Visualizar o histórico de conformidade de seus recursos da AWS com o AWS Config - AWS Config
Visualizar o histórico de conformidade (console)Visualizar o histórico de conformidade (AWS CLI)Para recursos e regras

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visualizar o histórico de conformidade de seus recursos da AWS com o AWS Config

Importante

O tipo de recurso AWS::Config::ResourceCompliance é usado para armazenar resultados históricos de conformidade dos recursos. A gravação desse tipo de recurso não é necessária para que as regras do Config avaliem recursos ou para visualizar o status atual de conformidade no console.

A gravação de AWS::Config::ResourceCompliance só permite que você visualize as alterações históricas de conformidade ao longo do tempo no cronograma do recurso. Se você não precisar de dados históricos de conformidade, poderá excluir esse tipo de recurso. Para ter mais informações sobre como selecionar recursos para gravar, consulte Gravar recursos da AWS.

Você pode visualizar a configuração, os relacionamentos e o número de alterações feitas em um recurso no console do AWS Config. Você pode visualizar o histórico de configuração de um recurso usando a AWS CLI.

Visualizar o histórico de conformidade (console)

Quando você pesquisar recursos na página Inventário de recursos, clique no nome ou no ID do recurso na coluna de identificadores de recursos para exibir a página de detalhes do recurso. A página de detalhes fornece informações sobre a configuração, relacionamentos e o número de alterações feitas para aquele recurso.

Para acessar o cronograma de recursos na página de detalhes do recurso, escolha o botão Cronograma do recurso. O cronograma de recursos captura alterações como ConfigurationItems durante um período para um recurso específico. Você pode filtrar por Eventos de configuração, eventos de conformidade ou eventos do CloudTrail.

Visualizar o histórico de conformidade (AWS CLI)

Os itens de configuração que o AWS Config registra são entregues sob demanda no canal de entrega especificado, como um snapshot de configuração e como um stream de configuração. Você pode usar a AWS CLI para visualizar o histórico de itens de configuração de cada recurso.

Visualizar o histórico de configuração

Insira o comando get-resource-config-history e especifique o tipo de recurso e o ID do recurso; por exemplo:

$ aws configservice get-resource-config-history --resource-type AWS::EC2::SecurityGroup --resource-id sg-6fbb3807
{
    "configurationItems": [
        {
            "configurationItemCaptureTime": 1414708529.9219999,
            "relationships": [
                {
                    "resourceType": "AWS::EC2::Instance",
                    "resourceId": "i-7a3b232a",
                    "relationshipName": "Is associated with Instance"
                },
                {
                    "resourceType": "AWS::EC2::Instance",
                    "resourceId": "i-8b6eb2ab",
                    "relationshipName": "Is associated with Instance"
                },
                {
                    "resourceType": "AWS::EC2::Instance",
                    "resourceId": "i-c478efe5",
                    "relationshipName": "Is associated with Instance"
                },
                {
                    "resourceType": "AWS::EC2::Instance",
                    "resourceId": "i-e4cbe38d",
                    "relationshipName": "Is associated with Instance"
                }
            ],
            "availabilityZone": "Not Applicable",
            "tags": {},
            "resourceType": "AWS::EC2::SecurityGroup",
            "resourceId": "sg-6fbb3807",
            "configurationStateId": "1",
            "relatedEvents": [],
            "arn": "arn:aws:ec2:us-east-2:012345678912:security-group/default",
            "version": "1.0",
            "configurationItemMD5Hash": "860aa81fc3869e186b2ee00bc638a01a",
            "configuration": "{\"ownerId\":\"605053316265\",\"groupName\":\"default\",\"groupId\":\"sg-6fbb3807\",\"description\":\"default group\",\"ipPermissions\":[{\"ipProtocol\":\"tcp\",\"fromPort\":80,\"toPort\":80,\"userIdGroupPairs\":[{\"userId\":\"amazon-elb\",\"groupName\":\"amazon-elb-sg\",\"groupId\":\"sg-843f59ed\"}],\"ipRanges\":[\"0.0.0.0/0\"]},{\"ipProtocol\":\"tcp\",\"fromPort\":0,\"toPort\":65535,\"userIdGroupPairs\":[{\"userId\":\"605053316265\",\"groupName\":\"default\",\"groupId\":\"sg-6fbb3807\"}],\"ipRanges\":[]},{\"ipProtocol\":\"udp\",\"fromPort\":0,\"toPort\":65535,\"userIdGroupPairs\":[{\"userId\":\"605053316265\",\"groupName\":\"default\",\"groupId\":\"sg-6fbb3807\"}],\"ipRanges\":[]},{\"ipProtocol\":\"icmp\",\"fromPort\":-1,\"toPort\":-1,\"userIdGroupPairs\":[{\"userId\":\"605053316265\",\"groupName\":\"default\",\"groupId\":\"sg-6fbb3807\"}],\"ipRanges\":[]},{\"ipProtocol\":\"tcp\",\"fromPort\":1433,\"toPort\":1433,\"userIdGroupPairs\":[],\"ipRanges\":[\"0.0.0.0/0\"]},{\"ipProtocol\":\"tcp\",\"fromPort\":3389,\"toPort\":3389,\"userIdGroupPairs\":[],\"ipRanges\":[\"207.171.160.0/19\"]}],\"ipPermissionsEgress\":[],\"vpcId\":null,\"tags\":[]}",
            "configurationItemStatus": "ResourceDiscovered",
            "accountId": "605053316265"
        }
    ],
    "nextToken":
     ..........

