Visualizar o histórico do inventário e o controle de alterações - AWS Systems Manager

Visualizar o histórico do inventário e o controle de alterações

Você pode visualizar o histórico do AWS Systems Manager Inventory e alterar o rastreamento de todos os nós gerenciados usando o AWS Config. O AWS Config fornece uma visão detalhada da configuração dos recursos da AWS na Conta da AWS. Isso inclui como os recursos estão relacionados um com o outro e como eles foram configurados no passado, de modo que você possa ver como os relacionamentos e as configurações foram alterados ao longo do tempo. Para visualizar o histórico do inventário e o rastreamento de alterações, ative os seguintes recursos no AWS Config:

  • SSM:ManagedInstanceInventory

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

  • SSM:FileData

nota

Observe os seguintes detalhes essenciais sobre o histórico do Inventory e o controle de monitoramento:

  • Se você usar o AWS Config para rastrear alterações no sistema, você deverá configurar o Systems Manager Inventory para coletar metadados do AWS:File para que você possa exibir as alterações do arquivo no AWS Config (SSM:FileData). Se não tiver, o AWS Config não monitorará as alterações de arquivos em seu sistema.

  • Habilitando o SSM:PatchCompliance e o SSM:AssociationCompliance, você poderá visualizar a aplicação de patches do Systems Manager Patch Manager, além do histórico de conformidade de associações e monitoramento de alterações do State Manager. Para obter mais informações sobre o gerenciamento de conformidade para esses recursos, consulte Conheça mais sobre a conformidade.

O procedimento a seguir descreve como ativar a gravação do histórico do inventário e do rastreamento de alterações no AWS Config usando a AWS Command Line Interface (AWS CLI). Para obter mais informações sobre como escolher e configurar esses recursos no AWS Config, consulte Selecionar que recursos o AWS Config registra no Manual do desenvolvedor do AWS Config. Para obter mais informações sobre a definição de preço do AWS Config, consulte Definição de preço do .

Antes de começar

O AWS Config exige permissões do AWS Identity and Access Management (IAM) para obter detalhes da configuração sobre os recursos do Systems Manager. No procedimento a seguir, você deve especificar um nome do recurso da Amazon (ARN) para uma função do IAM que conceda permissão da AWS Config para recursos do Systems Manager. Você pode anexar a política gerenciada do AWS_ConfigRole à função do IAM que você atribuiu ao AWS Config. Para obter mais informações sobre esse perfil, consulte Política gerenciada pela AWS:AWS_ConfigRole no Guia do desenvolvedor do AWS Config. Para obter informações sobre como criar um perfil do IAM e atribuir a política gerenciada pelo AWS_ConfigRole, consulte Criar uma função para delegar permissões a um AWS service (Serviço da AWS), no Guia do usuário do IAM.

Como ativar o histórico do inventário e a gravação do rastreamento de alterações no AWS Config

  1. Instale e configure a AWS Command Line Interface (AWS CLI), caso ainda não o tenha feito.

    Para obter informações, consulte Instalar ou atualizar a versão mais recente da AWS CLI.

  2. Copie e cole o seguinte exemplo de JSON em um editor de texto simples e salve-o como recordingGroup.json.

    {
   "allSupported":false,
   "includeGlobalResourceTypes":false,
   "resourceTypes":[
      "AWS::SSM::AssociationCompliance",
      "AWS::SSM::PatchCompliance",
      "AWS::SSM::ManagedInstanceInventory",
      "AWS::SSM::FileData"
   ]
}

  3. Execute o seguinte comando para carregar o arquivo recordingGroup.json no AWS Config.

    aws configservice put-configuration-recorder --configuration-recorder name=myRecorder,roleARN=arn:aws:iam::123456789012:role/myConfigRole --recording-group file://recordingGroup.json

  4. Execute o seguinte comando para iniciar a gravação do histórico do inventário e do rastreamento de alterações.

    aws configservice start-configuration-recorder --configuration-recorder-name myRecorder

Depois de configurar o histórico e o controle de alterações, você poderá buscar um nó gerenciado específico no histórico escolhendo o botão AWS Config no console do Systems Manager. Você pode acessar o botão AWS Config na página Managed Instances (Instâncias gerenciadas) ou na página Inventory (Inventário). Dependendo do tamanho de seu monitor, talvez seja necessário rolar para o lado direito da página para ver o botão.