• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Systems Manager Explorer
AWS Systems Manager Explorer 是可自訂的操作儀表板,可報告 AWS 資源的相關資訊。 Explorer會顯示您 AWS 帳戶 和 之間的操作資料 (OpsData) 彙總檢視 AWS 區域。在 Explorer 中,OpsData 包含有關[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中受管節點的中繼資料。OpsData 也包含 Systems Manager 其他工具提供的資訊,包括 Patch Manager 修補程式合規和 State Manager 關聯合規詳細資訊。為了進一步簡化您存取 OpsData 的方式, Explorer會顯示支援服務的資訊 AWS Config, AWS 例如 AWS Trusted Advisor AWS Compute Optimizer和 AWS 支援 (支援案例)。
為提高營運意識,Explorer 也會顯示營運工作項目 (OpsItems)。Explorer 會提供 OpsItems 如何在您的業務單位或應用程式中分散、隨著時間的趨勢,以及如何因類別而異的相關內容。您可以在 Explorer 中群組和篩選資訊,以專注於與您相關且需要採取動作的項目。當您發現高優先順序的問題時,您可以使用 Systems Manager OpsCenter 來執行Automation Runbook,並快速解決這些問題。若要開始使用 Explorer,請開啟 [Systems Manager 主控台](https://console.aws.amazon.com//systems-manager/explorer)。在導覽窗格中,選擇 **Explorer**。
下列影像顯示一些個別的報告方塊,稱為 *Widget*,可在 Explorer 中使用。
![\[Explorer 中的儀表板 AWS Systems Manager\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/Explorer-1-overview.png)
## Explorer 有哪些功能?
Explorer 包含下列功能:
+ **可自訂顯示可操作資訊**: Explorer 包含drag-and-drop小工具。 會在兩種小工具類型中Explorer顯示資訊。 AWS
+ **資訊小工具**:這些小工具摘要來自 Amazon EC2、State Manager、 Patch Manager和 AWS 服務 等支援 AWS Trusted Advisor、 AWS Compute Optimizer 和 的資料 支援。這些小工具提供重要的內容,協助您了解 AWS 資源的狀態和操作風險。資訊小工具的範例包括 **Instance count** (執行個體計數)、**Instance by AMI** (依 AMI 排序的執行個體)、**Total noncompliant nodes** (不合規節點總數) (修補程式)、**Noncompliant associations** (不合規關聯) 和 **Support Center cases** (支援中心案例)。
+ **OpsItem 小工具**:Systems Manager *OpsItem*是與一或多個 AWS 資源相關的操作工作項目。 OpsItems 是 Systems Manager 的一項功能OpsCenter。 OpsItems可能需要 DevOps 工程師調查並可能修復問題。可能的 OpsItems 範例包括 EC2 執行個體高 CPU 使用率、分離的 Amazon Elastic Block Store (Amazon EBS) 磁碟區、 AWS CodeDeploy 部署失敗或 Systems Manager 自動化執行失敗。OpsItem 小工具的範例包括 **開啟 OpsItem 摘要**、**依狀態的 OpsItem**,以及**隨著時間的 OpsItems**。
+ **篩選條件**:每個小工具都能夠根據 AWS 帳戶 AWS 區域和 標籤篩選資訊。篩選器可協助您快速精細化 Explorer 中顯示的資訊。
+ **服務畫面的直接連結**:為了協助您調查 AWS 資源的問題,Explorer小工具包含相關服務畫面的直接連結。如果您瀏覽至相關的服務畫面,對 Widget 套用的篩選器仍會有效。
+ **群組**:為協助您了解整個組織的操作問題類型,某些小工具允許您根據帳戶、區域和標籤來群組資料。
+ **報告標籤鍵**:設定 Explorer 時,可以指定最多五個標籤鍵。這些鍵可協助您在 Explorer 中群組和篩選資料。如果指定的鍵與產生 OpsItem 的資源上的鍵相符,則 OpsItems 中會包含該鍵和值。
+ ** AWS 帳戶 和 AWS 區域 顯示的三種模式**: Explorer包含下列 OpsData 和 和 OpsItems中的顯示模式 AWS 帳戶 AWS 區域:
+ *單一帳戶/單一區域*:這是預設檢視。此模式允許使用者檢視來自自己的帳戶和目前區域的資料和 OpsItems。
+ *單一帳戶/多重區域*:此模式需要您使用 Explorer **Settings (設定)** 頁面建立一或多個資源資料同步。資源資料同步會從一或多個區域彙總 OpsData。建立資源資料同步之後,您可以切換要在 Explorer 儀表板上使用的同步。然後,您可以根據區域篩選和群組資料。
+ *多重帳戶/多重區域*:此模式需要您的組織或公司使用 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/) 並開啟 **All features** (所有功能)。在 AWS Organizations 運算環境中設定 之後,您可以彙總管理帳戶中的所有帳戶資料。然後,您可以建立資源資料同步,以便根據區域篩選和群組資料。如需**所有功能**模式的詳細資訊,請參閱[啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ **報告**:您可以將 Explorer 報告以逗號分隔值 (.csv) 檔案格式匯出至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。匯出完成時,您會收到來自 Amazon Simple Notification Service (Amazon SNS) 的提醒。
## Explorer 如何與 OpsCenter 相關?
[Systems Manager OpsCenter](OpsCenter.md) 提供中央位置,讓營運工程師和 IT 專業人員檢視、調查和解決與 AWS 資源OpsItems相關的問題。 Explorer 是一個報告中樞,DevOps 管理員可檢視其營運資料的彙總摘要OpsItems,包括跨 AWS 區域 和 帳戶。 Explorer可讓使用者探索趨勢和模式,並視需要使用 Systems Manager Automation Runbook 快速解決問題。
OpsCenter 安裝程式現在已與 Explorer 安裝程式整合。如果您已設定 OpsCenter,則 Explorer 會自動顯示操作資料,包括有關 OpsItems 的彙總資訊。如果您尚未設定 OpsCenter,則可以使用 Explorer 設定來開始使用這兩個工具。如需詳細資訊,請參閱[開始使用 Systems Manager Explorer 和 OpsCenter](Explorer-setup.md)。
