Bekerja dengan Kepatuhan - AWS Systems Manager
Tentang kepatuhan patchTentang kepatuhan State Manager asosiasiTentang kepatuhan kustomMelihat data kepatuhan saat iniMelihat riwayat dan pelacakan perubahan konfigurasi kepatuhan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan Kepatuhan

Kepatuhan, kemampuan AWS Systems Manager, mengumpulkan, dan melaporkan data tentang status penambalan dalam penambalan dan Patch Manager asosiasi di. State Manager (Patch Managerdan State Manager juga keduanya kemampuan AWS Systems Manager.) Kepatuhan juga melaporkan jenis kepatuhan khusus yang telah Anda tentukan untuk node terkelola. Bagian ini mencakup detail tentang masing-masing jenis kepatuhan ini dan bagaimana cara melihat data kepatuhan Systems Manager. Bagian ini juga mencakup informasi tentang cara melihat riwayat kepatuhan dan pelacakan perubahan.

catatan

Systems Manager terintegrasi dengan Chef InSpec. InSpec adalah kerangka kerja runtime open-source yang memungkinkan Anda membuat profil yang dapat dibaca manusia di atau GitHub Amazon Simple Storage Service (Amazon S3). Kemudian Anda dapat menggunakan Systems Manager untuk menjalankan pemindaian kepatuhan dan melihat instans yang patuh dan tidak patuh. Untuk informasi selengkapnya, lihat Menggunakan Chef InSpec profil dengan Kepatuhan Systems Manager.

Tentang kepatuhan patch

Setelah Anda menggunakan Patch Manager untuk menginstal tambalan pada instans Anda, informasi status kepatuhan segera tersedia untuk Anda di konsol atau sebagai tanggapan terhadap AWS Command Line Interface (AWS CLI) perintah atau operasi Systems Manager API terkait.

Untuk informasi tentang nilai status kepatuhan patch, lihat Memahami nilai keadaan kepatuhan patch.

Tentang kepatuhan State Manager asosiasi

Setelah Anda membuat satu atau beberapa State Manager asosiasi, informasi status kepatuhan segera tersedia untuk Anda di konsol atau sebagai respons terhadap AWS CLI perintah atau API operasi Systems Manager terkait. Untuk asosiasi, Kepatuhan menunjukkan status Compliant atau Non-compliant dan tingkat kepelikan ditetapkan untuk asosiasi, seperti Critical atau Medium.

Tentang kepatuhan kustom

Anda dapat menetapkan metadata kepatuhan ke node terkelola. Metadata ini kemudian dapat digabungkan dengan data kepatuhan lainnya untuk tujuan pelaporan kepatuhan. Misalnya, katakan bahwa bisnis Anda menjalankan versi 2.0, 3.0, dan 4.0 perangkat lunak X pada node terkelola Anda. Perusahaan ingin melakukan standarisasi pada versi 4.0, yang berarti bahwa instans yang menjalankan versi 2.0 dan 3.0 tidak sesuai. Anda dapat menggunakan PutComplianceItemsAPIoperasi untuk secara eksplisit mencatat node terkelola mana yang menjalankan versi perangkat lunak X yang lebih lama. Anda hanya dapat menetapkan metadata kepatuhan dengan menggunakan,, atau. AWS CLI AWS Tools for Windows PowerShell SDKs Perintah CLI contoh berikut menetapkan metadata kepatuhan ke instance terkelola dan menentukan jenis kepatuhan dalam format yang diperlukan. Custom: Ganti masing-masing example resource placeholder dengan informasi Anda sendiri.

Linux & macOS
aws ssm put-compliance-items \
    --resource-id i-1234567890abcdef0 \
    --resource-type ManagedInstance \
    --compliance-type Custom:SoftwareXCheck \
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
Windows
aws ssm put-compliance-items ^
    --resource-id i-1234567890abcdef0 ^
    --resource-type ManagedInstance ^
    --compliance-type Custom:SoftwareXCheck ^
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
catatan

ResourceTypeParameter hanya mendukungManagedInstance. Jika Anda menambahkan kepatuhan khusus ke perangkat AWS IoT Greengrass inti terkelola, Anda harus menentukan ResourceType dariManagedInstance.

