AWS Config Beispiele mit AWS CLI - AWS SDKCode-Beispiele
Aktionen

Weitere AWS SDK Beispiele sind im Repo AWS Doc SDK Examples GitHub verfügbar.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Config Beispiele mit AWS CLI

Die folgenden Codebeispiele zeigen Ihnen, wie Sie mithilfe von AWS Command Line Interface with Aktionen ausführen und allgemeine Szenarien implementieren AWS Config.

Aktionen sind Codeauszüge aus größeren Programmen und müssen im Kontext ausgeführt werden. Aktionen zeigen Ihnen zwar, wie Sie einzelne Servicefunktionen aufrufen, aber Sie können Aktionen im Kontext der zugehörigen Szenarien sehen.

Jedes Beispiel enthält einen Link zum vollständigen Quellcode, in dem Sie Anweisungen zum Einrichten und Ausführen des Codes im Kontext finden.

Themen

Aktionen

Das folgende Codebeispiel zeigt die Verwendungdelete-config-rule.

AWS CLI

Um eine AWS Config-Regel zu löschen

Der folgende Befehl löscht eine AWS Config-Regel mit dem NamenMyConfigRule:

aws configservice delete-config-rule --config-rule-name MyConfigRule

Das folgende Codebeispiel zeigt die Verwendungdelete-delivery-channel.

AWS CLI

Um einen Lieferkanal zu löschen

Der folgende Befehl löscht den Standardzustellungskanal:

aws configservice delete-delivery-channel --delivery-channel-name default

Das folgende Codebeispiel zeigt die Verwendungdelete-evaluation-results.

AWS CLI

Um Bewertungsergebnisse manuell zu löschen

Der folgende Befehl löscht die aktuellen Auswertungsergebnisse für die AWS verwaltete Regel s3-: bucket-versioning-enabled

aws configservice delete-evaluation-results --config-rule-name s3-bucket-versioning-enabled

Das folgende Codebeispiel zeigt die Verwendungdeliver-config-snapshot.

AWS CLI

Um einen Konfigurations-Snapshot bereitzustellen

Der folgende Befehl übermittelt einen Konfigurations-Snapshot an den Amazon S3 S3-Bucket, der zum Standard-Lieferkanal gehört:

aws configservice deliver-config-snapshot --delivery-channel-name default

Ausgabe:

{
    "configSnapshotId": "d0333b00-a683-44af-921e-examplefb794"
}

Das folgende Codebeispiel zeigt die Verwendungdescribe-compliance-by-config-rule.

AWS CLI

Um Compliance-Informationen für Ihre AWS Config-Regeln zu erhalten

Der folgende Befehl gibt Konformitätsinformationen für jede AWS Config-Regel zurück, gegen die eine oder mehrere AWS Ressourcen verstoßen:

aws configservice describe-compliance-by-config-rule --compliance-types NON_COMPLIANT

In der Ausgabe gibt der Wert für jedes CappedCount Attribut an, wie viele Ressourcen der zugehörigen Regel nicht entsprechen. Die folgende Ausgabe gibt beispielsweise an, dass 3 Ressourcen der genannten Regel nicht entsprechenInstanceTypesAreT2micro.

Ausgabe:

{
    "ComplianceByConfigRules": [
        {
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            },
            "ConfigRuleName": "InstanceTypesAreT2micro"
        },
        {
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            },
            "ConfigRuleName": "RequiredTagsForVolumes"
        }
    ]
}

Das folgende Codebeispiel zeigt die Verwendungdescribe-compliance-by-resource.

AWS CLI

Um Compliance-Informationen für Ihre AWS Ressourcen zu erhalten

Der folgende Befehl gibt Konformitätsinformationen für jede EC2 Instanz zurück, die von AWS Config aufgezeichnet wurde und gegen eine oder mehrere Regeln verstößt:

aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

In der Ausgabe gibt der Wert für jedes CappedCount Attribut an, gegen wie viele Regeln die Ressource verstößt. Die folgende Ausgabe gibt beispielsweise an, dass die Instanz i-1a2b3c4d gegen zwei Regeln verstößt.

