Exemples d’utilisation de l’AWS CLI avec AWS Config

Les exemples de code suivants montrent comment réaliser des actions et mettre en œuvre des scénarios courants en utilisant l’AWS Command Line Interface avec AWS Config.

Les actions sont des extraits de code de programmes plus larges et doivent être exécutées dans leur contexte. Alors que les actions vous indiquent comment appeler des fonctions de service individuelles, vous pouvez les voir en contexte dans leurs scénarios associés.

Chaque exemple inclut un lien vers le code source complet, où vous trouverez des instructions sur la configuration et l’exécution du code en contexte.

Rubriques

Actions

Actions

L’exemple de code suivant montre comment utiliser delete-config-rule.

AWS CLI

Pour supprimer une règle AWS Config

La commande suivante supprime une règle AWS Config nommée MyConfigRule :


aws configservice delete-config-rule --config-rule-name MyConfigRule

Pour plus de détails sur l’API, consultez DeleteConfigRule dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser delete-delivery-channel.

AWS CLI

Pour supprimer un canal de livraison

La commande suivante supprime le canal de livraison par défaut :


aws configservice delete-delivery-channel --delivery-channel-name default

Pour plus de détails sur l’API, consultez DeleteDeliveryChannel dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser delete-evaluation-results.

AWS CLI

Pour supprimer manuellement des résultats d’évaluation

La commande suivante supprime les résultats d’évaluation actuels pour la règle s3-bucket-versioning-enabled gérée par AWS :


aws configservice delete-evaluation-results --config-rule-name s3-bucket-versioning-enabled

Pour plus de détails sur l’API, consultez DeleteEvaluationResults dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser deliver-config-snapshot.

AWS CLI

Pour fournir un instantané de configuration

La commande suivante fournit un instantané de configuration au compartiment Amazon S3 qui appartient au canal de livraison par défaut :


aws configservice deliver-config-snapshot --delivery-channel-name default

Sortie :


{
    "configSnapshotId": "d0333b00-a683-44af-921e-examplefb794"
}

Pour plus de détails sur l’API, consultez DeliverConfigSnapshot dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser describe-compliance-by-config-rule.

AWS CLI

Pour obtenir les informations de conformité concernant vos règles AWS Config

La commande suivante renvoie les informations de conformité pour chaque règle AWS Config qui n’est pas respectée par une ou plusieurs ressources AWS :


aws configservice describe-compliance-by-config-rule --compliance-types NON_COMPLIANT

Dans la sortie, la valeur de chaque attribut CappedCount indique le nombre de ressources qui ne sont pas conformes à la règle correspondante. Par exemple, la sortie suivante indique que trois ressources ne sont pas conformes à la règle nommée InstanceTypesAreT2micro.

Sortie :


{
    "ComplianceByConfigRules": [
        {
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            },
            "ConfigRuleName": "InstanceTypesAreT2micro"
        },
        {
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            },
            "ConfigRuleName": "RequiredTagsForVolumes"
        }
    ]
}

Pour plus de détails sur l’API, consultez DescribeComplianceByConfigRule dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser describe-compliance-by-resource.

AWS CLI

Pour obtenir les informations de conformité concernant vos ressources AWS

La commande suivante renvoie les informations de conformité pour chaque instance EC2 enregistrée par la règle AWS Config et qui enfreint au moins une règle :


aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

Dans la sortie, la valeur de chaque attribut CappedCount indique le nombre de règles que la ressource enfreint. Par exemple, la sortie suivante indique que l’instance i-1a2b3c4d enfreint deux règles.

Sortie :


{
    "ComplianceByResources": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-1a2b3c4d",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 2,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        },
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-2a2b3c4d ",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        }
    ]
}

Pour plus de détails sur l’API, consultez DescribeComplianceByResource dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser describe-config-rule-evaluation-status.

AWS CLI

Pour obtenir les informations sur le statut d’une règle AWS Config

La commande suivante renvoie les informations sur le statut d’une règle AWS Config nommée MyConfigRule :


aws configservice describe-config-rule-evaluation-status --config-rule-names MyConfigRule

Sortie :


{
    "ConfigRulesEvaluationStatus": [
        {
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "FirstActivatedTime": 1450311703.844,
            "ConfigRuleId": "config-rule-abcdef",
            "LastSuccessfulInvocationTime": 1450314643.156,
            "ConfigRuleName": "MyConfigRule"
        }
    ]
}

Pour plus de détails sur l’API, consultez DescribeConfigRuleEvaluationStatus dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser describe-config-rules.

