Erfahren Sie mehr über Compliance - AWS Systems Manager
Info zu Patch ComplianceInformationen zu State Manager-Zuordnungs-ComplianceInformationen zu benutzerdefinierter ComplianceAnzeigen aktueller Compliance-DatenAnzeigen von Compliance-Konfigurationsverlauf und Änderungsnachverfolgung

Erfahren Sie mehr über Compliance

Compliance, eine Funktion von AWS Systems Manager, erfasst und meldet Daten über den Patching-Status in Patch Manager-Patching und -Zuordnungen in State Manager. (Patch Manager und State Manager sind ebenfalls beide Funktionen von AWS Systems Manager.) Compliance berichtet auch zu benutzerdefinierten Compliance-Typen, die Sie für Ihre verwalteten Knoten angegeben haben. Dieser Abschnitt enthält Details über jeden dieser Compliance-Typen sowie Informationen zum Anzeigen von Systems Manager-Compliance-Daten. Dieser Abschnitt enthält auch Informationen zum Anzeigen des Compliance-Verlaufs und der Änderungsnachverfolgung.

Anmerkung

Systems Manager ist mit Chef InSpec integriert. InSpec ist ein Open-Source-Runtime-Framework, mit dem Sie lesbare Profile auf GitHub oder Amazon Simple Storage Service (Amazon S3).erstellen können. Anschließend können Sie Systems Manager verwenden, um Compliance-Scans auszuführen und konforme und nicht konforme Instances anzuzeigen. Weitere Informationen finden Sie unter Verwenden von Chef InSpec-Profilen mit Systems Manager Compliance.

Info zu Patch Compliance

Nachdem Sie mit Patch Manager in Ihren Instances installiert haben, stehen Ihnen die Compliance-Statusinformationen sofort in der Konsole oder in der Antwort auf AWS Command Line Interface (AWS CLI)-Befehle oder entsprechenden Systems Manager-API-Vorgängen zur Verfügung.

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Statuswerte der Patch-Compliance.

Informationen zu State Manager-Zuordnungs-Compliance

Nachdem Sie eine oder mehrere State Manager-Zuordnungen erstellt haben, stehen Ihnen Compliance-Statusinformationen sofort in der Konsole oder in der Antwort von AWS CLI-Befehlen oder entsprechenden Systems Manager-API-Vorgängen zur Verfügung. Für Zuordnungen zeigt Compliance den Status Compliant oder Non-compliant und den der Zuordnung zugewiesenen Schweregrad an, z. B. Critical oder Medium.

Informationen zu benutzerdefinierter Compliance

Einem verwalteten Knoten können Compliance-Metadaten zugewiesen werden. Diese Metadaten können anschließend mit anderen Compliance-Daten für Compliance-Berichte zusammengefasst werden. Beispiel: Ihr Unternehmen führt die Versionen 2.0, 3.0 und 4.0 von Software X auf Ihren verwalteten Knoten aus. Das Unternehmen möchte Version 4.0 zum Standard machen. Das bedeutet, dass Instances mit Versionen 2.0 und 3.0 nicht konform sind. Mit der API-Operation PutComplianceItems können Sie explizit feststellen, auf welchen verwalteten Knoten ältere Versionen der Software X ausgeführt werden. Sie können Compliance-Metadaten nur über die AWS CLI mit AWS Tools for Windows PowerShell oder mit den SDKs zuweisen. Mit dem folgenden CLI-Beispielbefehl werden einer verwalteten Instance Compliance-Metadaten zugewiesen und der Compliance-Typ im benötigten Format angegeben Custom:. Ersetzen Sie jeden Beispiel Platzhalter für Ressourcen mit Ihren eigenen Informationen.

Linux & macOS
aws ssm put-compliance-items \
    --resource-id i-1234567890abcdef0 \
    --resource-type ManagedInstance \
    --compliance-type Custom:SoftwareXCheck \
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
Windows
aws ssm put-compliance-items ^
    --resource-id i-1234567890abcdef0 ^
    --resource-type ManagedInstance ^
    --compliance-type Custom:SoftwareXCheck ^
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
Anmerkung

Der ResourceType-Parameter unterstützt nur ManagedInstance. Wenn Sie einem AWS IoT Greengrass-Core-Gerät benutzerdefinierte Compliance hinzufügen, müssen Sie einen ResourceType von ManagedInstance angeben.

Compliance-Manager können daraufhin Zusammenfassungen anzeigen oder Berichte über nicht konforme verwaltete Knoten erstellen. Sie können einem verwalteten Knoten maximal 10 verschiedene benutzerdefinierte Compliance-Typen zuweisen.

Ein Beispiel für die Erstellung eines benutzerdefinierten Compliance-Typs und zum Anzeigen von Compliance-Daten finden Sie unter Weisen Sie benutzerdefinierte Compliance-Metadaten zu mithilfe der AWS CLI.

