AWS Config exemples utilisant AWS CLI - AWS Command Line Interface

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Config exemples utilisant AWS CLI

Les exemples de code suivants vous montrent comment effectuer des actions et implémenter des scénarios courants à l'aide du AWS Command Line Interface with AWS Config.

Les actions sont des extraits de code de programmes plus larges et doivent être exécutées dans leur contexte. Les actions vous indiquent comment appeler des fonctions de service individuelles, mais vous pouvez les visualiser dans leur contexte dans les scénarios correspondants.

Chaque exemple inclut un lien vers le code source complet, où vous trouverez des instructions sur la façon de configurer et d'exécuter le code en contexte.

Rubriques

Actions

L'exemple de code suivant montre comment utiliserdelete-config-rule.

AWS CLI

Pour supprimer une règle AWS Config

La commande suivante supprime une règle AWS Config nommée MyConfigRule :

aws configservice delete-config-rule --config-rule-name MyConfigRule
  • Pour API plus de détails, voir DeleteConfigRulela section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdelete-delivery-channel.

AWS CLI

Pour supprimer un canal de diffusion

La commande suivante supprime le canal de diffusion par défaut :

aws configservice delete-delivery-channel --delivery-channel-name default

L'exemple de code suivant montre comment utiliserdelete-evaluation-results.

AWS CLI

Pour supprimer manuellement les résultats d'évaluation

La commande suivante supprime les résultats d'évaluation actuels pour la règle AWS gérée s3- : bucket-versioning-enabled

aws configservice delete-evaluation-results --config-rule-name s3-bucket-versioning-enabled

L'exemple de code suivant montre comment utiliserdeliver-config-snapshot.

AWS CLI

Pour fournir un instantané de configuration

La commande suivante fournit un instantané de configuration au compartiment Amazon S3 qui appartient au canal de diffusion par défaut :

aws configservice deliver-config-snapshot --delivery-channel-name default

Sortie :

{ "configSnapshotId": "d0333b00-a683-44af-921e-examplefb794" }

L'exemple de code suivant montre comment utiliserdescribe-compliance-by-config-rule.

AWS CLI

Pour obtenir des informations de conformité pour vos règles de AWS Config

La commande suivante renvoie des informations de conformité pour chaque règle de AWS Config violée par une ou plusieurs AWS ressources :

aws configservice describe-compliance-by-config-rule --compliance-types NON_COMPLIANT

Dans la sortie, la valeur de chaque CappedCount attribut indique le nombre de ressources qui ne sont pas conformes à la règle correspondante. Par exemple, le résultat suivant indique que 3 ressources ne sont pas conformes à la règle nomméeInstanceTypesAreT2micro.

Sortie :

{ "ComplianceByConfigRules": [ { "Compliance": { "ComplianceContributorCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "InstanceTypesAreT2micro" }, { "Compliance": { "ComplianceContributorCount": { "CappedCount": 10, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "RequiredTagsForVolumes" } ] }

L'exemple de code suivant montre comment utiliserdescribe-compliance-by-resource.

AWS CLI

Pour obtenir des informations de conformité pour vos AWS ressources

La commande suivante renvoie des informations de conformité pour chaque EC2 instance enregistrée par AWS Config qui enfreint une ou plusieurs règles :

aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

Dans le résultat, la valeur de chaque CappedCount attribut indique le nombre de règles violées par la ressource. Par exemple, le résultat suivant indique que l'instance i-1a2b3c4d enfreint 2 règles.

Sortie :

{ "ComplianceByResources": [ { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "Compliance": { "ComplianceContributorCount": { "CappedCount": 2, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } }, { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-2a2b3c4d ", "Compliance": { "ComplianceContributorCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } } ] }

L'exemple de code suivant montre comment utiliserdescribe-config-rule-evaluation-status.

AWS CLI

Pour obtenir des informations sur le statut d'une règle AWS Config

La commande suivante renvoie les informations d'état d'une règle AWS Config nommée MyConfigRule :

aws configservice describe-config-rule-evaluation-status --config-rule-names MyConfigRule

Sortie :

{ "ConfigRulesEvaluationStatus": [ { "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef", "FirstActivatedTime": 1450311703.844, "ConfigRuleId": "config-rule-abcdef", "LastSuccessfulInvocationTime": 1450314643.156, "ConfigRuleName": "MyConfigRule" } ] }

L'exemple de code suivant montre comment utiliserdescribe-config-rules.

