本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查看配置合规性
您可以使用 Amazon Config 控制台、Amazon CLI 或 Amazon Config API 查看您的规则及资源的合规性状态。
查看合规性(控制台)
查看合规性
登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Config 控制台:https://console.aws.amazon.com/config/
。 -
在 Amazon Web Services Management Console菜单上,验证区域选择器是否设置为支持 Amazon Config 规则的区域。有关受支持的区域列表,请参阅Amazon Config区域和终端节点在Amazon Web Services 一般参考.
-
在导航窗格中,选择 Resources(资源)。在资源清单页面上,您可以按资源类别、资源类型和合规性状态进行筛选。选择包括已删除资源如果合适的话。该表显示了资源类型的资源标识符和该资源的资源合规性状态。资源标识符可能是资源 ID 或资源名称。
-
从资源标识符列中选择资源。
-
选择资源时间线按钮。您可以按配置事件、合规性事件或 CloudTrail 事件。
注意 或者,在资源清单页面上,您可以直接选择资源名称。要从资源详细信息页面访问资源时间线,请选择资源时间线按钮。
此外,您还可以在 Resource inventory 页面查找您的资源,以查看其合规性。有关更多信息,请参阅 查找 Amazon Config 发现的资源。
查看合规性 (CLI)
例 查看合规性
要查看合规性,请使用以下任一 CLI 命令:
-
要查看您的每个规则的合规性状态,请使用
describe-compliance-by-config-rule命令,如以下示例所示:$ aws configservice describe-compliance-by-config-rule { "ComplianceByConfigRules": [ { "Compliance": { "ComplianceContributorCount": { "CappedCount": 2, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" }, "ConfigRuleName": "instances-in-vpc" }, { "Compliance": { "ComplianceType": "COMPLIANT" }, "ConfigRuleName": "restricted-common-ports" }, ...对于合规性类型为
NON_COMPLIANT的每个规则,Amazon Config 将为CappedCount参数返回不合规资源的数量。 -
要查看 Amazon Config 根据特定规则评估的每个资源的合规性状态,请使用
get-compliance-details-by-config-rule命令,如以下示例所示:$ aws configservice get-compliance-details-by-config-rule --config-rule-nameConfigRuleName{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "ConfigRuleName" } }, "ResultRecordedTime": 1443751424.969, "ConfigRuleInvokedTime": 1443751421.208, "ComplianceType": "COMPLIANT" }, { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "ConfigRuleName" } }, "ResultRecordedTime": 1443751425.083, "ConfigRuleInvokedTime": 1443751421.301, "ComplianceType": "NON_COMPLIANT" }, ... -
要查看每个特定类型的 Amazon 资源的合规性状态,请使用
describe-compliance-by-resource命令,如以下示例所示:$ aws configservice describe-compliance-by-resource --resource-typeAWS::EC2::Instance{ "ComplianceByResources": [ { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "Compliance": { "ComplianceContributorCount": { "CappedCount": 1, "CapExceeded": false }, "ComplianceType": "NON_COMPLIANT" } }, { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "Compliance": { "ComplianceType": "COMPLIANT" } }, ... -
要查看单个 Amazon 资源的合规性详细信息,请使用
get-compliance-details-by-resource命令。$ aws configservice get-compliance-details-by-resource --resource-typeAWS::EC2::Instance--resource-idi-nnnnnnnn{ "EvaluationResults": [ { "EvaluationResultIdentifier": { "OrderingTimestamp": 1443610576.349, "EvaluationResultQualifier": { "ResourceType": "AWS::EC2::Instance", "ResourceId": "i-nnnnnnnn", "ConfigRuleName": "instances-in-vpc" } }, "ResultRecordedTime": 1443751425.083, "ConfigRuleInvokedTime": 1443751421.301, "ComplianceType": "NON_COMPLIANT" } ] }
查看合规性 (API)
例 查看合规性
要查看合规性,请使用以下任一 API 操作:
-
要查看您的每个规则的合规性状态,请使用 DescribeComplianceByConfigRule 操作。
-
要查看 Amazon Config 根据特定规则评估的每个资源的合规性状态,请使用 GetComplianceDetailsByConfigRule 操作。
-
要查看每个特定类型的 Amazon 资源的合规性状态,请使用 DescribeComplianceByResource 操作。
-
要查看单个 Amazon 资源的合规性详细信息,请使用 GetComplianceDetailsByResource 操作。详细信息包括:用于评估资源的 Amazon Config 规则有哪些、每个规则最后一次评估资源的时间,以及资源是否符合每个规则。