComplianceDetailsByResource」を参照してください。
-