Exibir a conformidade (console)Visualizando a conformidade (AWS SDKs)

Visualizando informações de conformidade e resultados de avaliação de seus AWS recursos com AWS Config

Importante

Para obter relatórios precisos sobre o status de conformidade, você deve registrar o tipo de recurso do AWS::Config::ResourceCompliance. Para obter mais informações, consulte AWS Recursos de gravação.

Você pode usar o AWS Config console ou AWS SDKs para visualizar as informações de conformidade e os resultados da avaliação de seus recursos.

Exibir a conformidade (console)

Faça login no AWS Management Console e abra o AWS Config console em https://console.aws.amazon.com/config/.
No AWS Management Console menu, verifique se o seletor de região está definido como uma região que suporte AWS Config regras. Para obter a lista das regiões compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.
No painel de navegação, escolha Resources (Recursos). Na página Inventário de recursos, você pode filtrar por categoria de recurso, tipo de recurso e status de conformidade. Escolha Incluir recursos excluídos, se apropriado. A tabela exibe o identificador do tipo de recurso e o status de compatibilidade desse recurso. O identificador de recursos pode ser um ID ou um nome de recurso.
Selecione o recurso na coluna de identificador de recurso.
Escolha o botão Cronograma do recurso. Você pode filtrar por eventos de configuração, eventos de conformidade ou CloudTrail eventos.

nota
Como alternativa, na página Inventário de recursos, você pode clicar no nome do recurso. Para acessar o cronograma de recursos na página de detalhes do recurso, escolha o botão Cronograma do recurso.

Você também pode exibir a compatibilidade de seus recursos procurando-os na página Resource inventory (Inventário de recursos). Para obter mais informações, consulte Pesquisando recursos que são descobertos por AWS Config.

Visualizando a conformidade (AWS SDKs)

Os exemplos de código a seguir mostram como usar o DescribeComplianceByResource.

CLI

AWS CLI

Para obter informações de conformidade para seus AWS recursos

O comando a seguir retorna informações de conformidade para cada EC2 instância registrada pelo AWS Config e que viola uma ou mais regras:


aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

Na saída, o valor de cada atributo CappedCount indica quantas regras o recurso viola. Por exemplo, a saída a seguir indica que a instância i-1a2b3c4d viola duas regras.

Saída:


{
    "ComplianceByResources": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-1a2b3c4d",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 2,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        },
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-2a2b3c4d ",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        }
    ]
}

Para obter detalhes da API, consulte DescribeComplianceByResourceem Referência de AWS CLI Comandos.

PowerShell

Ferramentas para PowerShell

Exemplo 1: este exemplo verifica o tipo de recurso AWS::SSM::ManagedInstanceInventory quanto ao tipo de conformidade “COMPLIANT”.


Get-CFGComplianceByResource -ComplianceType COMPLIANT -ResourceType AWS::SSM::ManagedInstanceInventory

Saída:


Compliance                            ResourceId          ResourceType
----------                            ----------          ------------
Amazon.ConfigService.Model.Compliance i-0123bcf4b567890e3 AWS::SSM::ManagedInstanceInventory
Amazon.ConfigService.Model.Compliance i-0a1234f6f5d6b78f7 AWS::SSM::ManagedInstanceInventory

Para obter detalhes da API, consulte DescribeComplianceByResourceem Referência de AWS Tools for PowerShell cmdlet.

Os exemplos de código a seguir mostram como usar o GetComplianceSummaryByResourceType.

CLI

AWS CLI

Para obter o resumo de conformidade para todos os tipos de recurso

O comando a seguir retorna o número de AWS recursos que não estão em conformidade e o número que estão em conformidade:


aws configservice get-compliance-summary-by-resource-type

Na saída, o valor de cada atributo CappedCount indica quantos recursos estão em conformidade ou não.

Saída:


{
    "ComplianceSummariesByResourceType": [
        {
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 16,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1453237464.543,
                "CompliantResourceCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                }
            }
        }
    ]
}

Para obter o resumo de conformidade para um tipo específico de recurso

O comando a seguir retorna o número de EC2 instâncias que não estão em conformidade e o número que estão em conformidade:


aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

Na saída, o valor de cada atributo CappedCount indica quantos recursos estão em conformidade ou não.

Saída:


{
    "ComplianceSummariesByResourceType": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1452204923.518,
                "CompliantResourceCount": {
                    "CappedCount": 7,
                    "CapExceeded": false
                }
            }
        }
    ]
}

Para obter detalhes da API, consulte GetComplianceSummaryByResourceTypeem Referência de AWS CLI Comandos.

PowerShell

Ferramentas para PowerShell

Exemplo 1: este exemplo retorna o número de recursos que estão em conformidade ou não e converte a saída em json.


Get-CFGComplianceSummaryByResourceType -Select ComplianceSummariesByResourceType.ComplianceSummary | ConvertTo-Json
{
  "ComplianceSummaryTimestamp": "2019-12-14T06:14:49.778Z",
  "CompliantResourceCount": {
    "CapExceeded": false,
    "CappedCount": 2
  },
  "NonCompliantResourceCount": {
    "CapExceeded": true,
    "CappedCount": 100
  }
}

Para obter detalhes da API, consulte GetComplianceSummaryByResourceTypeem Referência de AWS Tools for PowerShell cmdlet.

Os exemplos de código a seguir mostram como usar o GetComplianceDetailsByResource.

CLI

AWS CLI

Para obter os resultados da avaliação de um AWS recurso

O comando a seguir retorna os resultados da avaliação de cada regra com a qual a EC2 instância i-1a2b3c4d não está em conformidade:


aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

Saída:


{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.288,
            "ConfigRuleInvokedTime": 1450314643.034,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "RequiredTagForEC2Instances"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

Para obter detalhes da API, consulte GetComplianceDetailsByResourceem Referência de AWS CLI Comandos.

PowerShell

Ferramentas para PowerShell

Exemplo 1: este exemplo avalia resultados para um determinado recurso.


Get-CFGComplianceDetailsByResource -ResourceId ABCD5STJ4EFGHIVEW6JAH -ResourceType 'AWS::IAM::User'

Saída:


Annotation                 :
ComplianceType             : COMPLIANT
ConfigRuleInvokedTime      : 8/25/2019 11:34:56 PM
EvaluationResultIdentifier : Amazon.ConfigService.Model.EvaluationResultIdentifier
ResultRecordedTime         : 8/25/2019 11:34:56 PM
ResultToken                :

Para obter detalhes da API, consulte GetComplianceDetailsByResourceem Referência de AWS Tools for PowerShell cmdlet.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Pesquisar recursos

Visualizar o histórico de conformidade