Para uma explicação detalhada dos campos de resposta, consulte Components of a Configuration Item e Tipos de recursos suportados para AWS Config.

Exemplo de histórico de configuração do Amazon EBS do AWS Config

O AWS Config gera um conjunto de arquivos em que cada um representa um tipo de recurso e lista todas as alterações de configuração dos recursos do tipo em questão que o AWS Config está registrando. O AWS Config exporta esse histórico de configuração por recurso como um objeto no bucket do S3 que você especificou quando ativou o AWS Config. O arquivo de histórico de configuração para cada tipo de recurso contém as alterações que foram detectadas para os recursos daquele tipo desde que o último arquivo de histórico foi entregue. Os arquivos de histórico normalmente são entregues a cada seis horas.

Veja a seguir um exemplo do conteúdo do objeto do Amazon S3 que descreve o histórico de configuração de todos os volumes do Amazon Elastic Block Store na região atual para a sua Conta da AWS. Os volumes nessa conta incluem vol-ce676ccc e vol-cia007c. O volume vol-ce676ccc tinha duas alterações de configuração desde a entrega do arquivo de histórico anterior, enquanto o vol-cia007c tinha uma alteração.

{
    "fileVersion": "1.0",
    "requestId": "asudf8ow-4e34-4f32-afeb-0ace5bf3trye",
    "configurationItems": [
        {
            "snapshotVersion": "1.0",
            "resourceId": "vol-ce676ccc",
            "arn": "arn:aws:us-west-2b:123456789012:volume/vol-ce676ccc",
            "accountId": "12345678910",
            "configurationItemCaptureTime": "2014-03-07T23:47:08.918Z",
            "configurationStateID": "3e660fdf-4e34-4f32-afeb-0ace5bf3d63a",
            "configurationItemStatus": "OK",
            "relatedEvents": [
                "06c12a39-eb35-11de-ae07-adb69edbb1e4",
                "c376e30d-71a2-4694-89b7-a5a04ad92281"
            ],
            "availibilityZone": "us-west-2b",
            "resourceType": "AWS::EC2::Volume",
            "resourceCreationTime": "2014-02-27T21:43:53.885Z",
            "tags": {},
            "relationships": [
                {
                    "resourceId": "i-344c463d",
                    "resourceType": "AWS::EC2::Instance",
                    "name": "Attached to Instance"
                }
            ],
            "configuration": {
                "volumeId": "vol-ce676ccc",
                "size": 1,
                "snapshotId": "",
                "availabilityZone": "us-west-2b",
                "state": "in-use",
                "createTime": "2014-02-27T21:43:53.0885+0000",
                "attachments": [
                    {
                        "volumeId": "vol-ce676ccc",
                        "instanceId": "i-344c463d",
                        "device": "/dev/sdf",
                        "state": "attached",
                        "attachTime": "2014-03-07T23:46:28.0000+0000",
                        "deleteOnTermination": false
                    }
                ],
                "tags": [
                    {
                        "tagName": "environment",
                        "tagValue": "PROD"
                    },
                    {
                        "tagName": "name",
                        "tagValue": "DataVolume1"
                    }
                ],
                "volumeType": "standard"
            }
        },
        {
            "configurationItemVersion": "1.0",
            "resourceId": "vol-ce676ccc",
            "arn": "arn:aws:us-west-2b:123456789012:volume/vol-ce676ccc",
            "accountId": "12345678910",
            "configurationItemCaptureTime": "2014-03-07T21:47:08.918Z",
            "configurationItemState": "3e660fdf-4e34-4f32-sseb-0ace5bf3d63a",
            "configurationItemStatus": "OK",
            "relatedEvents": [
                "06c12a39-eb35-11de-ae07-ad229edbb1e4",
                "c376e30d-71a2-4694-89b7-a5a04w292281"
            ],
            "availibilityZone": "us-west-2b",
            "resourceType": "AWS::EC2::Volume",
            "resourceCreationTime": "2014-02-27T21:43:53.885Z",
            "tags": {},
            "relationships": [
                {
                    "resourceId": "i-344c463d",
                    "resourceType": "AWS::EC2::Instance",
                    "name": "Attached to Instance"
                }
            ],
            "configuration": {
                "volumeId": "vol-ce676ccc",
                "size": 1,
                "snapshotId": "",
                "availabilityZone": "us-west-2b",
                "state": "in-use",
                "createTime": "2014-02-27T21:43:53.0885+0000",
                "attachments": [
                    {
                        "volumeId": "vol-ce676ccc",
                        "instanceId": "i-344c463d",
                        "device": "/dev/sdf",
                        "state": "attached",
                        "attachTime": "2014-03-07T23:46:28.0000+0000",
                        "deleteOnTermination": false
                    }
                ],
                "tags": [
                    {
                        "tagName": "environment",
                        "tagValue": "PROD"
                    },
                    {
                        "tagName": "name",
                        "tagValue": "DataVolume1"
                    }
                ],
                "volumeType": "standard"
            }
        },
        {
            "configurationItemVersion": "1.0",
            "resourceId": "vol-cia007c",
            "arn": "arn:aws:us-west-2b:123456789012:volume/vol-cia007c",
            "accountId": "12345678910",
            "configurationItemCaptureTime": "2014-03-07T20:47:08.918Z",
            "configurationItemState": "3e660fdf-4e34-4f88-sseb-0ace5bf3d63a",
            "configurationItemStatus": "OK",
            "relatedEvents": [
                "06c12a39-eb35-11de-ae07-adjhk8edbb1e4",
                "c376e30d-71a2-4694-89b7-a5a67u292281"
            ],
            "availibilityZone": "us-west-2b",
            "resourceType": "AWS::EC2::Volume",
            "resourceCreationTime": "2014-02-27T20:43:53.885Z",
            "tags": {},
            "relationships": [
                {
                    "resourceId": "i-344e563d",
                    "resourceType": "AWS::EC2::Instance",
                    "name": "Attached to Instance"
                }
            ],
            "configuration": {
                "volumeId": "vol-cia007c",
                "size": 1,
                "snapshotId": "",
                "availabilityZone": "us-west-2b",
                "state": "in-use",
                "createTime": "2014-02-27T20:43:53.0885+0000",
                "attachments": [
                    {
                        "volumeId": "vol-cia007c",
                        "instanceId": "i-344e563d",
                        "device": "/dev/sdf",
                        "state": "attached",
                        "attachTime": "2014-03-07T23:46:28.0000+0000",
                        "deleteOnTermination": false
                    }
                ],
                "tags": [
                    {
                        "tagName": "environment",
                        "tagValue": "PROD"
                    },
                    {
                        "tagName": "name",
                        "tagValue": "DataVolume2"
                    }
                ],
                "volumeType": "standard"
            }
        }
    ]
}