AWS CLI

Pour obtenir les informations concernant une règle AWS Config

La commande suivante renvoie les informations concernant une règle AWS Config nommée InstanceTypesAreT2micro :


aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro

Sortie :


{
    "ConfigRules": [
        {
            "ConfigRuleState": "ACTIVE",
            "Description": "Evaluates whether EC2 instances are the t2.micro type.",
            "ConfigRuleName": "InstanceTypesAreT2micro",
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "Source": {
                "Owner": "CUSTOM_LAMBDA",
                "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
                "SourceDetails": [
                    {
                        "EventSource": "aws.config",
                        "MessageType": "ConfigurationItemChangeNotification"
                    }
                ]
            },
            "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}",
            "Scope": {
                "ComplianceResourceTypes": [
                    "AWS::EC2::Instance"
                ]
            },
            "ConfigRuleId": "config-rule-abcdef"
        }
    ]
}

Pour plus de détails sur l’API, consultez DescribeConfigRules dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser describe-configuration-recorder-status.

AWS CLI

Pour obtenir les informations concernant le statut de l’enregistreur de configuration

La commande suivante renvoie le statut de l’enregistreur de configuration par défaut :


aws configservice describe-configuration-recorder-status

Sortie :


{
    "ConfigurationRecordersStatus": [
        {
            "name": "default",
            "lastStatus": "SUCCESS",
            "recording": true,
            "lastStatusChangeTime": 1452193834.344,
            "lastStartTime": 1441039997.819,
            "lastStopTime": 1441039992.835
        }
    ]
}

Pour plus de détails sur l’API, consultez DescribeConfigurationRecorderStatus dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser describe-configuration-recorders.

AWS CLI

Pour obtenir les informations concernant l’enregistreur de configuration

La commande suivante renvoie les informations concernant l’enregistreur de configuration par défaut :


aws configservice describe-configuration-recorders

Sortie :


{
    "ConfigurationRecorders": [
        {
            "recordingGroup": {
                "allSupported": true,
                "resourceTypes": [],
                "includeGlobalResourceTypes": true
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-ConfigRole-A1B2C3D4E5F6",
            "name": "default"
        }
    ]
}

Pour plus de détails sur l’API, consultez DescribeConfigurationRecorders dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser describe-delivery-channel-status.

AWS CLI

Pour obtenir les informations concernant le statut du canal de livraison

La commande suivante renvoie le statut du canal de livraison :


aws configservice describe-delivery-channel-status

Sortie :


{
    "DeliveryChannelsStatus": [
        {
            "configStreamDeliveryInfo": {
                "lastStatusChangeTime": 1452193834.381,
                "lastStatus": "SUCCESS"
            },
            "configHistoryDeliveryInfo": {
                "lastSuccessfulTime": 1450317838.412,
                "lastStatus": "SUCCESS",
                "lastAttemptTime": 1450317838.412
            },
            "configSnapshotDeliveryInfo": {
                "lastSuccessfulTime": 1452185597.094,
                "lastStatus": "SUCCESS",
                "lastAttemptTime": 1452185597.094
            },
            "name": "default"
        }
    ]
}

Pour plus de détails sur l’API, consultez DescribeDeliveryChannelStatus dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser describe-delivery-channels.

AWS CLI

Pour obtenir les informations concernant le canal de livraison

La commande suivante renvoie les informations sur le canal de livraison :


aws configservice describe-delivery-channels

Sortie :


{
    "DeliveryChannels": [
        {
            "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

Pour plus de détails sur l’API, consultez DescribeDeliveryChannels dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser get-compliance-details-by-config-rule.

AWS CLI

Pour obtenir des résultats d’évaluation pour une règle AWS Config

La commande suivante renvoie des résultats d’évaluation pour toutes les ressources qui ne sont pas conformes à une règle AWS Config nommée InstanceTypesAreT2micro :


aws configservice get-compliance-details-by-config-rule --config-rule-name InstanceTypesAreT2micro --compliance-types NON_COMPLIANT

Sortie :


{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-2a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314645.18,
            "ConfigRuleInvokedTime": 1450314642.902,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-3a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.346,
            "ConfigRuleInvokedTime": 1450314643.124,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

Pour plus de détails sur l’API, consultez GetComplianceDetailsByConfigRule dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser get-compliance-details-by-resource.

