Diese Dokumentation bezieht sich AWS CLI nur auf Version 1 von. Dokumentation zu Version 2 von finden Sie im Benutzerhandbuch für Version 2. AWS CLI
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Config Beispiele mit AWS CLI
Die folgenden Codebeispiele zeigen Ihnen, wie Sie mithilfe von AWS Command Line Interface with Aktionen ausführen und allgemeine Szenarien implementieren AWS Config.
Aktionen sind Codeauszüge aus größeren Programmen und müssen im Kontext ausgeführt werden. Aktionen zeigen Ihnen zwar, wie Sie einzelne Servicefunktionen aufrufen, aber Sie können Aktionen im Kontext der zugehörigen Szenarien sehen.
Jedes Beispiel enthält einen Link zum vollständigen Quellcode, in dem Sie Anweisungen zum Einrichten und Ausführen des Codes im Kontext finden.
Themen
Aktionen
Das folgende Codebeispiel zeigt die Verwendungdelete-config-rule
.
- AWS CLI
-
Um eine AWS Config-Regel zu löschen
Der folgende Befehl löscht eine AWS Config-Regel mit dem Namen
MyConfigRule
:aws configservice delete-config-rule --config-rule-name
MyConfigRule
-
APIEinzelheiten finden Sie DeleteConfigRule
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-delivery-channel
.
- AWS CLI
-
Um einen Lieferkanal zu löschen
Der folgende Befehl löscht den Standardzustellungskanal:
aws configservice delete-delivery-channel --delivery-channel-name
default
-
APIEinzelheiten finden Sie DeleteDeliveryChannel
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-evaluation-results
.
- AWS CLI
-
Um Bewertungsergebnisse manuell zu löschen
Der folgende Befehl löscht die aktuellen Auswertungsergebnisse für die AWS verwaltete Regel s3-: bucket-versioning-enabled
aws configservice delete-evaluation-results --config-rule-name
s3-bucket-versioning-enabled
-
APIEinzelheiten finden Sie DeleteEvaluationResults
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdeliver-config-snapshot
.
- AWS CLI
-
Um einen Konfigurations-Snapshot bereitzustellen
Der folgende Befehl übermittelt einen Konfigurations-Snapshot an den Amazon S3 S3-Bucket, der zum Standard-Lieferkanal gehört:
aws configservice deliver-config-snapshot --delivery-channel-name
default
Ausgabe:
{ "configSnapshotId": "d0333b00-a683-44af-921e-examplefb794" }
-
APIEinzelheiten finden Sie DeliverConfigSnapshot
unter AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdescribe-compliance-by-config-rule
.
- AWS CLI
-
Um Compliance-Informationen für Ihre AWS Config-Regeln zu erhalten
Der folgende Befehl gibt Konformitätsinformationen für jede AWS Config-Regel zurück, gegen die eine oder mehrere AWS Ressourcen verstoßen:
aws configservice describe-compliance-by-config-rule --compliance-types
NON_COMPLIANT
In der Ausgabe gibt der Wert für jedes
CappedCount
Attribut an, wie viele Ressourcen der zugehörigen Regel nicht entsprechen. Die folgende Ausgabe gibt beispielsweise an, dass 3 Ressourcen der genannten Regel nicht entsprechenInstanceTypesAreT2micro
.Ausgabe:
{ "ComplianceByConfigRules": [ { "Compliance": { "ComplianceContributorCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "InstanceTypesAreT2micro" }, { "Compliance": { "ComplianceContributorCount": { "CappedCount": 10, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "RequiredTagsForVolumes" } ] }
-
APIEinzelheiten finden Sie DescribeComplianceByConfigRule
unter AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdescribe-compliance-by-resource
.
- AWS CLI
-
Um Compliance-Informationen für Ihre AWS Ressourcen zu erhalten
Der folgende Befehl gibt Konformitätsinformationen für jede EC2 Instanz zurück, die von AWS Config aufgezeichnet wurde und gegen eine oder mehrere Regeln verstößt:
aws configservice describe-compliance-by-resource --resource-type
AWS::EC2::Instance
--compliance-typesNON_COMPLIANT
In der Ausgabe gibt der Wert für jedes
CappedCount
Attribut an, gegen wie viele Regeln die Ressource verstößt. Die folgende Ausgabe gibt beispielsweise an, dass die Instanzi-1a2b3c4d
gegen zwei Regeln verstößt.Ausgabe:
{ "ComplianceByResources": [ { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "Compliance": { "ComplianceContributorCount": { "CappedCount": 2, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } }, { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-2a2b3c4d ", "Compliance": { "ComplianceContributorCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } } ] }
-
APIEinzelheiten finden Sie DescribeComplianceByResource
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdescribe-config-rule-evaluation-status
.
