Visualizando informações de conformidade e resultados de avaliação de seus AWS recursos com AWS Config - AWS Config

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visualizando informações de conformidade e resultados de avaliação de seus AWS recursos com AWS Config

Importante

Para obter relatórios precisos sobre o status de conformidade, você deve registrar o tipo de recurso do AWS::Config::ResourceCompliance. Para obter mais informações, consulte AWS Recursos de gravação.

Você pode usar o AWS Config console ou AWS SDKs para visualizar as informações de conformidade e os resultados da avaliação de seus recursos.

Exibir a conformidade (console)

  1. Faça login no AWS Management Console e abra o AWS Config console em https://console.aws.amazon.com/config/.

  2. No AWS Management Console menu, verifique se o seletor de região está definido como uma região que suporte AWS Config regras. Para obter a lista das regiões compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.

  3. No painel de navegação, escolha Resources (Recursos). Na página Inventário de recursos, você pode filtrar por categoria de recurso, tipo de recurso e status de conformidade. Escolha Incluir recursos excluídos, se apropriado. A tabela exibe o identificador do tipo de recurso e o status de compatibilidade desse recurso. O identificador de recursos pode ser um ID ou um nome de recurso.

  4. Selecione o recurso na coluna de identificador de recurso.

  5. Escolha o botão Cronograma do recurso. Você pode filtrar por eventos de configuração, eventos de conformidade ou CloudTrail eventos.

    nota

    Como alternativa, na página Inventário de recursos, você pode clicar no nome do recurso. Para acessar o cronograma de recursos na página de detalhes do recurso, escolha o botão Cronograma do recurso.

Você também pode exibir a compatibilidade de seus recursos procurando-os na página Resource inventory (Inventário de recursos). Para obter mais informações, consulte Pesquisando recursos que são descobertos por AWS Config.

Visualizando a conformidade (AWS SDKs)

Os exemplos de código a seguir mostram como usar o DescribeComplianceByResource.

CLI
AWS CLI

Para obter informações de conformidade para seus AWS recursos

O comando a seguir retorna informações de conformidade para cada EC2 instância registrada pelo AWS Config e que viola uma ou mais regras:

aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

Na saída, o valor de cada atributo CappedCount indica quantas regras o recurso viola. Por exemplo, a saída a seguir indica que a instância i-1a2b3c4d viola duas regras.

Saída:

{ "ComplianceByResources": [ { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "Compliance": { "ComplianceContributorCount": { "CappedCount": 2, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } }, { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-2a2b3c4d ", "Compliance": { "ComplianceContributorCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } } ] }
PowerShell
Ferramentas para PowerShell

Exemplo 1: este exemplo verifica o tipo de recurso AWS::SSM::ManagedInstanceInventory quanto ao tipo de conformidade “COMPLIANT”.

Get-CFGComplianceByResource -ComplianceType COMPLIANT -ResourceType AWS::SSM::ManagedInstanceInventory

Saída:

Compliance ResourceId ResourceType ---------- ---------- ------------ Amazon.ConfigService.Model.Compliance i-0123bcf4b567890e3 AWS::SSM::ManagedInstanceInventory Amazon.ConfigService.Model.Compliance i-0a1234f6f5d6b78f7 AWS::SSM::ManagedInstanceInventory

Os exemplos de código a seguir mostram como usar o GetComplianceSummaryByResourceType.

CLI
AWS CLI

Para obter o resumo de conformidade para todos os tipos de recurso

O comando a seguir retorna o número de AWS recursos que não estão em conformidade e o número que estão em conformidade:

aws configservice get-compliance-summary-by-resource-type

Na saída, o valor de cada atributo CappedCount indica quantos recursos estão em conformidade ou não.

Saída:

{ "ComplianceSummariesByResourceType": [ { "ComplianceSummary": { "NonCompliantResourceCount": { "CappedCount": 16, "CapExceeded": false }, "ComplianceSummaryTimestamp": 1453237464.543, "CompliantResourceCount": { "CappedCount": 10, "CapExceeded": false } } } ] }

Para obter o resumo de conformidade para um tipo específico de recurso

O comando a seguir retorna o número de EC2 instâncias que não estão em conformidade e o número que estão em conformidade:

aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

Na saída, o valor de cada atributo CappedCount indica quantos recursos estão em conformidade ou não.

Saída:

{ "ComplianceSummariesByResourceType": [ { "ResourceType": "AWS::EC2::Instance", "ComplianceSummary": { "NonCompliantResourceCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceSummaryTimestamp": 1452204923.518, "CompliantResourceCount": { "CappedCount": 7, "CapExceeded": false } } } ] }
PowerShell
Ferramentas para PowerShell

Exemplo 1: este exemplo retorna o número de recursos que estão em conformidade ou não e converte a saída em json.

Get-CFGComplianceSummaryByResourceType -Select ComplianceSummariesByResourceType.ComplianceSummary | ConvertTo-Json { "ComplianceSummaryTimestamp": "2019-12-14T06:14:49.778Z", "CompliantResourceCount": { "CapExceeded": false, "CappedCount": 2 }, "NonCompliantResourceCount": { "CapExceeded": true, "CappedCount": 100 } }

Os exemplos de código a seguir mostram como usar o GetComplianceDetailsByResource.

CLI
AWS CLI

Para obter os resultados da avaliação de um AWS recurso

O comando a seguir retorna os resultados da avaliação de cada regra com a qual a EC2 instância i-1a2b3c4d não está em conformidade:

aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

Saída:

{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314643.288, "ConfigRuleInvokedTime": 1450314643.034, "ComplianceType": "NON_COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "ConfigRuleName": "RequiredTagForEC2Instances" } }, "ResultRecordedTime": 1450314645.261, "ConfigRuleInvokedTime": 1450314642.948, "ComplianceType": "NON_COMPLIANT" } ] }
PowerShell
Ferramentas para PowerShell

Exemplo 1: este exemplo avalia resultados para um determinado recurso.

Get-CFGComplianceDetailsByResource -ResourceId ABCD5STJ4EFGHIVEW6JAH -ResourceType 'AWS::IAM::User'

Saída:

Annotation : ComplianceType : COMPLIANT ConfigRuleInvokedTime : 8/25/2019 11:34:56 PM EvaluationResultIdentifier : Amazon.ConfigService.Model.EvaluationResultIdentifier ResultRecordedTime : 8/25/2019 11:34:56 PM ResultToken :