AWS Config exemples utilisant AWS CLI - AWS Command Line Interface
Actions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Config exemples utilisant AWS CLI

Les exemples de code suivants vous montrent comment effectuer des actions et implémenter des scénarios courants à l'aide du AWS Command Line Interface with AWS Config.

Les actions sont des extraits de code de programmes plus larges et doivent être exécutées dans leur contexte. Alors que les actions vous indiquent comment appeler des fonctions de service individuelles, vous pouvez les voir en contexte dans leurs scénarios associés.

Chaque exemple inclut un lien vers le code source complet, où vous trouverez des instructions sur la configuration et l’exécution du code en contexte.

Rubriques

Actions

L'exemple de code suivant montre comment utiliserdelete-config-rule.

AWS CLI

Pour supprimer une règle AWS Config

La commande suivante supprime une règle AWS Config nommée MyConfigRule :

aws configservice delete-config-rule --config-rule-name MyConfigRule

  • Pour plus de détails sur l'API, reportez-vous DeleteConfigRuleà la section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdelete-delivery-channel.

AWS CLI

Pour supprimer un canal de livraison

La commande suivante supprime le canal de livraison par défaut :

aws configservice delete-delivery-channel --delivery-channel-name default

  • Pour plus de détails sur l'API, reportez-vous DeleteDeliveryChannelà la section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdelete-evaluation-results.

AWS CLI

Pour supprimer manuellement des résultats d’évaluation

La commande suivante supprime les résultats d'évaluation actuels pour la règle AWS gérée s3- : bucket-versioning-enabled

aws configservice delete-evaluation-results --config-rule-name s3-bucket-versioning-enabled

  • Pour plus de détails sur l'API, reportez-vous DeleteEvaluationResultsà la section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdeliver-config-snapshot.

AWS CLI

Pour livrer un instantané de configuration

La commande suivante fournit un instantané de configuration au compartiment Amazon S3 qui appartient au canal de livraison par défaut :

aws configservice deliver-config-snapshot --delivery-channel-name default

Sortie :

{
    "configSnapshotId": "d0333b00-a683-44af-921e-examplefb794"
}

  • Pour plus de détails sur l'API, reportez-vous DeliverConfigSnapshotà la section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdescribe-compliance-by-config-rule.

AWS CLI

Pour obtenir des informations de conformité pour vos règles de AWS Config

La commande suivante renvoie des informations de conformité pour chaque règle de AWS Config violée par une ou plusieurs AWS ressources :

aws configservice describe-compliance-by-config-rule --compliance-types NON_COMPLIANT

Dans la sortie, la valeur de chaque attribut CappedCount indique le nombre de ressources qui ne sont pas conformes à la règle correspondante. Par exemple, la sortie suivante indique que 3 ressources ne sont pas conformes à la règle nommée InstanceTypesAreT2micro.

Sortie :

{
    "ComplianceByConfigRules": [
        {
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            },
            "ConfigRuleName": "InstanceTypesAreT2micro"
        },
        {
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            },
            "ConfigRuleName": "RequiredTagsForVolumes"
        }
    ]
}

L'exemple de code suivant montre comment utiliserdescribe-compliance-by-resource.

AWS CLI

Pour obtenir des informations de conformité pour vos AWS ressources

La commande suivante renvoie des informations de conformité pour chaque EC2 instance enregistrée par AWS Config qui enfreint une ou plusieurs règles :

aws configservice describe-compliance-by-resource --resource-type AWS::EC2::Instance --compliance-types NON_COMPLIANT

Dans la sortie, la valeur de chaque attribut CappedCount indique le nombre de règles que la ressource ne respecte pas. Par exemple, la sortie suivante indique que l’instance i-1a2b3c4d enfreint 2 règles.

