翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Config ルールの詳細とコンプライアンス情報の表示
**重要**
コンプライアンスステータスを正確に報告するには、`AWS::Config::ResourceCompliance` リソースタイプを記録する必要があります。詳細については、[AWS 「リソースの記録](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)」を参照してください。
AWS Config コンソールまたは AWS SDKs を使用してルールを表示できます。
**Topics**
+ [コンソールを使用する](#evaluate-config_view-rules-console)
+ [AWS SDKsの使用](#evaluate-config_view-rules-cli)
## ルールの表示 (コンソール)
**[ルール]** ページの表に、ルールとその現在のコンプライアンス結果が表示されます。がルールに対するリソースの評価 AWS Config を完了するまで、各ルールの結果は**評価中...** です。結果は、更新ボタンにより更新できます。が評価 AWS Config を完了すると、準拠または非準拠のルールとリソースタイプを確認できます。詳細については、「[を使用した AWS リソースのコンプライアンス情報と評価結果の表示 AWS Config](evaluate-config_view-compliance.md)」を参照してください。
**注記**
AWS Config は、記録するリソースタイプのみを評価します。例えば、**cloudtrail 対応**ルールを追加しても CloudTrail 証跡リソースタイプを記録しない場合、 AWS Config はアカウントの証跡が準拠しているかどうかを評価できません。詳細については、「[を使用した AWS リソースの記録 AWS Config考慮事項](select-resources.md)」を参照してください。
### ルールの表示
**ルールを表示するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) で AWS Config コンソールを開きます。
1. AWS マネジメントコンソール メニューで、リージョンセレクタが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされているリージョンのリストについては、「*Amazon Web Services 全般のリファレンス*」の「[AWS Config リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html#awsconfig_region)」を参照してください。
1. 左のナビゲーションで、**[ルール]** を選択します。
1. **ルール**ページには、現在 にあるすべてのルールが表示されます AWS アカウント。ここには、各ルールの名前、関連する修復アクション、およびコンプライアンスステータスが一覧表示されます。
+ **[Add rule]** (ルールの追加) を選択し、ルールの作成を開始します。
+ ルールを選択して設定を表示するか、ルールを選択して **[View details]** (詳細を表示) をクリックします。
+ リソースを評価したときのルールのコンプライアンス状態が表示されます。
+ ルールを選択し、**[Edit rule]** (ルールの編集) をクリックしてルールの設定を変更し、準拠していないルールの修復アクションを設定します。
## ルールの表示 (AWS SDKs)
### ルールの詳細の表示
次のサンプルコードは、`DescribeConfigRules` を使用する方法を説明しています。
------
#### [ CLI ]
**AWS CLI**
**Config AWS ルールの詳細を取得するには**
次のコマンドは、 という名前 AWS の Config ルールの詳細を返します`InstanceTypesAreT2micro`。
```
aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro
```
出力:
```
{
"ConfigRules": [
{
"ConfigRuleState": "ACTIVE",
"Description": "Evaluates whether EC2 instances are the t2.micro type.",
"ConfigRuleName": "InstanceTypesAreT2micro",
"ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
"Source": {
"Owner": "CUSTOM_LAMBDA",
"SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
"SourceDetails": [
{
"EventSource": "aws.config",
"MessageType": "ConfigurationItemChangeNotification"
}
]
},
"InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}",
"Scope": {
"ComplianceResourceTypes": [
"AWS::EC2::Instance"
]
},
"ConfigRuleId": "config-rule-abcdef"
}
]
}
```
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[DescribeConfigRules](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/describe-config-rules.html)」を参照してください。
------
#### [ PowerShell ]
**Tools for PowerShell V4**
**例 1: このサンプルは、選択したプロパティを持つアカウントの設定ルールを一覧表示します。**
```
Get-CFGConfigRule | Select-Object ConfigRuleName, ConfigRuleId, ConfigRuleArn, ConfigRuleState
```
**出力:**
```
ConfigRuleName ConfigRuleId ConfigRuleArn ConfigRuleState
-------------- ------------ ------------- ---------------
ALB_REDIRECTION_CHECK config-rule-12iyn3 arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-12iyn3 ACTIVE
access-keys-rotated config-rule-aospfr arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-aospfr ACTIVE
autoscaling-group-elb-healthcheck-required config-rule-cn1f2x arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-cn1f2x ACTIVE
```
+ API の詳細については、「*AWS Tools for PowerShell コマンドレットリファレンス (V4)*」の「[DescribeConfigRules](https://docs.aws.amazon.com/powershell/v4/reference)」を参照してください。
**Tools for PowerShell V5**
**例 1: このサンプルは、選択したプロパティを持つアカウントの設定ルールを一覧表示します。**
```
Get-CFGConfigRule | Select-Object ConfigRuleName, ConfigRuleId, ConfigRuleArn, ConfigRuleState
```
**出力:**
```
ConfigRuleName ConfigRuleId ConfigRuleArn ConfigRuleState
-------------- ------------ ------------- ---------------
ALB_REDIRECTION_CHECK config-rule-12iyn3 arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-12iyn3 ACTIVE
access-keys-rotated config-rule-aospfr arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-aospfr ACTIVE
autoscaling-group-elb-healthcheck-required config-rule-cn1f2x arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-cn1f2x ACTIVE
```
+ API の詳細については、「*AWS Tools for PowerShell コマンドレットリファレンス (V5)*」の「[DescribeConfigRules](https://docs.aws.amazon.com/powershell/v5/reference)」を参照してください。
------
#### [ Python ]
**SDK for Python (Boto3)**
GitHub には、その他のリソースもあります。用例一覧を検索し、[AWS コード例リポジトリ](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/config#code-examples)での設定と実行の方法を確認してください。
```
class ConfigWrapper:
"""
Encapsulates AWS Config functions.