- AWS CLI
-
Um Statusinformationen für eine AWS Config-Regel abzurufen
Der folgende Befehl gibt die Statusinformationen für eine AWS Config-Regel mit dem Namen zurück
MyConfigRule
:aws configservice describe-config-rule-evaluation-status --config-rule-names
MyConfigRule
Ausgabe:
{ "ConfigRulesEvaluationStatus": [ { "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef", "FirstActivatedTime": 1450311703.844, "ConfigRuleId": "config-rule-abcdef", "LastSuccessfulInvocationTime": 1450314643.156, "ConfigRuleName": "MyConfigRule" } ] }
-
APIEinzelheiten finden Sie DescribeConfigRuleEvaluationStatus
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdescribe-config-rules
.
- AWS CLI
-
Um Details für eine AWS Config-Regel abzurufen
Der folgende Befehl gibt Details für eine AWS Config-Regel mit dem Namen zurück
InstanceTypesAreT2micro
:aws configservice describe-config-rules --config-rule-names
InstanceTypesAreT2micro
Ausgabe:
{ "ConfigRules": [ { "ConfigRuleState": "ACTIVE", "Description": "Evaluates whether EC2 instances are the t2.micro type.", "ConfigRuleName": "InstanceTypesAreT2micro", "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef", "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] }, "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "ConfigRuleId": "config-rule-abcdef" } ] }
-
APIEinzelheiten finden Sie DescribeConfigRules
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdescribe-configuration-recorder-status
.
- AWS CLI
-
Um Statusinformationen für den Konfigurationsrekorder abzurufen
Der folgende Befehl gibt den Status des Standardkonfigurationsrekorders zurück:
aws configservice describe-configuration-recorder-status
Ausgabe:
{ "ConfigurationRecordersStatus": [ { "name": "default", "lastStatus": "SUCCESS", "recording": true, "lastStatusChangeTime": 1452193834.344, "lastStartTime": 1441039997.819, "lastStopTime": 1441039992.835 } ] }
-
APIEinzelheiten finden Sie DescribeConfigurationRecorderStatus
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdescribe-configuration-recorders
.
- AWS CLI
-
Um Details zum Konfigurationsrekorder zu erhalten
Der folgende Befehl gibt Details zum Standardkonfigurationsrekorder zurück:
aws configservice describe-configuration-recorders
Ausgabe:
{ "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": true, "resourceTypes": [], "includeGlobalResourceTypes": true }, "roleARN": "arn:aws:iam::123456789012:role/config-ConfigRole-A1B2C3D4E5F6", "name": "default" } ] }
-
APIEinzelheiten finden Sie DescribeConfigurationRecorders
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdescribe-delivery-channel-status
.
- AWS CLI
-
Um Statusinformationen für den Lieferkanal abzurufen
Der folgende Befehl gibt den Status des Lieferkanals zurück:
aws configservice describe-delivery-channel-status
Ausgabe:
{ "DeliveryChannelsStatus": [ { "configStreamDeliveryInfo": { "lastStatusChangeTime": 1452193834.381, "lastStatus": "SUCCESS" }, "configHistoryDeliveryInfo": { "lastSuccessfulTime": 1450317838.412, "lastStatus": "SUCCESS", "lastAttemptTime": 1450317838.412 }, "configSnapshotDeliveryInfo": { "lastSuccessfulTime": 1452185597.094, "lastStatus": "SUCCESS", "lastAttemptTime": 1452185597.094 }, "name": "default" } ] }
-
APIEinzelheiten finden Sie DescribeDeliveryChannelStatus
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdescribe-delivery-channels
.
- AWS CLI
-
Um Details zum Lieferkanal zu erhalten
Der folgende Befehl gibt Details zum Lieferkanal zurück:
aws configservice describe-delivery-channels
Ausgabe:
{ "DeliveryChannels": [ { "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic", "name": "default", "s3BucketName": "config-bucket-123456789012" } ] }
-
APIEinzelheiten finden Sie DescribeDeliveryChannels
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-compliance-details-by-config-rule
.
