翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Config ルールの詳細とコンプライアンス情報の表示
重要
コンプライアンスステータスを正確に報告するには、AWS::Config::ResourceCompliance リソースタイプを記録する必要があります。詳細については、AWS 「リソースの記録」を参照してください。
AWS Config コンソールまたは AWS SDKs を使用してルールを表示できます。
ルールの表示 (コンソール)
[ルール] ページの表に、ルールとその現在のコンプライアンス結果が表示されます。がルールに対するリソースの評価 AWS Config を完了するまで、各ルールの結果は評価中... です。結果は、更新ボタンにより更新できます。が評価 AWS Config を完了すると、準拠または非準拠のルールとリソースタイプを確認できます。詳細については、「を使用したAWSリソースのコンプライアンス情報と評価結果の表示AWS Config」を参照してください。
注記
AWS Config は、記録するリソースタイプのみを評価します。例えば、cloudtrail 対応ルールを追加しても CloudTrail 証跡リソースタイプを記録しない場合、 AWS Config はアカウントの証跡が準拠しているかどうかを評価できません。詳細については、「AWS Config での AWS リソースの記録」を参照してください。
ルールを表示するには
にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/config/home
で AWS Config コンソールを開きます。 -
AWS マネジメントコンソール メニューで、リージョンセレクタが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされているリージョンのリストについては、「Amazon Web Services 全般のリファレンス」の「AWS Config リージョンとエンドポイント」を参照してください。
-
左のナビゲーションで、[ルール] を選択します。
-
ルールページには、現在 にあるすべてのルールが表示されます AWS アカウント。ここには、各ルールの名前、関連する修復アクション、およびコンプライアンスステータスが一覧表示されます。
-
[Add rule] (ルールの追加) を選択し、ルールの作成を開始します。
-
ルールを選択して設定を表示するか、ルールを選択して [View details] (詳細を表示) をクリックします。
-
リソースを評価したときのルールのコンプライアンス状態が表示されます。
-
ルールを選択し、[Edit rule] (ルールの編集) をクリックしてルールの設定を変更し、準拠していないルールの修復アクションを設定します。
-
ルールの表示 (AWS SDKs)
次のサンプルコードは、DescribeConfigRules を使用する方法を説明しています。
- CLI
-
- AWS CLI
-
Config AWS ルールの詳細を取得するには
次のコマンドは、 という名前 AWS の Config ルールの詳細を返します
InstanceTypesAreT2micro。aws configservice describe-config-rules --config-rule-namesInstanceTypesAreT2micro出力:
{ "ConfigRules": [ { "ConfigRuleState": "ACTIVE", "Description": "Evaluates whether EC2 instances are the t2.micro type.", "ConfigRuleName": "InstanceTypesAreT2micro", "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef", "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] }, "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "ConfigRuleId": "config-rule-abcdef" } ] }-
API の詳細については、「AWS CLI コマンドリファレンス」の「DescribeConfigRules
」を参照してください。
-
- PowerShell
-
- Tools for PowerShell V4
-
例 1: このサンプルは、選択したプロパティを持つアカウントの設定ルールを一覧表示します。
Get-CFGConfigRule | Select-Object ConfigRuleName, ConfigRuleId, ConfigRuleArn, ConfigRuleState出力:
ConfigRuleName ConfigRuleId ConfigRuleArn ConfigRuleState -------------- ------------ ------------- --------------- ALB_REDIRECTION_CHECK config-rule-12iyn3 arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-12iyn3 ACTIVE access-keys-rotated config-rule-aospfr arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-aospfr ACTIVE autoscaling-group-elb-healthcheck-required config-rule-cn1f2x arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-cn1f2x ACTIVE-
API の詳細については、「AWS Tools for PowerShell コマンドレットリファレンス (V4)」の「DescribeConfigRules」を参照してください。
-
- Tools for PowerShell V5
-
例 1: このサンプルは、選択したプロパティを持つアカウントの設定ルールを一覧表示します。
Get-CFGConfigRule | Select-Object ConfigRuleName, ConfigRuleId, ConfigRuleArn, ConfigRuleState出力:
ConfigRuleName ConfigRuleId ConfigRuleArn ConfigRuleState -------------- ------------ ------------- --------------- ALB_REDIRECTION_CHECK config-rule-12iyn3 arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-12iyn3 ACTIVE access-keys-rotated config-rule-aospfr arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-aospfr ACTIVE autoscaling-group-elb-healthcheck-required config-rule-cn1f2x arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-cn1f2x ACTIVE-
API の詳細については、「AWS Tools for PowerShell コマンドレットリファレンス (V5)」の「DescribeConfigRules」を参照してください。
-
- Python
-
- SDK for Python (Boto3)
-
注記
GitHub には、その他のリソースもあります。用例一覧を検索し、AWS コード例リポジトリ