Sortie :

{
    "ComplianceByResources": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-1a2b3c4d",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 2,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        },
        {
            "ResourceType": "AWS::EC2::Instance",
            "ResourceId": "i-2a2b3c4d ",
            "Compliance": {
                "ComplianceContributorCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceType": "NON_COMPLIANT"
            }
        }
    ]
}

L'exemple de code suivant montre comment utiliserdescribe-config-rule-evaluation-status.

AWS CLI

Pour obtenir des informations sur le statut d'une règle AWS Config

La commande suivante renvoie les informations d'état d'une règle AWS Config nommée MyConfigRule :

aws configservice describe-config-rule-evaluation-status --config-rule-names MyConfigRule

Sortie :

{
    "ConfigRulesEvaluationStatus": [
        {
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "FirstActivatedTime": 1450311703.844,
            "ConfigRuleId": "config-rule-abcdef",
            "LastSuccessfulInvocationTime": 1450314643.156,
            "ConfigRuleName": "MyConfigRule"
        }
    ]
}

L'exemple de code suivant montre comment utiliserdescribe-config-rules.

AWS CLI

Pour obtenir les détails d'une règle AWS Config

La commande suivante renvoie les détails d'une règle AWS Config nommée InstanceTypesAreT2micro :

aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro

Sortie :

{
    "ConfigRules": [
        {
            "ConfigRuleState": "ACTIVE",
            "Description": "Evaluates whether EC2 instances are the t2.micro type.",
            "ConfigRuleName": "InstanceTypesAreT2micro",
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "Source": {
                "Owner": "CUSTOM_LAMBDA",
                "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
                "SourceDetails": [
                    {
                        "EventSource": "aws.config",
                        "MessageType": "ConfigurationItemChangeNotification"
                    }
                ]
            },
            "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}",
            "Scope": {
                "ComplianceResourceTypes": [
                    "AWS::EC2::Instance"
                ]
            },
            "ConfigRuleId": "config-rule-abcdef"
        }
    ]
}

  • Pour plus de détails sur l'API, reportez-vous DescribeConfigRulesà la section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdescribe-configuration-recorder-status.

AWS CLI

Pour obtenir des informations sur le statut de l’enregistreur de configuration

La commande suivante renvoie le statut de l’enregistreur de configuration par défaut :

aws configservice describe-configuration-recorder-status

Sortie :

{
    "ConfigurationRecordersStatus": [
        {
            "name": "default",
            "lastStatus": "SUCCESS",
            "recording": true,
            "lastStatusChangeTime": 1452193834.344,
            "lastStartTime": 1441039997.819,
            "lastStopTime": 1441039992.835
        }
    ]
}

L'exemple de code suivant montre comment utiliserdescribe-configuration-recorders.

AWS CLI

Pour obtenir des informations sur l’enregistreur de configuration

La commande suivante renvoie des informations sur l’enregistreur de configuration par défaut :

aws configservice describe-configuration-recorders

Sortie :

{
    "ConfigurationRecorders": [
        {
            "recordingGroup": {
                "allSupported": true,
                "resourceTypes": [],
                "includeGlobalResourceTypes": true
            },
            "roleARN": "arn:aws:iam::123456789012:role/config-ConfigRole-A1B2C3D4E5F6",
            "name": "default"
        }
    ]
}

L'exemple de code suivant montre comment utiliserdescribe-delivery-channel-status.

AWS CLI

Pour obtenir des informations sur le statut du canal de livraison

La commande suivante renvoie le statut du canal de livraison :

aws configservice describe-delivery-channel-status

Sortie :

{
    "DeliveryChannelsStatus": [
        {
            "configStreamDeliveryInfo": {
                "lastStatusChangeTime": 1452193834.381,
                "lastStatus": "SUCCESS"
            },
            "configHistoryDeliveryInfo": {
                "lastSuccessfulTime": 1450317838.412,
                "lastStatus": "SUCCESS",
                "lastAttemptTime": 1450317838.412
            },
            "configSnapshotDeliveryInfo": {
                "lastSuccessfulTime": 1452185597.094,
                "lastStatus": "SUCCESS",
                "lastAttemptTime": 1452185597.094
            },
            "name": "default"
        }
    ]
}

L'exemple de code suivant montre comment utiliserdescribe-delivery-channels.