## 什麼是 OpsData?
OpsData 是 Systems Manager Explorer 儀表板中顯示的任何操作資料。Explorer 會從下列來源擷取 OpsData:
+ **Amazon Elastic Compute Cloud (Amazon EC2)**
Explorer 中顯示的資料包括:節點總數、受管和非受管節點總數,以及使用特定 Amazon Machine Image (AMI) 的節點計數。
+ **Systems Manager OpsCenter**
Explorer 中顯示的資料包括:依狀態的 OpsItems 計數、依嚴重性的 OpsItems 計數、跨群組與 30 天期間開啟的 OpsItems 計數,以及隨時間的 OpsItems 歷史資料。
+ **Systems Manager Patch Manager**
Explorer 中顯示的資料包括不合規節點和嚴重不合規節點的計數。
+ **AWS Trusted Advisor**
Explorer 中顯示的資料包括:EC2 預留執行個體在成本最佳化、安全性、容錯能力、效能和服務限制等領域的最佳實務檢查狀態。
+ **AWS Compute Optimizer**
Explorer 中顯示的資料包括 **Under provisioned (佈建不足)** 和 **Over provisioned (過度佈建)** 的 EC2 執行個體計數、最佳化問題清單、隨需定價詳情,以及執行個體類型和價格的建議。
+ **支援 中心案例**
Explorer 中顯示的資料包括:案例 ID、嚴重性、狀態、建立時間、主旨、服務和類別。
+ **AWS Config**
中顯示的資料Explorer包括:合規和不合規 AWS Config 規則的整體摘要、合規和不合規資源的數量,以及每個資源的特定詳細資訊 (當您深入了解不合規規則或資源時)。
+ **AWS Security Hub CSPM**
中顯示的資料Explorer包括:Security Hub CSPM 調查結果的整體摘要、依嚴重性分組的每個調查結果數量,以及有關調查結果的特定詳細資訊。
**注意**
若要在 中檢視 AWS Trusted Advisor 和 支援 置中案例Explorer,您必須設定企業或企業帳戶 AWS 支援。
您可以從 Explorer 的 **Settings** (設定) 頁面檢視和管理 OpsData 來源。如需設定和配置使用 OpsData 填入 Explorer Widget 之服務的詳細資訊,請參閱[設定 Explorer 的相關服務](Explorer-setup-related-services.md)。
## 使用 Explorer 需要付費嗎?
是。當您開啟在整合式設定期間建立 OpsItems 的預設規則時,您會啟動自動建立 OpsItems 的程序。我們會根據每月建立的 OpsItems 數量向您的帳戶收費。也會根據每月進行的 `GetOpsItem`、`DescribeOpsItem`、`UpdateOpsItem` 和 `GetOpsSummary` API 呼叫次數向您收費。此外,您可能需要就向可公開相關診斷資訊的其他服務的公有 API 呼叫支付費用。如需詳細資訊,請參閱 [AWS Systems Manager 定價](https://aws.amazon.com/systems-manager/pricing/)。
**Topics**
+ [
## Explorer 有哪些功能?
](#Explorer-learn-more-features)
+ [
## Explorer 如何與 OpsCenter 相關?
](#Explorer-learn-more-OpsCenter)
+ [
## 什麼是 OpsData?
](#Explorer-learn-more-OpsData)
+ [
## 使用 Explorer 需要付費嗎?
](#Explorer-learn-more-cost)
+ [
# 開始使用 Systems Manager Explorer 和 OpsCenter
](Explorer-setup.md)
+ [
# 使用 Explorer
](Explorer-using.md)
+ [
# 從 Systems Manager Explorer 匯出 OpsData
](Explorer-exporting-OpsData.md)
+ [
# Systems Manager Explorer 故障診斷
](Explorer-troubleshooting.md)
# 開始使用 Systems Manager Explorer 和 OpsCenter
AWS Systems Manager 使用整合式設定體驗來協助您開始使用 Systems Manager Explorer 和 Systems Manager OpsCenter。在本文件中,Explorer 和 OpsCenter 設定稱為*整合式設定*。如果已設定 OpsCenter,您仍然需要完成整合式設定,以確認設定和選項。如果您尚未設定 OpsCenter,則可以使用整合式設定來開始使用這兩個工具。
**注意**
整合式設定僅適用於 Systems Manager 主控台。您無法以程式設計方式設定 Explorer 或 OpsCenter。
整合式設定會執行下列任務:
+ [設定角色和許可](Explorer-setup-permissions.md):整合式設定會建立 AWS Identity and Access Management (IAM) 角色,讓 Amazon EventBridge 根據預設規則自動建立 OpsItems。設定之後,您必須如本節所述,為 OpsCenter 設定使用者、群組或角色許可。
+ [允許 OpsItem 建立的預設規則](Explorer-setup-default-rules.md):整合式設定會在 EventBridge 中建立預設規則。這些規則會自動建立 OpsItems 以回應事件。這些事件的範例包括:AWS 資源的狀態變更、安全設定的變更,或服務無法使用。
+ 啟用 OpsData 來源:整合式設定會啟用以下可填入 Explorer 小工具的資料來源。
+ 支援 中心 (您必須擁有商業或企業支援方案,才能啟動此來源。)
+ AWS Compute Optimizer (您必須擁有商業或企業支援方案,才能啟動此來源。)
+ Systems Manager State Manager 關聯合規
+ AWS Config 合規
+ Systems Manager OpsCenter
+ Systems Manager Patch Manager 修補程式合規
+ Amazon Elastic Compute Cloud (Amazon EC2)
+ Systems Manager 庫存
+ AWS Trusted Advisor (您必須擁有商業或企業支援方案,才能啟動此來源。)
+ AWS Security Hub CSPM
**注意**
您可以隨時在 **Settings (設定)** 頁面上變更設定組態。
完成整合式設定之後,建議您[設定 Explorer 以顯示來自多個區域和帳戶的資料](Explorer-resource-data-sync.md)。Explorer 和 OpsCenter 會自動為您在完成整合式設定時所使用的 AWS 帳戶 和 AWS 區域 同步 OpsData 以及 OpsItems。您可以透過建立資源資料同步來彙總來自其他帳戶和區域的 OpsData 及 OpsItems。
# 設定 Explorer 的相關服務
AWS Systems Manager 從其他 和 AWS Systems Manager OpsCenter Systems Manager 工具中探索 AWS 服務 和收集資訊,或與之互動。建議您在使用整合式設定之前,先設定和配置這些其他服務或工具。
下表包含允許 Explorer和 從其他 AWS 服務 和 Systems Manager 工具OpsCenter收集資訊或與之互動的任務。
****
| 任務 | 資訊 |
| --- | --- |
| 確認 Systems Manager 自動化中的許可 | Explorer 和 OpsCenter 允許您使用 Systems Manager Automation Runbook 修正 AWS 資源的問題。若要使用此修復工具,您必須有執行 Systems Manager Automation 執行手冊的許可。如需詳細資訊,請參閱[設定自動化](automation-setup.md)。 |
| 安裝和設定 Systems Manager Patch Manager | Explorer 包含可提供修補程式符合性相關資訊的 Widget。若要在 Explorer 中檢視此資料,您必須設定修補。如需詳細資訊,請參閱[AWS Systems Manager Patch Manager](patch-manager.md)。 |
| 安裝和設定 Systems Manager State Manager | Explorer 包含可提供有關 Systems Manager State Manager 關聯合規資訊的小工具。若要在 Explorer 中檢視此資料,您必須設定 State Manager。如需詳細資訊,請參閱[AWS Systems Manager State Manager](systems-manager-state.md)。 |