"""
def __init__(self, config_client):
"""
:param config_client: A Boto3 AWS Config client.
"""
self.config_client = config_client
def describe_config_rule(self, rule_name):
"""
Gets data for the specified rule.
:param rule_name: The name of the rule to retrieve.
:return: The rule data.
"""
try:
response = self.config_client.describe_config_rules(
ConfigRuleNames=[rule_name]
)
rule = response["ConfigRules"]
logger.info("Got data for rule %s.", rule_name)
except ClientError:
logger.exception("Couldn't get data for rule %s.", rule_name)
raise
else:
return rule
```
+ API の詳細については、「*AWS SDK for Python (Boto3) API Reference*」の「[DescribeConfigRules](https://docs.aws.amazon.com/goto/boto3/config-2014-11-12/DescribeConfigRules)」を参照してください。
------
#### [ SAP ABAP ]
**SDK for SAP ABAP**
GitHub には、その他のリソースもあります。用例一覧を検索し、[AWS コード例リポジトリ](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/sap-abap/services/cfs#code-examples)での設定と実行の方法を確認してください。
```
DATA(lo_result) = lo_cfs->describeconfigrules(
it_configrulenames = VALUE /aws1/cl_cfsconfigrulenames_w=>tt_configrulenames(
( NEW /aws1/cl_cfsconfigrulenames_w( iv_rule_name ) )
)
).
ot_cfg_rules = lo_result->get_configrules( ).
MESSAGE 'Retrieved AWS Config rule data.' TYPE 'I'.
```
+ API の詳細については、 *AWS SDK for SAP ABAP API リファレンス*の「[DescribeConfigRules](https://docs.aws.amazon.com/sdk-for-sap-abap/v1/api/latest/index.html)」を参照してください。
------
### ルールのコンプライアンス情報の表示
次のサンプルコードは、`DescribeComplianceByConfigRule` を使用する方法を説明しています。
------
#### [ CLI ]
**AWS CLI**
**Config AWS ルールのコンプライアンス情報を取得するには**
次のコマンドは、1 つ以上の AWS リソースによって違反された各 AWS Config ルールのコンプライアンス情報を返します。
```
aws configservice describe-compliance-by-config-rule --compliance-types NON_COMPLIANT
```
出力では、各 `CappedCount` 属性の値は、関連するルールに準拠していないリソースの数を示します。例えば、次の出力は、3 つのリソースが `InstanceTypesAreT2micro` という名前のルールに準拠していないことを示しています。
出力:
```
{
"ComplianceByConfigRules": [
{
"Compliance": {
"ComplianceContributorCount": {
"CappedCount": 3,
"CapExceeded": false
},
"ComplianceType": "NON_COMPLIANT"
},
"ConfigRuleName": "InstanceTypesAreT2micro"
},
{
"Compliance": {
"ComplianceContributorCount": {
"CappedCount": 10,
"CapExceeded": false
},
"ComplianceType": "NON_COMPLIANT"
},
"ConfigRuleName": "RequiredTagsForVolumes"
}
]
}
```
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[DescribeComplianceByConfigRule](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/describe-compliance-by-config-rule.html)」を参照してください。
------
#### [ PowerShell ]
**Tools for PowerShell V4**
**例 1: この例では、ルールの現在の評価結果がないため、INSUFFICIENT\$1DATA が返されるルール ebs-optimized-instance のコンプライアンスの詳細を取得します。**
```
(Get-CFGComplianceByConfigRule -ConfigRuleName ebs-optimized-instance).Compliance
```
**出力:**
```
ComplianceContributorCount ComplianceType
-------------------------- --------------
INSUFFICIENT_DATA
```
**例 2: この例では、ルール ALB\$1HTTP\$1TO\$1HTTPS\$1REDIRECTION\$1CHECK の非準拠リソースの数を返します。**
```
(Get-CFGComplianceByConfigRule -ConfigRuleName ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK -ComplianceType NON_COMPLIANT).Compliance.ComplianceContributorCount
```
**出力:**
```
CapExceeded CappedCount
----------- -----------
False 2
```
