Scopri i dettagli sulla conformità - AWS Systems Manager
Informazioni sulla conformità delle patchInformazioni sulla conformità delle associazioni State ManagerInformazioni sulla personalizzazione della conformitàVisualizzazione dei dati di conformità correntiVisualizzazione della cronologia e del monitoraggio delle modifiche della configurazione per la conformità

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scopri i dettagli sulla conformità

La conformità, una funzionalità di AWS Systems Manager, raccoglie e riporta dati sullo stato dell'applicazione delle patch nelle Patch Manager patch e sulle associazioni in. State Manager (Patch Managere State Manager sono anche entrambe funzionalità di.) AWS Systems Manager Compliance riporta inoltre tipi di conformità personalizzati specificati per i nodi gestiti. Questa sezione contiene informazioni dettagliate su ognuno di questi tipi di conformità e su come visualizzare i dati di conformità di Systems Manager. Include inoltre informazioni su come visualizzare la cronologia della conformità e il monitoraggio delle modifiche.

Nota

Systems Manager si integra con Chef InSpec. InSpec è un framework di runtime open source che consente di creare profili leggibili dall'uomo su Amazon Simple Storage Service (GitHubAmazon S3). È quindi possibile utilizzare Systems Manager per eseguire analisi della conformità e visualizzare le istanze conformi e non conformi. Per ulteriori informazioni, consulta Utilizzo Chef InSpec profili con Systems Manager Compliance.

Informazioni sulla conformità delle patch

Dopo aver installato Patch Manager le patch sulle istanze, le informazioni sullo stato di conformità sono immediatamente disponibili nella console o in risposta ai comandi AWS Command Line Interface (AWS CLI) o alle corrispondenti operazioni di Systems ManagerAPI.

Per informazioni sui valori dello stato di conformità delle patch, consulta Valori dello stato di conformità delle patch.

Informazioni sulla conformità delle associazioni State Manager

Dopo aver creato una o più State Manager associazioni, le informazioni sullo stato di conformità sono immediatamente disponibili nella console o in risposta ai AWS CLI comandi o alle API operazioni corrispondenti di Systems Manager. Per le associazioni, Compliance mostra lo stato Compliant o Non-compliant e il livello di gravità assegnato all'associazione, ad esempio Critical o Medium.

Informazioni sulla personalizzazione della conformità

È possibile assegnare metadati di conformità a un nodo gestito. Tali metadati possono quindi essere aggregati ad altri dati di conformità per la creazione di report di conformità. Supponiamo ad esempio che l'azienda esegua le versioni 2.0, 3.0 e 4.0 del software X nei nodi gestiti. Se l'azienda desidera standardizzare la versione 4.0, le istanze che eseguono le versioni 2.0 e 3.0 sono non conformi. È possibile utilizzare l'PutComplianceItemsAPIoperazione per annotare in modo esplicito quali nodi gestiti eseguono versioni precedenti del software X. È possibile assegnare metadati di conformità solo utilizzando il AWS CLI, AWS Tools for Windows PowerShell o il. SDKs Il comando di CLI esempio seguente assegna i metadati di conformità a un'istanza gestita e specifica il tipo di conformità nel formato richiesto. Custom: Sostituisci ogni example resource placeholder con le tue informazioni.

Linux & macOS
aws ssm put-compliance-items \
    --resource-id i-1234567890abcdef0 \
    --resource-type ManagedInstance \
    --compliance-type Custom:SoftwareXCheck \
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
Windows
aws ssm put-compliance-items ^
    --resource-id i-1234567890abcdef0 ^
    --resource-type ManagedInstance ^
    --compliance-type Custom:SoftwareXCheck ^
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
Nota

Il parametro ResourceType supporta solo ManagedInstance. Se si aggiunge la conformità personalizzata a un dispositivo core gestito AWS IoT Greengrass , è necessario specificare un ResourceType di ManagedInstance.

I gestori della conformità possono quindi visualizzare riepiloghi o creare report su quali nodi gestiti siano conformi e quali non lo siano. A un nodo è possibile assegnare un massimo di 10 diversi tipi di conformità personalizzati.

