기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Config 규칙에 대한 세부 정보 및 규정 준수 정보 보기
중요
규정 준수 상태를 정확하게 보고하려면 AWS::Config::ResourceCompliance 리소스 유형을 반드시 기록해야 합니다. 자세한 내용은 AWS 리소스 레코딩을 참조하세요.
AWS Config 콘솔 또는 AWS SDKs를 사용하여 규칙을 볼 수 있습니다.
규칙 확인(콘솔)
규칙 페이지에 규칙과 각 규칙의 현재 준수 상태가 표로 표시됩니다. 가 규칙에 대한 리소스 평가를 AWS Config 완료할 때까지 각 규칙의 결과는 평가 중...입니다. 새로 고침 버튼으로 결과를 업데이트할 수 있습니다. 가 평가를 AWS Config 완료하면 규정 준수 또는 비준수 규칙과 리소스 유형을 볼 수 있습니다. 자세한 내용은 를 사용하여 AWS 리소스에 대한 규정 준수 정보 및 평가 결과 보기 AWS Config 단원을 참조하십시오.
참고
AWS Config 는 기록 중인 리소스 유형만 평가합니다. 예를 들어 Cloudtrail 지원 규칙을 추가하지만 CloudTrail 추적 리소스 유형을 기록하지 않는 경우는 계정의 추적이 규정을 준수하는지 여부를 평가할 수 AWS Config 없습니다. 자세한 내용은 를 사용하여 AWS 리소스 기록 AWS Config 단원을 참조하십시오.
규칙을 보려면
에 로그인 AWS Management Console 하고 https://console.aws.amazon.com/config/home
AWS Config 콘솔을 엽니다. -
AWS Management Console 메뉴에서 리전 선택기가 AWS Config 규칙을 지원하는 리전으로 설정되어 있는지 확인합니다. 지원되는 리전의 목록은 Amazon Web Services 일반 참조의 AWS Config 리전 및 엔드포인트를 참조하세요.
-
왼쪽 탐색 창에서 규칙을 선택합니다.
-
규칙 페이지에는 현재에 있는 모든 규칙이 표시됩니다 AWS 계정. 여기에는 각 규칙의 이름, 연결된 문제 해결 작업 및 규정 준수 상태가 나열됩니다.
-
규칙 추가를 선택하여 규칙 생성을 시작합니다.
-
규칙을 선택하여 해당 설정을 보거나 규칙을 선택하고 세부 정보 보기 선택합니다.
-
규칙이 리소스를 평가할 때 해당 규칙의 준수 상태를 확인합니다.
-
규칙을 선택하고 규칙 편집을 선택하여 규칙의 구성 설정을 변경하고 규정 미준수 규칙에 대한 문제 해결 작업을 설정합니다.
-
규칙(AWS SDKs) 보기
다음 코드 예시는 DescribeConfigRules의 사용 방법을 보여 줍니다.
- CLI
-
- AWS CLI
-
AWS Config 규칙에 대한 세부 정보를 가져오는 방법
다음 명령은 이름이 인 AWS Config 규칙에 대한 세부 정보를 반환합니다.
InstanceTypesAreT2microaws configservice describe-config-rules --config-rule-namesInstanceTypesAreT2micro출력:
{ "ConfigRules": [ { "ConfigRuleState": "ACTIVE", "Description": "Evaluates whether EC2 instances are the t2.micro type.", "ConfigRuleName": "InstanceTypesAreT2micro", "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef", "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] }, "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "ConfigRuleId": "config-rule-abcdef" } ] }-
API 세부 정보는 AWS CLI 명령 참조의 DescribeConfigRules
를 참조하세요.
-
- PowerShell
-
- Tools for PowerShell V4
-
예제 1: 이 샘플에는 선택한 속성과 함께 계정에 대한 구성 규칙이 나열되어 있습니다.
Get-CFGConfigRule | Select-Object ConfigRuleName, ConfigRuleId, ConfigRuleArn, ConfigRuleState출력:
ConfigRuleName ConfigRuleId ConfigRuleArn ConfigRuleState -------------- ------------ ------------- --------------- ALB_REDIRECTION_CHECK config-rule-12iyn3 arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-12iyn3 ACTIVE access-keys-rotated config-rule-aospfr arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-aospfr ACTIVE autoscaling-group-elb-healthcheck-required config-rule-cn1f2x arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-cn1f2x ACTIVE-
API 세부 정보는 AWS Tools for PowerShell Cmdlet 참조(V4)의 DescribeConfigRules를 참조하세요.
-
- Tools for PowerShell V5
-
예제 1: 이 샘플에는 선택한 속성과 함께 계정에 대한 구성 규칙이 나열되어 있습니다.
Get-CFGConfigRule | Select-Object ConfigRuleName, ConfigRuleId, ConfigRuleArn, ConfigRuleState출력:
ConfigRuleName ConfigRuleId ConfigRuleArn ConfigRuleState -------------- ------------ ------------- --------------- ALB_REDIRECTION_CHECK config-rule-12iyn3 arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-12iyn3 ACTIVE access-keys-rotated config-rule-aospfr arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-aospfr ACTIVE autoscaling-group-elb-healthcheck-required config-rule-cn1f2x arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-cn1f2x ACTIVE-
API 세부 정보는 AWS Tools for PowerShell Cmdlet 참조(V5)의 DescribeConfigRules를 참조하세요.
