Erfahren Sie mehr über Compliance - AWS Systems Manager
Info zu Patch ComplianceInformationen zu State Manager-Zuordnungs-ComplianceInformationen zu benutzerdefinierter ComplianceAnzeigen aktueller Compliance-DatenAnzeigen von Compliance-Konfigurationsverlauf und Änderungsnachverfolgung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erfahren Sie mehr über Compliance

Compliance, eine Funktion von AWS Systems Manager, sammelt und meldet Daten über den Status von Patches in Patch Manager Patching und Zuordnungen in. State Manager (Patch Managerund State Manager sind auch beide Funktionen von AWS Systems Manager.) Compliance berichtet auch zu benutzerdefinierten Compliance-Typen, die Sie für Ihre verwalteten Knoten angegeben haben. Dieser Abschnitt enthält Details über jeden dieser Compliance-Typen sowie Informationen zum Anzeigen von Systems Manager-Compliance-Daten. Dieser Abschnitt enthält auch Informationen zum Anzeigen des Compliance-Verlaufs und der Änderungsnachverfolgung.

Anmerkung

Systems Manager lässt sich in integrieren Chef InSpec. InSpec ist ein Open-Source-Runtime-Framework, mit dem Sie menschenlesbare Profile auf GitHub Amazon Simple Storage Service (Amazon S3) erstellen können. Anschließend können Sie Systems Manager verwenden, um Compliance-Scans auszuführen und konforme und nicht konforme Instances anzuzeigen. Weitere Informationen finden Sie unter Verwenden von Chef InSpec Profilen mit Systems Manager Compliance.

Info zu Patch Compliance

Nachdem Sie Patch Manager Patches auf Ihren Instances installiert haben, stehen Ihnen Informationen zum Compliance-Status sofort in der Konsole oder als Reaktion auf AWS Command Line Interface (AWS CLI) -Befehle oder entsprechende Systems Manager API Manager-Operationen zur Verfügung.

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Werte für den Patch-Konformitätsstatus.

Informationen zu State Manager-Zuordnungs-Compliance

Nachdem Sie eine oder mehrere State Manager Zuordnungen erstellt haben, stehen Ihnen Informationen zum Konformitätsstatus sofort in der Konsole oder als Reaktion auf AWS CLI Befehle oder entsprechende Systems Manager API Manager-Vorgänge zur Verfügung. Für Zuordnungen zeigt Compliance den Status Compliant oder Non-compliant und den der Zuordnung zugewiesenen Schweregrad an, z. B. Critical oder Medium.

Informationen zu benutzerdefinierter Compliance

Einem verwalteten Knoten können Compliance-Metadaten zugewiesen werden. Diese Metadaten können anschließend mit anderen Compliance-Daten für Compliance-Berichte zusammengefasst werden. Beispiel: Ihr Unternehmen führt die Versionen 2.0, 3.0 und 4.0 von Software X auf Ihren verwalteten Knoten aus. Das Unternehmen möchte Version 4.0 zum Standard machen. Das bedeutet, dass Instances mit Versionen 2.0 und 3.0 nicht konform sind. Mit diesem PutComplianceItemsAPIVorgang können Sie explizit angeben, auf welchen verwalteten Knoten ältere Versionen von Software X ausgeführt werden. Sie können Konformitätsmetadaten nur mithilfe von AWS CLI AWS Tools for Windows PowerShell, oder dem zuweisenSDKs. Der folgende CLI Beispielbefehl weist einer verwalteten Instanz Konformitätsmetadaten zu und gibt den Konformitätstyp im erforderlichen Format Custom: an. Ersetzen Sie jedes example resource placeholder mit Ihren eigenen Informationen.

Linux & macOS
aws ssm put-compliance-items \
    --resource-id i-1234567890abcdef0 \
    --resource-type ManagedInstance \
    --compliance-type Custom:SoftwareXCheck \
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
Windows
aws ssm put-compliance-items ^
    --resource-id i-1234567890abcdef0 ^
    --resource-type ManagedInstance ^
    --compliance-type Custom:SoftwareXCheck ^
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
Anmerkung

Der ResourceType-Parameter unterstützt nur ManagedInstance. Wenn Sie einem AWS IoT Greengrass -Core-Gerät benutzerdefinierte Compliance hinzufügen, müssen Sie einen ResourceType von ManagedInstance angeben.

Compliance-Manager können daraufhin Zusammenfassungen anzeigen oder Berichte über nicht konforme verwaltete Knoten erstellen. Sie können einem verwalteten Knoten maximal 10 verschiedene benutzerdefinierte Compliance-Typen zuweisen.

Ein Beispiel für die Erstellung eines benutzerdefinierten Compliance-Typs und zum Anzeigen von Compliance-Daten finden Sie unter Weisen Sie benutzerdefinierte Compliance-Metadaten zu mithilfe der AWS CLI.

