本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用查看 AWS 资源的合规信息和评估结果 AWS Config
**重要**
要准确报告合规性状态,必须记录 `AWS::Config::ResourceCompliance` 资源类型。有关更多信息,请参阅[录制 AWS 资源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
您可以使用 AWS Config 控制台或 AWS SDKs 查看资源的合规性信息和评估结果。
**Topics**
+ [查看合规性(控制台)](#evaluate-config_view-compliance-console)
+ [查看合规性 (AWS SDKs)](#evaluate-config_view-compliance-cli)
## 查看合规性(控制台)
### 查看合规性(控制台)
1. 登录 AWS 管理控制台 并在家中打开[https://console.aws.amazon.com/config/主 AWS Config](https://console.aws.amazon.com/config/home)机。
1. 在 AWS 管理控制台 菜单中,确认区域选择器设置为支持 AWS Config 规则的区域。有关支持的区域的列表,请参阅《Amazon Web Services 一般参考》**中的 [AWS Config 区域和终端节点](https://docs.aws.amazon.com/general/latest/gr/rande.html#awsconfig_region)。
1. 在导航窗格中,选择**资源**。在“资源”清单页面上,您可以按资源类别、资源类型和合规性状态进行筛选。根据需要选择**包括已删除的资源**。该表显示了资源类型的资源标识符和该资源的资源合规性状态。资源标识符可以是资源 ID,也可以是资源名称。
1. 从资源标识符列中选择资源。
1. 选择**资源时间表**按钮。您可以按配置事件、合规性事件或 CloudTrail 事件进行筛选。
**注意**
或者,在“资源”清单页面上,您可以直接选择资源名称。要从资源详细信息页面访问资源时间表,请选择**资源时间表**按钮。
此外,您还可以在 **Resource inventory** 页面查找您的资源,以查看其合规性。有关更多信息,请参阅 [查找被发现的资源 AWS Config](looking-up-discovered-resources.md)。
## 查看合规性 (AWS SDKs)
### 获取 AWS 资源的合规性信息
以下代码示例演示如何使用 `DescribeComplianceByResource`。
------
#### [ CLI ]
**AWS CLI**
**获取 AWS 资源的合规性信息**
以下命令返回由 AWS Config 记录且违反一条或多条规则的每个 EC2 实例的合规性信息:
```
aws configservice describe-compliance-by-resource --resource-type {{AWS::EC2::Instance}} --compliance-types {{NON_COMPLIANT}}
```
在输出中,每个 `CappedCount` 属性的值都表示该资源违反了多少规则。例如,以下输出表明实例 `i-1a2b3c4d` 违反了 2 条规则。
输出:
```
{
"ComplianceByResources": [
{
"ResourceType": "AWS::EC2::Instance",
"ResourceId": "i-1a2b3c4d",
"Compliance": {
"ComplianceContributorCount": {
"CappedCount": 2,
"CapExceeded": false
},
"ComplianceType": "NON_COMPLIANT"
}
},
{
"ResourceType": "AWS::EC2::Instance",
"ResourceId": "i-2a2b3c4d ",
"Compliance": {
"ComplianceContributorCount": {
"CappedCount": 3,
"CapExceeded": false
},
"ComplianceType": "NON_COMPLIANT"
}
}
]
}
```
+ 有关 API 的详细信息,请参阅*AWS CLI 命令参考[DescribeComplianceByResource](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/describe-compliance-by-resource.html)*中的。
------
#### [ PowerShell ]
**适用于 PowerShell V4 的工具**
**示例 1:此示例检查“COMPLIANT”合规类型的 `AWS::SSM::ManagedInstanceInventory` 资源类型。**
```
Get-CFGComplianceByResource -ComplianceType COMPLIANT -ResourceType AWS::SSM::ManagedInstanceInventory
```
**输出**:
```
Compliance ResourceId ResourceType
---------- ---------- ------------
Amazon.ConfigService.Model.Compliance i-0123bcf4b567890e3 AWS::SSM::ManagedInstanceInventory
Amazon.ConfigService.Model.Compliance i-0a1234f6f5d6b78f7 AWS::SSM::ManagedInstanceInventory
```
