En savoir plus sur la conformité - AWS Systems Manager
A propos de la conformité des correctifsA propos de la conformité des associations State ManagerA propos de la conformité personnaliséeAffichage des données de conformité actuellesAffichage du suivi des modifications et de l'historique de configuration de la conformité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

En savoir plus sur la conformité

Conformité, une capacité de AWS Systems Manager collecte et de rapport des données sur l'état de l'application des correctifs lors de l'application de Patch Manager correctifs et des associations dans. State Manager (Patch Manageret State Manager sont également toutes deux des fonctionnalités de AWS Systems Manager.) Compliance rapporte également les types de conformité personnalisés que vous avez spécifiés pour vos nœuds gérés. Cette section inclut des détails sur chacun de ces types de conformité et la manière d'afficher les données de conformité Systems Manager. Cette section inclut également des informations sur la façon d'afficher le suivi des modifications et l'historique de conformité.

Note

Systems Manager s'intègre à Chef InSpec. InSpec est un framework d'exécution open source qui vous permet de créer des profils lisibles par l'homme sur GitHub Amazon Simple Storage Service (Amazon S3). Ensuite, vous pouvez utiliser Systems Manager pour exécuter des analyses de conformité et afficher les instances conformes et non conformes. Pour de plus amples informations, veuillez consulter Utilisation de Chef InSpec profils avec Systems Manager Compliance.

A propos de la conformité des correctifs

Une fois que vous Patch Manager avez installé des correctifs sur vos instances, les informations relatives à l'état de conformité sont immédiatement disponibles dans la console ou en réponse aux commandes AWS Command Line Interface (AWS CLI) ou aux API opérations correspondantes de Systems Manager.

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Valeurs de l'état de conformité des correctifs.

A propos de la conformité des associations State Manager

Une fois que vous avez créé une ou plusieurs State Manager associations, les informations relatives à l'état de conformité sont immédiatement disponibles dans la console ou en réponse aux AWS CLI commandes ou aux API opérations correspondantes de Systems Manager. Pour les associations, le service Compliance affiche les statuts Compliant ou Non-compliant et le niveau de sévérité attribué à l'association, tel que Critical ou Medium.

A propos de la conformité personnalisée

Vous pouvez attribuer des métadonnées de conformité à un nœud géré. Ces métadonnées peuvent ensuite être regroupées avec d'autres données de conformité à des fins de génération de rapports sur la conformité. Supposons par exemple que votre entreprise exécute les versions 2.0, 3.0 et 4.0 du logiciel X sur vos nœuds gérés. L'entreprise veut procéder à une normalisation dans la version 4.0, ce qui signifie que les instances qui exécutent les versions 2.0 et 3.0 ne sont pas conformes. Vous pouvez utiliser cette PutComplianceItemsAPIopération pour indiquer explicitement quels nœuds gérés exécutent d'anciennes versions du logiciel X. Vous ne pouvez attribuer des métadonnées de conformité qu'en utilisant le AWS CLI AWS Tools for Windows PowerShell, ou leSDKs. L'CLIexemple de commande suivant attribue des métadonnées de conformité à une instance gérée et spécifie le type de conformité au format Custom: requis. Remplacez chacun example resource placeholder avec vos propres informations.

Linux & macOS
aws ssm put-compliance-items \
    --resource-id i-1234567890abcdef0 \
    --resource-type ManagedInstance \
    --compliance-type Custom:SoftwareXCheck \
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
Windows
aws ssm put-compliance-items ^
    --resource-id i-1234567890abcdef0 ^
    --resource-type ManagedInstance ^
    --compliance-type Custom:SoftwareXCheck ^
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
Note

Le paramètre ResourceType prend uniquement en charge ManagedInstance. Si vous ajoutez une conformité personnalisée à un appareil principal AWS IoT Greengrass géré, vous devez spécifier un ResourceType de ManagedInstance.

Les gestionnaires de la conformité peuvent ensuite afficher des récapitulatifs ou créer des rapports sur les nœuds gérés conformes ou non. Vous pouvez attribuer au maximum 10 types différents de conformité personnalisée à un nœud géré.