| 開啟 AWS Config 組態記錄器 | Explorer 使用 AWS Config 組態記錄器提供的資料,將 EC2 執行個體的相關資訊填入小工具。若要在 中檢視此資料Explorer,請開啟 AWS Config 組態記錄器。如需詳細資訊,請參閱[管理組態記錄器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。 您允許組態記錄器之後,最多可能需要六個小時的時間,Systems Manager 才能在 Explorer 小工具 (顯示有關 EC2 執行個體的資訊) 中顯示資料。 |
| 開啟 AWS Trusted Advisor | Explorer 使用 提供的資料 Trusted Advisor ,在成本最佳化、安全性、容錯能力、效能和服務限制等領域顯示 Amazon EC2 預留執行個體的最佳實務檢查狀態。若要在 Explorer 檢視此資料,您必須擁有商業或企業支援方案。如需詳細資訊,請參閱[支援](https://aws.amazon.com/premiumsupport/)。 |
| 開啟 AWS Compute Optimizer | Explorer 使用 Compute Optimizer 提供的資料來顯示**佈建不足**和**過度佈建**的 EC2 執行個體計數、最佳化問題清單、隨需定價詳細資訊,以及執行個體類型和價格的建議。若要在 Explorer 中檢視此資料,開啟 Compute Optimizer。如需詳細資訊,請參閱 [入門 AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/getting-started.html)。 |
| 開啟 AWS Security Hub CSPM | Explorer 使用 Security Hub CSPM 提供的資料,將安全性問題清單的相關資訊填入小工具。若要在 中檢視此資料Explorer,請開啟 Security Hub CSPM 整合。如需詳細資訊,請參閱[什麼是 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 。 |
# 設定 Systems Manager Explorer 的角色和許可
整合式設定會自動為 AWS Systems Manager Explorer 和 建立和設定 AWS Identity and Access Management (IAM) 角色 AWS Systems Manager OpsCenter。如果您已完成整合式設定,則不需要執行任何其他工作來設定 Explorer 的角色和許可。但是,您必須設定 OpsCenter 的許可,如本主題稍後所述。
整合式設定會建立和設定下列角色,以使用 Explorer 和 OpsCenter。
+ `AWSServiceRoleForAmazonSSM`︰提供由 Systems Manager 管理或使用的 AWS 資源存取權限。
+ `OpsItem-CWE-Role`:允許 CloudWatch Events 和 EventBridge 建立 OpsItems 以回應常見事件。
+ `AWSServiceRoleForAmazonSSM_AccountDiscovery`:允許 Systems Manager 在同步資料時呼叫其他 AWS 服務 以探索 AWS 帳戶 資訊。如需有關此角色的詳細資訊,請參閱 [使用 角色來收集 OpsCenter和 AWS 帳戶 的資訊 Explorer](using-service-linked-roles-service-action-2.md)。
+ `AmazonSSMExplorerExport`:允許 Explorer 將 OpsData 匯出至以逗號分隔值的 (CSV) 檔案。
如果您設定 使用 和資源資料同步Explorer來顯示來自多個帳戶 AWS Organizations 和區域的資料,則 Systems Manager 會建立`AWSServiceRoleForAmazonSSM_AccountDiscovery`服務連結角色。Systems Manager 使用此角色來取得 AWS 帳戶 中 的相關資訊 AWS Organizations。該角色會使用下列許可政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListChildren",
"organizations:ListParents"
],
"Resource":"*"
}
]
}
```
------
如需 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 角色的詳細資訊,請參閱 [使用 角色來收集 OpsCenter和 AWS 帳戶 的資訊 Explorer](using-service-linked-roles-service-action-2.md)。
## 設定的 Systems Manager OpsCenter 的許可
完成整合式設定之後,您必須設定使用者、群組或角色許可,以便使用者在 OpsCenter 中執行動作。
**開始之前**
可以將 OpsCenter 設定為建立和管理單一帳戶或跨多個帳戶的 OpsItems。如果您OpsCenter將 設定為OpsItems跨多個帳戶建立和管理,您可以使用 Systems Manager 委派管理員帳戶或 AWS Organizations 管理帳戶,在其他OpsItems帳戶中手動建立、檢視或編輯 。如需有關 Systems Manager 委派管理員帳戶的詳細資訊,請參閱[設定 Explorer 的委派管理員](Explorer-setup-delegated-administrator.md)。
如果您針對單一帳戶設定 OpsCenter,則只能在建立 OpsItems 的帳戶中檢視或編輯 OpsItems。您無法OpsItems跨 共用或傳輸 AWS 帳戶。因此,建議您在用來執行 AWS 工作負載 AWS 帳戶 的 OpsCenter中設定 的許可。然後,您就可以在該帳戶中建立 使用者或群組。利用這種方式,多位營運工程師或 IT 專業人員即可在相同的 AWS 帳戶中建立、檢視和編輯 OpsItems。
Explorer 和 OpsCenter 會使用下列 API 操作。如果使用者、群組或角色可以存取這些動作,您就可以使用 Explorer 和 OpsCenter 的所有功能。您也可以建立更嚴格的存取權,如本節前文所述。
+ [CreateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateOpsItem.html)
+ [CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)
+ [DescribeOpsItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html)
+ [DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)
+ [GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html)
+ [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html)
+ [ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html)
+ [UpdateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateOpsItem.html)
+ [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)
您可以視需要將下列內嵌政策新增至帳戶、群組或角色,以指定唯讀許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:GetOpsSummary",
"ssm:DescribeOpsItems",
"ssm:GetServiceSetting",
"ssm:ListResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
如需有關建立和編輯 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》**中的[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。如需如何將此政策指派給 IAM 群組的資訊,請參閱[將政策連接到 IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html)。
使用以下項目建立許可並將許可新增至使用者、群組或角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:UpdateOpsItem",
"ssm:DescribeOpsItems",
"ssm:CreateOpsItem",
"ssm:CreateResourceDataSync",
"ssm:DeleteResourceDataSync",
"ssm:ListResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