- AWS CLI
-
Um die Auswertungsergebnisse für eine AWS Config-Regel abzurufen
Der folgende Befehl gibt die Auswertungsergebnisse für alle Ressourcen zurück, die nicht einer AWS Config-Regel mit dem Namen entsprechen
InstanceTypesAreT2micro
:aws configservice get-compliance-details-by-config-rule --config-rule-name
InstanceTypesAreT2micro
--compliance-typesNON_COMPLIANT
Ausgabe:
{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314645.261, "ConfigRuleInvokedTime": 1450314642.948, "ComplianceType": "NON_COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-2a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314645.18, "ConfigRuleInvokedTime": 1450314642.902, "ComplianceType": "NON_COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-3a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314643.346, "ConfigRuleInvokedTime": 1450314643.124, "ComplianceType": "NON_COMPLIANT" } ] }
-
APIEinzelheiten finden Sie GetComplianceDetailsByConfigRule
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-compliance-details-by-resource
.
- AWS CLI
-
Um die Evaluierungsergebnisse für eine AWS Ressource abzurufen
Der folgende Befehl gibt die Evaluierungsergebnisse für jede Regel zurück, der die EC2 Instanz
i-1a2b3c4d
nicht entspricht:aws configservice get-compliance-details-by-resource --resource-type
AWS::EC2::Instance
--resource-idi-1a2b3c4d
--compliance-typesNON_COMPLIANT
Ausgabe:
{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314643.288, "ConfigRuleInvokedTime": 1450314643.034, "ComplianceType": "NON_COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "ConfigRuleName": "RequiredTagForEC2Instances" } }, "ResultRecordedTime": 1450314645.261, "ConfigRuleInvokedTime": 1450314642.948, "ComplianceType": "NON_COMPLIANT" } ] }
-
APIEinzelheiten finden Sie GetComplianceDetailsByResource
unter AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-compliance-summary-by-config-rule
.
- AWS CLI
-
Um die Konformitätsübersicht für Ihre AWS Config-Regeln abzurufen
Der folgende Befehl gibt die Anzahl der Regeln zurück, die konform sind, und die Anzahl der nicht konformen Regeln:
aws configservice get-compliance-summary-by-config-rule
In der Ausgabe gibt der Wert für jedes
CappedCount
Attribut an, wie viele Regeln konform oder nicht konform sind.Ausgabe:
{ "ComplianceSummary": { "NonCompliantResourceCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceSummaryTimestamp": 1452204131.493, "CompliantResourceCount": { "CappedCount": 2, "CapExceeded": false } } }
-
APIEinzelheiten finden Sie unter GetComplianceSummaryByConfigRule AWS CLI
Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-compliance-summary-by-resource-type
.
- AWS CLI
-
Um die Konformitätsübersicht für alle Ressourcentypen abzurufen
Der folgende Befehl gibt die Anzahl der AWS Ressourcen zurück, die nicht konform sind, und die Anzahl, die konform sind:
aws configservice get-compliance-summary-by-resource-type
In der Ausgabe gibt der Wert für jedes
CappedCount
Attribut an, wie viele Ressourcen konform oder nicht konform sind.Ausgabe:
{ "ComplianceSummariesByResourceType": [ { "ComplianceSummary": { "NonCompliantResourceCount": { "CappedCount": 16, "CapExceeded": false }, "ComplianceSummaryTimestamp": 1453237464.543, "CompliantResourceCount": { "CappedCount": 10, "CapExceeded": false } } } ] }
Um die Konformitätsübersicht für einen bestimmten Ressourcentyp abzurufen
Der folgende Befehl gibt die Anzahl der EC2 Instanzen zurück, die nicht konform sind, und die Anzahl, die konform sind:
aws configservice get-compliance-summary-by-resource-type --resource-types
AWS::EC2::Instance
In der Ausgabe gibt der Wert für jedes
CappedCount
Attribut an, wie viele Ressourcen konform oder nicht konform sind.Ausgabe:
{ "ComplianceSummariesByResourceType": [ { "ResourceType": "AWS::EC2::Instance", "ComplianceSummary": { "NonCompliantResourceCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceSummaryTimestamp": 1452204923.518, "CompliantResourceCount": { "CappedCount": 7, "CapExceeded": false } } } ] }
-
APIEinzelheiten finden Sie unter GetComplianceSummaryByResourceType AWS CLI
Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-resource-config-history
.
