Visualización de la conformidad (consola)Visualización de la conformidad (AWS SDK)

Visualización de información de cumplimiento y resultados de evaluación para los recursos de AWS con AWS Config

importante

Para obtener informes precisos sobre el estado de cumplimiento, debe registrar el tipo de recurso de AWS::Config::ResourceCompliance. Para obtener más información, consulte Recording AWS Resources.

Puede usar la consola de AWS Config o los AWS SDK para ver la información de conformidad y los resultados de la evaluación de los recursos.

Temas

Visualización de la conformidad (consola)
Visualización de la conformidad (AWS SDK)

Visualización de la conformidad (consola)

Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://console.aws.amazon.com/config/home.
En el menú de Consola de administración de AWS, compruebe que el selector de región está establecido en una región que admite reglas de AWS Config. Para ver una lista de las regiones admitidas, consulte Regiones y puntos de enlace de AWS Config en la Referencia general de Amazon Web Services.
En el panel de navegación, elija Recursos. En la página Inventario de recursos, puede filtrar por categoría de recurso, tipo de recurso y estado de conformidad. Seleccione Incluir los recursos eliminados, si procede. En la tabla se muestra el identificador de recurso para el tipo de recurso y el estado de conformidad de ese recurso. El identificador de recursos puede ser un ID o un nombre de recurso.
Elija un recurso de la columna del identificador de recursos.
Elija el botón Escala de tiempo del recurso. Puede filtrar por eventos de configuración, eventos de conformidad o eventos de CloudTrail.

nota
O bien, en la página Inventario de recursos, puede hacer clic directamente en el nombre del recurso. Para acceder a la escala de tiempo del recurso desde la página de detalles del recurso, elija el botón Escala de tiempo del recurso.

También puede ver la conformidad de sus recursos a través de búsquedas en la página Resource inventory. Para obtener más información, consulte Búsqueda de recursos que detecta AWS Config.

Visualización de la conformidad (AWS SDK)

Los siguientes ejemplos de código muestran cómo utilizar DescribeComplianceByResource.

CLI

AWS CLI

Información de conformidad en los recursos de AWS

El siguiente comando devuelve la información de conformidad de cada instancia de EC2 registrada por AWS Config que infrinja una o más reglas:


aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

En el resultado, el valor de cada atributo de CappedCount indica cuántas reglas infringe el recurso. Por ejemplo, el siguiente resultado indica que la instancia i-1a2b3c4d infringe dos reglas.

Salida:


{
    "ComplianceByResources": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-1a2b3c4d",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 2,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        },
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-2a2b3c4d ",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        }
    ]
}

Para obtener más información sobre la API, consulte DescribeComplianceByResource en la Referencia de comandos de la AWS CLI.

PowerShell

Herramientas para PowerShell V4

Ejemplo 1: En este ejemplo, se revisa el tipo de recurso AWS::SSM::ManagedInstanceInventory para el tipo de cumplimiento COMPLIANT.


Get-CFGComplianceByResource -ComplianceType COMPLIANT -ResourceType AWS::SSM::ManagedInstanceInventory

Salida:


Compliance                            ResourceId          ResourceType
----------                            ----------          ------------
Amazon.ConfigService.Model.Compliance i-0123bcf4b567890e3 AWS::SSM::ManagedInstanceInventory
Amazon.ConfigService.Model.Compliance i-0a1234f6f5d6b78f7 AWS::SSM::ManagedInstanceInventory

Para obtener información sobre la API, consulte DescribeComplianceByResource en la Referencia de cmdlets de Herramientas de AWS para PowerShell (V4).

Herramientas para PowerShell V5

Ejemplo 1: En este ejemplo, se revisa el tipo de recurso AWS::SSM::ManagedInstanceInventory para el tipo de cumplimiento COMPLIANT.


Get-CFGComplianceByResource -ComplianceType COMPLIANT -ResourceType AWS::SSM::ManagedInstanceInventory

Salida:


Compliance                            ResourceId          ResourceType
----------                            ----------          ------------
Amazon.ConfigService.Model.Compliance i-0123bcf4b567890e3 AWS::SSM::ManagedInstanceInventory
Amazon.ConfigService.Model.Compliance i-0a1234f6f5d6b78f7 AWS::SSM::ManagedInstanceInventory

Para obtener información sobre la API, consulte DescribeComplianceByResource en la Referencia de cmdlets de Herramientas de AWS para PowerShell (V5).

Los siguientes ejemplos de código muestran cómo utilizar GetComplianceSummaryByResourceType.

CLI

AWS CLI

Resumen de conformidad para todos los tipos de recursos

El comando siguiente devuelve el número de recursos de AWS no conformes y el número de los conformes:


aws configservice get-compliance-summary-by-resource-type

En el resultado, el valor de cada atributo CappedCount indica el número de recursos conformes y el de no conformes.