+ 有关 API 的详细信息,请参阅 *AWS Tools for PowerShell Cmdlet 参考 (V* 4) [DescribeComplianceByResource](https://docs.aws.amazon.com/powershell/v4/reference)中的。
**适用于 PowerShell V5 的工具**
**示例 1:此示例检查“COMPLIANT”合规类型的 `AWS::SSM::ManagedInstanceInventory` 资源类型。**
```
Get-CFGComplianceByResource -ComplianceType COMPLIANT -ResourceType AWS::SSM::ManagedInstanceInventory
```
**输出**:
```
Compliance ResourceId ResourceType
---------- ---------- ------------
Amazon.ConfigService.Model.Compliance i-0123bcf4b567890e3 AWS::SSM::ManagedInstanceInventory
Amazon.ConfigService.Model.Compliance i-0a1234f6f5d6b78f7 AWS::SSM::ManagedInstanceInventory
```
+ 有关 API 的详细信息,请参阅 *AWS Tools for PowerShell Cmdlet 参考 (V* 5) [DescribeComplianceByResource](https://docs.aws.amazon.com/powershell/v5/reference)中的。
------
### 获取 AWS 资源的合规性摘要
以下代码示例演示如何使用 `GetComplianceSummaryByResourceType`。
------
#### [ CLI ]
**AWS CLI**
**获取所有资源类型的合规性摘要**
以下命令返回不合规的 AWS 资源数量和合规资源的数量:
```
aws configservice get-compliance-summary-by-resource-type
```
在输出中,每个 `CappedCount` 属性的值都表示有多少资源合规或不合规。
输出:
```
{
"ComplianceSummariesByResourceType": [
{
"ComplianceSummary": {
"NonCompliantResourceCount": {
"CappedCount": 16,
"CapExceeded": false
},
"ComplianceSummaryTimestamp": 1453237464.543,
"CompliantResourceCount": {
"CappedCount": 10,
"CapExceeded": false
}
}
}
]
}
```
**获取特定资源类型的合规性摘要**
该命令返回合规和不合规的 EC2 实例数量。
```
aws configservice get-compliance-summary-by-resource-type --resource-types {{AWS::EC2::Instance}}
```
在输出中,每个 `CappedCount` 属性的值都表示有多少资源合规或不合规。
输出:
```
{
"ComplianceSummariesByResourceType": [
{
"ResourceType": "AWS::EC2::Instance",
"ComplianceSummary": {
"NonCompliantResourceCount": {
"CappedCount": 3,
"CapExceeded": false
},
"ComplianceSummaryTimestamp": 1452204923.518,
"CompliantResourceCount": {
"CappedCount": 7,
"CapExceeded": false
}
}
}
]
}
```
+ 有关 API 的详细信息,请参阅*AWS CLI 命令参考[GetComplianceSummaryByResourceType](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/get-compliance-summary-by-resource-type.html)*中的。
------
#### [ PowerShell ]
**适用于 PowerShell V4 的工具**
**示例 1:此示例返回合规或不合规资源的数量,并将输出转换为 json。**
```
Get-CFGComplianceSummaryByResourceType -Select ComplianceSummariesByResourceType.ComplianceSummary | ConvertTo-Json
{
"ComplianceSummaryTimestamp": "2019-12-14T06:14:49.778Z",
"CompliantResourceCount": {
"CapExceeded": false,
"CappedCount": 2
},
"NonCompliantResourceCount": {
"CapExceeded": true,
"CappedCount": 100
}
}
```
+ 有关 API 的详细信息,请参阅 *AWS Tools for PowerShell Cmdlet 参考 (V* 4) [GetComplianceSummaryByResourceType](https://docs.aws.amazon.com/powershell/v4/reference)中的。
**适用于 PowerShell V5 的工具**
**示例 1:此示例返回合规或不合规资源的数量,并将输出转换为 json。**
```
Get-CFGComplianceSummaryByResourceType -Select ComplianceSummariesByResourceType.ComplianceSummary | ConvertTo-Json
{