-
- Python
-
- SDK for Python (Boto3)
-
참고
GitHub에 더 많은 내용이 있습니다. AWS 코드 예 리포지토리
에서 전체 예를 찾고 설정 및 실행하는 방법을 배워보세요. class ConfigWrapper: """ Encapsulates AWS Config functions. """ def __init__(self, config_client): """ :param config_client: A Boto3 AWS Config client. """ self.config_client = config_client def describe_config_rule(self, rule_name): """ Gets data for the specified rule. :param rule_name: The name of the rule to retrieve. :return: The rule data. """ try: response = self.config_client.describe_config_rules( ConfigRuleNames=[rule_name] ) rule = response["ConfigRules"] logger.info("Got data for rule %s.", rule_name) except ClientError: logger.exception("Couldn't get data for rule %s.", rule_name) raise else: return rule-
API 세부 정보는 AWS SDK for Python (Boto3) API 참조의 DescribeConfigRules을 참조하세요.
-
다음 코드 예시는 DescribeComplianceByConfigRule의 사용 방법을 보여 줍니다.
- CLI
-
- AWS CLI
-
AWS Config 규칙에 대한 규정 준수 정보를 가져오는 방법
다음 명령은 하나 이상의 AWS 리소스에서 위반한 각 AWS Config 규칙에 대한 규정 준수 정보를 반환합니다.
aws configservice describe-compliance-by-config-rule --compliance-typesNON_COMPLIANT출력에서 각
CappedCount속성의 값은 관련 규칙을 준수하지 않는 리소스 수를 나타냅니다. 예를 들어 다음 출력은 3개의 리소스가InstanceTypesAreT2micro라는 규칙을 준수하지 않음을 나타냅니다.출력:
{ "ComplianceByConfigRules": [ { "Compliance": { "ComplianceContributorCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "InstanceTypesAreT2micro" }, { "Compliance": { "ComplianceContributorCount": { "CappedCount": 10, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "RequiredTagsForVolumes" } ] }-
API 세부 정보는 AWS CLI 명령 참조의 DescribeComplianceByConfigRule
섹션을 참조하세요.
-
- PowerShell
-
- Tools for PowerShell V4
-
예제 1: 이 예제는 규칙에 대한 현재 평가 결과가 없으므로 INSUFFICIENT_DATA를 반환하는 규칙 ebs-optimized-instance에 대한 규정 준수 세부 정보를 검색합니다.
(Get-CFGComplianceByConfigRule -ConfigRuleName ebs-optimized-instance).Compliance출력:
ComplianceContributorCount ComplianceType -------------------------- -------------- INSUFFICIENT_DATA예제 2: 이 예제는 규칙 ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK에 대한 비준수 리소스 수를 반환합니다.
(Get-CFGComplianceByConfigRule -ConfigRuleName ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK -ComplianceType NON_COMPLIANT).Compliance.ComplianceContributorCount출력:
CapExceeded CappedCount ----------- ----------- False 2-
API 세부 정보는 Cmdlet 참조(V4)의 DescribeComplianceByConfigRule을 참조하세요. AWS Tools for PowerShell
-
- Tools for PowerShell V5
-
예제 1: 이 예제는 규칙에 대한 현재 평가 결과가 없으므로 INSUFFICIENT_DATA를 반환하는 규칙 ebs-optimized-instance에 대한 규정 준수 세부 정보를 검색합니다.
(Get-CFGComplianceByConfigRule -ConfigRuleName ebs-optimized-instance).Compliance출력:
ComplianceContributorCount ComplianceType -------------------------- -------------- INSUFFICIENT_DATA예제 2: 이 예제는 규칙 ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK에 대한 비준수 리소스 수를 반환합니다.
(Get-CFGComplianceByConfigRule -ConfigRuleName ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK -ComplianceType NON_COMPLIANT).Compliance.ComplianceContributorCount출력:
CapExceeded CappedCount ----------- ----------- False 2-
API 세부 정보는 Cmdlet 참조(V5)의 DescribeComplianceByConfigRule을 참조하세요. AWS Tools for PowerShell
-
다음 코드 예시는 GetComplianceSummaryByConfigRule의 사용 방법을 보여 줍니다.
- CLI
-
- AWS CLI
-
AWS Config 규칙에 대한 규정 준수 요약을 가져오는 방법
다음 명령은 규정을 준수하는 규칙의 수와 규정을 미준수하는 규칙의 수를 반환합니다.
aws configservice get-compliance-summary-by-config-rule출력에서 각
CappedCount속성의 값은 규정 준수 또는 규정 미준수 규칙의 수를 나타냅니다.출력:
{ "ComplianceSummary": { "NonCompliantResourceCount": { "CappedCount": 3, "CapExceeded": false }, "ComplianceSummaryTimestamp": 1452204131.493, "CompliantResourceCount": { "CappedCount": 2, "CapExceeded": false } } }-
API 세부 정보는 AWS CLI 명령 참조의 GetComplianceSummaryByConfigRule
섹션을 참조하세요.