AWS CLI

Pour obtenir les résultats d’évaluation d’une ressource AWS

La commande suivante renvoie les résultats d’évaluation pour chaque règle à laquelle l’instance EC2 i-1a2b3c4d n’est pas conforme :


aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

Sortie :


{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.288,
            "ConfigRuleInvokedTime": 1450314643.034,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "RequiredTagForEC2Instances"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

Pour plus de détails sur l’API, consultez GetComplianceDetailsByResource dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser get-compliance-summary-by-config-rule.

AWS CLI

Pour obtenir un récapitulatif de la conformité de vos règles AWS Config

La commande suivante renvoie le nombre de règles conformes et non conformes :


aws configservice get-compliance-summary-by-config-rule

Dans la sortie, la valeur de chaque attribut CappedCount indique le nombre de règles conformes ou non conformes.

Sortie :


{
    "ComplianceSummary": {
        "NonCompliantResourceCount": {
            "CappedCount": 3,
            "CapExceeded": false
        },
        "ComplianceSummaryTimestamp": 1452204131.493,
        "CompliantResourceCount": {
            "CappedCount": 2,
            "CapExceeded": false
        }
    }
}

Pour plus de détails sur l’API, consultez GetComplianceSummaryByConfigRule dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser get-compliance-summary-by-resource-type.

AWS CLI

Pour obtenir un récapitulatif de la conformité de tous les types de ressources

La commande suivante renvoie le nombre de ressources AWS conformes et non conformes :


aws configservice get-compliance-summary-by-resource-type

Dans la sortie, la valeur de chaque attribut CappedCount indique le nombre de ressources conformes ou non conformes.

Sortie :


{
    "ComplianceSummariesByResourceType": [
        {
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 16,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1453237464.543,
                "CompliantResourceCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                }
            }
        }
    ]
}

Pour obtenir un récapitulatif de la conformité d’un type de ressource spécifique

La commande suivante renvoie le nombre d’instances EC2 conformes et non conformes :


aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

Dans la sortie, la valeur de chaque attribut CappedCount indique le nombre de ressources conformes ou non conformes.

Sortie :


{
    "ComplianceSummariesByResourceType": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1452204923.518,
                "CompliantResourceCount": {
                    "CappedCount": 7,
                    "CapExceeded": false
                }
            }
        }
    ]
}

Pour plus de détails sur l’API, consultez GetComplianceSummaryByResourceType dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser get-resource-config-history.

AWS CLI

Pour obtenir l’historique de configuration d’une ressource AWS

La commande suivante renvoie une liste d’éléments de configuration pour une instance EC2 avec l’ID i-1a2b3c4d :


aws configservice get-resource-config-history --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d

Pour plus de détails sur l’API, consultez GetResourceConfigHistory dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser get-status.

AWS CLI

Pour obtenir le statut d’AWS Config

La commande suivante renvoie le statut du canal de livraison et de l’enregistreur de configuration :


aws configservice get-status

Sortie :


Configuration Recorders:

name: default
recorder: ON
last status: SUCCESS

Delivery Channels:

name: default
last stream delivery status: SUCCESS
last history delivery status: SUCCESS
last snapshot delivery status: SUCCESS

Pour plus de détails sur l’API, consultez GetStatus dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser list-discovered-resources.

AWS CLI

Pour répertorier les ressources découvertes par AWS Config

La commande suivante répertorie les instances EC2 découvertes par AWS Config :


aws configservice list-discovered-resources --resource-type AWS::EC2::Instance

Sortie :


{
    "resourceIdentifiers": [
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-1a2b3c4d"
        },
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-2a2b3c4d"
        },
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-3a2b3c4d"
        }
    ]
}

Pour plus de détails sur l’API, consultez ListDiscoveredResources dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser put-config-rule.

AWS CLI

Pour ajouter une règle Config gérée par AWS

La commande suivante fournit du code JSON pour ajouter une règle Config gérée par AWS :


aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.json est un fichier JSON qui contient la configuration de la règle :


{
  "ConfigRuleName": "RequiredTagsForEC2Instances",
  "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "REQUIRED_TAGS"
  },
  "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}"
}

Pour l’attribut ComplianceResourceTypes, ce code JSON limite la portée aux ressources du type AWS::EC2::Instance. AWS Config évaluera donc uniquement les instances EC2 par rapport à la règle. Puisque la règle est une règle gérée, l’attribut Owner est défini sur AWS et l’attribut SourceIdentifier est défini sur l’identifiant de règle, REQUIRED_TAGS. Pour l’attribut InputParameters, les clés de balise requises par la règle, CostCenter et Owner, sont spécifiées.