+ API の詳細については、「*AWS Tools for PowerShell コマンドレットリファレンス (V4)*」の「[DescribeComplianceByConfigRule](https://docs.aws.amazon.com/powershell/v4/reference)」を参照してください。
**Tools for PowerShell V5**
**例 1: この例では、ルールの現在の評価結果がないため、INSUFFICIENT\$1DATA が返されるルール ebs-optimized-instance のコンプライアンスの詳細を取得します。**
```
(Get-CFGComplianceByConfigRule -ConfigRuleName ebs-optimized-instance).Compliance
```
**出力:**
```
ComplianceContributorCount ComplianceType
-------------------------- --------------
INSUFFICIENT_DATA
```
**例 2: この例では、ルール ALB\$1HTTP\$1TO\$1HTTPS\$1REDIRECTION\$1CHECK の非準拠リソースの数を返します。**
```
(Get-CFGComplianceByConfigRule -ConfigRuleName ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK -ComplianceType NON_COMPLIANT).Compliance.ComplianceContributorCount
```
**出力:**
```
CapExceeded CappedCount
----------- -----------
False 2
```
+ API の詳細については、「*AWS Tools for PowerShell コマンドレットリファレンス (V5)*」 の「[DescribeComplianceByConfigRule](https://docs.aws.amazon.com/powershell/v5/reference)」を参照してください。
------
### ルールのコンプライアンス概要の表示
次のサンプルコードは、`GetComplianceSummaryByConfigRule` を使用する方法を説明しています。
------
#### [ CLI ]
**AWS CLI**
**Config AWS ルールのコンプライアンス概要を取得するには**
次のコマンドは、準拠しているルールの数と準拠していないルールの数を返します。
```
aws configservice get-compliance-summary-by-config-rule
```
出力では、各 `CappedCount` 属性の値は、準拠または非準拠のルールの数を示します。
出力:
```
{
"ComplianceSummary": {
"NonCompliantResourceCount": {
"CappedCount": 3,
"CapExceeded": false
},
"ComplianceSummaryTimestamp": 1452204131.493,
"CompliantResourceCount": {
"CappedCount": 2,
"CapExceeded": false
}
}
}
```
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[GetComplianceSummaryByConfigRule](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/get-compliance-summary-by-config-rule.html)」を参照してください。
------
#### [ PowerShell ]
**Tools for PowerShell V4**
**例 1: このサンプルは、非準拠の Config ルールの数を返します。**
```
Get-CFGComplianceSummaryByConfigRule -Select ComplianceSummary.NonCompliantResourceCount
```
**出力:**
```
CapExceeded CappedCount
----------- -----------
False 9
```
+ API の詳細については、「*AWS Tools for PowerShell コマンドレットリファレンス (V4)*」の「[GetComplianceSummaryByConfigRule](https://docs.aws.amazon.com/powershell/v4/reference)」を参照してください。
**Tools for PowerShell V5**
**例 1: このサンプルは、非準拠の Config ルールの数を返します。**
```
Get-CFGComplianceSummaryByConfigRule -Select ComplianceSummary.NonCompliantResourceCount
```
**出力:**
```
CapExceeded CappedCount
----------- -----------
False 9
```
+ API の詳細については、「*AWS Tools for PowerShell コマンドレットリファレンス (V5)*」 の「[GetComplianceSummaryByConfigRule](https://docs.aws.amazon.com/powershell/v5/reference)」を参照してください。
------
### ルールの評価結果の表示
次のサンプルコードは、`GetComplianceDetailsByConfigRule` を使用する方法を説明しています。
------
#### [ CLI ]
**AWS CLI**
**Config AWS ルールの評価結果を取得するには**
次のコマンドは、 という名前の Config AWS ルールに準拠していないすべてのリソースの評価結果を返します`InstanceTypesAreT2micro`。
```
aws configservice get-compliance-details-by-config-rule --config-rule-name InstanceTypesAreT2micro --compliance-types NON_COMPLIANT
```
出力:
```
{
"EvaluationResults": [
{
"EvaluationResultIdentifier": {
"OrderingTimestamp": 1450314635.065,
"EvaluationResultQualifier": {
"ResourceType": "AWS::EC2::Instance",
"ResourceId": "i-1a2b3c4d",
"ConfigRuleName": "InstanceTypesAreT2micro"