- AWS CLI
-
Um den Konfigurationsverlauf einer AWS Ressource abzurufen
Der folgende Befehl gibt eine Liste von Konfigurationselementen für eine EC2 Instanz mit der ID zurück
i-1a2b3c4d
:aws configservice get-resource-config-history --resource-type
AWS::EC2::Instance
--resource-idi-1a2b3c4d
-
APIEinzelheiten finden Sie GetResourceConfigHistory
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-status
.
- AWS CLI
-
Um den Status für AWS Config abzurufen
Der folgende Befehl gibt den Status des Lieferkanals und des Konfigurationsrekorders zurück:
aws configservice get-status
Ausgabe:
Configuration Recorders: name: default recorder: ON last status: SUCCESS Delivery Channels: name: default last stream delivery status: SUCCESS last history delivery status: SUCCESS last snapshot delivery status: SUCCESS
-
APIEinzelheiten finden Sie GetStatus
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-discovered-resources
.
- AWS CLI
-
Um Ressourcen aufzulisten, die AWS Config entdeckt hat
Der folgende Befehl listet die EC2 Instanzen auf, die AWS Config entdeckt hat:
aws configservice list-discovered-resources --resource-type
AWS::EC2::Instance
Ausgabe:
{ "resourceIdentifiers": [ { "resourceType": "AWS::EC2::Instance", "resourceId": "i-1a2b3c4d" }, { "resourceType": "AWS::EC2::Instance", "resourceId": "i-2a2b3c4d" }, { "resourceType": "AWS::EC2::Instance", "resourceId": "i-3a2b3c4d" } ] }
-
APIEinzelheiten finden Sie ListDiscoveredResources
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungput-config-rule
.
- AWS CLI
-
So fügen Sie eine AWS verwaltete Konfigurationsregel hinzu
Der folgende Befehl enthält JSON Code zum Hinzufügen einer AWS verwalteten Konfigurationsregel:
aws configservice put-config-rule --config-rule
file://RequiredTagsForEC2Instances.json
RequiredTagsForEC2Instances.json
ist eine JSON Datei, die die Regelkonfiguration enthält:{ "ConfigRuleName": "RequiredTagsForEC2Instances", "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "Source": { "Owner": "AWS", "SourceIdentifier": "REQUIRED_TAGS" }, "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}" }
Für das
ComplianceResourceTypes
Attribut beschränkt dieser JSON Code den Bereich auf Ressourcen desAWS::EC2::Instance
Typs, sodass AWS Config nur EC2 Instanzen anhand der Regel auswertet. Da es sich bei der Regel um eine verwaltete Regel handelt, ist dasOwner
Attribut auf festgelegtAWS
, und dasSourceIdentifier
Attribut ist auf den Regelbezeichner, festgelegtREQUIRED_TAGS
. Für dasInputParameters
Attribut werden die Tag-Schlüssel, die die Regel benötigtOwner
,CostCenter
und, angegeben.Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Um die Regelkonfiguration zu überprüfen, führen Sie den describe-config-rules Befehl aus und geben Sie den Regelnamen an.
So fügen Sie eine vom Kunden verwaltete Konfigurationsregel hinzu
Der folgende Befehl enthält JSON Code zum Hinzufügen einer vom Kunden verwalteten Konfigurationsregel:
aws configservice put-config-rule --config-rule
file://InstanceTypesAreT2micro.json
InstanceTypesAreT2micro.json
ist eine JSON Datei, die die Regelkonfiguration enthält:{ "ConfigRuleName": "InstanceTypesAreT2micro", "Description": "Evaluates whether EC2 instances are the t2.micro type.", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] }, "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}" }
Für das
ComplianceResourceTypes
Attribut beschränkt dieser JSON Code den Bereich auf Ressourcen desAWS::EC2::Instance
Typs, sodass AWS Config nur EC2 Instanzen anhand der Regel auswertet. Da es sich bei dieser Regel um eine vom Kunden verwaltete Regel handeltCUSTOM_LAMBDA
, ist dasOwner
Attribut auf und dasSourceIdentifier
Attribut auf das ARN der AWS Lambda-Funktion gesetzt. DasSourceDetails
Objekt ist erforderlich. Die für dasInputParameters
Attribut angegebenen Parameter werden an die AWS Lambda-Funktion übergeben, wenn AWS Config sie aufruft, um Ressourcen anhand der Regel auszuwerten.Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Um die Regelkonfiguration zu überprüfen, führen Sie den describe-config-rules Befehl aus und geben Sie den Regelnamen an.
