使用查看 Amazon 资源的合规信息和评估结果 Amazon Config

重要

要准确报告合规性状态，必须记录 AWS::Config::ResourceCompliance 资源类型。有关更多信息，请参阅录制 Amazon 资源。

您可以使用 Amazon Config 控制台或 Amazon SDKs 查看资源的合规性信息和评估结果。

主题

查看合规性（控制台）
查看合规性 (Amazon SDKs)

查看合规性（控制台）

登录 Amazon Web Services Management Console 并在家中打开https://console.aws.amazon.com/config/主 Amazon Config机。
在 Amazon Web Services Management Console 菜单中，确认区域选择器设置为支持 Amazon Config 规则的区域。有关支持的区域的列表，请参阅《Amazon Web Services 一般参考》中的 Amazon Config 区域和终端节点。
在导航窗格中，选择资源。在“资源”清单页面上，您可以按资源类别、资源类型和合规性状态进行筛选。根据需要选择包括已删除的资源。该表显示了资源类型的资源标识符和该资源的资源合规性状态。资源标识符可以是资源 ID，也可以是资源名称。
从资源标识符列中选择资源。
选择资源时间表按钮。您可以按配置事件、合规性事件或 CloudTrail 事件进行筛选。

注意
或者，在“资源”清单页面上，您可以直接选择资源名称。要从资源详细信息页面访问资源时间表，请选择资源时间表按钮。

此外，您还可以在 Resource inventory 页面查找您的资源，以查看其合规性。有关更多信息，请参阅查找由以下人员发现的资源 Amazon Config。

查看合规性 (Amazon SDKs)

以下代码示例演示如何使用 DescribeComplianceByResource。

CLI

Amazon CLI

获取 Amazon 资源的合规性信息

以下命令返回 Amazon Config 记录的每个违反一条或多条规则的 EC2 实例的合规性信息：


aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

在输出中，每个 CappedCount 属性的值都表示该资源违反了多少规则。例如，以下输出表明实例 i-1a2b3c4d 违反了 2 条规则。

输出：


{
    "ComplianceByResources": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-1a2b3c4d",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 2,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        },
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-2a2b3c4d ",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        }
    ]
}

有关 API 的详细信息，请参阅Amazon CLI 命令参考DescribeComplianceByResource中的。

PowerShell

适用于 PowerShell V4 的工具

示例 1：此示例检查“COMPLIANT”合规类型的 AWS::SSM::ManagedInstanceInventory 资源类型。


Get-CFGComplianceByResource -ComplianceType COMPLIANT -ResourceType AWS::SSM::ManagedInstanceInventory

输出：


Compliance                            ResourceId          ResourceType
----------                            ----------          ------------
Amazon.ConfigService.Model.Compliance i-0123bcf4b567890e3 AWS::SSM::ManagedInstanceInventory
Amazon.ConfigService.Model.Compliance i-0a1234f6f5d6b78f7 AWS::SSM::ManagedInstanceInventory

有关 API 的详细信息，请参阅 Amazon Tools for PowerShell Cmdlet 参考 (V 4) DescribeComplianceByResource中的。

以下代码示例演示如何使用 GetComplianceSummaryByResourceType。

CLI

Amazon CLI

获取所有资源类型的合规性摘要

以下命令返回不合规的 Amazon 资源数量和合规资源的数量：


aws configservice get-compliance-summary-by-resource-type

在输出中，每个 CappedCount 属性的值都表示有多少资源合规或不合规。

输出：


{
    "ComplianceSummariesByResourceType": [
        {
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 16,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1453237464.543,
                "CompliantResourceCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                }
            }
        }
    ]
}

获取特定资源类型的合规性摘要

以下命令返回不合规的 EC2 实例数量和合规的实例数量：


aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

在输出中，每个 CappedCount 属性的值都表示有多少资源合规或不合规。

输出：


{
    "ComplianceSummariesByResourceType": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1452204923.518,
                "CompliantResourceCount": {
                    "CappedCount": 7,
                    "CapExceeded": false
                }
            }
        }
    ]
}

有关 API 的详细信息，请参阅Amazon CLI 命令参考GetComplianceSummaryByResourceType中的。

PowerShell

适用于 PowerShell V4 的工具

示例 1：此示例返回合规或不合规资源的数量，并将输出转换为 json。


Get-CFGComplianceSummaryByResourceType -Select ComplianceSummariesByResourceType.ComplianceSummary | ConvertTo-Json
{
  "ComplianceSummaryTimestamp": "2019-12-14T06:14:49.778Z",
  "CompliantResourceCount": {
    "CapExceeded": false,
    "CappedCount": 2
  },
  "NonCompliantResourceCount": {
    "CapExceeded": true,
    "CappedCount": 100
  }
}

有关 API 的详细信息，请参阅 Amazon Tools for PowerShell Cmdlet 参考 (V 4) GetComplianceSummaryByResourceType中的。

以下代码示例演示如何使用 GetComplianceDetailsByResource。

CLI

Amazon CLI

获取 Amazon 资源的评估结果

以下命令返回 EC2 实例i-1a2b3c4d不符合的每条规则的评估结果：


aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

输出：


{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.288,
            "ConfigRuleInvokedTime": 1450314643.034,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "RequiredTagForEC2Instances"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

有关 API 的详细信息，请参阅Amazon CLI 命令参考GetComplianceDetailsByResource中的。

PowerShell

适用于 PowerShell V4 的工具

示例 1：此示例提供给定资源的评估结果。


Get-CFGComplianceDetailsByResource -ResourceId ABCD5STJ4EFGHIVEW6JAH -ResourceType 'AWS::IAM::User'

输出：


Annotation                 :
ComplianceType             : COMPLIANT
ConfigRuleInvokedTime      : 8/25/2019 11:34:56 PM
EvaluationResultIdentifier : Amazon.ConfigService.Model.EvaluationResultIdentifier
ResultRecordedTime         : 8/25/2019 11:34:56 PM
ResultToken                :

有关 API 的详细信息，请参阅 Amazon Tools for PowerShell Cmdlet 参考 (V 4) GetComplianceDetailsByResource中的。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

查找资源

查看合规性历史记录

使用查看 Amazon 资源的合规信息和评估结果 Amazon Config

重要

主题

查看合规性（控制台）

注意

查看合规性 (Amazon SDKs)