Esempi di AWS Config con la AWS CLI - AWS Command Line Interface
Operazioni

Esempi di AWS Config con la AWS CLI

Gli esempi di codice seguenti mostrano come eseguire azioni e implementare scenari comuni utilizzando la AWS Command Line Interface con AWS Config.

Le operazioni sono estratti di codice da programmi più grandi e devono essere eseguite nel contesto. Sebbene le operazioni mostrino come richiamare le singole funzioni del servizio, è possibile visualizzarle contestualizzate negli scenari correlati.

Ogni esempio include un link al codice sorgente completo, dove è possibile trovare le istruzioni su come configurare ed eseguire il codice nel contesto.

Argomenti

Operazioni

L’esempio di codice seguente mostra come utilizzare delete-config-rule.

AWS CLI

Come eliminare una regola AWS Config

Il seguente comando elimina una regola AWS Config denominata MyConfigRule:

aws configservice delete-config-rule --config-rule-name MyConfigRule

  • Per informazioni dettagliate sull’API, consulta DeleteConfigRule in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare delete-delivery-channel.

AWS CLI

Come eliminare un canale di distribuzione

Il comando seguente elimina il canale di distribuzione predefinito:

aws configservice delete-delivery-channel --delivery-channel-name default

L’esempio di codice seguente mostra come utilizzare delete-evaluation-results.

AWS CLI

Come eliminare manualmente i risultati della valutazione

Il comando seguente elimina i risultati della valutazione corrente per la regola AWS gestita s3-bucket-versioning-enabled:

aws configservice delete-evaluation-results --config-rule-name s3-bucket-versioning-enabled

L’esempio di codice seguente mostra come utilizzare deliver-config-snapshot.

AWS CLI

Come distribuire uno snapshot di configurazione

Il comando seguente invia uno snapshot di configurazione per il bucket Amazon S3 appartenente al canale di distribuzione predefinito:

aws configservice deliver-config-snapshot --delivery-channel-name default

Output:

{
    "configSnapshotId": "d0333b00-a683-44af-921e-examplefb794"
}

L’esempio di codice seguente mostra come utilizzare describe-compliance-by-config-rule.

AWS CLI

Come ottenere informazioni sulla conformità per le regole AWS Config

Il seguente comando restituisce informazioni sulla conformità per ogni regola AWS Config violata da una o più risorse AWS:

aws configservice describe-compliance-by-config-rule --compliance-types NON_COMPLIANT

Nell’output, il valore di ogni attributo CappedCount indica il numero di risorse non conformi alla regola correlata. Ad esempio, l’output seguente indica che 3 risorse non sono conformi alla regola denominata InstanceTypesAreT2micro.

Output:

{
    "ComplianceByConfigRules": [
        {
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            },
            "ConfigRuleName": "InstanceTypesAreT2micro"
        },
        {
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            },
            "ConfigRuleName": "RequiredTagsForVolumes"
        }
    ]
}

L’esempio di codice seguente mostra come utilizzare describe-compliance-by-resource.

AWS CLI

Come ottenere informazioni sulla conformità per le risorse AWS

Il seguente comando restituisce informazioni sulla conformità per ogni istanza EC2 registrata dalla regola AWS Config che viola una o più regole:

aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

Nell’output, il valore di ogni attributo CappedCount indica il numero di regole violate dalla risorsa. Ad esempio, l’output seguente indica che l’istanza i-1a2b3c4d viola 2 regole.

Output:

{
    "ComplianceByResources": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-1a2b3c4d",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 2,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        },
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-2a2b3c4d ",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        }
    ]
}

L’esempio di codice seguente mostra come utilizzare describe-config-rule-evaluation-status.

AWS CLI

Come ottenere informazioni sullo stato di una regola AWS Config

Il seguente comando restituisce le informazioni sullo stato di una regola AWS Config denominata MyConfigRule:

aws configservice describe-config-rule-evaluation-status --config-rule-names MyConfigRule

Output:

{
    "ConfigRulesEvaluationStatus": [
        {
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "FirstActivatedTime": 1450311703.844,
            "ConfigRuleId": "config-rule-abcdef",
            "LastSuccessfulInvocationTime": 1450314643.156,
            "ConfigRuleName": "MyConfigRule"
        }
    ]
}

L’esempio di codice seguente mostra come utilizzare describe-config-rules.

