Trabalhar com o Compliance - AWS Systems Manager
Sobre a conformidade de patchesSobre a conformidade de associações do State ManagerSobre a conformidade personalizadaVisualizar dados da conformidade atualVisualizar o histórico de configuração da conformidade e do controle de alterações

Trabalhar com o Compliance

Compliance, um recurso do AWS Systems Manager, coleta e relata dados sobre o status da aplicação de patches no Patch Manager, patches e associações no State Manager (Patch Manager e State Manager também são recursos do AWS Systems Manager). O Compliance também relata os tipos de conformidade personalizados que você especificou para os nós gerenciados. Esta seção inclui detalhes sobre cada um desses tipos de conformidade e sobre como visualizar os dados de conformidade do Systems Manager. Esta seção também inclui informações sobre como visualizar o histórico de conformidade e o controle de alterações.

nota

O Systems Manager integra-se ao Chef InSpec. InSpec é um framework de runtime de código aberto que permite criar perfis legíveis no GitHub ou no Amazon Simple Storage Service (Amazon S3). Em seguida, você pode usar o Systems Manager para executar verificações de compatibilidade e visualizar instâncias compatíveis e não compatíveis. Para ter mais informações, consulte Usar os perfis do Chef InSpec com o Systems Manager Compliance.

Sobre a conformidade de patches

Após usar o Patch Manager para instalar patches em suas instâncias, as informações do status de conformidade ficarão imediatamente disponíveis no console ou em resposta aos comandos da AWS Command Line Interface (AWS CLI) ou a ações de API correspondentes do Systems Manager.

Para obter informações sobre valores de status de conformidade de patches, consulte Noções básicas sobre valores de estado de conformidade de patches.

Sobre a conformidade de associações do State Manager

Após criar uma ou mais associações do State Manager, as informações de status de conformidade ficam imediatamente disponíveis no console ou em resposta a comandos da AWS CLI ou a ações de API correspondentes do Systems Manager. Para associações, o Compliance mostrará os status de Compliant ou Non-compliant e o nível de gravidade atribuído à associação, como Critical ou Medium.

Sobre a conformidade personalizada

Você pode atribuir metadados de conformidade a um nó gerenciado. Esses metadados podem ser agregados com outros dados de conformidade para fins de relatórios de conformidade. Por exemplo, digamos que sua empresa execute as versões 2.0, 3.0 e 4.0 do software X em seus nós gerenciados. A empresa deseja padronizar na versão 4.0, o que significa que as instâncias que executam as versões 2.0 e 3.0 não são compatíveis. É possível usar a operação da API PutComplianceItems para observar explicitamente quais nós gerenciados estão executando versões antigas do software X. Só é possível atribuir metadados de conformidade usando a AWS CLI, o AWS Tools for Windows PowerShell ou os SDKs. O seguinte comando de exemplo da CLI atribui metadados de conformidade a uma instância gerenciada e especifica o tipo de conformidade no formato necessário Custom:. Substitua cada espaço reservado para recurso de exemplo por suas próprias informações.

Linux & macOS
aws ssm put-compliance-items \
    --resource-id i-1234567890abcdef0 \
    --resource-type ManagedInstance \
    --compliance-type Custom:SoftwareXCheck \
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
Windows
aws ssm put-compliance-items ^
    --resource-id i-1234567890abcdef0 ^
    --resource-type ManagedInstance ^
    --compliance-type Custom:SoftwareXCheck ^
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
nota

O parâmetro ResourceType só suporta o ManagedInstance. Se você adicionar conformidade personalizada a um dispositivo principal do AWS IoT Greengrass gerenciado, você deverá especificar um ResourceType do ManagedInstance.

Os gerentes do Compliance podem então visualizar resumos ou criar relatórios sobre quais instâncias são ou não são compatíveis. Você pode atribuir um máximo de 10 tipos de conformidade personalizados diferentes a um nó gerenciado.