Visualizar o cronograma do histórico de conformidade para recursos e regras

AWS Config O oferece suporte ao armazenamento de alterações de estado de compatibilidade conforme avaliadas pelo Regras do AWS Config. O histórico de compatibilidade de recursos é apresentado na forma de um cronograma. O cronograma captura alterações como ConfigurationItems ao longo de um período para um recurso específico. Para obter informações sobre o conteúdo de ConfigurationItem, consulte ConfigurationItem na Referência da API do AWS Config.

Você pode aceitar ou cancelar o registro de todos os tipos de recurso no AWS Config. Se você tiver optado por registrar todos os tipos de recursos, o AWS Config começará automaticamente a registrar o histórico de conformidade de recursos conforme avaliado pelo Regras do AWS Config. Por padrão, o AWS Config registra as alterações de configurações de todos os recursos compatíveis. Você também pode selecionar apenas o tipo de recurso específico do histórico de conformidade de recursos: AWS::Config::ResourceCompliance. Para obter mais informações, consulte Gravação de recursos da AWS.

Viewing Resource Timeline Using Resources

Acesse o cronograma de recursos selecionando um recurso específico na página Inventário de recursos.

  1. Selecione os recursos na navegação à esquerda.

  2. Na página Inventário de recursos, você pode filtrar por categoria de recurso, tipo de recurso e status de conformidade. Escolha Incluir recursos excluídos, se apropriado.

    A tabela exibe o identificador do tipo de recurso e o status de compatibilidade desse recurso. O identificador de recursos pode ser um ID ou um nome de recurso.

  3. Selecione o recurso na coluna de identificador de recurso.

  4. Escolha o botão Cronograma do recurso. Você pode filtrar por Eventos de configuração, eventos de conformidade ou eventos do CloudTrail.

    nota

    Como alternativa, na página Inventário de recursos, você pode clicar no nome do recurso. Para acessar o cronograma de recursos na página de detalhes do recurso, escolha o botão Cronograma do recurso.

Viewing Resource Timeline Using Rules

Acesse o cronograma de recursos selecionando uma regra específica da página Regra.

  1. Selecione as regras na navegação à esquerda.

  2. Na página Regra, escolha uma regra que avalia seus recursos relevantes. Se nenhuma regra for exibida na tela, adicione regras com o botão Add rule (Adicionar regra).

  3. Na página Rule details (Detalhes da regra), selecione os recursos na tabela Resources evaluated (Recursos avaliados).

  4. Selecione o botão Cronograma do recurso. O cronograma do recurso é exibido.