AWS リソースのコンプライアンス情報と評価結果の表示 - AWS Config
コンプライアンスの表示 (コンソール)コンプライアンスの表示 (AWS SDKs)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS リソースのコンプライアンス情報と評価結果の表示

重要

コンプライアンスステータスを正確に報告するには、AWS::Config::ResourceCompliance リソースタイプを記録する必要があります。詳細については、AWS 「リソースの記録」を参照してください。

AWS Config コンソールまたは AWS SDKs を使用して、 リソースのコンプライアンス情報と評価結果を表示できます。

コンプライアンスの表示 (コンソール)

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/config/ で AWS Config コンソールを開きます。

  2. AWS Management Console メニューで、リージョンセレクタが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされているリージョンのリストについては、AWS Config の「Amazon Web Services 全般のリファレンスのリージョンとエンドポイント」を参照してください。

  3. ナビゲーションペインで、[Resources] (リソース) を選択します。[Resource inventory] (リソースのインベントリ) ページで、リソースカテゴリ、リソースタイプ、およびコンプライアンスステータスでフィルタリングできます。必要に応じて、[Include deleted resources] (削除されたリソースを含める) をクリックします。この表には、リソースタイプのリソース識別子、およびそのリソースのリソースコンプライアンスのステータスが表示されます。リソース識別子とは、リソース ID またはリソース名です。

  4. リソース識別子の列からリソースを選択します。

  5. [Resource Timeline] (リソースタイムライン) ボタンをクリックします。設定イベント、コンプライアンスイベント、または CloudTrail イベントでフィルタリングできます。

    注記

    または、[Resource inventory] (リソースのインベントリ) ページでリソース名を直接クリックすることもできます。[Resource Details] (リソースの詳細) ページからリソースタイムラインにアクセスする場合は、[Resource Timeline] (リソースタイムライン) ボタンを使用します。

また、[Resource inventory] (リソースのインベントリ) ページでリソースを探し、そのコンプライアンス状態を確認することもできます。詳細については、「によって検出されたリソースの検索 AWS Config」を参照してください。

コンプライアンスの表示 (AWS SDKs)

以下のコード例は、DescribeComplianceByResource の使用方法を示しています。

CLI
AWS CLI

AWS リソースのコンプライアンス情報を取得するには

次のコマンドは、 AWS Config によって記録され、1 つ以上のルールに違反する各 EC2 インスタンスのコンプライアンス情報を返します。

aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

出力では、各CappedCount属性の値は、リソースが違反するルールの数を示します。例えば、次の出力は、インスタンスが 2 つのルールi-1a2b3c4dに違反していることを示しています。

出力:

{
    "ComplianceByResources": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-1a2b3c4d",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 2,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        },
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-2a2b3c4d ",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        }
    ]
}

  • API の詳細については、「 コマンドリファレンスDescribeComplianceByResource」の「」を参照してください。 AWS CLI

PowerShell
のツール PowerShell

例 1: この例では、「COMPLIANT」コンプライアンスタイプのAWS::SSM::ManagedInstanceInventoryリソースタイプをチェックします。

Get-CFGComplianceByResource -ComplianceType COMPLIANT -ResourceType AWS::SSM::ManagedInstanceInventory

出力:

Compliance                            ResourceId          ResourceType
----------                            ----------          ------------
Amazon.ConfigService.Model.Compliance i-0123bcf4b567890e3 AWS::SSM::ManagedInstanceInventory
Amazon.ConfigService.Model.Compliance i-0a1234f6f5d6b78f7 AWS::SSM::ManagedInstanceInventory

  • API の詳細については、「 コマンドレットリファレンスDescribeComplianceByResource」の「」を参照してください。 AWS Tools for PowerShell

以下のコード例は、GetComplianceSummaryByResourceType の使用方法を示しています。

CLI
AWS CLI

すべてのリソースタイプのコンプライアンス概要を取得するには

次のコマンドは、非準拠の AWS リソースの数と準拠しているリソースの数を返します。

aws configservice get-compliance-summary-by-resource-type

出力では、各CappedCount属性の値は、準拠または非準拠のリソースの数を示します。

出力:

{
    "ComplianceSummariesByResourceType": [
        {
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 16,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1453237464.543,
                "CompliantResourceCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                }
            }
        }
    ]
}

特定のリソースタイプのコンプライアンス概要を取得するには

次のコマンドは、非準拠の EC2 インスタンスの数と準拠している数を返します。

aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

出力では、各CappedCount属性の値は、準拠または非準拠のリソースの数を示します。

出力:

{
    "ComplianceSummariesByResourceType": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1452204923.518,
                "CompliantResourceCount": {
                    "CappedCount": 7,
                    "CapExceeded": false
                }
            }
        }
    ]
}
PowerShell
のツール PowerShell

例 1: このサンプルは、準拠または非準拠のリソースの数を返し、出力を json に変換します。

Get-CFGComplianceSummaryByResourceType -Select ComplianceSummariesByResourceType.ComplianceSummary | ConvertTo-Json
{
  "ComplianceSummaryTimestamp": "2019-12-14T06:14:49.778Z",
  "CompliantResourceCount": {
    "CapExceeded": false,
    "CappedCount": 2
  },
  "NonCompliantResourceCount": {
    "CapExceeded": true,
    "CappedCount": 100
  }
}

  • API の詳細については、「 コマンドレットリファレンスGetComplianceSummaryByResourceType」の「」を参照してください。 AWS Tools for PowerShell

以下のコード例は、GetComplianceDetailsByResource の使用方法を示しています。

CLI
AWS CLI

AWS リソースの評価結果を取得するには

次のコマンドは、EC2 インスタンスが準拠i-1a2b3c4dしていない各ルールの評価結果を返します。

aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

出力:

{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.288,
            "ConfigRuleInvokedTime": 1450314643.034,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "RequiredTagForEC2Instances"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}
PowerShell
のツール PowerShell

例 1: この例では、特定のリソースのエビギュレーション結果を示します。

Get-CFGComplianceDetailsByResource -ResourceId ABCD5STJ4EFGHIVEW6JAH -ResourceType 'AWS::IAM::User'

出力:

Annotation                 :
ComplianceType             : COMPLIANT
ConfigRuleInvokedTime      : 8/25/2019 11:34:56 PM
EvaluationResultIdentifier : Amazon.ConfigService.Model.EvaluationResultIdentifier
ResultRecordedTime         : 8/25/2019 11:34:56 PM
ResultToken                :

  • API の詳細については、「 コマンドレットリファレンスGetComplianceDetailsByResource」の「」を参照してください。 AWS Tools for PowerShell