Per un esempio di come creare un tipo di conformità personalizzato e visualizzare i dati di conformità, consulta Assegna metadati di conformità personalizzati utilizzando AWS CLI.

Visualizzazione dei dati di conformità correnti

Questa sezione illustra come visualizzare i dati di conformità nella console Systems Manager e mediante AWS CLI. Per informazioni su come visualizzare la cronologia della conformità e il monitoraggio delle modifiche di patch e associazioni, consulta Visualizzazione della cronologia e del monitoraggio delle modifiche della configurazione per la conformità.

Visualizzazione dei dati di conformità correnti (console)

Per visualizzare i dati di conformità nella console Systems Manager, utilizza la procedura seguente.

Visualizzazione dei report di conformità correnti nella console Systems Manager

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, selezionare Conformità.

  3. Nella sezione Filtro del pannello di controllo di conformità, seleziona un'opzione per filtrare i dati di conformità. La sezione Riepilogo risorse di conformità mostra il numero di dati di conformità in base al filtro scelto.

  4. Per eseguire il drill down in una risorsa per ulteriori informazioni, scorri verso il basso fino all'area Panoramica dettagliata delle risorse e scegli l'ID di un nodo gestito.

  5. Nella pagina dei dettagli Instance ID (ID istanza) o in Name (nome) seleziona la scheda Configuration compliance (Configurazione conformità) per visualizzare il report dettagliato sulla conformità della configurazione del nodo gestito.

Nota

Per informazioni sulla risoluzione dei problemi di conformità, consultare Risolvere i problemi di conformità utilizzando EventBridge.

Visualizzazione dei dati di conformità correnti (AWS CLI)

È possibile visualizzare i riepiloghi dei dati di conformità per le patch, le associazioni e i tipi di conformità personalizzati AWS CLI utilizzando i seguenti AWS CLI comandi.

list-compliance-summaries

Restituisce un conteggio riepilogativo dello stato conforme e non conforme delle associazioni in base al filtro specificato. (:) API ListComplianceSummaries

list-resource-compliance-summaries

Restituisce un conteggio riepilogativo a livello di risorsa. Il riepilogo contiene informazioni sullo stato conforme e non conforme e conteggi dettagliati della gravità delle voci di conformità in base alle opzioni di filtro specificate. (API: ListResourceComplianceSummaries)

È possibile visualizzare ulteriori dati di conformità per l'applicazione di patch utilizzando i comandi dell' AWS CLI riportati di seguito.

describe-patch-group-state

Restituisce lo stato di conformità aggregato generale delle patch di un gruppo di patch. (API: DescribePatchGroupState)

describe-instance-patch-states-for-patch-group

Restituisce lo stato generale delle patch del gruppo di patch specificato per le istanze. (API: DescribeInstancePatchStatesForPatchGroup)

Nota

Per un'illustrazione di come configurare l'applicazione delle patch e visualizzare i dettagli sulla conformità delle patch utilizzando il AWS CLI, vedere. Tutorial: applicare una patch a un ambiente server utilizzando il AWS CLI

Visualizzazione della cronologia e del monitoraggio delle modifiche della configurazione per la conformità

Systems Manager Compliance mostra i dati di conformità correnti relativi all'applicazione di patch e alle associazioni per i nodi gestiti. È possibile visualizzare la cronologia della conformità delle patch e delle associazioni e il monitoraggio delle modifiche utilizzando. AWS Config AWS Config fornisce una visualizzazione dettagliata della configurazione delle AWS risorse del tuo Account AWS. Questo include le relazioni tra le risorse e la maniera in cui sono state configurate in passato, in modo che tu possa vedere come le configurazioni e le relazioni cambiano nel corso del tempo. Per visualizzare la cronologia della conformità e il monitoraggio delle modifiche per l'applicazione di patch e le associazioni, è necessario abilitare le risorse seguenti in AWS Config:

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

Per informazioni su come scegliere e configurare queste specifiche risorse in AWS Config, consulta Scegli quali risorse deve registrare AWS Config nella AWS Config Guida per gli sviluppatori.

Nota

Per informazioni sui AWS Config prezzi, consulta la sezione Prezzi.