AWS CLI

Pour obtenir les informations concernant le canal de livraison

La commande suivante renvoie des informations sur le canal de livraison :

aws configservice describe-delivery-channels

Sortie :

{
    "DeliveryChannels": [
        {
            "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

  • Pour plus de détails sur l'API, reportez-vous DescribeDeliveryChannelsà la section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserget-compliance-details-by-config-rule.

AWS CLI

Pour obtenir les résultats de l'évaluation d'une règle AWS Config

La commande suivante renvoie les résultats de l'évaluation pour toutes les ressources qui ne sont pas conformes à une règle de AWS configuration nommée InstanceTypesAreT2micro :

aws configservice get-compliance-details-by-config-rule --config-rule-name InstanceTypesAreT2micro --compliance-types NON_COMPLIANT

Sortie :

{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-2a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314645.18,
            "ConfigRuleInvokedTime": 1450314642.902,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-3a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.346,
            "ConfigRuleInvokedTime": 1450314643.124,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

L'exemple de code suivant montre comment utiliserget-compliance-details-by-resource.

AWS CLI

Pour obtenir les résultats de l'évaluation d'une AWS ressource

La commande suivante renvoie les résultats de l'évaluation pour chaque règle à laquelle l' EC2 instance i-1a2b3c4d n'est pas conforme :

aws configservice get-compliance-details-by-resource --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d --compliance-types NON_COMPLIANT

Sortie :

{
    "EvaluationResults": [
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "InstanceTypesAreT2micro"
                }
            },
            "ResultRecordedTime": 1450314643.288,
            "ConfigRuleInvokedTime": 1450314643.034,
            "ComplianceType": "NON_COMPLIANT"
        },
        {
            "EvaluationResultIdentifier": {
                "OrderingTimestamp": 1450314635.065,
                "EvaluationResultQualifier": {
                    "ResourceType": "AWS::EC2::Instance",
                    "ResourceId": "i-1a2b3c4d",
                    "ConfigRuleName": "RequiredTagForEC2Instances"
                }
            },
            "ResultRecordedTime": 1450314645.261,
            "ConfigRuleInvokedTime": 1450314642.948,
            "ComplianceType": "NON_COMPLIANT"
        }
    ]
}

L'exemple de code suivant montre comment utiliserget-compliance-summary-by-config-rule.

AWS CLI

Pour obtenir le résumé de conformité de vos règles de AWS Config

La commande suivante renvoie le nombre de règles conformes et non conformes :

aws configservice get-compliance-summary-by-config-rule

Dans la sortie, la valeur de chaque attribut CappedCount indique le nombre de règles conformes ou non conformes.

Sortie :

{
    "ComplianceSummary": {
        "NonCompliantResourceCount": {
            "CappedCount": 3,
            "CapExceeded": false
        },
        "ComplianceSummaryTimestamp": 1452204131.493,
        "CompliantResourceCount": {
            "CappedCount": 2,
            "CapExceeded": false
        }
    }
}

L'exemple de code suivant montre comment utiliserget-compliance-summary-by-resource-type.

AWS CLI

Pour obtenir le récapitulatif de la conformité de tous les types de ressources

La commande suivante renvoie le nombre de AWS ressources non conformes et le nombre de ressources conformes :

aws configservice get-compliance-summary-by-resource-type

Dans la sortie, la valeur de chaque attribut CappedCount indique le nombre de ressources conformes ou non conformes.