AWS CLI

Come ottenere i dettagli di una regola AWS Config

Il seguente comando restituisce i dettagli di una regola AWS Config denominata InstanceTypesAreT2micro:

aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro

Output:

{
    "ConfigRules": [
        {
            "ConfigRuleState": "ACTIVE",
            "Description": "Evaluates whether EC2 instances are the t2.micro type.",
            "ConfigRuleName": "InstanceTypesAreT2micro",
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "Source": {
                "Owner": "CUSTOM_LAMBDA",
                "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
                "SourceDetails": [
                    {
                        "EventSource": "aws.config",
                        "MessageType": "ConfigurationItemChangeNotification"
                    }
                ]
            },
            "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}",
            "Scope": {
                "ComplianceResourceTypes": [
                    "AWS::EC2::Instance"
                ]
            },
            "ConfigRuleId": "config-rule-abcdef"
        }
    ]
}

  • Per informazioni dettagliate sull’API, consulta DescribeConfigRules in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare describe-configuration-recorder-status.

AWS CLI

Come ottenere informazioni sullo stato del registratore di configurazione

Il seguente comando restituisce lo stato del registratore di configurazione predefinito:

aws configservice describe-configuration-recorder-status

Output:

{
    "ConfigurationRecordersStatus": [
        {
            "name": "default",
            "lastStatus": "SUCCESS",
            "recording": true,
            "lastStatusChangeTime": 1452193834.344,
            "lastStartTime": 1441039997.819,
            "lastStopTime": 1441039992.835
        }
    ]
}

L’esempio di codice seguente mostra come utilizzare describe-configuration-recorders.

AWS CLI

Come ottenere dettagli sul registratore di configurazione

Il seguente comando restituisce i dettagli del registratore di configurazione predefinito:

aws configservice describe-configuration-recorders

Output:

{
    "ConfigurationRecorders": [
        {
            "recordingGroup": {
                "allSupported": true,
                "resourceTypes": [],
                "includeGlobalResourceTypes": true
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-ConfigRole-A1B2C3D4E5F6",
            "name": "default"
        }
    ]
}

L’esempio di codice seguente mostra come utilizzare describe-delivery-channel-status.

AWS CLI

Come ottenere informazioni sullo stato del canale di distribuzione

Il comando seguente restituisce lo stato del canale di distribuzione:

aws configservice describe-delivery-channel-status

Output:

{
    "DeliveryChannelsStatus": [
        {
            "configStreamDeliveryInfo": {
                "lastStatusChangeTime": 1452193834.381,
                "lastStatus": "SUCCESS"
            },
            "configHistoryDeliveryInfo": {
                "lastSuccessfulTime": 1450317838.412,
                "lastStatus": "SUCCESS",
                "lastAttemptTime": 1450317838.412
            },
            "configSnapshotDeliveryInfo": {
                "lastSuccessfulTime": 1452185597.094,
                "lastStatus": "SUCCESS",
                "lastAttemptTime": 1452185597.094
            },
            "name": "default"
        }
    ]
}

L’esempio di codice seguente mostra come utilizzare describe-delivery-channels.

AWS CLI

Come ottenere dettagli sul canale di distribuzione

Il seguente comando restituisce i dettagli del canale di distribuzione:

aws configservice describe-delivery-channels

Output:

{
    "DeliveryChannels": [
        {
            "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

L’esempio di codice seguente mostra come utilizzare get-compliance-details-by-config-rule.

AWS CLI

Come ottenere i risultati della valutazione per una regola AWS Config

Il seguente comando restituisce i risultati della valutazione per tutte le risorse non conformi a una regola AWS Config denominata InstanceTypesAreT2micro:

aws configservice get-compliance-details-by-config-rule --config-rule-name InstanceTypesAreT2micro --compliance-types NON_COMPLIANT

Output:

{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-2a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314645.18,
            "ConfigRuleInvokedTime": 1450314642.902,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-3a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.346,
            "ConfigRuleInvokedTime": 1450314643.124,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

L’esempio di codice seguente mostra come utilizzare get-compliance-details-by-resource.

AWS CLI

Come ottenere i risultati della valutazione per una risorsa AWS

Il seguente comando restituisce i risultati della valutazione per ogni regola in base alla quale l’istanza EC2 i-1a2b3c4d non è conforme:

aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

Output:

{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.288,
            "ConfigRuleInvokedTime": 1450314643.034,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "RequiredTagForEC2Instances"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

L’esempio di codice seguente mostra come utilizzare get-compliance-summary-by-config-rule.