Ausgabe:

{
    "ComplianceByResources": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-1a2b3c4d",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 2,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        },
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-2a2b3c4d ",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        }
    ]
}

Das folgende Codebeispiel zeigt die Verwendungdescribe-config-rule-evaluation-status.

AWS CLI

Um Statusinformationen für eine AWS Config-Regel abzurufen

Der folgende Befehl gibt die Statusinformationen für eine AWS Config-Regel mit dem Namen zurückMyConfigRule:

aws configservice describe-config-rule-evaluation-status --config-rule-names MyConfigRule

Ausgabe:

{
    "ConfigRulesEvaluationStatus": [
        {
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "FirstActivatedTime": 1450311703.844,
            "ConfigRuleId": "config-rule-abcdef",
            "LastSuccessfulInvocationTime": 1450314643.156,
            "ConfigRuleName": "MyConfigRule"
        }
    ]
}

Das folgende Codebeispiel zeigt die Verwendungdescribe-config-rules.

AWS CLI

Um Details für eine AWS Config-Regel abzurufen

Der folgende Befehl gibt Details für eine AWS Config-Regel mit dem Namen zurückInstanceTypesAreT2micro:

aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro

Ausgabe:

{
    "ConfigRules": [
        {
            "ConfigRuleState": "ACTIVE",
            "Description": "Evaluates whether EC2 instances are the t2.micro type.",
            "ConfigRuleName": "InstanceTypesAreT2micro",
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "Source": {
                "Owner": "CUSTOM_LAMBDA",
                "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
                "SourceDetails": [
                    {
                        "EventSource": "aws.config",
                        "MessageType": "ConfigurationItemChangeNotification"
                    }
                ]
            },
            "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}",
            "Scope": {
                "ComplianceResourceTypes": [
                    "AWS::EC2::Instance"
                ]
            },
            "ConfigRuleId": "config-rule-abcdef"
        }
    ]
}

Das folgende Codebeispiel zeigt die Verwendungdescribe-configuration-recorder-status.

AWS CLI

Um Statusinformationen für den Konfigurationsrekorder abzurufen

Der folgende Befehl gibt den Status des Standardkonfigurationsrekorders zurück:

aws configservice describe-configuration-recorder-status

Ausgabe:

{
    "ConfigurationRecordersStatus": [
        {
            "name": "default",
            "lastStatus": "SUCCESS",
            "recording": true,
            "lastStatusChangeTime": 1452193834.344,
            "lastStartTime": 1441039997.819,
            "lastStopTime": 1441039992.835
        }
    ]
}

Das folgende Codebeispiel zeigt die Verwendungdescribe-configuration-recorders.

AWS CLI

Um Details zum Konfigurationsrekorder zu erhalten

Der folgende Befehl gibt Details zum Standardkonfigurationsrekorder zurück:

aws configservice describe-configuration-recorders

Ausgabe:

{
    "ConfigurationRecorders": [
        {
            "recordingGroup": {
                "allSupported": true,
                "resourceTypes": [],
                "includeGlobalResourceTypes": true
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-ConfigRole-A1B2C3D4E5F6",
            "name": "default"
        }
    ]
}

Das folgende Codebeispiel zeigt die Verwendungdescribe-delivery-channel-status.

AWS CLI

Um Statusinformationen für den Lieferkanal abzurufen

Der folgende Befehl gibt den Status des Lieferkanals zurück:

aws configservice describe-delivery-channel-status

Ausgabe:

{
    "DeliveryChannelsStatus": [
        {
            "configStreamDeliveryInfo": {
                "lastStatusChangeTime": 1452193834.381,
                "lastStatus": "SUCCESS"
            },
            "configHistoryDeliveryInfo": {
                "lastSuccessfulTime": 1450317838.412,
                "lastStatus": "SUCCESS",
                "lastAttemptTime": 1450317838.412
            },
            "configSnapshotDeliveryInfo": {
                "lastSuccessfulTime": 1452185597.094,
                "lastStatus": "SUCCESS",
                "lastAttemptTime": 1452185597.094
            },
            "name": "default"
        }
    ]
}

Das folgende Codebeispiel zeigt die Verwendungdescribe-delivery-channels.