視您在組織中使用的身分應用程式而定,您可以選取下列任何選項來設定使用者存取權。
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循 *IAM 使用者指南*的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
### 使用標籤限制存取 OpsItems
您也可以使用指定標籤的內嵌 IAM 政策,限制存取 OpsItems。以下範例會指定 *Department* 的標籤鍵和 *Finance* 的標籤值。使用此政策,使用者只能呼叫 *GetOpsItem* API 操作,檢視之前以 Key=Department 和 Value=Finance 標記的 OpsItems。使用者無法檢視任何其他 OpsItems。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem"
],
"Resource": "*"
,
"Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
}
]
}
```
------
以下範例會指定檢視和更新 OpsItems 的 API 操作。此政策還會指定兩組標籤金鑰/值對:Department-Finance 和 Project-Unity。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ssm:GetOpsItem",
"ssm:UpdateOpsItem"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ssm:resourceTag/Department":"Finance",
"ssm:resourceTag/Project":"Unity"
}
}
}
]
}
```
------
如需將標籤新增到 OpsItem 的資訊,請參閱 [手動建立 OpsItems](OpsCenter-manually-create-OpsItems.md)。
# 了解整合式設定建立的預設 EventBridge 規則
在 Explorer 和 OpsCenter 的整合式設定程序期間,可以選擇根據 Amazon EventBridge 偵測到的事件啟用多個預設規則。偵測到這些事件時,系統會自動在 AWS Systems Manager OpsCenter 中建立 OpsItems。
例如,EC2 自動擴展執行個體終止失敗時,規則 `SSMOpsItems-Autoscaling-instance-termination-failure` 會導致建立 OpsItem。
Systems Manager 維護時段無法成功完成時,規則 `SSMOpsItems-SSM-maintenance-window-execution-failed` 會導致建立 OpsItem。
如需可以在設定程序期間啟用的所有 EventBridge 規則的設定指示和說明,請參閱 [設定 OpsCenter](OpsCenter-setup.md)。
如果您不希望 EventBridge 為這些事件建立 OpsItems,可以選擇不在整合式設定中啟用此選項。如果您願意,您可以將 OpsCenter 指定為特定 EventBridge 事件的目標。如需詳細資訊,請參閱[設定 EventBridge 規則以建立 OpsItems](OpsCenter-automatically-create-OpsItems-2.md)。
您可以在 OpsCenter **設定**頁面中選擇 **OpsCenter、設定**,然後在**OpsItem規則**區域中選擇**編輯**,以停用預設規則或變更其類別和嚴重性等級。
您也可以在 Systems Manager 主控台中編輯指派給根據這些規則建立的個別 OpsItem 的類別或嚴重性。如需相關資訊,請參閱[編輯 OpsItem](OpsCenter-working-with-OpsItems-editing-details.md)。
![\[在 Systems Manager Explorer 中建立 OpsItems 的預設規則\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/explorer-default-rules.png)
# 設定 Explorer 的委派管理員
如果您使用資源資料同步來彙總多個 AWS 區域 和 帳戶的 AWS Systems Manager Explorer 資料 AWS Organizations,建議您為 設定委派管理員Explorer。委派系統管理員可透過下列方式改善 Explorer 安全性。
+ 限制 Explorer 管理員數目,這些管理員可建立或刪除多帳戶以及同步到個別 AWS 帳戶的區域資源資料。
+ 您不再需要登入 AWS Organizations 管理帳戶,即可在 中管理資源資料同步Explorer。
委派管理員可以使用 主控台、 SDK、 AWS Command Line Interface (AWS CLI) 或 使用以下Explorer資源資料同步 APIs AWS Tools for Windows PowerShell:
+ [CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)
+ [DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)
+ [ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html)
+ [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)
委派管理員可以從主控台或使用 SDK、 AWS CLI或 等程式設計工具來搜尋、篩選和彙總Explorer資料 AWS Tools for Windows PowerShell。搜尋、篩選和資料彙總會使用 [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html) API 操作。
委派管理員可以為整個組織或組織單位的子集建立最多五個資源資料同步。委派管理員所建立的資源資料同步只能在委派管理員帳戶中使用。您無法在 AWS Organizations 管理帳戶中檢視同步或彙總的資料。
**注意**
您無法使用委派管理員帳戶在[選擇加入 AWS 區域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status)中建立資源資料同步。您必須使用 AWS Organizations 管理帳戶。
如需資源資料同步的相關資訊,請參閱 [設定 Systems Manager Explorer 以顯示來自多個帳戶和區域的資料](Explorer-resource-data-sync.md)。如需 的詳細資訊 AWS Organizations,請參閱*AWS Organizations 《 使用者指南*》中的[什麼是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/)。
**Topics**
+ [
## 開始之前
](#Explorer-setup-delegated-administrator-before-you-begin)
+ [
# 設定 Explorer 委派管理員
](Explorer-setup-delegated-administrator-configure.md)
+ [
# 取消註冊 Explorer 委派管理員
](Explorer-setup-delegated-administrator-deregister.md)
## 開始之前
下列清單包含有關 Explorer 委派管理的重要資訊。
+ 您只能委派一個帳戶進行 Explorer 管理。
+ 您指定為 Explorer 委派管理員的帳戶 ID 必須列為 AWS Organizations中的成員帳戶。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[AWS 帳戶 在組織中建立 ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html)。
+ 委派管理員可以使用主控台中的所有Explorer資源資料同步 API 操作,或使用程式設計工具,例如 SDK、 AWS Command Line Interface (AWS CLI) 或 AWS Tools for Windows PowerShell。資源資料同步 API 操作包括下列項目:[CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)、[DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)、[ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html) 和 [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)。