Manajer kepatuhan kemudian dapat melihat ringkasan atau membuat laporan tentang node terkelola mana yang sesuai atau tidak. Anda dapat menetapkan maksimal 10 jenis kepatuhan kustom yang berbeda ke node terkelola.

Untuk contoh cara membuat jenis kepatuhan kustom dan melihat data kepatuhan, lihat Panduan kepatuhan (AWS CLI).

Melihat data kepatuhan saat ini

Bagian ini menjelaskan cara melihat data kepatuhan di konsol Systems Manager dan dengan menggunakan AWS CLI. Untuk informasi tentang cara melihat riwayat kepatuhan patch dan asosiasi serta pelacakan perubahan, lihat Melihat riwayat dan pelacakan perubahan konfigurasi kepatuhan.

Melihat data kepatuhan saat ini (konsol)

Gunakan prosedur berikut ini untuk melihat data kepatuhan di konsol Systems Manager.

Untuk melihat laporan kepatuhan saat ini di konsol Systems Manager

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Kepatuhan.

  3. Di bagian pemfilteran dasbor Kepatuhan, pilih opsi untuk memfilter data kepatuhan. Bagian Ringkasan sumber daya kepatuhan menampilkan jumlah data kepatuhan berdasarkan filter yang Anda pilih.

  4. Untuk menelusuri sumber daya untuk informasi selengkapnya, gulir ke bawah ke ikhtisar Detail untuk area sumber daya dan pilih ID node terkelola.

  5. Pada halaman Instance ID atau Name details, pilih tab Kepatuhan konfigurasi untuk melihat laporan kepatuhan konfigurasi terperinci untuk node terkelola.

catatan

Untuk informasi tentang memperbaiki masalah kepatuhan, lihat Memperbaiki masalah kepatuhan menggunakan EventBridge.

Melihat data kepatuhan saat ini (AWS CLI)

Anda dapat melihat ringkasan data kepatuhan untuk jenis patching, asosiasi, dan kepatuhan kustom di bagian dalam menggunakan AWS CLI perintah berikut. AWS CLI

list-compliance-summaries

Mengembalikan jumlah ringkasan status asosiasi yang sesuai dan tidak sesuai dengan filter yang Anda tentukan. (API: ListComplianceSummaries)

list-resource-compliance-summaries

Mengembalikan jumlah ringkasan tingkat sumber daya. Ringkasan tersebut mencakup informasi tentang status patuh dan tidak patuh serta jumlah kepelikan item kepatuhan yang mendetail, sesuai dengan kriteria filter yang Anda tentukan. (API: ListResourceComplianceSummaries)

Anda dapat melihat data kepatuhan tambahan untuk patching dengan menggunakan perintah AWS CLI berikut.

describe-patch-group-state

Mengembalikan status kepatuhan patch agregat tingkat tinggi untuk grup patch. (API: DescribePatchGroupState)

describe-instance-patch-states-for-patch-group

Mengembalikan status patch tingkat tinggi untuk instans dalam grup patch yang ditentukan. (API: DescribeInstancePatchStatesForPatchGroup)

catatan

Untuk ilustrasi tentang cara mengonfigurasi patching dan melihat detail kepatuhan tambalan dengan menggunakan AWS CLI, lihat. Tutorial: Menambal lingkungan server (AWS CLI)

Melihat riwayat dan pelacakan perubahan konfigurasi kepatuhan

Kepatuhan Systems Manager menampilkan data patching dan kepatuhan asosiasi saat ini untuk node terkelola Anda. Anda dapat melihat riwayat patching dan kepatuhan asosiasi serta mengubah pelacakan dengan menggunakan AWS Config. AWS Config memberikan tampilan rinci tentang konfigurasi AWS sumber daya di Anda Akun AWS. Ini mencakup bagaimana sumber daya terkait satu sama lain dan bagaimana sumber daya tersebut dikonfigurasi di masa lalu sehingga Anda dapat melihat bagaimana konfigurasi dan hubungan berubah dari waktu ke waktu. Untuk melihat riwayat kepatuhan dan pelacakan perubahan patching dan asosiasi, Anda harus mengaktifkan sumber daya berikut di AWS Config:

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

Untuk informasi tentang cara memilih dan mengonfigurasi sumber daya ini di AWS Config, lihat Memilih Catatan AWS Config Sumber Daya Mana di Panduan Developer AWS Config .

catatan

Untuk informasi tentang AWS Config harga, lihat Harga.