-
APIEinzelheiten finden Sie PutConfigRule
unter AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungput-configuration-recorder
.
- AWS CLI
-
Beispiel 1: Um alle unterstützten Ressourcen aufzuzeichnen
Der folgende Befehl erstellt einen Konfigurationsrekorder, der Änderungen an allen unterstützten Ressourcentypen, einschließlich globaler Ressourcentypen, verfolgt:
aws configservice put-configuration-recorder \ --configuration-recorder
name=default,roleARN=arn:aws:iam::123456789012:role/config-role
\ --recording-groupallSupported=true,includeGlobalResourceTypes=true
Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Führen Sie den describe-configuration-recorders Befehl aus, um die Einstellungen Ihres Konfigurationsrekorders zu überprüfen.
Beispiel 2: Um bestimmte Arten von Ressourcen aufzuzeichnen
Der folgende Befehl erstellt einen Konfigurationsrekorder, der Änderungen nur an den Ressourcentypen verfolgt, die in der JSON Datei für die Option --recording-group angegeben sind:
aws configservice put-configuration-recorder \ --configuration-recorder
name=default,roleARN=arn:aws:iam::123456789012:role/config-role
\ --recording-groupfile://recordingGroup.json
recordingGroup.json ist eine JSON Datei, die die Arten von Ressourcen angibt, die AWS Config aufzeichnet:
{ "allSupported": false, "includeGlobalResourceTypes": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ] }
Bevor Sie Ressourcentypen für den resourceTypes Schlüssel angeben können, müssen Sie die Optionen allSupported und includeGlobalResource Types auf False setzen oder sie weglassen.
Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Führen Sie den describe-configuration-recorders Befehl aus, um die Einstellungen Ihres Konfigurationsrekorders zu überprüfen.
Beispiel 3: Um alle unterstützten Ressourcen mit Ausnahme bestimmter Ressourcentypen auszuwählen
Der folgende Befehl erstellt einen Konfigurationsrekorder, der Änderungen an allen aktuellen und future unterstützten Ressourcentypen verfolgt, mit Ausnahme der Ressourcentypen, die in der JSON Datei für die Option --recording-group angegeben sind:
aws configservice put-configuration-recorder \ --configuration-recorder
name=default,roleARN=arn:aws:iam::123456789012:role/config-role
\ --recording-groupfile://recordingGroup.json
recordingGroup.json ist eine JSON Datei, die die Arten von Ressourcen angibt, die AWS Config aufzeichnet:
{ "allSupported": false, "exclusionByResourceTypes": { "resourceTypes": [ "AWS::Redshift::ClusterSnapshot", "AWS::RDS::DBClusterSnapshot", "AWS::CloudFront::StreamingDistribution" ] }, "includeGlobalResourceTypes": false, "recordingStrategy": { "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" }, }
Bevor Sie Ressourcentypen angeben können, die von der Aufzeichnung ausgeschlossen werden sollen: 1) Sie müssen die Optionen allSupported und includeGlobalResource Types auf Falsch setzen oder sie weglassen, und 2) Sie müssen das useOnly Feld von RecordingStrategy auf EXCLUSION RESOURCE _BY_ _ setzen. TYPES
Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Führen Sie den describe-configuration-recorders Befehl aus, um die Einstellungen Ihres Konfigurationsrekorders zu überprüfen.
-
APIEinzelheiten finden Sie PutConfigurationRecorder
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungput-delivery-channel
.
