本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 記錄受管執行個體的軟體組態 AWS Config
您可以使用 AWS Config 記錄 Amazon EC2 執行個體和內部部署伺服器上的軟體庫存變更。這可讓您查看軟體組態的歷史變更。例如,在受管 Windows 執行個體上安裝新的 Windows 更新時, 會 AWS Config 記錄變更,然後將變更傳送到您的交付管道,以便通知您變更。使用 AWS Config,您可以查看何時為受管執行個體安裝 Windows 更新,以及它們如何隨時間變更的歷史記錄。
必要條件
您必須完成下列步驟才能記錄軟體組態變更:
-
在 AWS Config中開啟受管執行個體清查資源類型的記錄。
-
將 EC2 和內部部署伺服器設定為 中的受管執行個體 AWS Systems Manager。受管執行個體是指一種設定為搭配 Systems Manager 使用的機器。
-
使用 Systems Manager 庫存功能,從您的受管執行個體啟動軟體庫存收集。
注意
Systems Manager 現在支援為非受管執行個體建立組態項目
未受管執行個體的組態項目會有
Key: “InstanceStatus”和Value: “Unmanaged”的補充組態。未受管執行個體的組態項目不會收到其他更新
若要接收其他更新,組態項目必須是受管執行個體。
您也可以使用 AWS Config 規則來監控軟體組態變更,並通知變更是否符合您的規則。例如,若您建立規則,檢查受管執行個體是否擁有指定的應用程式,而其中一個執行個體沒有安裝該應用程式時, AWS Config 便會將該執行個體標記為不符合您的規則。如需 AWS Config 受管規則的清單,請參閱AWS Config 受管規則清單。
錄製軟體組態
在 AWS Config中啟用軟體組態變更的記錄:
-
在 AWS Config中開啟所有支援資源類型的記錄,或是選擇性記錄受管執行個體清查資源類型。如需詳細資訊,請參閱使用 錄製 AWS 資源 AWS Config。
-
啟動包含 Systems Manager 執行個體設定檔的 Amazon EC2 執行個體,其中包含 AmazonSSMManagedInstanceCore 受管政策。此 AWS 受管政策可讓執行個體使用 Systems Manager 服務的核心功能。
如需您可以為 Systems Manager 新增執行個體設定檔的其他政策相關資訊,請參閱《AWS Systems Manager 使用者指南》中的建立 Systems Manager 的 IAM 執行個體設定檔。
重要
SSM 代理程式是為了在雲端中與 Systems Manager 通訊,而必須安裝在受管執行個體的 Amazon 軟體。如果是從 AMI 為下面其中一種作業系統建立 EC2 執行個體,則表示代理程式會預先安裝:
-
Windows Server 2003-2012 R2 AMI 發佈於 2016 月 11 月或之後。
-
Windows Server 2016 和 2019
-
Amazon Linux
-
Amazon Linux 2
-
Ubuntu Server 16.04
-
Ubuntu Server 18.04
如果不是搭配預先安裝代理程式從 AMI 所建立的 EC2 執行個體,則您必須手動安裝代理程式。如需相關資訊,請參閱《AWS Systems Manager 使用者指南》中的下列主題:
-
-
如《AWS Systems Manager 使用者指南》中的設定庫存收集所述,開始庫存收集。Linux 和 Windows 執行個體的程序都是相同的。
AWS Config 可以記錄下列庫存類型的組態變更:
-
應用程式 – 受管執行個體的應用程式清單,例如防毒軟體。
-
AWS 元件 – 受管執行個體的元件清單 AWS ,例如 AWS CLI 和 SDKs。
-
執行個體資訊 – 執行個體資訊,例如 OS 名稱和版本、網域,以及防火牆狀態。
-
網路組態 – 組態資訊,例如 IP 地址、閘道和子網路遮罩。
-
Windows 更新 – 受管執行個體的 Windows 更新清單 (僅限 Windows 執行個體)。
注意
AWS Config 目前不支援記錄自訂庫存類型。
-
庫存收集是一種 Systems Manager 功能,而這類功能分組為操作管理、動作和變更、執行個體和節點,以及共用資源等類別。如需詳細資訊,請參閱《AWS Systems Manager 使用者指南》中的什麼是 Systems Manager?以及 Systems Manager 功能。