AWS CLI

Um Details zum Lieferkanal zu erhalten

Der folgende Befehl gibt Details zum Lieferkanal zurück:

aws configservice describe-delivery-channels

Ausgabe:

{
    "DeliveryChannels": [
        {
            "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

Das folgende Codebeispiel zeigt die Verwendungget-compliance-details-by-config-rule.

AWS CLI

Um die Auswertungsergebnisse für eine AWS Config-Regel abzurufen

Der folgende Befehl gibt die Auswertungsergebnisse für alle Ressourcen zurück, die nicht einer AWS Config-Regel mit dem Namen entsprechenInstanceTypesAreT2micro:

aws configservice get-compliance-details-by-config-rule --config-rule-name InstanceTypesAreT2micro --compliance-types NON_COMPLIANT

Ausgabe:

{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-2a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314645.18,
            "ConfigRuleInvokedTime": 1450314642.902,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-3a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.346,
            "ConfigRuleInvokedTime": 1450314643.124,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

Das folgende Codebeispiel zeigt die Verwendungget-compliance-details-by-resource.

AWS CLI

Um die Evaluierungsergebnisse für eine AWS Ressource abzurufen

Der folgende Befehl gibt die Evaluierungsergebnisse für jede Regel zurück, der die EC2 Instanz i-1a2b3c4d nicht entspricht:

aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

Ausgabe:

{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.288,
            "ConfigRuleInvokedTime": 1450314643.034,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "RequiredTagForEC2Instances"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

Das folgende Codebeispiel zeigt die Verwendungget-compliance-summary-by-config-rule.

AWS CLI

Um die Konformitätsübersicht für Ihre AWS Config-Regeln abzurufen

Der folgende Befehl gibt die Anzahl der Regeln zurück, die konform sind, und die Anzahl der Regeln, die nicht konform sind:

aws configservice get-compliance-summary-by-config-rule

In der Ausgabe gibt der Wert für jedes CappedCount Attribut an, wie viele Regeln konform oder nicht konform sind.

Ausgabe:

{
    "ComplianceSummary": {
        "NonCompliantResourceCount": {
            "CappedCount": 3,
            "CapExceeded": false
        },
        "ComplianceSummaryTimestamp": 1452204131.493,
        "CompliantResourceCount": {
            "CappedCount": 2,
            "CapExceeded": false
        }
    }
}

Das folgende Codebeispiel zeigt die Verwendungget-compliance-summary-by-resource-type.

AWS CLI

Um die Konformitätsübersicht für alle Ressourcentypen abzurufen

Der folgende Befehl gibt die Anzahl der AWS Ressourcen zurück, die nicht konform sind, und die Anzahl, die konform sind:

aws configservice get-compliance-summary-by-resource-type

In der Ausgabe gibt der Wert für jedes CappedCount Attribut an, wie viele Ressourcen konform oder nicht konform sind.

Ausgabe:

{
    "ComplianceSummariesByResourceType": [
        {
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 16,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1453237464.543,
                "CompliantResourceCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                }
            }
        }
    ]
}

Um die Konformitätsübersicht für einen bestimmten Ressourcentyp abzurufen

Der folgende Befehl gibt die Anzahl der EC2 Instanzen zurück, die nicht konform sind, und die Anzahl, die konform sind:

aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

In der Ausgabe gibt der Wert für jedes CappedCount Attribut an, wie viele Ressourcen konform oder nicht konform sind.

Ausgabe:

{
    "ComplianceSummariesByResourceType": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1452204923.518,
                "CompliantResourceCount": {
                    "CappedCount": 7,
                    "CapExceeded": false
                }
            }
        }
    ]
}

Das folgende Codebeispiel zeigt die Verwendungget-resource-config-history.