Sortie :

{
    "ComplianceSummariesByResourceType": [
        {
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 16,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1453237464.543,
                "CompliantResourceCount": {
                    "CappedCount": 10,
                    "CapExceeded": false
                }
            }
        }
    ]
}

Pour obtenir le récapitulatif de la conformité d’un type de ressource spécifique

La commande suivante renvoie le nombre d' EC2 instances non conformes et le nombre d'instances conformes :

aws configservice get-compliance-summary-by-resource-type --resource-types AWS::EC2::Instance

Dans la sortie, la valeur de chaque attribut CappedCount indique le nombre de ressources conformes ou non conformes.

Sortie :

{
    "ComplianceSummariesByResourceType": [
        {
            "ResourceType": "AWS::EC2::Instance",
            "ComplianceSummary": {
                "NonCompliantResourceCount": {
                    "CappedCount": 3,
                    "CapExceeded": false
                },
                "ComplianceSummaryTimestamp": 1452204923.518,
                "CompliantResourceCount": {
                    "CappedCount": 7,
                    "CapExceeded": false
                }
            }
        }
    ]
}

L'exemple de code suivant montre comment utiliserget-resource-config-history.

AWS CLI

Pour obtenir l'historique de configuration d'une AWS ressource

La commande suivante renvoie une liste d'éléments de configuration pour une EC2 instance avec un ID de i-1a2b3c4d :

aws configservice get-resource-config-history --resource-type AWS::EC2::Instance --resource-id i-1a2b3c4d

  • Pour plus de détails sur l'API, reportez-vous GetResourceConfigHistoryà la section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserget-status.

AWS CLI

Pour obtenir le statut de AWS Config

La commande suivante renvoie le statut du canal de livraison et de l’enregistreur de configuration :

aws configservice get-status

Sortie :

Configuration Recorders:

name: default
recorder: ON
last status: SUCCESS

Delivery Channels:

name: default
last stream delivery status: SUCCESS
last history delivery status: SUCCESS
last snapshot delivery status: SUCCESS

  • Pour plus de détails sur l'API, reportez-vous GetStatusà la section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserlist-discovered-resources.

AWS CLI

Pour répertorier les ressources découvertes par AWS Config

La commande suivante répertorie les EC2 instances découvertes par AWS Config :

aws configservice list-discovered-resources --resource-type AWS::EC2::Instance

Sortie :

{
    "resourceIdentifiers": [
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-1a2b3c4d"
        },
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-2a2b3c4d"
        },
        {
            "resourceType": "AWS::EC2::Instance",
            "resourceId": "i-3a2b3c4d"
        }
    ]
}

  • Pour plus de détails sur l'API, reportez-vous ListDiscoveredResourcesà la section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserput-config-rule.

AWS CLI

Pour ajouter une règle Config AWS gérée

La commande suivante fournit du code JSON pour ajouter une règle de configuration AWS gérée :

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.json est un fichier JSON qui contient la configuration de la règle :

{
  "ConfigRuleName": "RequiredTagsForEC2Instances",
  "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "REQUIRED_TAGS"
  },
  "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}"
}

Pour l'ComplianceResourceTypesattribut, ce code JSON limite la portée aux ressources de ce AWS::EC2::Instance type, de sorte que AWS Config évaluera uniquement les EC2 instances par rapport à la règle. Puisque la règle est une règle gérée, l’attribut Owner est défini sur AWS et l’attribut SourceIdentifier est défini sur l’identifiant de règle, REQUIRED_TAGS. Pour l’attribut InputParameters, les clés de balise requises par la règle, CostCenter et Owner, sont spécifiées.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier la configuration de la règle, exécutez la describe-config-rules commande et spécifiez le nom de la règle.