+ 委派管理員可以在主控台中搜尋、篩選和彙總 Explorer 資料,或使用程式設計工具 (例如 SDK、 AWS CLI或 AWS Tools for Windows PowerShell)。搜尋、篩選和資料彙總會使用 [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html) API 操作。
+ 委派管理員所建立的資源資料同步只能在委派管理員帳戶中使用。您無法檢視 AWS Organizations 管理帳戶中的同步或彙總資料。
+ 委派管理員最多可建立五個資源資料同步。
+ 委派管理員可以為 中的整個組織 AWS Organizations 或組織單位的子集建立資源資料同步。
# 設定 Explorer 委派管理員
請使用下列程序來註冊 Explorer 委派管理員。
**註冊 Explorer 委派管理員**
1. 登入您的 AWS Organizations 管理帳戶。
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 選擇**設定**。
1. 在 **Delegated administrator for Explorer** (Explorer 的委派管理員) 區段中,確認您已設定必要的服務連結角色和服務存取選項。如有必要,請選擇 **Create role** (建立角色) 和 **Enable access** (啟用存取) 按鈕設定這些選項。
1. 針對**帳戶 ID**,輸入 AWS 帳戶 ID。此帳戶必須是其中的成員帳戶 AWS Organizations。
1. 選擇 **Register delegated administrator (註冊委派管理員)**。
委派管理員現在可以存取在**建立資源資料同步**頁面上的選項中**包含來自我的 AWS Organizations 組態的所有帳戶**和**選取組織單位 AWS Organizations**。
# 取消註冊 Explorer 委派管理員
請使用下列程序來取消註冊 Explorer 委派管理員。委派管理員帳戶只能由 AWS Organizations 管理帳戶取消註冊。取消註冊委派管理員帳戶時,系統會刪除委派管理員建立的所有 AWS Organizations 資源資料同步。
**取消註冊 Explorer 委派管理員**
1. 登入您的 AWS Organizations 管理帳戶。
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 選擇**設定**。
1. 在 **Delegated administrator for Explorer** (Explorer 的委派管理員) 區段,選擇 **Deregister** (取消註冊)。系統會顯示警告。
1. 輸入帳戶 ID,然後選擇 **Remove** (移除)。
帳戶無法再存取 AWS Organizations 資源資料同步 API 操作。系統會刪除帳戶建立的所有 AWS Organizations 資源資料同步。
# 設定 Systems Manager Explorer 以顯示來自多個帳戶和區域的資料
AWS Systems Manager 使用整合的設定體驗來協助您開始使用 AWS Systems Manager Explorer *和* AWS Systems Manager OpsCenter 。完成整合設定後,Explorer 和 OpsCenter 會自動同步資料。更具體地說,這些工具OpsItems會針對 AWS 區域 同步 OpsData 和 , AWS 帳戶 並在您完成整合設定時使用。如果您希望彙整來自其他帳戶和區域的 OpsData 和 OpsItems,您必須建立資源資料同步,如本主題所說明。
**注意**
如需整合式設定的詳細資訊,請參閱[開始使用 Systems Manager Explorer 和 OpsCenter](Explorer-setup.md)。
**Topics**
+ [
# 了解 Explorer 的資源資料同步
](Explorer-resource-data-sync-understanding.md)
+ [
# 了解多個帳戶和區域資源資料同步
](Explorer-resource-data-sync-multiple-accounts-and-regions.md)
+ [
# 刪除資源資料同步
](Explorer-resource-data-sync-configuring-multi.md)
# 了解 Explorer 的資源資料同步
Explorer 的資源資料同步提供兩種彙整選項:
+ **單一帳戶/多個區域:**您可以設定 Explorer 彙整多個 AWS 區域的 OpsItems 和 OpsData 資料,但資料集會受限於目前的 AWS 帳戶。
+ **多帳戶/多區域:**您可以設定 Explorer 彙整多個 AWS 區域 和帳戶的資料。此選項需要您設定 AWS Organizations。在您設定 和 之後 AWS Organizations,您可以Explorer依組織單位 (OU) 或整個組織在 中彙總資料。Systems Manager 會將資料彙整至 AWS Organizations 管理帳戶,再於 Explorer 中進行顯示。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[什麼是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/)。
**警告**
如果您設定 Explorer 以彙總 AWS Organizations中的組織資料,系統會啟用組織中所有成員帳戶的 OpsData。在所有成員帳户中啟用 OpsData 來源會增加呼叫 [CreateOpsItem](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_CreateOpsItem.html) 和 [GetOpsSummary](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_GetOpsSummary.html) 等 OpsCenter API 的次數。呼叫這些 API 動作需支付費用。
下圖顯示設為使用 AWS Organizations的資源資料同步。在此案例中,使用者具備兩個在 AWS Organizations中定義的帳戶。資源資料同步會將來自兩個帳戶和多個 AWS 區域 的資料彙總到 AWS Organizations 管理帳戶中,然後顯示在 中Explorer。
![\[Systems Manager Explorer 的資源資料同步\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/ExplorerSyncFromSource.png)
# 了解多個帳戶和區域資源資料同步
本節說明有關使用 AWS Organizations的多個帳戶和多個區域資源資料同步的重要詳細資訊。具體而言,如果您選擇了 **Create resource data sync** (建立資源資料同步) 頁面中的以下其中一個選項,則本節的資訊適用:
+ 包含我的 AWS Organizations 組態中的所有帳戶
+ 在 中選取組織單位 AWS Organizations
如果您不打算使用以下其中一個選項,您可以略過本節。
當您在 SSM 主控台中建立資源資料同步時,如果您選擇其中一個 AWS Organizations 選項,則 Systems Manager 會自動為組織 (或所選組織單位 AWS 帳戶 ) 中的所有 ,允許所選區域中的所有 OpsData 來源。例如,即使您尚未在區域中Explorer開啟 ,如果您為資源資料同步選取 AWS Organizations 選項,則 Systems Manager 會自動從該區域收集 OpsData。若要在不允許 OpsData 來源的情況下建立資源資料同步,請在建立資料同步時將 **EnableAllOpsDataSources** 指定為 false。如需詳細資訊,請參閱《Amazon EC2 Systems Manager API 參考》**中 [ResourceDataSyncSource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResourceDataSyncSource.html) 資料類型的 `EnableAllOpsDataSources` 參數詳細資訊。
如果您未選擇資源資料同步的其中一個 AWS Organizations 選項,則必須在Explorer您要存取資料的每個帳戶和區域中完成整合式設定。如果沒有這樣做,Explorer 將不會顯示未完成整合式設定的帳戶和區域的 OpsData 和 OpsItems。
如果您將子帳戶新增至您的組織,Explorer 會自動允許該帳戶的所有 OpsData 來源。如果您稍後從組織中移除子女帳戶,Explorer 會繼續從帳戶收集 OpsData。
如果您更新使用其中一個 AWS Organizations 選項的現有資源資料同步,系統會提示您核准收集受變更影響之所有帳戶和區域的所有 OpsData 來源。
如果您將新服務新增至 AWS 帳戶,且 為該服務Explorer收集 OpsData,則 Systems Manager 會自動設定 Explorer以收集該 OpsData。例如,如果您的組織在您先前建立資源資料同步 AWS Trusted Advisor 時未使用 ,但您的組織註冊此服務, Explorer會自動更新您的資源資料同步以收集此 OpsData。