AWS CLI

Come ottenere il riepilogo della conformità per le regole AWS Config

Il seguente comando restituisce il numero di regole conformi e il numero di regole non conformi:

aws configservice get-compliance-summary-by-config-rule

Nell’output, il valore di ogni attributo CappedCount indica il numero di regole conformi o non conformi.

Output:

{
    "ComplianceSummary": {
        "NonCompliantResourceCount": {
            "CappedCount": 3,
            "CapExceeded": false
        },
        "ComplianceSummaryTimestamp": 1452204131.493,
        "CompliantResourceCount": {
            "CappedCount": 2,
            "CapExceeded": false
        }
    }
}

L’esempio di codice seguente mostra come utilizzare get-compliance-summary-by-resource-type.

AWS CLI

Come ottenere il riepilogo della conformità per tutti i tipi di risorsa

Il seguente comando restituisce il numero di risorse AWS non conformi e il numero di risorse conformi:

aws configservice get-compliance-summary-by-resource-type

Nell’output, il valore di ogni attributo CappedCount indica il numero di risorse conformi o non conformi.

Output:

{
    "ComplianceSummariesByResourceType": [
        {
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 16,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1453237464.543,
                "CompliantResourceCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                }
            }
        }
    ]
}

Come ottenere il riepilogo della conformità per un tipo di risorsa specifico

Il seguente comando restituisce il numero di istanze EC2 non conformi e il numero di istanze conformi:

aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

Nell’output, il valore di ogni attributo CappedCount indica il numero di risorse conformi o non conformi.

Output:

{
    "ComplianceSummariesByResourceType": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1452204923.518,
                "CompliantResourceCount": {
                    "CappedCount": 7,
                    "CapExceeded": false
                }
            }
        }
    ]
}

L’esempio di codice seguente mostra come utilizzare get-resource-config-history.

AWS CLI

Come ottenere la cronologia delle configurazioni di una risorsa AWS

Il comando seguente restituisce un elenco di elementi di configurazione per un’istanza EC2 con un ID di i-1a2b3c4d:

aws configservice get-resource-config-history --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d

L’esempio di codice seguente mostra come utilizzare get-status.

AWS CLI

Come ottenere lo stato di AWS Config

Il seguente comando restituisce lo stato del registratore di configurazione predefinito:

aws configservice get-status

Output:

Configuration Recorders:

name: default
recorder: ON
last status: SUCCESS

Delivery Channels:

name: default
last stream delivery status: SUCCESS
last history delivery status: SUCCESS
last snapshot delivery status: SUCCESS

  • Per informazioni dettagliate sull’API, consulta GetStatus in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare list-discovered-resources.

AWS CLI

Come elencare le risorse rilevate da AWS Config

Il comando seguente elenca le istanze EC2 rilevate da AWS Config:

aws configservice list-discovered-resources --resource-type AWS::EC2::Instance

Output:

{
    "resourceIdentifiers": [
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-1a2b3c4d"
        },
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-2a2b3c4d"
        },
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-3a2b3c4d"
        }
    ]
}

L’esempio di codice seguente mostra come utilizzare put-config-rule.

AWS CLI

Come aggiungere una regola di configurazione gestita da AWS

Il seguente comando fornisce il codice JSON per aggiungere una regola di configurazione gestita da AWS:

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.json è un file JSON contenente la configurazione delle regole:

{
  "ConfigRuleName": "RequiredTagsForEC2Instances",
  "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "REQUIRED_TAGS"
  },
  "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}"
}

Per l’attributo ComplianceResourceTypes, questo codice JSON limita l’ambito alle risorse di tipo AWS::EC2::Instance; pertanto, la configurazione AWS valuterà solo le istanze EC2 in base alla regola. Poiché si tratta di una regola gestita, l’attributo Owner è impostato su AWS e l’attributo SourceIdentifier è impostato sull’identificatore della regola, ovvero REQUIRED_TAGS. Per l’attributo InputParameters vengono specificate le chiavi dei tag (CostCenter e Owner) richieste dalla regola.