AWS CLI

Um den Konfigurationsverlauf einer AWS Ressource abzurufen

Der folgende Befehl gibt eine Liste von Konfigurationselementen für eine EC2 Instanz mit der ID zurücki-1a2b3c4d:

aws configservice get-resource-config-history --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d

Das folgende Codebeispiel zeigt die Verwendungget-status.

AWS CLI

Um den Status für AWS Config abzurufen

Der folgende Befehl gibt den Status des Bereitstellungskanals und des Konfigurationsrekorders zurück:

aws configservice get-status

Ausgabe:

Configuration Recorders:

name: default
recorder: ON
last status: SUCCESS

Delivery Channels:

name: default
last stream delivery status: SUCCESS
last history delivery status: SUCCESS
last snapshot delivery status: SUCCESS

  • APIEinzelheiten finden Sie GetStatusin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-discovered-resources.

AWS CLI

Um Ressourcen aufzulisten, die AWS Config entdeckt hat

Der folgende Befehl listet die EC2 Instanzen auf, die AWS Config entdeckt hat:

aws configservice list-discovered-resources --resource-type AWS::EC2::Instance

Ausgabe:

{
    "resourceIdentifiers": [
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-1a2b3c4d"
        },
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-2a2b3c4d"
        },
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-3a2b3c4d"
        }
    ]
}

Das folgende Codebeispiel zeigt die Verwendungput-config-rule.

AWS CLI

So fügen Sie eine AWS verwaltete Konfigurationsregel hinzu

Der folgende Befehl enthält JSON Code zum Hinzufügen einer AWS verwalteten Konfigurationsregel:

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.jsonist eine JSON Datei, die die Regelkonfiguration enthält:

{
  "ConfigRuleName": "RequiredTagsForEC2Instances",
  "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "REQUIRED_TAGS"
  },
  "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}"
}

Für das ComplianceResourceTypes Attribut beschränkt dieser JSON Code den Bereich auf Ressourcen des AWS::EC2::Instance Typs, sodass AWS Config nur EC2 Instanzen anhand der Regel auswertet. Da es sich bei der Regel um eine verwaltete Regel handelt, ist das Owner Attribut auf festgelegtAWS, und das SourceIdentifier Attribut ist auf den Regelbezeichner, festgelegtREQUIRED_TAGS. Für das InputParameters Attribut werden die Tag-Schlüssel, die die Regel benötigtOwner, CostCenter und, angegeben.

Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Um die Regelkonfiguration zu überprüfen, führen Sie den describe-config-rules Befehl aus und geben Sie den Regelnamen an.

So fügen Sie eine vom Kunden verwaltete Konfigurationsregel hinzu

Der folgende Befehl enthält JSON Code zum Hinzufügen einer vom Kunden verwalteten Konfigurationsregel:

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.jsonist eine JSON Datei, die die Regelkonfiguration enthält:

{
  "ConfigRuleName": "InstanceTypesAreT2micro",
  "Description": "Evaluates whether EC2 instances are the t2.micro type.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "CUSTOM_LAMBDA",
    "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
    "SourceDetails": [
      {
        "EventSource": "aws.config",
        "MessageType": "ConfigurationItemChangeNotification"
      }
    ]
  },
  "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}"
}

Für das ComplianceResourceTypes Attribut beschränkt dieser JSON Code den Bereich auf Ressourcen des AWS::EC2::Instance Typs, sodass AWS Config nur EC2 Instanzen anhand der Regel auswertet. Da es sich bei dieser Regel um eine vom Kunden verwaltete Regel handeltCUSTOM_LAMBDA, ist das Owner Attribut auf und das SourceIdentifier Attribut auf das ARN der AWS Lambda-Funktion gesetzt. Das SourceDetails Objekt ist erforderlich. Die für das InputParameters Attribut angegebenen Parameter werden an die AWS Lambda-Funktion übergeben, wenn AWS Config sie aufruft, um Ressourcen anhand der Regel auszuwerten.

Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Um die Regelkonfiguration zu überprüfen, führen Sie den describe-config-rules Befehl aus und geben Sie den Regelnamen an.

  • APIEinzelheiten finden Sie PutConfigRuleunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungput-configuration-recorder.

AWS CLI

Beispiel 1: Um alle unterstützten Ressourcen aufzuzeichnen

Der folgende Befehl erstellt einen Konfigurationsrekorder, der Änderungen an allen unterstützten Ressourcentypen, einschließlich globaler Ressourcentypen, verfolgt:

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group allSupported=true,includeGlobalResourceTypes=true

Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Führen Sie den describe-configuration-recorders Befehl aus, um die Einstellungen Ihres Konfigurationsrekorders zu überprüfen.

Beispiel 2: Um bestimmte Arten von Ressourcen aufzuzeichnen

Der folgende Befehl erstellt einen Konfigurationsrekorder, der Änderungen nur an den Ressourcentypen verfolgt, die in der JSON Datei für die Option --recording-group angegeben sind:

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group file://recordingGroup.json

recordingGroup.json ist eine JSON Datei, die die Arten von Ressourcen angibt, die AWS Config aufzeichnet:

{
    "allSupported": false,
    "includeGlobalResourceTypes": false,
    "resourceTypes": [
        "AWS::EC2::EIP",
        "AWS::EC2::Instance",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::SecurityGroup",
        "AWS::CloudTrail::Trail",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC",
        "AWS::IAM::User",
        "AWS::IAM::Policy"
    ]
}

Bevor Sie Ressourcentypen für den resourceTypes Schlüssel angeben können, müssen Sie die Optionen allSupported und includeGlobalResource Types auf False setzen oder sie weglassen.

Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Führen Sie den describe-configuration-recorders Befehl aus, um die Einstellungen Ihres Konfigurationsrekorders zu überprüfen.

Beispiel 3: Um alle unterstützten Ressourcen mit Ausnahme bestimmter Ressourcentypen auszuwählen

Der folgende Befehl erstellt einen Konfigurationsrekorder, der Änderungen an allen aktuellen und future unterstützten Ressourcentypen verfolgt, mit Ausnahme der Ressourcentypen, die in der JSON Datei für die Option --recording-group angegeben sind:

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group file://recordingGroup.json

recordingGroup.json ist eine JSON Datei, die die Arten von Ressourcen angibt, die AWS Config aufzeichnet:

{
    "allSupported": false,
    "exclusionByResourceTypes": {
        "resourceTypes": [
        "AWS::Redshift::ClusterSnapshot",
        "AWS::RDS::DBClusterSnapshot",
        "AWS::CloudFront::StreamingDistribution"
    ]
    },
        "includeGlobalResourceTypes": false,
        "recordingStrategy": {
        "useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
    },
}

Bevor Sie Ressourcentypen angeben können, die von der Aufzeichnung ausgeschlossen werden sollen: 1) Sie müssen die Optionen allSupported und includeGlobalResource Types auf Falsch setzen oder sie weglassen, und 2) Sie müssen das useOnly Feld von RecordingStrategy auf EXCLUSION RESOURCE _BY_ _ setzen. TYPES

Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Führen Sie den describe-configuration-recorders Befehl aus, um die Einstellungen Ihres Konfigurationsrekorders zu überprüfen.

Das folgende Codebeispiel zeigt die Verwendungput-delivery-channel.

