Compliance 작업
AWS Systems Manager의 기능인 Compliance는 Patch Manager 패치의 패치 상태와 State Manager의 연결에 대한 데이터를 수집하고 보고합니다. Patch Manager와 State Manager도 모두 AWS Systems Manager의 기능입니다. 또한 Compliance는 관리형 노드에 대해 지정한 사용자 정의 규정 준수 유형에 대해 보고합니다. 이 섹션에는 이러한 규정 준수 유형 각각에 대한 세부 정보와 Systems Manager 규정 준수 데이터를 보는 방법이 나와 있습니다. 또한 규정 준수 이력과 변경 사항 추적을 확인하는 방법에 정보도 다룹니다.
참고
Systems Manager는 Chef
InSpec
패치 규정 준수 정보
Patch Manager를 사용하여 인스턴스에 패치를 설치하고 나면 콘솔 또는 AWS Command Line Interface(AWS CLI) 명령에 대한 응답이나 해당하는 Systems Manager API 작업을 통해 규정 준수 상태에 대한 정보를 즉시 볼 수 있습니다.
패치 규정 준수 상태 값에 대한 자세한 내용은 패치 규정 준수 상태 값 이해 섹션을 참조하세요.
State Manager 연결 규정 준수 정보
State Manager 연결을 하나 이상 생성하고 나면 콘솔 또는 AWS CLI 명령에 대한 응답이나 해당하는 Systems Manager API 작업을 통해 규정 준수 상태에 대한 정보를 즉시 볼 수 있습니다. 연결의 경우 Compliance는 Compliant 또는 Non-compliant의 상태와 연결에 할당된 심각도(예: Critical 또는 Medium)를 보여줍니다.
사용자 지정 규정 준수 정보
관리형 노드에 규정 준수 메타데이터를 할당할 수 있습니다. 그러면 이 메타데이터를 규정 준수 보고를 위해 다른 규정 준수 데이터와 함께 집계할 수 있습니다. 예를 들어 여러분의 회사가 관리형 노드에서 소프트웨어 X의 버전 2.0, 3.0, 4.0을 실행한다고 가정하겠습니다. 이 회사는 버전 2.0과 3.0을 실행하는 인스턴스가 규정을 미준수하여 버전 4.0으로 표준화하려고 합니다. PutComplianceItems API 작업을 사용하여 소프트웨어 X의 이전 버전을 실행하는 관리형 노드를 명시적으로 기록할 수 있습니다. AWS CLI, AWS Tools for Windows PowerShell 또는 SDK를 사용하여 규정 준수 메타데이터만 할당할 수 있습니다. 다음 CLI 명령 샘플은 관리형 인스턴스에 규정 준수 메타데이터를 할당하고, 필요한 형식 Custom:으로 규정 준수 유형을 지정합니다. 각 example resource placeholder를 사용자의 정보로 바꿉니다.
참고
ResourceType 파라미터는 ManagedInstance만 지원합니다. 관리형 AWS IoT Greengrass 코어 디바이스에 사용자 지정 규정 준수를 추가하는 경우 ManagedInstance의 ResourceType를 식별해야 합니다.
그러면 규정 준수 관리자는 요약을 보거나 규정 준수 또는 미준수 관리형 노드에 대한 보고서를 만들 수 있습니다. 관리형 노드 하나에 최대 10개의 사용자 지정 규정 준수 유형을 할당할 수 있습니다.
사용자 지정 규정 준수 유형을 만들고 규정 준수 데이터를 보는 방법의 예는 Compliance 시연(AWS CLI)을 참조하십시오.
현재의 규정 준수 데이터 보기
이 섹션에서는 AWS CLI를 사용하거나 Systems Manager 콘솔에서 규정 준수 데이터를 보는 방법을 설명합니다. 패치 및 연결의 규정 준수 이력과 변경 사항 추적을 확인하는 방법은 규정 준수 구성 이력 및 변경 사항 추적 보기 섹션을 참조하세요.