Salida:


{
    "ComplianceSummariesByResourceType": [
        {
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 16,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1453237464.543,
                "CompliantResourceCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                }
            }
        }
    ]
}

Obtención del resumen de conformidad de un tipo de recurso específico

El comando siguiente devuelve el número de instancias de EC2 no conformes y el número de las conformes:


aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

En el resultado, el valor de cada atributo CappedCount indica el número de recursos conformes y el de no conformes.

Salida:


{
    "ComplianceSummariesByResourceType": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1452204923.518,
                "CompliantResourceCount": {
                    "CappedCount": 7,
                    "CapExceeded": false
                }
            }
        }
    ]
}

Para obtener detalles sobre la API, consulte GetComplianceSummaryByResourceType en la Referencia de comandos de la AWS CLI.

PowerShell

Herramientas para PowerShell V4

Ejemplo 1: En este ejemplo, se devuelve el número de recursos conformes y no conformes, y se convierte el resultado en json.


Get-CFGComplianceSummaryByResourceType -Select ComplianceSummariesByResourceType.ComplianceSummary | ConvertTo-Json
{
  "ComplianceSummaryTimestamp": "2019-12-14T06:14:49.778Z",
  "CompliantResourceCount": {
    "CapExceeded": false,
    "CappedCount": 2
  },
  "NonCompliantResourceCount": {
    "CapExceeded": true,
    "CappedCount": 100
  }
}

Para obtener información sobre la API, consulte GetComplianceSummaryByResourceType en la Referencia de cmdlets de Herramientas de AWS para PowerShell (V4).

Herramientas para PowerShell V5

Ejemplo 1: En este ejemplo, se devuelve el número de recursos conformes y no conformes, y se convierte el resultado en json.


Get-CFGComplianceSummaryByResourceType -Select ComplianceSummariesByResourceType.ComplianceSummary | ConvertTo-Json
{
  "ComplianceSummaryTimestamp": "2019-12-14T06:14:49.778Z",
  "CompliantResourceCount": {
    "CapExceeded": false,
    "CappedCount": 2
  },
  "NonCompliantResourceCount": {
    "CapExceeded": true,
    "CappedCount": 100
  }
}

Para obtener información sobre la API, consulte GetComplianceSummaryByResourceType en la Referencia de cmdlets de Herramientas de AWS para PowerShell (V5).

Los siguientes ejemplos de código muestran cómo utilizar GetComplianceDetailsByResource.

CLI

AWS CLI

Resultados de la evaluación de un recurso de AWS

El siguiente comando devuelve los resultados de la evaluación para cada regla infringida por la instancia de EC2 i-1a2b3c4d:


aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

Salida:


{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.288,
            "ConfigRuleInvokedTime": 1450314643.034,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "RequiredTagForEC2Instances"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

Para obtener detalles sobre la API, consulte GetComplianceDetailsByResource en la Referencia de comandos de la AWS CLI.

PowerShell

Herramientas para PowerShell V4

Ejemplo 1: Este ejemplo devuelve los resultados de la evaluación de un recurso determinado.


Get-CFGComplianceDetailsByResource -ResourceId ABCD5STJ4EFGHIVEW6JAH -ResourceType 'AWS::IAM::User'

Salida:


Annotation                 :
ComplianceType             : COMPLIANT
ConfigRuleInvokedTime      : 8/25/2019 11:34:56 PM
EvaluationResultIdentifier : Amazon.ConfigService.Model.EvaluationResultIdentifier
ResultRecordedTime         : 8/25/2019 11:34:56 PM
ResultToken                :

Para obtener información sobre la API, consulte GetComplianceDetailsByResource en la Referencia de cmdlets de Herramientas de AWS para PowerShell (V4).

Herramientas para PowerShell V5

Ejemplo 1: Este ejemplo devuelve los resultados de la evaluación de un recurso determinado.


Get-CFGComplianceDetailsByResource -ResourceId ABCD5STJ4EFGHIVEW6JAH -ResourceType 'AWS::IAM::User'

Salida:


Annotation                 :
ComplianceType             : COMPLIANT
ConfigRuleInvokedTime      : 8/25/2019 11:34:56 PM
EvaluationResultIdentifier : Amazon.ConfigService.Model.EvaluationResultIdentifier
ResultRecordedTime         : 8/25/2019 11:34:56 PM
ResultToken                :

Para obtener información sobre la API, consulte GetComplianceDetailsByResource en la Referencia de cmdlets de Herramientas de AWS para PowerShell (V5).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Búsqueda de recursos

Visualización del historial de conformidad