Para obter um exemplo de como criar um tipo de conformidade personalizado e visualizar dados de conformidade, consulte Demonstrações do Compliance (AWS CLI).

Visualizar dados da conformidade atual

Esta seção descreve como visualizar os dados de conformidade no console do Systems Manager usando a AWS CLI. Para obter informações sobre como visualizar o histórico de conformidade de patches e de associações e o controle de alterações, consulte Visualizar o histórico de configuração da conformidade e do controle de alterações.

Visualizar dados da conformidade atual (console)

Use o procedimento a seguir para visualizar dados de conformidade no console do Systems Manager.

Para visualizar relatórios de conformidade atuais no console do Systems Manager

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, selecione Compliance

  3. Na seção Compliance dashboard filtering (Filtragem do painel de conformidade), escolha uma opção para filtrar dados de conformidade. A seção Compliance resources summary (Resumo dos recursos de conformidade) exibe a contagem de dados de conformidade com base no filtro que você escolheu.

  4. Para analisar detalhadamente um recurso a fim de obter mais informações, role para baixo até a área Details overview for resources (Visão geral dos detalhes dos recursos) e escolha o ID de um nó gerenciado.

  5. Na página Instance ID (ID da instância) ou Name (Nome), selecione a guia Configuration compliance (Conformidade de configuração) para exibir o relatório detalhado de conformidade da configuração para o nó gerenciado.

nota

Para obter mais informações sobre soluções de problemas com conformidade, consulte Corrija problemas de conformidade usando o EventBridge.

Visualizar dados da conformidade atual (AWS CLI)

Você pode visualizar resumos de dados de conformidade de aplicação de patches, associações e tipos de conformidade personalizados na AWS CLI usando os seguintes comandos da AWS CLI.

list-compliance-summaries

retorna uma contagem de resumo de status de associação compatíveis e não compatíveis, de acordo com o filtro que você especificou. (API: ListComplianceSummaries)

list-resource-compliance-summaries

Retorna uma contagem de resumo no nível de recursos. O resumo inclui informações sobre status compatíveis e não compatíveis, bem como contagens detalhadas de severidade de itens de conformidade, de acordo com os critérios de filtro que você especifica. (API: ListResourceComplianceSummaries)

Você pode visualizar dados de conformidade adicionais de aplicação de patches executando os seguintes comandos na AWS CLI.

describe-patch-group-state

retorna o estado de conformidade de patches agregados de alto nível para um grupo de patches. (API: DescribePatchGroupState)

describe-instance-patch-states-for-patch-group

retorna o estado do patch de alto nível para as instâncias no grupo de patches especificado. (API: DescribeInstancePatchStatesForPatchGroup)

nota

Para ver uma ilustração de como configurar a aplicação de patches e visualizar os detalhes de conformidade de patches usando a AWS CLI, consulte Tutorial: aplicar patches a um ambiente de servidor (AWS CLI).

Visualizar o histórico de configuração da conformidade e do controle de alterações

O Systems Manager Compliance exibe a aplicação de patches e associações atuais dos nós gerenciados. Você pode visualizar o histórico de conformidade da aplicação de patches e de associações e o controle de alterações usando o AWS Config. O AWS Config fornece uma visão detalhada da configuração dos recursos da AWS em sua conta da Conta da AWS. Isso inclui como os recursos estão relacionados um com o outro e como eles foram configurados no passado, de modo que você possa ver como os relacionamentos e as configurações foram alterados ao longo do tempo. Para visualizar o histórico de conformidade da aplicação de patches e das associações e controle de alterações, você deve ativar os seguintes recursos no AWS Config:

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

Para obter mais informações sobre como escolher e configurar esses recursos específicos no AWS Config, consulte Selecionar que recursos o AWS Config registra no Manual do desenvolvedor do AWS Config.

nota

Para obter mais informações sobre a definição de preço do AWS Config, consulte Definição de preço do .