Affichage des informations de conformité et des résultats d'évaluation de vos AWS ressources - AWS Config
Affichage de la conformité (console)Visualisation de la conformité (AWS SDK)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Affichage des informations de conformité et des résultats d'évaluation de vos AWS ressources

Important

Pour obtenir des rapports précis sur l'état de conformité, vous devez enregistrer le type de ressource AWS::Config::ResourceCompliance. Pour plus d'informations, consultez la section AWS Ressources d'enregistrement.

Vous pouvez utiliser la AWS Config console ou AWS les SDK pour consulter les informations de conformité et les résultats d'évaluation de vos ressources.

Affichage de la conformité (console)

  1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/.

  2. Dans le AWS Management Console menu, vérifiez que le sélecteur de région est défini sur une région qui prend en charge les AWS Config règles. Pour obtenir la liste des régions prises en charge, consultez la section Régions et points de terminaison AWS Config dans le Référence générale d'Amazon Web Services.

  3. Dans le panneau de navigation, choisissez Resources (Ressources). Sur la page Inventaire des ressources, vous pouvez filtrer par catégorie de ressource, type de ressource et état de conformité. Choisissez Inclure les ressources supprimées, le cas échéant. La tableau affiche l'identifiant de ressource correspondant au type de ressource ainsi que l'état de conformité de cette ressource. L'identifiant de ressource peut être un ID de ressource ou un nom de ressource.

  4. Choisissez une ressource dans la colonne des identifiants de ressource.

  5. Cliquez sur le bouton Chronologie des ressources. Vous pouvez filtrer par événements de configuration, événements de conformité ou CloudTrail événements.

    Note

    Sinon, sur la page Inventaire des ressources, vous pouvez directement choisir le nom de la ressource. Pour accéder à la chronologie des ressources depuis la page des détails des ressources, cliquez sur le bouton Chronologie des ressources.

Vous pouvez aussi afficher la conformité de vos ressources en les examinant dans la page Resource inventory (Inventaire des ressources). Pour plus d’informations, consultez Recherche de ressources découvertes par AWS Config.

Visualisation de la conformité (AWS SDK)

Les exemples de code suivants montrent comment utiliserDescribeComplianceByResource.

CLI
AWS CLI

Pour obtenir des informations de conformité pour vos AWS ressources

La commande suivante renvoie des informations de conformité pour chaque instance EC2 enregistrée par AWS Config et qui enfreint une ou plusieurs règles :

aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

Dans le résultat, la valeur de chaque CappedCount attribut indique le nombre de règles violées par la ressource. Par exemple, le résultat suivant indique que l'instance i-1a2b3c4d enfreint 2 règles.

Sortie :

{
    "ComplianceByResources": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-1a2b3c4d",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 2,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        },
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-2a2b3c4d ",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        }
    ]
}
PowerShell
Outils pour PowerShell

Exemple 1 : Cet exemple vérifie le type de AWS::SSM::ManagedInstanceInventory ressource pour le type de conformité « COMPLIANT ».

Get-CFGComplianceByResource -ComplianceType COMPLIANT -ResourceType AWS::SSM::ManagedInstanceInventory

Sortie :

Compliance                            ResourceId          ResourceType
----------                            ----------          ------------
Amazon.ConfigService.Model.Compliance i-0123bcf4b567890e3 AWS::SSM::ManagedInstanceInventory
Amazon.ConfigService.Model.Compliance i-0a1234f6f5d6b78f7 AWS::SSM::ManagedInstanceInventory

  • Pour plus de détails sur l'API, reportez-vous DescribeComplianceByResourceà la section Référence des AWS Tools for PowerShell applets de commande.

Les exemples de code suivants montrent comment utiliserGetComplianceSummaryByResourceType.

CLI
AWS CLI

Pour obtenir le résumé de conformité pour tous les types de ressources

La commande suivante renvoie le nombre de AWS ressources non conformes et le nombre de ressources conformes :

aws configservice get-compliance-summary-by-resource-type

Dans la sortie, la valeur de chaque CappedCount attribut indique le nombre de ressources conformes ou non conformes.

Sortie :

{
    "ComplianceSummariesByResourceType": [
        {
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 16,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1453237464.543,
                "CompliantResourceCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                }
            }
        }
    ]
}

Pour obtenir le résumé de conformité pour un type de ressource spécifique

La commande suivante renvoie le nombre d'instances EC2 non conformes et le nombre d'instances conformes :

aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

Dans la sortie, la valeur de chaque CappedCount attribut indique le nombre de ressources conformes ou non conformes.

Sortie :

{
    "ComplianceSummariesByResourceType": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1452204923.518,
                "CompliantResourceCount": {
                    "CappedCount": 7,
                    "CapExceeded": false
                }
            }
        }
    ]
}
PowerShell
Outils pour PowerShell

Exemple 1 : Cet exemple renvoie le nombre de ressources conformes ou non conformes et convertit la sortie en json.

Get-CFGComplianceSummaryByResourceType -Select ComplianceSummariesByResourceType.ComplianceSummary | ConvertTo-Json
{
  "ComplianceSummaryTimestamp": "2019-12-14T06:14:49.778Z",
  "CompliantResourceCount": {
    "CapExceeded": false,
    "CappedCount": 2
  },
  "NonCompliantResourceCount": {
    "CapExceeded": true,
    "CappedCount": 100
  }
}

Les exemples de code suivants montrent comment utiliserGetComplianceDetailsByResource.

CLI
AWS CLI

Pour obtenir les résultats de l'évaluation d'une AWS ressource

La commande suivante renvoie les résultats de l'évaluation pour chaque règle à laquelle l'instance EC2 n'est i-1a2b3c4d pas conforme :

aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

Sortie :

{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.288,
            "ConfigRuleInvokedTime": 1450314643.034,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "RequiredTagForEC2Instances"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}
PowerShell
Outils pour PowerShell

Exemple 1 : Cet exemple d'évaluation donne des résultats pour la ressource donnée.

Get-CFGComplianceDetailsByResource -ResourceId ABCD5STJ4EFGHIVEW6JAH -ResourceType 'AWS::IAM::User'

Sortie :

Annotation                 :
ComplianceType             : COMPLIANT
ConfigRuleInvokedTime      : 8/25/2019 11:34:56 PM
EvaluationResultIdentifier : Amazon.ConfigService.Model.EvaluationResultIdentifier
ResultRecordedTime         : 8/25/2019 11:34:56 PM
ResultToken                :

  • Pour plus de détails sur l'API, reportez-vous GetComplianceDetailsByResourceà la section Référence des AWS Tools for PowerShell applets de commande.