현재의 규정 준수 데이터 보기(콘솔)
Systems Manager 콘솔에서 규정 준수 데이터를 보려면 다음 절차를 따릅니다.
Systems Manager 콘솔에서 현재의 규정 준수 보고서를 보려면
AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/
)을 엽니다. 탐색 창에서 Compliance를 선택합니다.
-
규정 준수 대시보드 필터링 섹션에서 규정 준수 데이터를 필터링하는 옵션을 선택합니다. 규정 준수 리소스 요약 섹션에는 선택한 필터를 기반으로 규정 준수 데이터 개수가 표시됩니다.
-
자세한 내용을 보기 위해 리소스로 드릴다운하려면 아래로 스크롤해 리소스에 대한 세부 정보 개요 영역을 선택하고 관리형 노드의 ID를 선택합니다.
-
인스턴스 ID 또는 이름(Name) 세부 정보 페이지에서 구성 규정 준수(Configuration compliance) 탭을 선택하여 관리형 노드에 대한 자세한 구성 규정 준수 보고서를 확인합니다.
참고
규정 준수 문제 수정에 대한 자세한 내용은 EventBridge를 사용하여 규정 준수 문제 해결을 참조하십시오.
현재의 규정 준수 데이터 보기(AWS CLI)
AWS CLI에서 다음 AWS CLI 명령을 사용하여 패치 적용, 연결, 사용자 지정 규정 준수 유형에 대한 규정 준수 데이터의 요약을 볼 수 있습니다.
- list-compliance-summaries
-
지정한 필터에 따라 규정 준수 및 규정 미준수 연결 상태의 요약 개수를 반환합니다. (API: ListComplianceSummaries)
- list-resource-compliance-summaries
-
리소스 수준 요약 개수를 반환합니다. 요약에는 지정한 필터 조건에 따라 규정 준수 및 규정 미준수 상태와 세부적인 규정 준수 항목 심각도 개수에 대한 정보가 포함되어 있습니다. (API: ListResourceComplianceSummaries)
다음 AWS CLI 명령을 사용하여 패치 적용에 대한 그 밖의 규정 준수 데이터를 볼 수 있습니다.
- describe-patch-group-state
-
패치 그룹에 대한 높은 수준의 집계된 패치 규정 준수 상태를 반환합니다. (API: DescribePatchGroupState)
- describe-instance-patch-states-for-patch-group
-
지정된 패치 그룹의 인스턴스에 대한 높은 수준의 패치 상태를 반환합니다. (API: DescribeInstancePatchStatesForPatchGroup)
참고
AWS CLI를 사용하여 패치를 구성하고 패치 규정 준수 세부 정보를 보는 방법은 자습서: 서버 환경에 패치 적용(AWS CLI) 섹션을 참조하세요.
규정 준수 구성 이력 및 변경 사항 추적 보기
Systems Manager Compliance는 관리형 노드에 대한 현재 패치 및 연결의 규정 준수 데이터를 표시합니다. AWS Config를 사용하여 패치와 연결의 규정 준수 기록 및 변경 사항 추적을 확인할 수 있습니다. AWS Config는 AWS 계정에 있는 AWS 리소스의 구성을 자세히 보여줍니다. 이러한 보기에는 리소스 간에 어떤 관계가 있는지와 리소스가 과거에 어떻게 구성되었는지도 포함되므로, 시간이 지나면서 구성과 관계가 어떻게 변하는지 확인할 수 있습니다. 패치 및 연결의 규정 준수 이력과 변경 사항 추적을 확인하려면 AWS Config에서 다음 리소스를 설정해야 합니다.
-
SSM:PatchCompliance -
SSM:AssociationCompliance
AWS Config에서 이러한 특정 리소스를 선택하고 구성하는 방법에 대한 자세한 내용은 AWS Config Developer Guide의 Selecting Which Resources AWS Config Records를 참조하세요.
참고
AWS Config 요금에 대한 자세한 내용은 요금