Pour ajouter une règle Config gérée par le client

La commande suivante fournit du code JSON pour ajouter une règle Config gérée par le client :

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.json est un fichier JSON qui contient la configuration de la règle :

{
  "ConfigRuleName": "InstanceTypesAreT2micro",
  "Description": "Evaluates whether EC2 instances are the t2.micro type.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "CUSTOM_LAMBDA",
    "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
    "SourceDetails": [
      {
        "EventSource": "aws.config",
        "MessageType": "ConfigurationItemChangeNotification"
      }
    ]
  },
  "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}"
}

Pour l'ComplianceResourceTypesattribut, ce code JSON limite la portée aux ressources de ce AWS::EC2::Instance type, de sorte que AWS Config évaluera uniquement les EC2 instances par rapport à la règle. Cette règle étant une règle gérée par le client, l'Ownerattribut est défini surCUSTOM_LAMBDA, et l'SourceIdentifierattribut est défini sur l'ARN de la fonction AWS Lambda. L’objet SourceDetails est obligatoire. Les paramètres spécifiés pour l'InputParametersattribut sont transmis à la fonction AWS Lambda lorsque AWS Config l'invoque pour évaluer les ressources par rapport à la règle.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier la configuration de la règle, exécutez la describe-config-rules commande et spécifiez le nom de la règle.

  • Pour plus de détails sur l'API, reportez-vous PutConfigRuleà la section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserput-configuration-recorder.

AWS CLI

Exemple 1 : pour enregistrer toutes les ressources prises en charge

La commande suivante crée un enregistreur de configuration qui suit les modifications apportées à tous les types de ressources pris en charge, y compris les types de ressources globaux :

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group allSupported=true,includeGlobalResourceTypes=true

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre enregistreur de configuration, exécutez la describe-configuration-recorders commande.

Exemple 2 : pour enregistrer des types de ressources spécifiques

La commande suivante crée un enregistreur de configuration qui suit les modifications apportées uniquement aux types de ressources spécifiés dans le fichier JSON pour l’option --recording-group :

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group file://recordingGroup.json

RecordingGroup.json est un fichier JSON qui spécifie les types de ressources que Config AWS enregistrera :

{
    "allSupported": false,
    "includeGlobalResourceTypes": false,
    "resourceTypes": [
        "AWS::EC2::EIP",
        "AWS::EC2::Instance",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::SecurityGroup",
        "AWS::CloudTrail::Trail",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC",
        "AWS::IAM::User",
        "AWS::IAM::Policy"
    ]
}

Avant de pouvoir spécifier des types de ressources pour la clé ResourceTypes, vous devez définir les options AllSupported includeGlobalResource et Types sur false ou les omettre.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre enregistreur de configuration, exécutez la describe-configuration-recorders commande.

Exemple 3 : pour sélectionner toutes les ressources prises en charge, à l’exception de certains types de ressources

La commande suivante crée un enregistreur de configuration qui suit les modifications apportées aux types de ressources actuellement pris en charge et à l’avenir, à l’exception des types de ressources spécifiés dans le fichier JSON pour l’option --recording-group :

aws configservice put-configuration-recorder \
    --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
    --recording-group file://recordingGroup.json

RecordingGroup.json est un fichier JSON qui spécifie les types de ressources que Config AWS enregistrera :

{
    "allSupported": false,
    "exclusionByResourceTypes": {
        "resourceTypes": [
        "AWS::Redshift::ClusterSnapshot",
        "AWS::RDS::DBClusterSnapshot",
        "AWS::CloudFront::StreamingDistribution"
    ]
    },
        "includeGlobalResourceTypes": false,
        "recordingStrategy": {
        "useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
    },
}

Avant de pouvoir spécifier les types de ressources à exclure de l'enregistrement : 1) Vous devez définir les options AllSupported et includeGlobalResource Types sur false ou les omettre, et 2) Vous devez définir le champ UseOnly sur EXCLUSION_BY_RESOURCE_TYPES RecordingStrategy .

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre enregistreur de configuration, exécutez la describe-configuration-recorders commande.

  • Pour plus de détails sur l'API, reportez-vous PutConfigurationRecorderà la section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserput-delivery-channel.