での設定と実行の方法を確認してください。 class ConfigWrapper: """ Encapsulates AWS Config functions. """ def __init__(self, config_client): """ :param config_client: A Boto3 AWS Config client. """ self.config_client = config_client def describe_config_rule(self, rule_name): """ Gets data for the specified rule. :param rule_name: The name of the rule to retrieve. :return: The rule data. """ try: response = self.config_client.describe_config_rules( ConfigRuleNames=[rule_name] ) rule = response["ConfigRules"] logger.info("Got data for rule %s.", rule_name) except ClientError: logger.exception("Couldn't get data for rule %s.", rule_name) raise else: return rule-
API の詳細については、「AWS SDK for Python (Boto3) API Reference」の「DescribeConfigRules」を参照してください。
-
- SAP ABAP
-
- SDK for SAP ABAP
-
注記
GitHub には、その他のリソースもあります。用例一覧を検索し、AWS コード例リポジトリ
での設定と実行の方法を確認してください。 DATA(lo_result) = lo_cfs->describeconfigrules( it_configrulenames = VALUE /aws1/cl_cfsconfigrulenames_w=>tt_configrulenames( ( NEW /aws1/cl_cfsconfigrulenames_w( iv_rule_name ) ) ) ). ot_cfg_rules = lo_result->get_configrules( ). MESSAGE 'Retrieved AWS Config rule data.' TYPE 'I'.-
API の詳細については、 AWS SDK for SAP ABAP API リファレンスの「DescribeConfigRules」を参照してください。
-
次のサンプルコードは、DescribeComplianceByConfigRule を使用する方法を説明しています。
- CLI
-
- AWS CLI
-
Config AWS ルールのコンプライアンス情報を取得するには
次のコマンドは、1 つ以上の AWS リソースによって違反された各 AWS Config ルールのコンプライアンス情報を返します。
aws configservice describe-compliance-by-config-rule --compliance-typesNON_COMPLIANT出力では、各
CappedCount属性の値は、関連するルールに準拠していないリソースの数を示します。例えば、次の出力は、3 つのリソースがInstanceTypesAreT2microという名前のルールに準拠していないことを示しています。出力:
{ "ComplianceByConfigRules": [ { "Compliance": { "ComplianceContributorCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "InstanceTypesAreT2micro" }, { "Compliance": { "ComplianceContributorCount": { "CappedCount": 10, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "RequiredTagsForVolumes" } ] }-
API の詳細については、「AWS CLI コマンドリファレンス」の「DescribeComplianceByConfigRule
」を参照してください。
-
- PowerShell
-
- Tools for PowerShell V4
-
例 1: この例では、ルールの現在の評価結果がないため、INSUFFICIENT_DATA が返されるルール ebs-optimized-instance のコンプライアンスの詳細を取得します。
(Get-CFGComplianceByConfigRule -ConfigRuleName ebs-optimized-instance).Compliance出力:
ComplianceContributorCount ComplianceType -------------------------- -------------- INSUFFICIENT_DATA例 2: この例では、ルール ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK の非準拠リソースの数を返します。
(Get-CFGComplianceByConfigRule -ConfigRuleName ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK -ComplianceType NON_COMPLIANT).Compliance.ComplianceContributorCount出力:
CapExceeded CappedCount ----------- ----------- False 2-
API の詳細については、「AWS Tools for PowerShell コマンドレットリファレンス (V4)」の「DescribeComplianceByConfigRule」を参照してください。
-
- Tools for PowerShell V5
-
例 1: この例では、ルールの現在の評価結果がないため、INSUFFICIENT_DATA が返されるルール ebs-optimized-instance のコンプライアンスの詳細を取得します。
(Get-CFGComplianceByConfigRule -ConfigRuleName ebs-optimized-instance).Compliance出力:
ComplianceContributorCount ComplianceType -------------------------- -------------- INSUFFICIENT_DATA例 2: この例では、ルール ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK の非準拠リソースの数を返します。
(Get-CFGComplianceByConfigRule -ConfigRuleName ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK -ComplianceType NON_COMPLIANT).Compliance.ComplianceContributorCount出力:
CapExceeded CappedCount ----------- ----------- False 2-
API の詳細については、「AWS Tools for PowerShell コマンドレットリファレンス (V5)」 の「DescribeComplianceByConfigRule」を参照してください。
-
次のサンプルコードは、GetComplianceSummaryByConfigRule を使用する方法を説明しています。
- CLI
-
- AWS CLI
-
Config AWS ルールのコンプライアンス概要を取得するには
次のコマンドは、準拠しているルールの数と準拠していないルールの数を返します。
aws configservice get-compliance-summary-by-config-rule出力では、各
CappedCount属性の値は、準拠または非準拠のルールの数を示します。出力:
