AWS 리소스에 대한 규정 준수 정보 및 평가 결과 보기

중요

규정 준수 상태를 정확하게 보고하려면 AWS::Config::ResourceCompliance 리소스 유형을 반드시 기록해야 합니다. 자세한 내용은 기록 AWS 리소스를 참조하십시오.

AWS Config 콘솔 또는 AWS SDK를 사용하여 리소스의 규정 준수 정보와 평가 결과를 볼 수 있습니다.

규정 준수 상태 보기(콘솔)

규정 준수를 보려면 (콘솔)

1. https://console.aws.amazon.com/config/ 에서 AWS Management Console 로그인하고 AWS Config 콘솔을 엽니다.

2. AWS Management Console 메뉴에서 지역 선택기가 AWS Config 규칙을 지원하는 지역으로 설정되어 있는지 확인합니다. 지원되는 리전의 목록은 Amazon Web Services 일반 참조의 AWS Config 리전 및 엔드포인트를 참조하세요.

3. 탐색 창에서 리소스를 선택합니다. 리소스 인벤토리 페이지에서 리소스 범주, 리소스 유형 및 규정 준수 상태를 기준으로 필터링할 수 있습니다. 필요한 경우 삭제된 리소스 포함을 선택합니다. 이 표에는 리소스 유형의 리소스 식별자와 해당 리소스에 대한 리소스 준수 상태가 표시됩니다. 리소스 식별자는 리소스 ID 또는 리소스 이름일 수 있습니다.

4. 리소스 식별자 열에서 리소스를 선택합니다.

5. 리소스 타임라인 버튼을 선택합니다. 구성 이벤트, 규정 준수 이벤트 또는 CloudTrail 이벤트를 기준으로 필터링할 수 있습니다.

   참고

   또는 리소스 인벤토리 페이지에서 리소스 이름을 직접 선택합니다. 리소스 세부 정보 페이지에서 리소스 타임라인에 액세스하려면 리소스 타임라인 버튼을 선택합니다.

리소스 인벤토리 페이지에서 리소스를 찾아 리소스의 준수 상태를 볼 수도 있습니다. 자세한 정보는 에서 검색한 리소스 찾기 AWS Config을 참조하세요.

규정 준수 (AWS SDK) 보기

리소스에 대한 규정 준수 정보를 얻으려면 AWS

다음 코드 예제는 DescribeComplianceByResource의 사용 방법을 보여줍니다.

CLI

AWS CLI

AWS 리소스에 대한 규정 준수 정보를 얻으려면

다음 명령은 AWS Config에서 기록하고 하나 이상의 규칙을 위반하는 각 EC2 인스턴스에 대한 규정 준수 정보를 반환합니다.

aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

출력에서 각 CappedCount 속성 값은 리소스가 위반한 규칙 수를 나타냅니다. 예를 들어, 다음 출력은 인스턴스가 규칙 2개를 i-1a2b3c4d 위반했음을 나타냅니다.

출력:

{
    "ComplianceByResources": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-1a2b3c4d",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 2,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        },
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-2a2b3c4d ",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        }
    ]
}

• API 세부 정보는 AWS CLI 명령 DescribeComplianceByResource참조를 참조하십시오.

PowerShell

도구: PowerShell

예 1: 이 예에서는 AWS::SSM::ManagedInstanceInventory 리소스 유형에서 'COMPLIANT' 규정 준수 유형을 확인합니다.

Get-CFGComplianceByResource -ComplianceType COMPLIANT -ResourceType AWS::SSM::ManagedInstanceInventory

출력:

Compliance                            ResourceId          ResourceType
----------                            ----------          ------------
Amazon.ConfigService.Model.Compliance i-0123bcf4b567890e3 AWS::SSM::ManagedInstanceInventory
Amazon.ConfigService.Model.Compliance i-0a1234f6f5d6b78f7 AWS::SSM::ManagedInstanceInventory

• API 세부 정보는 AWS Tools for PowerShell Cmdlet 참조를 참조하십시오 DescribeComplianceByResource.

리소스의 규정 준수 요약을 보려면 AWS

다음 코드 예제는 GetComplianceSummaryByResourceType의 사용 방법을 보여줍니다.

CLI

AWS CLI

모든 리소스 유형에 대한 규정 준수 요약을 보려면

다음 명령은 비준수 AWS 리소스 수와 규정 준수 리소스 수를 반환합니다.

aws configservice get-compliance-summary-by-resource-type

출력에서 각 CappedCount 속성 값은 규정을 준수하거나 준수하지 않는 리소스 수를 나타냅니다.

출력:

{
    "ComplianceSummariesByResourceType": [
        {
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 16,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1453237464.543,
                "CompliantResourceCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                }
            }
        }
    ]
}

특정 리소스 유형에 대한 규정 준수 요약을 가져오려면

다음 명령은 규정을 준수하지 않는 EC2 인스턴스의 수와 규정을 준수하는 EC2 인스턴스 수를 반환합니다.

aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

출력에서 각 CappedCount 속성 값은 규정 준수 또는 비준수 리소스 수를 나타냅니다.

출력:

{
    "ComplianceSummariesByResourceType": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1452204923.518,
                "CompliantResourceCount": {
                    "CappedCount": 7,
                    "CapExceeded": false
                }
            }
        }
    ]
}

• API 세부 정보는 명령 참조를 참조하십시오 GetComplianceSummaryByResourceType.AWS CLI

PowerShell

도구: PowerShell

예제 1: 이 샘플은 규정 준수 또는 비준수 리소스 수를 반환하고 출력을 json으로 변환합니다.

Get-CFGComplianceSummaryByResourceType -Select ComplianceSummariesByResourceType.ComplianceSummary | ConvertTo-Json
{
  "ComplianceSummaryTimestamp": "2019-12-14T06:14:49.778Z",
  "CompliantResourceCount": {
    "CapExceeded": false,
    "CappedCount": 2
  },
  "NonCompliantResourceCount": {
    "CapExceeded": true,
    "CappedCount": 100
  }
}

• API 세부 정보는 Cmdlet 참조를 참조하십시오. GetComplianceSummaryByResourceTypeAWS Tools for PowerShell

리소스에 대한 평가 결과를 가져오려면 AWS

다음 코드 예제는 GetComplianceDetailsByResource의 사용 방법을 보여줍니다.

CLI

AWS CLI

AWS 리소스에 대한 평가 결과를 가져오려면

다음 명령은 EC2 인스턴스가 준수하지 i-1a2b3c4d 않는 각 규칙에 대한 평가 결과를 반환합니다.

aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

출력:

{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.288,
            "ConfigRuleInvokedTime": 1450314643.034,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "RequiredTagForEC2Instances"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

• API 세부 정보는 AWS CLI 명령 GetComplianceDetailsByResource참조를 참조하십시오.

PowerShell

도구: PowerShell

예 1: 이 예시는 해당 리소스에 대한 평가 결과입니다.

Get-CFGComplianceDetailsByResource -ResourceId ABCD5STJ4EFGHIVEW6JAH -ResourceType 'AWS::IAM::User'

출력:

Annotation                 :
ComplianceType             : COMPLIANT
ConfigRuleInvokedTime      : 8/25/2019 11:34:56 PM
EvaluationResultIdentifier : Amazon.ConfigService.Model.EvaluationResultIdentifier
ResultRecordedTime         : 8/25/2019 11:34:56 PM
ResultToken                :

• API 세부 정보는 AWS Tools for PowerShell Cmdlet 참조를 참조하십시오 GetComplianceDetailsByResource.