AWS CLI

Pour obtenir les détails d'une règle AWS Config

La commande suivante renvoie les détails d'une règle AWS Config nommée InstanceTypesAreT2micro :

aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro

Sortie :

{ "ConfigRules": [ { "ConfigRuleState": "ACTIVE", "Description": "Evaluates whether EC2 instances are the t2.micro type.", "ConfigRuleName": "InstanceTypesAreT2micro", "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef", "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] }, "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "ConfigRuleId": "config-rule-abcdef" } ] }
  • Pour API plus de détails, voir DescribeConfigRulesla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdescribe-configuration-recorder-status.

AWS CLI

Pour obtenir des informations sur l'état de l'enregistreur de configuration

La commande suivante renvoie l'état de l'enregistreur de configuration par défaut :

aws configservice describe-configuration-recorder-status

Sortie :

{ "ConfigurationRecordersStatus": [ { "name": "default", "lastStatus": "SUCCESS", "recording": true, "lastStatusChangeTime": 1452193834.344, "lastStartTime": 1441039997.819, "lastStopTime": 1441039992.835 } ] }

L'exemple de code suivant montre comment utiliserdescribe-configuration-recorders.

AWS CLI

Pour obtenir des informations sur l'enregistreur de configuration

La commande suivante renvoie des informations sur l'enregistreur de configuration par défaut :

aws configservice describe-configuration-recorders

Sortie :

{ "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": true, "resourceTypes": [], "includeGlobalResourceTypes": true }, "roleARN": "arn:aws:iam::123456789012:role/config-ConfigRole-A1B2C3D4E5F6", "name": "default" } ] }

L'exemple de code suivant montre comment utiliserdescribe-delivery-channel-status.

AWS CLI

Pour obtenir des informations sur le statut du canal de distribution

La commande suivante renvoie l'état du canal de diffusion :

aws configservice describe-delivery-channel-status

Sortie :

{ "DeliveryChannelsStatus": [ { "configStreamDeliveryInfo": { "lastStatusChangeTime": 1452193834.381, "lastStatus": "SUCCESS" }, "configHistoryDeliveryInfo": { "lastSuccessfulTime": 1450317838.412, "lastStatus": "SUCCESS", "lastAttemptTime": 1450317838.412 }, "configSnapshotDeliveryInfo": { "lastSuccessfulTime": 1452185597.094, "lastStatus": "SUCCESS", "lastAttemptTime": 1452185597.094 }, "name": "default" } ] }

L'exemple de code suivant montre comment utiliserdescribe-delivery-channels.

AWS CLI

Pour obtenir des informations sur le canal de livraison

La commande suivante renvoie des informations sur le canal de diffusion :

aws configservice describe-delivery-channels

Sortie :

{ "DeliveryChannels": [ { "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic", "name": "default", "s3BucketName": "config-bucket-123456789012" } ] }

L'exemple de code suivant montre comment utiliserget-compliance-details-by-config-rule.

AWS CLI

Pour obtenir les résultats de l'évaluation d'une règle AWS Config

La commande suivante renvoie les résultats de l'évaluation pour toutes les ressources qui ne sont pas conformes à une règle de AWS configuration nommée InstanceTypesAreT2micro :

aws configservice get-compliance-details-by-config-rule --config-rule-name InstanceTypesAreT2micro --compliance-types NON_COMPLIANT

Sortie :

{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314645.261, "ConfigRuleInvokedTime": 1450314642.948, "ComplianceType": "NON_COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-2a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314645.18, "ConfigRuleInvokedTime": 1450314642.902, "ComplianceType": "NON_COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-3a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314643.346, "ConfigRuleInvokedTime": 1450314643.124, "ComplianceType": "NON_COMPLIANT" } ] }

L'exemple de code suivant montre comment utiliserget-compliance-details-by-resource.