Si la commande réussit, AWS Config ne renvoie aucune sortie. Pour vérifier la configuration des règles, exécutez la commande describe-config-rules et spécifiez le nom de la règle.

Pour ajouter une règle Config gérée par le client

La commande suivante fournit du code JSON pour ajouter une règle Config gérée par le client :


aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.json est un fichier JSON qui contient la configuration de la règle :


{
  "ConfigRuleName": "InstanceTypesAreT2micro",
  "Description": "Evaluates whether EC2 instances are the t2.micro type.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "CUSTOM_LAMBDA",
    "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
    "SourceDetails": [
      {
        "EventSource": "aws.config",
        "MessageType": "ConfigurationItemChangeNotification"
      }
    ]
  },
  "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}"
}

Pour l’attribut ComplianceResourceTypes, ce code JSON limite la portée aux ressources du type AWS::EC2::Instance. AWS Config évaluera donc uniquement les instances EC2 par rapport à la règle. Cette règle étant gérée par le client, l’attribut Owner est défini sur CUSTOM_LAMBDA et l’attribut SourceIdentifier est défini sur l’ARN de la fonction Lambda AWS. L’objet SourceDetails est obligatoire. Les paramètres spécifiés pour l’attribut InputParameters sont transmis à la fonction Lambda AWS lorsqu’AWS Config l’invoque pour évaluer les ressources par rapport à la règle.

Si la commande réussit, AWS Config ne renvoie aucune sortie. Pour vérifier la configuration des règles, exécutez la commande describe-config-rules et spécifiez le nom de la règle.

Pour plus de détails sur l’API, consultez PutConfigRule dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser put-configuration-recorder.

AWS CLI

Exemple 1 : pour enregistrer toutes les ressources prises en charge

La commande suivante crée un enregistreur de configuration qui suit les modifications apportées à tous les types de ressources pris en charge, y compris les types de ressources globaux :


aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group allSupported=true,includeGlobalResourceTypes=true

Si la commande réussit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre enregistreur de configuration, exécutez la commande describe-configuration-recorders.

Exemple 2 : pour enregistrer des types de ressources spécifiques

La commande suivante crée un enregistreur de configuration qui suit les modifications apportées uniquement aux types de ressources spécifiés dans le fichier JSON pour l’option --recording-group :


aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group file://recordingGroup.json

recordingGroup.json est un fichier JSON qui spécifie les types de ressources qu’AWS Config enregistrera :


{
    "allSupported": false,
    "includeGlobalResourceTypes": false,
    "resourceTypes": [
        "AWS::EC2::EIP",
        "AWS::EC2::Instance",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::SecurityGroup",
        "AWS::CloudTrail::Trail",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC",
        "AWS::IAM::User",
        "AWS::IAM::Policy"
    ]
}

Avant de pouvoir définir les types de ressource pour la clé resourceTypes, vous devez définir les options allSupported et includeGlobalResourceTypes sur false ou les ignorer.

Si la commande réussit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre enregistreur de configuration, exécutez la commande describe-configuration-recorders.

Exemple 3 : pour sélectionner toutes les ressources prises en charge, à l’exception de certains types de ressources

La commande suivante crée un enregistreur de configuration qui suit les modifications apportées aux types de ressources actuels et futurs pris en charge, à l’exception des types de ressources spécifiés dans le fichier JSON pour l’option --recording-group :


aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group file://recordingGroup.json

recordingGroup.json est un fichier JSON qui spécifie les types de ressources qu’AWS Config enregistrera :


{
    "allSupported": false,
    "exclusionByResourceTypes": {
        "resourceTypes": [
        "AWS::Redshift::ClusterSnapshot",
        "AWS::RDS::DBClusterSnapshot",
        "AWS::CloudFront::StreamingDistribution"
    ]
    },
        "includeGlobalResourceTypes": false,
        "recordingStrategy": {
        "useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
    },
}

Avant de pouvoir spécifier les types de ressources à exclure de l’enregistrement : 1) Vous devez définir les options allSupported et includeGlobalResourceTypes sur false ou les omettre, et 2) Vous devez définir le champ useOnly de RecordingStrategy sur EXCLUSION_BY_RESOURCE_TYPES.