**重要**
請注意下列有關多個帳戶和區域資源資料同步的重要資訊:
刪除資源資料同步不會關閉 Explorer 中的 OpsData 來源。
若要從多個帳戶檢視 OpsData OpsItems 和 ,您必須開啟 AWS Organizations **所有功能**模式,而且必須登入 AWS Organizations 管理帳戶。
大多數 預設為 AWS 區域 作用中 AWS 帳戶,但只有在您手動選取特定區域時才會啟用。這些區域稱為[選擇加入區域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status)。依預設,Explorer 跨帳戶/跨區域資源資料同步在選擇加入區域中不支援資料彙總。我們已於 2025 年 6 月 30 日新增對下列選擇加入區域的支援。
歐洲 (米蘭)
非洲 (開普敦)
Middle East (Bahrain)
亞太地區 (香港)
請注意,您無法使用委派管理員帳戶在選擇加入區域中建立資源資料同步。您必須使用 AWS Organizations 管理帳戶。
# 刪除資源資料同步
在設定 Explorer 的資源資料同步之前,請留意以下詳細資訊。
+ Explorer 支援最多五個資源資料同步。
+ 為區域建立資源資料同步之後,您無法變更該同步的*帳戶選項*。例如,如果您在 us-east-2 (俄亥俄) 區域中建立同步,並選擇**僅包含目前帳戶**選項,則您無法稍後編輯該同步,並從**我的 AWS Organizations 組態選項中選擇包含所有帳戶**。相反地,您必須刪除第一個資源資料同步,並建立新的資源資料同步。
+ Explorer 中檢視的 OpsData 是唯讀的。
使用下列程序可為 Explorer 建立資源資料同步。
**建立資源資料同步**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 選擇**設定**。
1. 在 **Configure resource data sync (設定資源資料同步)** 區段中,選擇 **Create resource data sync (建立資源資料同步)**。
1. 對於 **Resource data sync name (資源資料同步名稱)**,輸入名稱。
1. 在 **Add accounts (新增帳戶)** 區段中,選擇一個選項。
**注意**
若要使用任一 AWS Organizations 選項,您必須登入 AWS Organizations 管理帳戶,或必須登入Explorer委派管理員帳戶。如需委派管理員帳戶的詳細資訊,請參閱 [設定 Explorer 的委派管理員](Explorer-setup-delegated-administrator.md)。
1. 在 **Regions to include (要包含的區域)** 區段中,選擇下列其中一個選項。
+ 選擇**所有目前和未來的區域**,以自動同步來自所有目前 AWS 區域 和未來上線之新區域的資料。
+ 選擇**所有區域**以自動同步所有目前資料 AWS 區域。
+ 個別選擇您要包含的區域。
1. 選擇**建立資源資料同步**。
建立資源資料同步之後,可能需要幾分鐘的時間,才能填入 Explorer 的資料。您可從 Explorer 中的 **Select a resource data sync** (選取資源資料同步) 清單中進行選擇,從而檢視同步。
# 使用 Explorer
本節包含如何藉由變更小工具配置以及變更儀表板中顯示的資料來自訂 AWS Systems Manager Explorer 的相關資訊。
**Topics**
+ [
# 編輯為 Explorer 建立的 EventBridge 規則
](Explorer-using-editing-default-rules.md)
+ [
# 編輯 Systems Manager Explorer 資料來源
](Explorer-using-editing-data-sources.md)
+ [
# 自訂 Explorer 顯示
](Explorer-using-filters.md)
+ [
# 在 AWS Security Hub CSPM 中接收問題清單 Explorer
](explorer-securityhub-integration.md)
+ [
# 刪除 Systems Manager Explorer 資源資料同步
](Explorer-using-resource-data-sync-delete.md)
# 編輯為 Explorer 建立的 EventBridge 規則
完成整合式設定時,系統允許在 Amazon EventBridge 中啟用十幾個以上的規則。這些規則會自動在 OpsItems中建立 AWS Systems Manager OpsCenter。 AWS Systems Manager Explorer然後 會顯示有關 的彙總資訊OpsItems。
每個規則都包含預設的 **Category (類別)** 和 **Severity (嚴重性)** 值。當系統從事件建立 OpsItems 時,它會自動指派預設的 **Category (類別)** 和 **Severity (嚴重性)**。
**重要**
目前,您無法編輯預設規則的 **Category** (類別) 和 **Severity** (嚴重性) 值,但您可以在透過預設規則建立的 OpsItems 上編輯這些值。
![\[在 Systems Manager Explorer 中建立 OpsItems 的預設規則\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/explorer-default-rules.png)
**編輯用於建立 OpsItems 的預設規則**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 選擇**設定**。
1. 在 **OpsItems 規則**規則區段中,選擇 **Edit (編輯)**。
1. 展開 **CWE rules (CWE 規則)**。
1. 清除您不想使用的規則旁邊的核取方塊。
1. 使用 **Category (類別)** 和 **Severity (嚴重性)** 清單來變更規則的此資訊。
1. 選擇**儲存**。
您的變更會在下次系統建立 OpsItem 時生效。
# 編輯 Systems Manager Explorer 資料來源
對於[預設](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html)可用的 AWS 區域 , AWS Systems Manager Explorer 會顯示來自下列來源的資料。您可以編輯 Explorer 設定來新增或移除資料來源:
+ Amazon Elastic Compute Cloud (Amazon EC2)
+ AWS Systems Manager 庫存
+ AWS Systems Manager OpsCenter OpsItems
+ AWS Systems Manager Patch Manager 修補程式合規
+ AWS Systems Manager State Manager 關聯合規
+ AWS Trusted Advisor
+ AWS Compute Optimizer
+ AWS 支援 中心案例
+ AWS Config 規則和資源合規
+ AWS Security Hub CSPM 問題清單
**注意**
對於亞太區域 (大阪) 區域, Explorer不會顯示來自 AWS Compute Optimizer 和 AWS Security Hub CSPM 調查結果的資料。
對於 [AWS 選擇加入區域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status),Explorer 會顯示以下來源的資料:
+ Amazon Elastic Compute Cloud (Amazon EC2)
+ AWS Systems Manager 庫存
+ AWS Systems Manager OpsCenter OpsItems
+ AWS Systems Manager Patch Manager 修補程式合規
+ AWS Systems Manager State Manager 關聯合規
+ AWS Trusted Advisor
+ AWS 支援 中心案例
+ AWS Config 規則和資源合規
**注意**
若要在 中檢視 支援 中心案例Explorer,您必須設定企業或企業帳戶 支援。
您無法設定 Explorer 來停止顯示 OpsCenter OpsItem 資料。
**開始之前**
確認您已安裝並設定將資料填入 Explorer 小工具的服務。如需詳細資訊,請參閱[設定 Explorer 的相關服務](Explorer-setup-related-services.md)。
**編輯資料來源**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 選擇**設定**,然後選擇**設定儀表板**索引標籤。
1. 在 **OpsData 來源**區段的**狀態**欄位中,根據要檢視的資料開啟或關閉來源。