AWS CLI

Pour obtenir les résultats de l'évaluation d'une AWS ressource

La commande suivante renvoie les résultats de l'évaluation pour chaque règle à laquelle l'EC2instance i-1a2b3c4d n'est pas conforme :

aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

Sortie :

{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314643.288, "ConfigRuleInvokedTime": 1450314643.034, "ComplianceType": "NON_COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "ConfigRuleName": "RequiredTagForEC2Instances" } }, "ResultRecordedTime": 1450314645.261, "ConfigRuleInvokedTime": 1450314642.948, "ComplianceType": "NON_COMPLIANT" } ] }

L'exemple de code suivant montre comment utiliserget-compliance-summary-by-config-rule.

AWS CLI

Pour obtenir le résumé de conformité de vos règles de AWS Config

La commande suivante renvoie le nombre de règles conformes et le nombre de règles non conformes :

aws configservice get-compliance-summary-by-config-rule

Dans la sortie, la valeur de chaque CappedCount attribut indique le nombre de règles conformes ou non conformes.

Sortie :

{ "ComplianceSummary": { "NonCompliantResourceCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceSummaryTimestamp": 1452204131.493, "CompliantResourceCount": { "CappedCount": 2, "CapExceeded": false } } }

L'exemple de code suivant montre comment utiliserget-compliance-summary-by-resource-type.

AWS CLI

Pour obtenir le résumé de conformité pour tous les types de ressources

La commande suivante renvoie le nombre de AWS ressources non conformes et le nombre de ressources conformes :

aws configservice get-compliance-summary-by-resource-type

Dans la sortie, la valeur de chaque CappedCount attribut indique le nombre de ressources conformes ou non conformes.

Sortie :

{ "ComplianceSummariesByResourceType": [ { "ComplianceSummary": { "NonCompliantResourceCount": { "CappedCount": 16, "CapExceeded": false }, "ComplianceSummaryTimestamp": 1453237464.543, "CompliantResourceCount": { "CappedCount": 10, "CapExceeded": false } } } ] }

Pour obtenir le résumé de conformité pour un type de ressource spécifique

La commande suivante renvoie le nombre d'EC2instances non conformes et le nombre d'instances conformes :

aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

Dans la sortie, la valeur de chaque CappedCount attribut indique le nombre de ressources conformes ou non conformes.

Sortie :

{ "ComplianceSummariesByResourceType": [ { "ResourceType": "AWS::EC2::Instance", "ComplianceSummary": { "NonCompliantResourceCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceSummaryTimestamp": 1452204923.518, "CompliantResourceCount": { "CappedCount": 7, "CapExceeded": false } } } ] }

L'exemple de code suivant montre comment utiliserget-resource-config-history.

AWS CLI

Pour obtenir l'historique de configuration d'une AWS ressource

La commande suivante renvoie une liste d'éléments de configuration pour une EC2 instance avec un ID de i-1a2b3c4d :

aws configservice get-resource-config-history --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d

L'exemple de code suivant montre comment utiliserget-status.

AWS CLI

Pour obtenir le statut de AWS Config

La commande suivante renvoie l'état du canal de diffusion et de l'enregistreur de configuration :

aws configservice get-status

Sortie :

Configuration Recorders: name: default recorder: ON last status: SUCCESS Delivery Channels: name: default last stream delivery status: SUCCESS last history delivery status: SUCCESS last snapshot delivery status: SUCCESS
  • Pour API plus de détails, voir GetStatusla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserlist-discovered-resources.

AWS CLI

Pour répertorier les ressources découvertes par AWS Config

La commande suivante répertorie les EC2 instances découvertes par AWS Config :

aws configservice list-discovered-resources --resource-type AWS::EC2::Instance

Sortie :

{ "resourceIdentifiers": [ { "resourceType": "AWS::EC2::Instance", "resourceId": "i-1a2b3c4d" }, { "resourceType": "AWS::EC2::Instance", "resourceId": "i-2a2b3c4d" }, { "resourceType": "AWS::EC2::Instance", "resourceId": "i-3a2b3c4d" } ] }

L'exemple de code suivant montre comment utiliserput-config-rule.