{ "ComplianceSummary": { "NonCompliantResourceCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceSummaryTimestamp": 1452204131.493, "CompliantResourceCount": { "CappedCount": 2, "CapExceeded": false } } }-
API の詳細については、「AWS CLI コマンドリファレンス」の「GetComplianceSummaryByConfigRule
」を参照してください。
-
- PowerShell
-
- Tools for PowerShell V4
-
例 1: このサンプルは、非準拠の Config ルールの数を返します。
Get-CFGComplianceSummaryByConfigRule -Select ComplianceSummary.NonCompliantResourceCount出力:
CapExceeded CappedCount ----------- ----------- False 9-
API の詳細については、「AWS Tools for PowerShell コマンドレットリファレンス (V4)」の「GetComplianceSummaryByConfigRule」を参照してください。
-
- Tools for PowerShell V5
-
例 1: このサンプルは、非準拠の Config ルールの数を返します。
Get-CFGComplianceSummaryByConfigRule -Select ComplianceSummary.NonCompliantResourceCount出力:
CapExceeded CappedCount ----------- ----------- False 9-
API の詳細については、「AWS Tools for PowerShell コマンドレットリファレンス (V5)」 の「GetComplianceSummaryByConfigRule」を参照してください。
-
次のサンプルコードは、GetComplianceDetailsByConfigRule を使用する方法を説明しています。
- CLI
-
- AWS CLI
-
Config AWS ルールの評価結果を取得するには
次のコマンドは、 という名前の Config AWS ルールに準拠していないすべてのリソースの評価結果を返します
InstanceTypesAreT2micro。aws configservice get-compliance-details-by-config-rule --config-rule-nameInstanceTypesAreT2micro--compliance-typesNON_COMPLIANT出力:
{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314645.261, "ConfigRuleInvokedTime": 1450314642.948, "ComplianceType": "NON_COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-2a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314645.18, "ConfigRuleInvokedTime": 1450314642.902, "ComplianceType": "NON_COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-3a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314643.346, "ConfigRuleInvokedTime": 1450314643.124, "ComplianceType": "NON_COMPLIANT" } ] }-
API の詳細については、「AWS CLI コマンドリファレンス」の「GetComplianceDetailsByConfigRule
」を参照してください。
-
- PowerShell
-
- Tools for PowerShell V4
-
例 1: この例では、ルール access-keys-rotated の評価結果を取得し、コンプライアンスタイプ別にグループ化された出力を返します。
Get-CFGComplianceDetailsByConfigRule -ConfigRuleName access-keys-rotated | Group-Object ComplianceType出力:
Count Name Group ----- ---- ----- 2 COMPLIANT {Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationResult} 5 NON_COMPLIANT {Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationRes...例 2: この例では、COMPLIANT リソースの access-keys-rotated ルールのコンプライアンスの詳細をクエリします。
Get-CFGComplianceDetailsByConfigRule -ConfigRuleName access-keys-rotated -ComplianceType COMPLIANT | ForEach-Object {$_.EvaluationResultIdentifier.EvaluationResultQualifier}出力:
ConfigRuleName ResourceId ResourceType -------------- ---------- ------------ access-keys-rotated BCAB1CDJ2LITAPVEW3JAH AWS::IAM::User access-keys-rotated BCAB1CDJ2LITL3EHREM4Q AWS::IAM::User-
API の詳細については、「AWS Tools for PowerShell コマンドレットリファレンス (V4)」の「GetComplianceDetailsByConfigRule」を参照してください。
-
- Tools for PowerShell V5
-
例 1: この例では、ルール access-keys-rotated の評価結果を取得し、コンプライアンスタイプ別にグループ化された出力を返します。
Get-CFGComplianceDetailsByConfigRule -ConfigRuleName access-keys-rotated | Group-Object ComplianceType出力:
Count Name Group ----- ---- ----- 2 COMPLIANT {Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationResult} 5 NON_COMPLIANT {Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationRes...例 2: この例では、COMPLIANT リソースの access-keys-rotated ルールのコンプライアンスの詳細をクエリします。
Get-CFGComplianceDetailsByConfigRule -ConfigRuleName access-keys-rotated -ComplianceType COMPLIANT | ForEach-Object {$_.EvaluationResultIdentifier.EvaluationResultQualifier}出力:
ConfigRuleName ResourceId ResourceType -------------- ---------- ------------ access-keys-rotated BCAB1CDJ2LITAPVEW3JAH AWS::IAM::User access-keys-rotated BCAB1CDJ2LITL3EHREM4Q AWS::IAM::User-
API の詳細については、「AWS Tools for PowerShell コマンドレットリファレンス (V5) 」の「GetComplianceDetailsByConfigRule」を参照してください。
-