# 自訂 Explorer 顯示
您可以使用drag-and-drop功能在 AWS Systems Manager Explorer 中自訂小工具配置。您也可以使用篩選器自訂在 Explorer 中顯示的 OpsData 和 OpsItems,如本主題所述。
在您自訂小工具配置之前,請驗證您要檢視的小工具目前已顯示在 Explorer 中。若要檢視 Explorer 中的某些小工具 (例如 AWS Config 合規小工具),必須在 **Configure dashboard** (設定儀表板) 頁面上將其啟用。
**啟用小工具以顯示在 Explorer 中**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 選擇 **Dashboard actions** (儀表板動作)、**Configure dashboard** (設定儀表板)。
1. 選擇 **Configure Dashboard** (設定儀表板) 標籤。
1. 選擇 **Enable all** (全部啟用) 或開啟個別小工具或資料來源。
1. 選擇 **Explorer** 檢視您的變更。
若要在 Explorer 中自訂小工具配置,請選擇要移動的小工具。按住 Widget 的名稱,然後將它拖曳到新位置。
![\[移動 Systems Manager Explorer 中的小工具\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/explorer-customize.png)
對您要重新定位的每個 Widget 重複此程序。
如果您決定不要新的配置,請選擇**重設配置**,將所有小工移回原始位置。
## 使用篩選器變更在 Explorer 中顯示的資料
根據預設, Explorer會顯示目前 AWS 帳戶 和目前區域的資料。如果您建立一或多個資源資料同步,您可以使用篩選器來變更哪個同步處於作用中。然後,您可以選擇顯示特定區域或所有區域的資料。您也可以使用搜尋列來依據不同的 OpsItem 和 key-tag 條件篩選。
**使用篩選器變更在 Explorer 中顯示的資料**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 在 **Filter (篩選)** 區段中,使用 **Select a resource data sync (選取資源資料同步清單)** 來選擇同步。
1. 使用 **Regions** (區域) 清單來選擇特定 AWS 區域 或選擇 **All Regions** (所有區域)。
1. 選擇搜尋列,然後選擇要篩選資料的依據條件。
![\[使用 Systems Manager Explorer 中的篩選條件搜尋列\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/explorer-filters.png)
1. 按 Enter。
如果您關閉並重新開啟頁面,Explorer 會保留您選取的篩選選項。
# 在 AWS Security Hub CSPM 中接收問題清單 Explorer
[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 提供 中安全狀態的完整檢視 AWS。此服務會從各 AWS 帳戶、服務和支援的第三方產品收集安全資料 (稱為*調查結果*)。Security Hub CSPM 調查結果可協助您根據安全產業標準和最佳實務檢查環境,分析您的安全趨勢,並識別最高優先順序的安全問題。
Security Hub CSPM 會將問題清單傳送至 Amazon EventBridge,其會使用事件規則將問題清單傳送至 Explorer。啟用整合後,如此處所述,您可以在Explorer小工具中檢視 Security Hub CSPM 問題清單,並在 OpsCenter 中檢視問題清單詳細資訊OpsItems。小工具會根據嚴重性提供所有 Security Hub CSPM 調查結果的摘要。Security Hub CSPM 中的新問題清單通常會在建立後的幾Explorer秒鐘內顯示。
**警告**
記下以下重要資訊:
Explorer 已與 OpsCenter 整合 (Systems Manager 中的工具)。啟用與 Security Hub CSPM 的Explorer整合後, OpsCenter會自動OpsItems為 Security Hub CSPM 調查結果建立 。根據您的 AWS 環境,啟用整合可能會產生大量 OpsItems,但需付費。
繼續之前,請閱讀 Security Hub CSPM OpsCenter整合的相關資訊。本主題包含有關對調查結果和 OpsItems 的變更和更新將如何收費的詳細資訊。如需詳細資訊,請參閱[了解與 的OpsCenter整合 AWS Security Hub CSPM](OpsCenter-applications-that-integrate.md#OpsCenter-integrate-with-security-hub)。如需 OpsCenter 定價資訊,請參閱 [AWS Systems Manager 定價](https://aws.amazon.com/systems-manager/pricing/)。
如果您在登入管理員帳戶Explorer時在 中建立資源資料同步,系統會自動為管理員和同步中的所有成員帳戶啟用 Security Hub CSPM 整合。啟用後, OpsCenter會自動OpsItems為 Security Hub CSPM 調查結果建立 ,但需付費。如需建立資源資料同步的相關資訊,請參閱 [設定 Systems Manager Explorer 以顯示來自多個帳戶和區域的資料](Explorer-resource-data-sync.md)。
## Explorer 接收之調查結果的類型
Explorer 從 Security Hub CSPM 接收[所有調查結果](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-integration-types.html#securityhub-cwe-integration-types-all-findings)。當您開啟 Security Hub CSPM 預設設定時,您可以根據Explorer小工具中的嚴重性查看所有調查結果。根據預設,Explorer 可為「關鍵」和「高」安全性調查結果建立 OpsItems。您可以手動設定 Explorer,為「中等」和「低」安全性調查結果建立 OpsItems。
雖然 Explorer不會OpsItems為資訊調查結果建立 ,但您可以在 Security Hub CSPM 調查結果摘要小工具中檢視資訊操作資料 (OpsData)。 會為所有調查結果Explorer建立 OpsData,無論嚴重性為何。如需 Security Hub CSPM 嚴重性等級的詳細資訊,請參閱 *AWS Security Hub API 參考*中的[嚴重性](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_Severity.html)。
## 啟用整合
本節說明如何啟用和設定 Explorer以開始接收 Security Hub CSPM 問題清單。
**開始之前**
在設定 Explorer開始接收 Security Hub CSPM 問題清單之前,請先完成下列任務。
+ 啟用和設定 Security Hub CSPM。如需詳細資訊,請參閱*AWS Security Hub 《 使用者指南*》中的[設定 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)。
+ 登入 AWS Organizations 管理帳戶。Systems Manager 需要存取 , AWS Organizations 才能OpsItems從 Security Hub CSPM 調查結果建立 。登入管理帳戶後,系統會提示您選取 Explorer **Configure dashboard** (設定儀表板) 標籤上的 **Enable access** (啟用存取) 按鈕 設定儀表板索引標籤,如下列程序所述。如果您未登入 AWS Organizations 管理帳戶,則無法允許存取,Explorer也無法OpsItems從 Security Hub CSPM 調查結果建立。
**開始接收 Security Hub CSPM 問題清單**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 選擇**設定**。
1. 選取 **Configure dashboard** (設定儀表板) 標籤。
1. 選取 **AWS Security Hub CSPM**。
1. 選取 **Disabled** (已停用) 滑桿,以開啟 **AWS Security Hub CSPM**。
預設會顯示「關鍵」和「高」安全性調查結果。若要顯示「中」和「低」安全性調查結果,請選取**中、低**旁邊的**已停用**滑桿。
1. 在 **OpsItems Security Hub CSPM 調查結果建立的** 區段中,選擇**啟用存取**。如果您沒有看到此按鈕,請登入 AWS Organizations 管理帳戶並返回此頁面以選取按鈕。