Si la commande réussit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre enregistreur de configuration, exécutez la commande describe-configuration-recorders.

Pour plus de détails sur l’API, consultez PutConfigurationRecorder dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser put-delivery-channel.

AWS CLI

Pour créer un canal de livraison

La commande suivante fournit les paramètres du canal de livraison sous forme de code JSON :


aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Le fichier deliveryChannel.json spécifie les attributs du canal de livraison :


{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Cet exemple définit les attributs suivants :

name : nom du canal de livraison. Par défaut, AWS Config attribue le nom default à un nouveau canal de livraison. Vous ne pouvez pas mettre à jour le nom du canal de livraison avec la commande put-delivery-channel. Pour connaître les étapes à suivre pour modifier le nom, consultez Renommer les canaux de livraison. s3BucketName : nom du compartiment Amazon S3 auquel AWS Config fournit des instantanés de configuration et des fichiers d’historique de configuration. Si vous spécifiez un compartiment appartenant à un autre compte AWS, ce compartiment doit avoir des politiques qui accordent des autorisations d’accès à AWS Config. Pour de plus d’informations, consultez Autorisations pour le compartiment Amazon S3.

snsTopicARN : Amazon Resource Name (ARN) de la rubrique Amazon SNS à laquelle AWS Config envoie des notifications sur les changements de configuration. Si vous choisissez une rubrique dans un autre compte, cette rubrique doit avoir des politiques qui accordent des autorisations d’accès à AWS Config. Pour plus d’informations, consultez Autorisations relatives à la rubrique Amazon SNS.

configSnapshotDeliveryProperties : contient l’attribut deliveryFrequency, qui définit la fréquence à laquelle AWS Config fournit des instantanés de configuration et la fréquence à laquelle il invoque des évaluations pour les règles Config périodiques.

Si la commande réussit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre canal de livraison, exécutez la commande describe-delivery-channels.

Pour plus de détails sur l’API, consultez PutDeliveryChannel dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser start-config-rules-evaluation.

AWS CLI

Pour exécuter une évaluation à la demande des règles AWS Config

La commande suivante démarre une évaluation pour deux règles gérées par AWS :


aws configservice start-config-rules-evaluation --config-rule-names s3-bucket-versioning-enabled cloudtrail-enabled

Pour plus de détails sur l’API, consultez StartConfigRulesEvaluation dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser start-configuration-recorder.

AWS CLI

Pour démarrer l’enregistreur de configuration

La commande suivante démarre l’enregistreur de configuration par défaut :


aws configservice start-configuration-recorder --configuration-recorder-name default

Si la commande réussit, AWS Config ne renvoie aucune sortie. Pour vérifier qu’AWS Config enregistre vos ressources, exécutez la commande get-status.

Pour plus de détails sur l’API, consultez StartConfigurationRecorder dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser stop-configuration-recorder.

AWS CLI

Pour arrêter l’enregistreur de configuration

La commande suivante arrête l’enregistreur de configuration par défaut :


aws configservice stop-configuration-recorder --configuration-recorder-name default

Si la commande réussit, AWS Config ne renvoie aucune sortie. Pour vérifier qu’AWS Config n’enregistre pas vos ressources, exécutez la commande get-status.

Pour plus de détails sur l’API, consultez StopConfigurationRecorder dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser subscribe.

AWS CLI

Pour vous abonner à AWS Config

La commande suivante crée le canal de livraison et l’enregistreur de configuration par défaut. La commande spécifie également le compartiment Amazon S3 et la rubrique Amazon SNS auxquels AWS Config fournira les informations de configuration :


aws configservice subscribe --s3-bucket config-bucket-123456789012 --sns-topic arn:aws:sns:us-east-1:123456789012:config-topic --iam-role arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6

Sortie :


Using existing S3 bucket: config-bucket-123456789012
Using existing SNS topic: arn:aws:sns:us-east-1:123456789012:config-topic
Subscribe succeeded:

Configuration Recorders: [
    {
        "recordingGroup": {
            "allSupported": true,
            "resourceTypes": [],
            "includeGlobalResourceTypes": false
        },
        "roleARN": "arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6",
        "name": "default"
    }
]

Delivery Channels: [
    {
        "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
        "name": "default",
        "s3BucketName": "config-bucket-123456789012"
    }
]

Pour plus de détails sur l’API, consultez Subscribe dans la Référence des commandes de l’AWS CLI.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon Comprehend Medical

Amazon Connect