Se il comando ha esito positivo, AWS Config non restituisce output. Per verificare la configurazione della regola, esegui il comando describe-config-rules e specifica il nome della regola.

Come aggiungere una regola di configurazione gestita dal cliente

Il seguente comando fornisce il codice JSON per aggiungere una regola di configurazione gestita dal cliente:

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.json è un file JSON contenente la configurazione delle regole:

{
  "ConfigRuleName": "InstanceTypesAreT2micro",
  "Description": "Evaluates whether EC2 instances are the t2.micro type.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "CUSTOM_LAMBDA",
    "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
    "SourceDetails": [
      {
        "EventSource": "aws.config",
        "MessageType": "ConfigurationItemChangeNotification"
      }
    ]
  },
  "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}"
}

Per l’attributo ComplianceResourceTypes, questo codice JSON limita l’ambito alle risorse di tipo AWS::EC2::Instance; pertanto, la configurazione AWS valuterà solo le istanze EC2 in base alla regola. Poiché questa regola è una regola gestita dal cliente, l’attributo Owner è impostato su CUSTOM_LAMBDA e l’attributo SourceIdentifier è impostato sull’ARN della funzione AWS Lambda. L’oggetto SourceDetails è obbligatorio. I parametri specificati per l’attributo InputParameters vengono passati alla funzione AWS Lambda quando AWS Config la invoca per valutare le risorse in base alla regola.

Se il comando ha esito positivo, AWS Config non restituisce output. Per verificare la configurazione della regola, esegui il comando describe-config-rules e specifica il nome della regola.

  • Per informazioni dettagliate sull’API, consulta PutConfigRule in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare put-configuration-recorder.

AWS CLI

Esempio 1: come registrare tutte le risorse supportate

Il comando seguente crea un registratore di configurazione che tiene traccia delle modifiche a tutti i tipi di risorse supportati, inclusi i tipi di risorse globali:

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group allSupported=true,includeGlobalResourceTypes=true

Se il comando ha esito positivo, AWS Config non restituisce output. Per verificare le impostazioni del registratore di configurazione, esegui il comando describe-configuration-recorders.

Esempio 2: come registrare tipi specifici di risorse

Il comando seguente crea un registratore di configurazione che tiene traccia delle modifiche solo ai tipi di risorse specificati nel file JSON per l’opzione --recording-group:

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group file://recordingGroup.json

recordingGroup.json è un file JSON che specifica i tipi di risorse che saranno registrati da AWS Config:

{
    "allSupported": false,
    "includeGlobalResourceTypes": false,
    "resourceTypes": [
        "AWS::EC2::EIP",
        "AWS::EC2::Instance",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::SecurityGroup",
        "AWS::CloudTrail::Trail",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC",
        "AWS::IAM::User",
        "AWS::IAM::Policy"
    ]
}

Prima di specificare i tipi di risorse per la chiave resourceTypes, è necessario impostare le opzioni allSupported e includeGlobalResourceTypes a falso o ometterle.

Se il comando ha esito positivo, AWS Config non restituisce output. Per verificare le impostazioni del registratore di configurazione, esegui il comando describe-configuration-recorders.

Esempio 3: come selezionare tutte le risorse supportate, esclusi tipi specifici di risorse

Il comando seguente crea un registratore di configurazione che tiene traccia delle modifiche a tutti i tipi di risorse supportati in questo momento e in futuro escludendo quelli specificati nel file JSON per l’opzione --recording-group:

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group file://recordingGroup.json

recordingGroup.json è un file JSON che specifica i tipi di risorse che saranno registrati da AWS Config:

{
    "allSupported": false,
    "exclusionByResourceTypes": {
        "resourceTypes": [
        "AWS::Redshift::ClusterSnapshot",
        "AWS::RDS::DBClusterSnapshot",
        "AWS::CloudFront::StreamingDistribution"
    ]
    },
        "includeGlobalResourceTypes": false,
        "recordingStrategy": {
        "useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
    },
}

Prima di poter specificare i tipi di risorse da escludere dalla registrazione: 1) È necessario impostare le opzioni allSupported e includeGlobalResourceTypes su falso o ometterle e 2) È necessario impostare il campo useOnly di RecordingStrategy su EXCLUSION_BY_RESOURCE_TYPES.

Se il comando ha esito positivo, AWS Config non restituisce output. Per verificare le impostazioni del registratore di configurazione, esegui il comando describe-configuration-recorders.