Anzeigen aktueller Compliance-Daten

In diesem Abschnitt wird beschrieben, wie Sie Compliance-Daten in der Systems Manager-Konsole und mithilfe der AWS CLI anzeigen. Weitere Informationen zum Anzeigen des Patch- und Zuordnungs-Compliance-Verlaufs und der Änderungsnachverfolgung finden Sie unter Anzeigen von Compliance-Konfigurationsverlauf und Änderungsnachverfolgung.

Anzeigen aktueller Compliance-Daten (Konsole)

Verwenden Sie die folgenden Verfahren, um Compliance-Daten in der Systems Manager-Konsole anzuzeigen.

So zeigen Sie aktuelle Compliance-Berichte in der Systems Manager-Konsole an

  1. Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im linken Navigationsbereich Compliance.

  3. Wählen Sie im Abschnitt Compliance dashboard filtering (Compliance-Dashboard-Filtrierung) eine Option zum Filtern von Compliance-Daten aus. Der Abschnitt Compliance resources summary (Zusammenfassung der Compliance-Ressourcen) zeigt die Anzahl der Compliance-Daten basierend auf dem von Ihnen ausgewählten Filter an.

  4. Um weitere detaillierte Informationen zu einer Ressource zu erhalten, scrollen Sie nach unten zum Bereich Details overview for resources (Detailübersicht für Ressourcen) und wählen Sie die ID eines verwalteten Knotens.

  5. Wählen Sie auf der Detailseite Instance ID (Instance-ID) oder Name die Registerkarte Configuration compliance (Konfigurations-Compliance), um den detaillierten Bericht zur Konfigurations-Compliance anzuzeigen.

Anmerkung

Weitere Informationen zum Beheben von Compliance-Problemen finden Sie unter Beheben von Compliance-Problemen mithilfe von EventBridge.

Anzeigen aktueller Compliance-Daten (AWS CLI)

Sie können die Zusammenfassungen von Compliance-Daten für Patch-Vorgänge, Zuordnungen und benutzerdefinierte Compliance-Typen in der AWS CLI mithilfe der folgenden AWS CLI-Befehle anzeigen.

list-compliance-summaries

Gibt eine Übersichtszahl der konformen und nicht konformen Zuordnungs-Statusarten entsprechend der angegebenen Filter zurück. (API: ListComplianceSummaries)

list-resource-compliance-summaries

Gibt eine Übersichtszahl auf Ressourcenebene zurück. Die Übersicht umfasst Informationen über konforme und nicht konforme Statusarten und die detaillierte Anzahl des Schweregrads von Compliance-Elementen entsprechend den festgelegten Filterkriterien. (API: ListResourceComplianceSummaries)

Sie können zusätzliche Compliance-Daten für das Einspielen von Patches mit den folgenden AWS CLI-Befehlen anzeigen.

describe-patch-group-state

Gibt allgemeine zusammengefasste Patch-Compliance-Statusarten für eine Patch-Gruppe zurück. (API: DescribePatchGroupState)

describe-instance-patch-states-for-patch-group

Gibt den allgemeinen Patch-Status für die Instances in der angegebenen Patch-Gruppe zurück. (API: DescribeInstancePatchStatesForPatchGroup)

Anmerkung

Ein Beispiel für die Verwendung der AWS CLI zum Konfigurieren von Patch-Vorgängen und zum Anzeigen von Patch-Compliance-Details finden Sie unter Anleitung: Patchen einer Serverumgebung mithilfe der AWS CLI.

Anzeigen von Compliance-Konfigurationsverlauf und Änderungsnachverfolgung

Standardmäßig werden von Systems-Manager-Compliance die aktuellen Patch-Vorgänge und Zuordnungs-Compliance-Daten für Ihre verwalteten Knoten angezeigt. Sie können den Patch- und Zuordnungs-Compliance-Verlauf sowie die Änderungsnachverfolgung mit AWS Config anzeigen. AWS Config bietet eine detaillierte Ansicht der Konfiguration von AWS-Ressourcen in Ihrem AWS-Konto-Konto. Dazu gehört auch, wie die Ressourcen jeweils zueinander in Beziehung stehen und wie sie in der Vergangenheit konfiguriert wurden, damit Sie sehen können, wie sich die Konfigurationen und Beziehungen im Laufe der Zeit verändern. Zum Anzeigen von Patch-Einspielungen, des Zuordnungs-Compliance-Verlaufs und der Änderungsnachverfolgung müssen Sie die folgenden Ressourcen in AWS Config aktivieren:

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

Weitere Informationen dazu, wie Sie diese spezifischen Ressourcen in AWS Config auswählen und konfigurieren, finden Sie unter Selecting Which Resources AWS Config Records im AWS Config-Entwicklerleitfaden.

Anmerkung

Informationen zu AWS Config-Preisen erhalten Sie unter Pricing (Preise für WAF).