AWS CLI

Pour ajouter une règle Config AWS gérée

La commande suivante fournit le JSON code permettant d'ajouter une règle de configuration AWS gérée :

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.jsonest un JSON fichier qui contient la configuration des règles :

{ "ConfigRuleName": "RequiredTagsForEC2Instances", "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "Source": { "Owner": "AWS", "SourceIdentifier": "REQUIRED_TAGS" }, "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}" }

Pour l'ComplianceResourceTypesattribut, ce JSON code limite la portée aux ressources de ce AWS::EC2::Instance type, de sorte que AWS Config évaluera uniquement les EC2 instances par rapport à la règle. Comme la règle est une règle gérée, l'Ownerattribut est défini surAWS, et l'SourceIdentifierattribut est défini sur l'identifiant de règle,REQUIRED_TAGS. Pour l'InputParametersattribut, les clés de balise requises par la règle, CostCenter etOwner, sont spécifiées.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier la configuration de la règle, exécutez la describe-config-rules commande et spécifiez le nom de la règle.

Pour ajouter une règle Config gérée par le client

La commande suivante fournit le JSON code permettant d'ajouter une règle de configuration gérée par le client :

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.jsonest un JSON fichier qui contient la configuration des règles :

{ "ConfigRuleName": "InstanceTypesAreT2micro", "Description": "Evaluates whether EC2 instances are the t2.micro type.", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] }, "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}" }

Pour l'ComplianceResourceTypesattribut, ce JSON code limite la portée aux ressources de ce AWS::EC2::Instance type, de sorte que AWS Config évaluera uniquement les EC2 instances par rapport à la règle. Comme cette règle est une règle gérée par le client, l'Ownerattribut est défini surCUSTOM_LAMBDA, et l'SourceIdentifierattribut est défini sur celui ARN de la fonction AWS Lambda. L'SourceDetailsobjet est obligatoire. Les paramètres spécifiés pour l'InputParametersattribut sont transmis à la fonction AWS Lambda lorsque AWS Config l'invoque pour évaluer les ressources par rapport à la règle.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier la configuration de la règle, exécutez la describe-config-rules commande et spécifiez le nom de la règle.

  • Pour API plus de détails, voir PutConfigRulela section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserput-configuration-recorder.

AWS CLI

Exemple 1 : pour enregistrer toutes les ressources prises en charge

La commande suivante crée un enregistreur de configuration qui suit les modifications apportées à tous les types de ressources pris en charge, y compris les types de ressources globaux :

aws configservice put-configuration-recorder \ --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \ --recording-group allSupported=true,includeGlobalResourceTypes=true

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre enregistreur de configuration, exécutez la describe-configuration-recorders commande.

Exemple 2 : pour enregistrer des types de ressources spécifiques

La commande suivante crée un enregistreur de configuration qui suit les modifications apportées uniquement aux types de ressources spécifiés dans le JSON fichier pour l'option --recording-group :

aws configservice put-configuration-recorder \ --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \ --recording-group file://recordingGroup.json

recordingGroup.json est un JSON fichier qui spécifie les types de ressources que AWS Config enregistrera :

{ "allSupported": false, "includeGlobalResourceTypes": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ] }

Avant de pouvoir spécifier les types de ressources pour la resourceTypes clé, vous devez définir les options allSupported et includeGlobalResource Types sur false ou les omettre.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre enregistreur de configuration, exécutez la describe-configuration-recorders commande.

Exemple 3 : Pour sélectionner toutes les ressources prises en charge, à l'exception de certains types de ressources

La commande suivante crée un enregistreur de configuration qui suit les modifications apportées à tous les types de ressources pris en charge actuels et futurs, à l'exception des types de ressources spécifiés dans le JSON fichier pour l'option --recording-group :

aws configservice put-configuration-recorder \ --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \ --recording-group file://recordingGroup.json

recordingGroup.json est un JSON fichier qui spécifie les types de ressources que AWS Config enregistrera :

{ "allSupported": false, "exclusionByResourceTypes": { "resourceTypes": [ "AWS::Redshift::ClusterSnapshot", "AWS::RDS::DBClusterSnapshot", "AWS::CloudFront::StreamingDistribution" ] }, "includeGlobalResourceTypes": false, "recordingStrategy": { "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" }, }

Avant de pouvoir spécifier les types de ressources à exclure de l'enregistrement : 1) Vous devez définir les options allSupported et includeGlobalResource Types sur false ou les omettre, et 2) Vous devez définir le useOnly champ de RecordingStrategy sur EXCLUSION _BY_ _RESOURCE. TYPES

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre enregistreur de configuration, exécutez la describe-configuration-recorders commande.