-
- PowerShell
-
- Tools for PowerShell V4
-
예제 1: 이 샘플은 규정을 준수하지 않는 Config 규칙 수를 반환합니다.
Get-CFGComplianceSummaryByConfigRule -Select ComplianceSummary.NonCompliantResourceCount출력:
CapExceeded CappedCount ----------- ----------- False 9-
API 세부 정보는 Cmdlet 참조(V4)의 GetComplianceSummaryByConfigRule을 참조하세요. AWS Tools for PowerShell
-
- Tools for PowerShell V5
-
예제 1: 이 샘플은 규정을 준수하지 않는 Config 규칙 수를 반환합니다.
Get-CFGComplianceSummaryByConfigRule -Select ComplianceSummary.NonCompliantResourceCount출력:
CapExceeded CappedCount ----------- ----------- False 9-
API 세부 정보는 Cmdlet 참조(V5)의 GetComplianceSummaryByConfigRule을 참조하세요. AWS Tools for PowerShell
-
다음 코드 예시는 GetComplianceDetailsByConfigRule의 사용 방법을 보여 줍니다.
- CLI
-
- AWS CLI
-
AWS Config 규칙에 대한 평가 결과를 가져오는 방법
다음 명령은 라는 AWS Config 규칙을 준수하지 않는 모든 리소스에 대한 평가 결과를 반환합니다
InstanceTypesAreT2micro.aws configservice get-compliance-details-by-config-rule --config-rule-nameInstanceTypesAreT2micro--compliance-typesNON_COMPLIANT출력:
{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-1a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314645.261, "ConfigRuleInvokedTime": 1450314642.948, "ComplianceType": "NON_COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-2a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314645.18, "ConfigRuleInvokedTime": 1450314642.902, "ComplianceType": "NON_COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1450314635.065, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-3a2b3c4d", "ConfigRuleName": "InstanceTypesAreT2micro" } }, "ResultRecordedTime": 1450314643.346, "ConfigRuleInvokedTime": 1450314643.124, "ComplianceType": "NON_COMPLIANT" } ] }-
API 세부 정보는 AWS CLI 명령 참조의 GetComplianceDetailsByConfigRule
섹션을 참조하세요.
-
- PowerShell
-
- Tools for PowerShell V4
-
예제 1: 이 예제는 규칙 access-keys-rotated에 대한 평가 결과를 얻고 규정 준수 유형별로 그룹화된 출력을 반환합니다.
Get-CFGComplianceDetailsByConfigRule -ConfigRuleName access-keys-rotated | Group-Object ComplianceType출력:
Count Name Group ----- ---- ----- 2 COMPLIANT {Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationResult} 5 NON_COMPLIANT {Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationRes...예제 2: 이 예제는 COMPLIANT 리소스에 대한 규칙 access-keys-rotated에 대한 규정 준수 세부 정보를 쿼리합니다.
Get-CFGComplianceDetailsByConfigRule -ConfigRuleName access-keys-rotated -ComplianceType COMPLIANT | ForEach-Object {$_.EvaluationResultIdentifier.EvaluationResultQualifier}출력:
ConfigRuleName ResourceId ResourceType -------------- ---------- ------------ access-keys-rotated BCAB1CDJ2LITAPVEW3JAH AWS::IAM::User access-keys-rotated BCAB1CDJ2LITL3EHREM4Q AWS::IAM::User-
API 세부 정보는 Cmdlet 참조(V4)의 GetComplianceDetailsByConfigRule을 참조하세요. AWS Tools for PowerShell
-
- Tools for PowerShell V5
-
예제 1: 이 예제는 규칙 access-keys-rotated에 대한 평가 결과를 얻고 규정 준수 유형별로 그룹화된 출력을 반환합니다.
Get-CFGComplianceDetailsByConfigRule -ConfigRuleName access-keys-rotated | Group-Object ComplianceType출력:
Count Name Group ----- ---- ----- 2 COMPLIANT {Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationResult} 5 NON_COMPLIANT {Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationResult, Amazon.ConfigService.Model.EvaluationRes...예제 2: 이 예제는 COMPLIANT 리소스에 대한 규칙 access-keys-rotated에 대한 규정 준수 세부 정보를 쿼리합니다.
Get-CFGComplianceDetailsByConfigRule -ConfigRuleName access-keys-rotated -ComplianceType COMPLIANT | ForEach-Object {$_.EvaluationResultIdentifier.EvaluationResultQualifier}출력:
ConfigRuleName ResourceId ResourceType -------------- ---------- ------------ access-keys-rotated BCAB1CDJ2LITAPVEW3JAH AWS::IAM::User access-keys-rotated BCAB1CDJ2LITL3EHREM4Q AWS::IAM::User-
API 세부 정보는 Cmdlet 참조(V5)의 GetComplianceDetailsByConfigRule을 참조하세요. AWS Tools for PowerShell
-