AWS CLI

Pour créer un canal de livraison

La commande suivante fournit les paramètres du canal de livraison sous forme de code JSON :

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Le fichier deliveryChannel.json spécifie les attributs du canal de livraison :

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

Cet exemple définit les attributs suivants :

name : nom du canal de livraison. Par défaut, AWS Config attribue le nom default à un nouveau canal de distribution. Vous ne pouvez pas mettre à jour le nom du canal de distribution avec la commande. put-delivery-channel Pour connaître les étapes à suivre pour modifier le nom, consultez Renommer les canaux de livraison. s3BucketName - Le nom du compartiment Amazon S3 auquel AWS Config fournit des instantanés de configuration et des fichiers d'historique de configuration. Si vous spécifiez un compartiment appartenant à un autre AWS compte, ce compartiment doit disposer de politiques accordant des autorisations d'accès à Config. AWS Pour de plus d’informations, consultez Autorisations pour le compartiment Amazon S3.

snsTopicARN- Le nom de ressource Amazon (ARN) de la rubrique Amazon SNS à laquelle AWS Config envoie des notifications concernant les modifications de configuration. Si vous choisissez un sujet depuis un autre compte, le sujet doit comporter des politiques accordant des autorisations d'accès à Config. AWS Pour plus d’informations, consultez Autorisations relatives à la rubrique Amazon SNS.

configSnapshotDeliveryProperties- Contient l'deliveryFrequencyattribut, qui définit la fréquence à laquelle AWS Config fournit des instantanés de configuration et la fréquence à laquelle il invoque des évaluations pour les règles de configuration périodiques.

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier les paramètres de votre canal de diffusion, exécutez la describe-delivery-channels commande.

  • Pour plus de détails sur l'API, reportez-vous PutDeliveryChannelà la section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserstart-config-rules-evaluation.

AWS CLI

Pour exécuter une évaluation à la demande des règles AWS Config

La commande suivante lance une évaluation pour deux règles AWS gérées :

aws configservice start-config-rules-evaluation --config-rule-names s3-bucket-versioning-enabled cloudtrail-enabled

L'exemple de code suivant montre comment utiliserstart-configuration-recorder.

AWS CLI

Pour démarrer l’enregistreur de configuration

La commande suivante démarre l’enregistreur de configuration par défaut :

aws configservice start-configuration-recorder --configuration-recorder-name default

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier que AWS Config enregistre vos ressources, exécutez la commande get-status.

L'exemple de code suivant montre comment utiliserstop-configuration-recorder.

AWS CLI

Pour arrêter l’enregistreur de configuration

La commande suivante arrête l’enregistreur de configuration par défaut :

aws configservice stop-configuration-recorder --configuration-recorder-name default

Si la commande aboutit, AWS Config ne renvoie aucune sortie. Pour vérifier que AWS Config n'enregistre pas vos ressources, exécutez la commande get-status.

L'exemple de code suivant montre comment utilisersubscribe.

AWS CLI

Pour vous abonner à AWS Config

La commande suivante crée le canal de livraison et l’enregistreur de configuration par défaut. La commande spécifie également le compartiment Amazon S3 et la rubrique Amazon SNS auxquels AWS Config fournira les informations de configuration :

aws configservice subscribe --s3-bucket config-bucket-123456789012 --sns-topic arn:aws:sns:us-east-1:123456789012:config-topic --iam-role arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6

Sortie :

Using existing S3 bucket: config-bucket-123456789012
Using existing SNS topic: arn:aws:sns:us-east-1:123456789012:config-topic
Subscribe succeeded:

Configuration Recorders: [
    {
        "recordingGroup": {
            "allSupported": true,
            "resourceTypes": [],
            "includeGlobalResourceTypes": false
        },
        "roleARN": "arn:aws:iam::123456789012:role/ConfigRole-A1B2C3D4E5F6",
        "name": "default"
    }
]

Delivery Channels: [
    {
        "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
        "name": "default",
        "s3BucketName": "config-bucket-123456789012"
    }
]

  • Pour plus de détails sur l’API, consultez Subscribe dans la Référence des commandes de l’AWS CLI .