L'exemple de code suivant montre comment utiliserput-delivery-channel.

AWS CLI

Pour créer un canal de diffusion

La commande suivante fournit les paramètres du canal de diffusion sous forme de JSON code :

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Le deliveryChannel.json fichier spécifie les attributs du canal de diffusion :

{ "name": "default", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }

Cet exemple définit les attributs suivants :

name- Le nom du canal de diffusion. Par défaut, AWS Config attribue le nom default à un nouveau canal de distribution. Vous ne pouvez pas mettre à jour le nom du canal de distribution avec la commande. put-delivery-channel Pour connaître les étapes à suivre pour modifier le nom, voir Renommer le canal de diffusion. s3BucketName - Le nom du compartiment Amazon S3 auquel AWS Config fournit des instantanés de configuration et des fichiers d'historique de configuration. Si vous spécifiez un compartiment appartenant à un autre AWS compte, ce compartiment doit disposer de politiques accordant des autorisations d'accès à Config. AWS Pour de plus d'informations, consultez Autorisations pour le compartiment Amazon S3.

snsTopicARN- Le nom de ressource Amazon (ARN) du SNS sujet Amazon auquel AWS Config envoie des notifications concernant les modifications de configuration. Si vous choisissez un sujet depuis un autre compte, le sujet doit avoir des politiques accordant des autorisations d'accès à Config AWS . Pour plus d'informations, consultez la section Autorisations pour la SNS rubrique Amazon.

configSnapshotDeliveryProperties- Contient l'deliveryFrequencyattribut, qui définit la fréquence à laquelle AWS Config fournit des instantanés de configuration et la fréquence à laquelle il invoque des évaluations pour les règles de configuration périodiques.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre canal de diffusion, exécutez la describe-delivery-channels commande.

  • Pour API plus de détails, voir PutDeliveryChannella section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserstart-config-rules-evaluation.

AWS CLI

Pour exécuter une évaluation à la demande des règles AWS Config

La commande suivante lance une évaluation pour deux règles AWS gérées :

aws configservice start-config-rules-evaluation --config-rule-names s3-bucket-versioning-enabled cloudtrail-enabled

L'exemple de code suivant montre comment utiliserstart-configuration-recorder.

AWS CLI

Pour démarrer l'enregistreur de configuration

La commande suivante démarre l'enregistreur de configuration par défaut :

aws configservice start-configuration-recorder --configuration-recorder-name default

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier que AWS Config enregistre vos ressources, exécutez la commande get-status.

L'exemple de code suivant montre comment utiliserstop-configuration-recorder.

AWS CLI

Pour arrêter l'enregistreur de configuration

La commande suivante arrête l'enregistreur de configuration par défaut :

aws configservice stop-configuration-recorder --configuration-recorder-name default

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier que AWS Config n'enregistre pas vos ressources, exécutez la commande get-status.

L'exemple de code suivant montre comment utilisersubscribe.

AWS CLI

Pour vous abonner à AWS Config

La commande suivante crée le canal de diffusion et l'enregistreur de configuration par défaut. La commande spécifie également le compartiment Amazon S3 et la SNS rubrique Amazon auxquels AWS Config fournira les informations de configuration :

aws configservice subscribe --s3-bucket config-bucket-123456789012 --sns-topic arn:aws:sns:us-east-1:123456789012:config-topic --iam-role arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6

Sortie :

Using existing S3 bucket: config-bucket-123456789012 Using existing SNS topic: arn:aws:sns:us-east-1:123456789012:config-topic Subscribe succeeded: Configuration Recorders: [ { "recordingGroup": { "allSupported": true, "resourceTypes": [], "includeGlobalResourceTypes": false }, "roleARN": "arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6", "name": "default" } ] Delivery Channels: [ { "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic", "name": "default", "s3BucketName": "config-bucket-123456789012" } ]
  • Pour API plus de détails, voir Subscribe dans AWS CLI Command Reference.