AWS CLI

Um einen Lieferkanal zu erstellen

Der folgende Befehl stellt die Einstellungen für den Lieferkanal als JSON Code bereit:

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Die deliveryChannel.json Datei spezifiziert die Attribute des Lieferkanals:

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

In diesem Beispiel werden die folgenden Attribute festgelegt:

name- Der Name des Lieferkanals. Standardmäßig weist AWS Config den Namen einem neuen Lieferkanal default zu. Sie können den Namen des Lieferkanals nicht mit dem Befehl aktualisieren. put-delivery-channel Die Schritte zum Ändern des Namens finden Sie unter Umbenennen des Lieferkanals. s3BucketName - Der Name des Amazon S3 S3-Buckets, für den AWS Config Konfigurations-Snapshots und Konfigurationsverlaufsdateien bereitstellt. Wenn Sie einen Bucket angeben, der zu einem anderen AWS Konto gehört, muss dieser Bucket über Richtlinien verfügen, die Config Zugriffsberechtigungen gewähren. AWS Weitere Informationen finden Sie unter Berechtigungen für den Amazon-S3-Bucket.

snsTopicARN— Der Amazon-Ressourcenname (ARN) des SNS Amazon-Themas, an das AWS Config Benachrichtigungen über Konfigurationsänderungen sendet. Wenn Sie ein Thema aus einem anderen Konto auswählen, muss das Thema über Richtlinien verfügen, die Config Zugriffsberechtigungen gewähren. AWS Weitere Informationen finden Sie unter Berechtigungen für das SNS Amazon-Thema.

configSnapshotDeliveryProperties- Enthält das deliveryFrequency Attribut, das festlegt, wie oft AWS Config Konfigurations-Snapshots liefert und wie oft es Evaluierungen für periodische Config-Regeln aufruft.

Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Führen Sie den describe-delivery-channels Befehl aus, um die Einstellungen Ihres Lieferkanals zu überprüfen.

Das folgende Codebeispiel zeigt die Verwendungstart-config-rules-evaluation.

AWS CLI

So führen Sie eine On-Demand-Evaluierung für AWS Config-Regeln durch

Mit dem folgenden Befehl wird eine Evaluierung für zwei AWS verwaltete Regeln gestartet:

aws configservice start-config-rules-evaluation --config-rule-names s3-bucket-versioning-enabled cloudtrail-enabled

Das folgende Codebeispiel zeigt die Verwendungstart-configuration-recorder.

AWS CLI

Um den Konfigurationsrekorder zu starten

Mit dem folgenden Befehl wird der Standardkonfigurationsrekorder gestartet:

aws configservice start-configuration-recorder --configuration-recorder-name default

Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Führen Sie den Befehl get-status aus, um zu überprüfen, ob AWS Config Ihre Ressourcen aufzeichnet.

Das folgende Codebeispiel zeigt die Verwendungstop-configuration-recorder.

AWS CLI

Um den Konfigurationsrekorder zu stoppen

Der folgende Befehl stoppt den Standardkonfigurationsrekorder:

aws configservice stop-configuration-recorder --configuration-recorder-name default

Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Führen Sie den Befehl get-status aus, um sicherzustellen, dass AWS Config Ihre Ressourcen nicht aufzeichnet.

Das folgende Codebeispiel zeigt die Verwendungsubscribe.

AWS CLI

Um AWS Config zu abonnieren

Mit dem folgenden Befehl werden der Standardlieferkanal und der Konfigurationsrekorder erstellt. Der Befehl gibt auch den Amazon S3 S3-Bucket und SNS das Amazon-Thema an, an das AWS Config Konfigurationsinformationen liefert:

aws configservice subscribe --s3-bucket config-bucket-123456789012 --sns-topic arn:aws:sns:us-east-1:123456789012:config-topic --iam-role arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6

Ausgabe:

Using existing S3 bucket: config-bucket-123456789012
Using existing SNS topic: arn:aws:sns:us-east-1:123456789012:config-topic
Subscribe succeeded:

Configuration Recorders: [
    {
        "recordingGroup": {
            "allSupported": true,
            "resourceTypes": [],
            "includeGlobalResourceTypes": false
        },
        "roleARN": "arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6",
        "name": "default"
    }
]

Delivery Channels: [
    {
        "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
        "name": "default",
        "s3BucketName": "config-bucket-123456789012"
    }
]

  • APIEinzelheiten finden Sie unter Abonnieren in der AWS CLI Befehlsreferenz.