}
},
"ResultRecordedTime": 1450314645.261,
"ConfigRuleInvokedTime": 1450314642.948,
"ComplianceType": "NON_COMPLIANT"
},
{
"EvaluationResultIdentifier": {
"OrderingTimestamp": 1450314635.065,
"EvaluationResultQualifier": {
"ResourceType": "AWS::EC2::Instance",
"ResourceId": "i-2a2b3c4d",
"ConfigRuleName": "InstanceTypesAreT2micro"
}
},
"ResultRecordedTime": 1450314645.18,
"ConfigRuleInvokedTime": 1450314642.902,
"ComplianceType": "NON_COMPLIANT"
},
{
"EvaluationResultIdentifier": {
"OrderingTimestamp": 1450314635.065,
"EvaluationResultQualifier": {
"ResourceType": "AWS::EC2::Instance",
"ResourceId": "i-3a2b3c4d",
"ConfigRuleName": "InstanceTypesAreT2micro"
}
},
"ResultRecordedTime": 1450314643.346,
"ConfigRuleInvokedTime": 1450314643.124,
"ComplianceType": "NON_COMPLIANT"
}
]
}
```
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[GetComplianceDetailsByConfigRule](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/get-compliance-details-by-config-rule.html)」を参照してください。
------
#### [ PowerShell ]
**Tools for PowerShell V4**
**例 1: この例では、ルール access-keys-rotated の評価結果を取得し、コンプライアンスタイプ別にグループ化された出力を返します。**
```
Get-CFGComplianceDetailsByConfigRule -ConfigRuleName access-keys-rotated | Group-Object ComplianceType
```
**出力:**
```
Count Name Group
----- ---- -----
2 COMPLIANT {Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationResult}
5 NON_COMPLIANT {Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationRes...
```
**例 2: この例では、COMPLIANT リソースの access-keys-rotated ルールのコンプライアンスの詳細をクエリします。**
```
Get-CFGComplianceDetailsByConfigRule -ConfigRuleName access-keys-rotated -ComplianceType COMPLIANT | ForEach-Object {$_.EvaluationResultIdentifier.EvaluationResultQualifier}
```
**出力:**
```
ConfigRuleName ResourceId ResourceType
-------------- ---------- ------------
access-keys-rotated BCAB1CDJ2LITAPVEW3JAH AWS::IAM::User
access-keys-rotated BCAB1CDJ2LITL3EHREM4Q AWS::IAM::User
```
+ API の詳細については、「*AWS Tools for PowerShell コマンドレットリファレンス (V4)*」の「[GetComplianceDetailsByConfigRule](https://docs.aws.amazon.com/powershell/v4/reference)」を参照してください。
**Tools for PowerShell V5**
**例 1: この例では、ルール access-keys-rotated の評価結果を取得し、コンプライアンスタイプ別にグループ化された出力を返します。**
```
Get-CFGComplianceDetailsByConfigRule -ConfigRuleName access-keys-rotated | Group-Object ComplianceType
```
**出力:**
```
Count Name Group
----- ---- -----
2 COMPLIANT {Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationResult}
5 NON_COMPLIANT {Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationRes...
```
**例 2: この例では、COMPLIANT リソースの access-keys-rotated ルールのコンプライアンスの詳細をクエリします。**
```
Get-CFGComplianceDetailsByConfigRule -ConfigRuleName access-keys-rotated -ComplianceType COMPLIANT | ForEach-Object {$_.EvaluationResultIdentifier.EvaluationResultQualifier}
```
**出力:**
```
ConfigRuleName ResourceId ResourceType
-------------- ---------- ------------
access-keys-rotated BCAB1CDJ2LITAPVEW3JAH AWS::IAM::User
access-keys-rotated BCAB1CDJ2LITL3EHREM4Q AWS::IAM::User
```
+ API の詳細については、「*AWS Tools for PowerShell コマンドレットリファレンス (V5) *」の「[GetComplianceDetailsByConfigRule](https://docs.aws.amazon.com/powershell/v5/reference)」を参照してください。
------