L’esempio di codice seguente mostra come utilizzare put-delivery-channel.

AWS CLI

Come creare un canale di distribuzione

Il seguente comando fornisce le impostazioni per il canale di distribuzione come codice JSON:

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Il file deliveryChannel.json specifica gli attributi del canale di distribuzione:

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

L’esempio seguente imposta i seguenti attributi:

name: il nome del canale di distribuzione. Per impostazione predefinita, AWS Config assegna il nome default a un nuovo canale di consegna. Non è possibile aggiornare il nome del canale di consegna con il comando put-delivery-channel. Per i passaggi per modificare il nome, consulta la sezione relativa alla ridenominazione del canale di distribuzione.s3BucketName : nome del bucket Amazon S3 in cui AWS Config distribuisce gli snapshot di configurazione e i file della cronologia della configurazione. Se scegli un bucket appartenente a un altro account AWS, tale bucket dovrà includere policy che concedono le autorizzazioni di accesso ad AWS Config. Per ulteriori informazioni, consulta Autorizzazioni per il bucket Amazon S3.

snsTopicARN: nome della risorsa Amazon (ARN) dell’argomento Amazon SNS a cui AWS Config invia le notifiche sulle modifiche della configurazione. Se scegli un argomento da un altro account, tale argomento dovrà includere policy che concedono le autorizzazioni di accesso a AWS Config. Per ulteriori informazioni, consulta l’argomento relativo alle autorizzazioni per Amazon SNS.

configSnapshotDeliveryProperties: contiene l’attributo deliveryFrequency, che imposta la frequenza con cui AWS Config distribuisce snapshot di configurazione e la frequenza con cui invoca le valutazioni per le regole di configurazione periodiche.

Se il comando ha esito positivo, AWS Config non restituisce output. Per verificare le impostazioni de canale di distribuzione, esegui il comando describe-delivery-channels.

  • Per informazioni dettagliate sull’API, consulta PutDeliveryChannel in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare start-config-rules-evaluation.

AWS CLI

Come eseguire una valutazione on demand per le regole AWS Config

Il comando seguente avvia una valutazione per due regole gestite di AWS:

aws configservice start-config-rules-evaluation --config-rule-names s3-bucket-versioning-enabled cloudtrail-enabled

L’esempio di codice seguente mostra come utilizzare start-configuration-recorder.

AWS CLI

Come avviare il registratore della configurazione

Il seguente comando restituisce lo stato del registratore di configurazione predefinito:

aws configservice start-configuration-recorder --configuration-recorder-name default

Se il comando ha esito positivo, AWS Config non restituisce output. Per verificare che AWS Config stia registrando le risorse, esegui il comando get-status.

L’esempio di codice seguente mostra come utilizzare stop-configuration-recorder.

AWS CLI

Come arrestare il registratore della configurazione

Il seguente comando restituisce lo stato del registratore di configurazione predefinito:

aws configservice stop-configuration-recorder --configuration-recorder-name default

Se il comando ha esito positivo, AWS Config non restituisce output. Per verificare che AWS Config non stia registrando le risorse, esegui il comando get-status.

L’esempio di codice seguente mostra come utilizzare subscribe.

AWS CLI

Come abbonarsi ad AWS Config

Il comando seguente crea il canale di consegna e il registratore di configurazione predefiniti. Il comando specifica inoltre il bucket Amazon S3 e l’argomento Amazon SNS a cui AWS Config fornirà le informazioni di configurazione:

aws configservice subscribe --s3-bucket config-bucket-123456789012 --sns-topic arn:aws:sns:us-east-1:123456789012:config-topic --iam-role arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6

Output:

Using existing S3 bucket: config-bucket-123456789012
Using existing SNS topic: arn:aws:sns:us-east-1:123456789012:config-topic
Subscribe succeeded:

Configuration Recorders: [
    {
        "recordingGroup": {
            "allSupported": true,
            "resourceTypes": [],
            "includeGlobalResourceTypes": false
        },
        "roleARN": "arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6",
        "name": "default"
    }
]

Delivery Channels: [
    {
        "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
        "name": "default",
        "s3BucketName": "config-bucket-123456789012"
    }
]

  • Per informazioni dettagliate sull’API, consulta Subscribe nella Documentazione di riferimento dei comandi della AWS CLI.