- AWS CLI
-
Um einen Lieferkanal zu erstellen
Der folgende Befehl stellt die Einstellungen für den Lieferkanal als JSON Code bereit:
aws configservice put-delivery-channel --delivery-channel
file://deliveryChannel.json
Die
deliveryChannel.json
Datei spezifiziert die Attribute des Lieferkanals:{ "name": "default", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }
In diesem Beispiel werden die folgenden Attribute festgelegt:
name
- Der Name des Lieferkanals. Standardmäßig weist AWS Config den Namen einem neuen Lieferkanaldefault
zu. Sie können den Namen des Lieferkanals nicht mit dem Befehl aktualisieren.put-delivery-channel
Die Schritte zum Ändern des Namens finden Sie unter Umbenennen des Lieferkanals.s3BucketName
- Der Name des Amazon S3 S3-Buckets, für den AWS Config Konfigurations-Snapshots und Konfigurationsverlaufsdateien bereitstellt. Wenn Sie einen Bucket angeben, der zu einem anderen AWS Konto gehört, muss dieser Bucket über Richtlinien verfügen, die Config Zugriffsberechtigungen gewähren. AWS Weitere Informationen finden Sie unter Berechtigungen für den Amazon-S3-Bucket.snsTopicARN
— Der Amazon-Ressourcenname (ARN) des SNS Amazon-Themas, an das AWS Config Benachrichtigungen über Konfigurationsänderungen sendet. Wenn Sie ein Thema aus einem anderen Konto auswählen, muss das Thema Richtlinien enthalten, die Config Zugriffsberechtigungen gewähren. AWS Weitere Informationen finden Sie unter Berechtigungen für das SNS Amazon-Thema.configSnapshotDeliveryProperties
- Enthält dasdeliveryFrequency
Attribut, das festlegt, wie oft AWS Config Konfigurations-Snapshots liefert und wie oft es Evaluierungen für periodische Config-Regeln aufruft.Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Führen Sie den describe-delivery-channels Befehl aus, um die Einstellungen Ihres Lieferkanals zu überprüfen.
-
APIEinzelheiten finden Sie PutDeliveryChannel
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungstart-config-rules-evaluation
.
- AWS CLI
-
So führen Sie eine On-Demand-Evaluierung für AWS Config-Regeln durch
Mit dem folgenden Befehl wird eine Evaluierung für zwei AWS verwaltete Regeln gestartet:
aws configservice start-config-rules-evaluation --config-rule-names
s3-bucket-versioning-enabled
cloudtrail-enabled
-
APIEinzelheiten finden Sie StartConfigRulesEvaluation
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungstart-configuration-recorder
.
- AWS CLI
-
Um den Konfigurationsrekorder zu starten
Der folgende Befehl startet den Standard-Konfigurationsrekorder:
aws configservice start-configuration-recorder --configuration-recorder-name
default
Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Führen Sie den Befehl get-status aus, um zu überprüfen, ob AWS Config Ihre Ressourcen aufzeichnet.
-
APIEinzelheiten finden Sie StartConfigurationRecorder
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungstop-configuration-recorder
.
- AWS CLI
-
Um den Konfigurationsrekorder zu stoppen
Der folgende Befehl stoppt den Standardkonfigurationsrekorder:
aws configservice stop-configuration-recorder --configuration-recorder-name
default
Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Führen Sie den Befehl get-status aus, um sicherzustellen, dass AWS Config Ihre Ressourcen nicht aufzeichnet.
-
APIEinzelheiten finden Sie StopConfigurationRecorder
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungsubscribe
.
- AWS CLI
-
Um AWS Config zu abonnieren
Mit dem folgenden Befehl werden der Standardlieferkanal und der Konfigurationsrekorder erstellt. Der Befehl gibt auch den Amazon S3 S3-Bucket und SNS das Amazon-Thema an, an das AWS Config Konfigurationsinformationen liefert:
aws configservice subscribe --s3-bucket
config-bucket-123456789012
--sns-topicarn:aws:sns:us-east-1:123456789012:config-topic
--iam-rolearn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6
Ausgabe:
Using existing S3 bucket: config-bucket-123456789012 Using existing SNS topic: arn:aws:sns:us-east-1:123456789012:config-topic Subscribe succeeded: Configuration Recorders: [ { "recordingGroup": { "allSupported": true, "resourceTypes": [], "includeGlobalResourceTypes": false }, "roleARN": "arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6", "name": "default" } ] Delivery Channels: [ { "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic", "name": "default", "s3BucketName": "config-bucket-123456789012" } ]
-
APIEinzelheiten finden Sie unter Abonnieren
in der AWS CLI Befehlsreferenz.
-