"ComplianceSummaryTimestamp": "2019-12-14T06:14:49.778Z",
"CompliantResourceCount": {
"CapExceeded": false,
"CappedCount": 2
},
"NonCompliantResourceCount": {
"CapExceeded": true,
"CappedCount": 100
}
}
```
+ 有关 API 的详细信息,请参阅 *AWS Tools for PowerShell Cmdlet 参考 (V* 5) [GetComplianceSummaryByResourceType](https://docs.aws.amazon.com/powershell/v5/reference)中的。
------
### 获取 AWS 资源的评估结果
以下代码示例演示如何使用 `GetComplianceDetailsByResource`。
------
#### [ CLI ]
**AWS CLI**
**获取 AWS 资源的评估结果**
以下命令返回 EC2 实例 `i-1a2b3c4d` 不符合的每条规则的评估结果:
```
aws configservice get-compliance-details-by-resource --resource-type {{AWS::EC2::Instance}} --resource-id {{i-1a2b3c4d}} --compliance-types {{NON_COMPLIANT}}
```
输出:
```
{
"EvaluationResults": [
{
"EvaluationResultIdentifier": {
"OrderingTimestamp": 1450314635.065,
"EvaluationResultQualifier": {
"ResourceType": "AWS::EC2::Instance",
"ResourceId": "i-1a2b3c4d",
"ConfigRuleName": "InstanceTypesAreT2micro"
}
},
"ResultRecordedTime": 1450314643.288,
"ConfigRuleInvokedTime": 1450314643.034,
"ComplianceType": "NON_COMPLIANT"
},
{
"EvaluationResultIdentifier": {
"OrderingTimestamp": 1450314635.065,
"EvaluationResultQualifier": {
"ResourceType": "AWS::EC2::Instance",
"ResourceId": "i-1a2b3c4d",
"ConfigRuleName": "RequiredTagForEC2Instances"
}
},
"ResultRecordedTime": 1450314645.261,
"ConfigRuleInvokedTime": 1450314642.948,
"ComplianceType": "NON_COMPLIANT"
}
]
}
```
+ 有关 API 的详细信息,请参阅*AWS CLI 命令参考[GetComplianceDetailsByResource](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/get-compliance-details-by-resource.html)*中的。
------
#### [ PowerShell ]
**适用于 PowerShell V4 的工具**
**示例 1:此示例提供给定资源的评估结果。**
```
Get-CFGComplianceDetailsByResource -ResourceId ABCD5STJ4EFGHIVEW6JAH -ResourceType 'AWS::IAM::User'
```
**输出**:
```
Annotation :
ComplianceType : COMPLIANT
ConfigRuleInvokedTime : 8/25/2019 11:34:56 PM
EvaluationResultIdentifier : Amazon.ConfigService.Model.EvaluationResultIdentifier
ResultRecordedTime : 8/25/2019 11:34:56 PM
ResultToken :
```
+ 有关 API 的详细信息,请参阅 *AWS Tools for PowerShell Cmdlet 参考 (V* 4) [GetComplianceDetailsByResource](https://docs.aws.amazon.com/powershell/v4/reference)中的。
**适用于 PowerShell V5 的工具**
**示例 1:此示例提供给定资源的评估结果。**
```
Get-CFGComplianceDetailsByResource -ResourceId ABCD5STJ4EFGHIVEW6JAH -ResourceType 'AWS::IAM::User'
```
**输出**:
```
Annotation :
ComplianceType : COMPLIANT
ConfigRuleInvokedTime : 8/25/2019 11:34:56 PM
EvaluationResultIdentifier : Amazon.ConfigService.Model.EvaluationResultIdentifier
ResultRecordedTime : 8/25/2019 11:34:56 PM
ResultToken :
```
+ 有关 API 的详细信息,请参阅 *AWS Tools for PowerShell Cmdlet 参考 (V* 5) [GetComplianceDetailsByResource](https://docs.aws.amazon.com/powershell/v5/reference)中的。
------