Anzeigen aktueller Compliance-Daten

In diesem Abschnitt wird beschrieben, wie Sie Compliance-Daten in der Systems Manager-Konsole und mithilfe der AWS CLI anzeigen. Weitere Informationen zum Anzeigen des Patch- und Zuordnungs-Compliance-Verlaufs und der Änderungsnachverfolgung finden Sie unter Anzeigen von Compliance-Konfigurationsverlauf und Änderungsnachverfolgung.

Anzeigen aktueller Compliance-Daten (Konsole)

Verwenden Sie die folgenden Verfahren, um Compliance-Daten in der Systems Manager-Konsole anzuzeigen.

So zeigen Sie aktuelle Compliance-Berichte in der Systems Manager-Konsole an

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im linken Navigationsbereich Compliance.

  3. Wählen Sie im Abschnitt Compliance dashboard filtering (Compliance-Dashboard-Filtrierung) eine Option zum Filtern von Compliance-Daten aus. Der Abschnitt Compliance resources summary (Zusammenfassung der Compliance-Ressourcen) zeigt die Anzahl der Compliance-Daten basierend auf dem von Ihnen ausgewählten Filter an.

  4. Um weitere detaillierte Informationen zu einer Ressource zu erhalten, scrollen Sie nach unten zum Bereich Details overview for resources (Detailübersicht für Ressourcen) und wählen Sie die ID eines verwalteten Knotens.

  5. Wählen Sie auf der Detailseite Instance ID (Instance-ID) oder Name die Registerkarte Configuration compliance (Konfigurations-Compliance), um den detaillierten Bericht zur Konfigurations-Compliance anzuzeigen.

Anmerkung

Weitere Informationen zum Beheben von Compliance-Problemen finden Sie unter Behebung von Compliance-Problemen mit EventBridge.

Anzeigen aktueller Compliance-Daten (AWS CLI)

Mithilfe der folgenden AWS CLI Befehle können Sie Zusammenfassungen der Kompatibilitätsdaten für Patches, Verknüpfungen und benutzerdefinierte Kompatibilitätstypen im in der AWS CLI anzeigen.

list-compliance-summaries

Gibt eine Übersichtszahl der konformen und nicht konformen Zuordnungs-Statusarten entsprechend der angegebenen Filter zurück. (:) API ListComplianceSummaries

list-resource-compliance-summaries

Gibt eine Übersichtszahl auf Ressourcenebene zurück. Die Übersicht umfasst Informationen über konforme und nicht konforme Statusarten und die detaillierte Anzahl des Schweregrads von Compliance-Elementen entsprechend den festgelegten Filterkriterien. (API: ListResourceComplianceSummaries)

Sie können zusätzliche Compliance-Daten für das Einspielen von Patches mit den folgenden AWS CLI -Befehlen anzeigen.

describe-patch-group-state

Gibt allgemeine zusammengefasste Patch-Compliance-Statusarten für eine Patch-Gruppe zurück. (API: DescribePatchGroupState)

describe-instance-patch-states-for-patch-group

Gibt den allgemeinen Patch-Status für die Instances in der angegebenen Patch-Gruppe zurück. (API: DescribeInstancePatchStatesForPatchGroup)

Anmerkung

Eine Veranschaulichung der Konfiguration von Patches und der Anzeige von Informationen zur Patch-Konformität mithilfe von finden Sie unterTutorial: Patchen Sie eine Serverumgebung mit dem AWS CLI. AWS CLI

Anzeigen von Compliance-Konfigurationsverlauf und Änderungsnachverfolgung

Standardmäßig werden von Systems-Manager-Compliance die aktuellen Patch-Vorgänge und Zuordnungs-Compliance-Daten für Ihre verwalteten Knoten angezeigt. Sie können den Verlauf der Einhaltung von Patches und Zuordnungen sowie die Änderungsnachverfolgung anzeigen, indem Sie AWS Config AWS Config bietet einen detaillierten Überblick über die Konfiguration der AWS Ressourcen in Ihrem AWS-Konto. Dazu gehört auch, wie die Ressourcen jeweils zueinander in Beziehung stehen und wie sie in der Vergangenheit konfiguriert wurden, damit Sie sehen können, wie sich die Konfigurationen und Beziehungen im Laufe der Zeit verändern. Zum Anzeigen von Patch-Einspielungen, des Zuordnungs-Compliance-Verlaufs und der Änderungsnachverfolgung müssen Sie die folgenden Ressourcen in AWS Config aktivieren:

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

Weitere Informationen dazu, wie Sie diese spezifischen Ressourcen in AWS Config auswählen und konfigurieren, finden Sie unter Selecting Which Resources AWS Config Records im AWS Config -Entwicklerleitfaden.

Anmerkung

Informationen zur AWS Config Preisgestaltung finden Sie unter Preise.