AWS Config
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

查看由 AWS Config Rules 评估的资源合规性历史记录

AWS Config 支持存储由 AWS Config Rules 评估的资源的合规性状态更改。资源合规性历史记录以时间线的形式显示。时间线将特定资源在一段时间内的更改捕获为 ConfigurationItems。在与配置时间线相邻的 AWS Config 控制台中可以获得合规性时间线。

您可以选择加入或选择退出以记录 AWS Config 中的所有资源类型。如果您已选择记录所有资源类型,AWS Config 将自动开始记录由 AWS Config Rules 评估的资源合规性历史记录。您可以选择所有资源或希望 AWS Config 记录其配置更改的特定类型的资源。默认情况下,AWS Config 会记录所有受支持资源的配置更改。

在 AWS 控制台中记录资源类型

Settings (设置) 页面上,对于 Resource types to record (要记录的资源类型),指定您希望 AWS Config 记录的 AWS 资源类型:

  • All resources (所有资源) – AWS Config 会使用下列选项记录所有受支持的资源:

    • Record all resources supported in this region (记录此区域中支持的所有资源) – AWS Config 将记录每种受支持类型的区域性资源的配置更改。在 AWS Config 添加对新资源类型的支持后,AWS Config 将自动开始记录该类型的资源。

    • Include global resources (包括全球性资源) – AWS Config 将受支持类型的全局性资源包含在它记录的资源(例如 IAM 资源)中。在 AWS Config 添加对新的全球性资源类型的支持后,AWS Config 将自动开始记录该类型的资源。

  • Specific types (特定类型) – AWS Config 仅记录您指定的 AWS 资源类型的配置更改。选择资源类型 Config:ResourceCompliance 以记录合规性历史记录。

使用资源查看合规性时间线

通过从资源清单页面中选择特定资源来访问合规性时间线。

  1. 从左侧导航中选择 Resources (资源)

  2. 在资源清单页上,从下拉列表中选择所有的现有资源,并(如果适用)选择包括已删除的资源。

  3. 单击 Lookup (查找)

    该表显示了资源类型的资源标识符和该资源的资源合规性状态。资源标识符可以是资源 ID,也可以是资源名称(如适用)。

  4. 从资源标识符列中选择资源。

  5. 从资源操作下拉列表中选择 Compliance timeline (合规性时间线)

    此时将显示合规性时间线。

    查看合规性历史记录。

    注意

    或者,在资源清单页面上,您可以直接单击资源名称。此时将显示资源详细信息页面。要从资源详细信息页面访问合规性时间线,请单击 Compliance timeline (合规性时间线) 按钮。

    资源详细信息页

使用规则查看合规性时间线

通过从规则页面中选择特定规则来访问合规性时间线。

  1. 从左侧导航中选择 Rules (规则)

  2. 在规则页面上,单击评估您的相关资源的规则的名称。如果屏幕上未显示任何规则,请使用 Add rule (添加规则) 按钮来添加规则。

  3. 在规则详细信息页面上,从已评估资源表中选择资源。

  4. 从资源操作下拉列表中选择 Compliance timeline (合规性时间线)。此时将显示合规性时间线。

查询资源合规性历史记录

使用 get-resource-config-history 通过资源类型 AWS::Config::ResourceCompliance 查询资源合规性历史记录。

aws configservice get-resource-config-history --resource-type AWS::Config::ResourceCompliance --resource-id AWS::S3::Bucket/configrules-bucket

您应该可以看到类似于如下所示的输出内容:

{ "configurationItems": [ { "configurationItemCaptureTime": 1539799966.921, "relationships": [ { "resourceType": "AWS::S3::Bucket", "resourceId": "configrules-bucket", "relationshipName": "Is associated with " } ] "tags": {}, "resourceType": "AWS::Config::ResourceCompliance", "resourceId": "AWS::S3::Bucket/configrules-bucket", "ConfigurationStateId": "1539799966921", "relatedEvents": []; "awsRegion": "us-west-2", "version": "1.3", "configurationItemMD5Hash": "", "supplementaryConfiguration": {}, "configuaration": "{\"complianceType\":\"COMPLIANT\",\"targetResourceId\":\"configrules-bucket\",\"targetResourceType\":\"AWS::S3::Bucket\",\configRuleList"\":[{\"configRuleArn\":\"arn:aws:config:us-west-2:AccountID:config-rule/config-rule-w1gogw\",\"configRuleId\":\"config-rule-w1gogw\",\"configRuleName\":\"s3-bucket-logging-enabled\",\"complianceType\":\"COMPLIANT\"}]}", "configurationItemStatus": "ResourceDiscovered", "accountId": "AccountID" } ] }