Pour obtenir un exemple montrant comment créer un type de conformité personnalisée et afficher les données de conformité, consultez Attribuez des métadonnées de conformité personnalisées à l'aide du AWS CLI.

Affichage des données de conformité actuelles

Cette section explique comment afficher les données de conformité dans la console Systems Manager et à l'aide de la AWS CLI. Pour de plus amples informations sur l'affichage du suivi des modifications, ainsi que de l'historique de conformité des associations et des correctifs, veuillez consulter Affichage du suivi des modifications et de l'historique de configuration de la conformité.

Affichage des données de conformité actuelles (console)

Utilisez la procédure suivante pour afficher les données de conformité dans la console Systems Manager.

Pour afficher les rapports de conformité actuelle dans la console Systems Manager

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Compliance (Conformité).

  3. Dans la section Compliance dashboard filtering (Filtrage du tableau de bord de conformité), sélectionnez une option pour filtrer les données de conformité. La section Compliance resources summary (Synthèse des ressources de conformité) affiche le nombre de données de conformité en fonction du filtre que vous avez choisi.

  4. Pour explorer une ressource en détail, faites défiler vers le bas jusqu'à la zone Details overview for resources (Vue d'ensemble détaillée des ressources) et sélectionnez l'ID d'un nœud géré.

  5. Sur la page Instance ID (ID d'instance) ou Name (Nom), sélectionnez l'onglet Configuration compliance (Conformité de la configuration) afin d'afficher un rapport détaillé de conformité de la configuration pour le nœud géré.

Note

Pour de plus amples informations sur la résolution des problèmes de conformité, veuillez consulter Corriger les problèmes de conformité à l'aide EventBridge.

Affichage des données de conformité actuelles (AWS CLI)

Vous pouvez consulter les résumés des données de conformité pour les correctifs, les associations et les types de conformité personnalisés dans le in à l'aide AWS CLI des commandes suivantes AWS CLI .

list-compliance-summaries

Renvoie un décompte récapitulatif des statuts d'association conformes et non conformes en fonction du filtre que vous spécifiez. (API: ListComplianceSummaries)

list-resource-compliance-summaries

Renvoie un récapitulatif du nombre au niveau des ressources. Ce récapitulatif inclut des informations sur les statuts Conforme et Non conforme et les nombres détaillés de sévérité de l'élément de conformité, en fonction des critères de filtre que vous spécifiez. (API: ListResourceComplianceSummaries)

Vous pouvez afficher des données de conformité supplémentaires pour l'application de correctifs à l'aide des commandes d' AWS CLI suivantes.

describe-patch-group-state

Renvoie l'état des informations globales de conformité des correctifs pour un groupe de correctifs. (API: DescribePatchGroupState)

describe-instance-patch-states-for-patch-group

Renvoie l'état des correctifs de haut niveau pour les instances du groupe de correctifs spécifié. (API: DescribeInstancePatchStatesForPatchGroup)

Note

Pour une illustration de la configuration des correctifs et pour consulter les détails de conformité des correctifs à l'aide du AWS CLI, voirTutoriel : appliquer un correctif à un environnement de serveur à l'aide du AWS CLI.

Affichage du suivi des modifications et de l'historique de configuration de la conformité

Le service Systems Manager Compliance affiche les données actuelles de conformité des associations et de l'application de correctifs pour vos nœuds gérés. Vous pouvez consulter l'historique de conformité des correctifs et des associations ainsi que le suivi des modifications en utilisant AWS Config. AWS Config fournit une vue détaillée de la configuration des AWS ressources de votre Compte AWS. Elle indique comment les ressources sont liées entre elles et comment elles ont été configurées dans le passé, pour que vous puissiez observer comment les configurations et les relations changent au fil du temps. Pour afficher le suivi des modifications et l'historique des associations et de l'application de correctifs, vous devez activer les ressources suivantes dans AWS Config :

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

Pour de plus amples informations sur le choix et la configuration de ces ressources spécifiques dans AWS Config, veuillez consulter Sélection des ressources enregistrées par AWS Config dans le Guide du développeur AWS Config .

Note

Pour plus d'informations sur la AWS Config tarification, consultez la section Tarification.