## 如何檢視 Security Hub CSPM 的問題清單
下列程序說明如何檢視 Security Hub CSPM 問題清單。
**檢視 Security Hub CSPM 調查結果**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 尋找 **AWS Security Hub CSPM 調查結果摘要**小工具。這會顯示您的 Security Hub CSPM 問題清單。您可以選取嚴重性等級,以檢視對應的 OpsItem 的詳細說明。
## 如何停止接收調查結果
下列程序說明如何停止接收 Security Hub CSPM 問題清單。
**停止接收 Security Hub CSPM 問題清單**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 選擇**設定**。
1. 選取 **Configure dashboard** (設定儀表板) 標籤。
1. 選取 **Enabled** (已啟用) 滑桿,以關閉 **AWS Security Hub CSPM**。
**重要**
如果停用 Security Hub CSPM 問題清單的選項在 主控台中呈現灰色,您可以在 中執行下列命令來停用此設定 AWS CLI。登入 AWS Organizations 管理帳戶或 Systems Manager 委派管理員帳戶時,您必須執行 命令。針對 `region` 參數,指定您要在 中停止接收 Security Hub CSPM 問題清單 AWS 區域 的 Explorer。
```
aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region AWS 區域
```
範例如下。
```
aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region us-east-1
```
# 刪除 Systems Manager Explorer 資源資料同步
在 AWS Systems Manager Explorer 中,您可以透過建立資源資料同步,OpsItems從其他帳戶和區域彙總 OpsData 和 。
您無法變更資源資料同步的帳戶選項。例如,如果您在 us-east-2 (俄亥俄) 區域中建立同步,並選擇**僅包含目前帳戶**選項,則您無法稍後編輯該同步,並從**我的 AWS Organizations 組態選項中選擇包含所有帳戶**。相反地,您必須刪除資源資料同步,並建立新的資源資料同步,如下列程序所述。
**刪除資源資料同步**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 選擇**設定**。
1. 在 **Configure resource data sync (設定資源資料同步)** 區段中,選擇您要刪除的資源資料同步。
1. 選擇**刪除**。
# 從 Systems Manager Explorer 匯出 OpsData
您可以從 AWS Systems Manager Explorer 將 5,000 個 OpsData 項目匯出為逗號分隔值 (.csv) 檔案到 Amazon Simple Storage Service (Amazon S3) 儲存貯體。Explorer 使用 [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportopsdatatos3.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportopsdatatos3.html) 自動化執行手冊匯出 OpsData。匯出 OpsData 時,系統會顯示自動化執行手冊頁面,您可以在其中指定詳細資訊,例如要匯出的 assumeRole、Amazon S3 儲存貯體名稱、SNS 主題 ARN 以及欄位。
**Topics**
+ [
## 步驟 1:指定 SNS 主題
](#Explorer-specify-SNS-topic)
+ [
## 步驟 2:(選用) 設定資料匯出
](#Explorer-configure-data-export)
+ [
## 步驟 3:匯出 OpsData
](#Explorer-export-OpsData)
## 步驟 1:指定 SNS 主題
設定資料匯出時,您必須指定 Amazon Simple Notification Service (Amazon SNS) 主題,該主題存在於您要匯出資料的相同 AWS 區域 位置。匯出完成時,Systems Manager 會將通知傳送到 Amazon SNS 主題。如需建立 Amazon SNS 主題的相關資訊,請參閱[建立 Amazon SNS 主題](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-topic.html)。
## 步驟 2:(選用) 設定資料匯出
您可以從**設定**或**將操作資料匯出至 S3 儲存貯體**頁面進行資料匯出設定。
**從 Explorer 設定資料匯出**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 選擇**設定**。
1. 在 **Configure data export (設定資料匯出)** 區段中,選擇 **Edit (編輯)**。
1. 若要將資料匯出檔案上傳至現有的 Amazon S3 儲存貯體,請選擇**選取現有的 S3 儲存貯體**,然後從清單中選擇儲存貯體。
若要將資料匯出檔案上傳至新的 Amazon S3 儲存貯體,請選擇**建立新的 S3 儲存貯體**,然後輸入您要用於新儲存貯體的名稱。
**注意**
在 Explorer 中,您只能從您第一次設定這些設定的頁面編輯 Amazon S3 儲存貯體名稱和 Amazon SNS 主題 ARN。如果您從**設定**頁面設定 Amazon S3 儲存貯體和 Amazon SNS 主題 ARN,則只能從**設定**頁面修改這些設定。
1. 針對**選取 Amazon SNS 主題 ARN**,選擇匯出完成時要通知的主題。
1. 選擇**建立**。
## 步驟 3:匯出 OpsData
當您匯出Explorer資料時,Systems Manager 會建立名為 的 AWS Identity and Access Management (IAM) 角色`AmazonSSMExplorerExportRole`。此角色使用下列 IAM 政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OpsSummaryExportAutomationServiceRoleStatement1",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "OpsSummaryExportAutomationServiceRoleStatement2",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "OpsSummaryExportAutomationServiceRoleStatement3",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:SNSTopicName"
]
},
{
"Sid": "OpsSummaryExportAutomationServiceRoleStatement4",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:MyLogGroup"
]
},
{
"Sid": "OpsSummaryExportAutomationServiceRoleStatement5",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": [
"*"
]
},
{
"Sid": "OpsSummaryExportAutomationServiceRoleStatement6",
"Effect": "Allow",
"Action": [
"ssm:GetOpsSummary"
],
"Resource": [
"*"
]
}
]
}
```
------
角色包括下列信任實體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OpsSummaryExportAutomationServiceRoleTrustPolicy",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**從 Explorer 匯出 OpsData**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 選擇 Explorer 小工具中的資料連結。例如,在**依狀態劃分的 OpsItems** 小工具中,選擇**未解決**或**未決問題**。或在**依嚴重性劃分的 OpsItem** 小工具中,選擇**關鍵**或**高**資料連結。Explorer 開啟所選資料集的 **OpsData** 頁面。
1. 選擇**開始匯出**。
**注意**
第一次匯出 OpsData 時,系統會為匯出建立擔任角色。您無法修改預設擔任角色。
1. 針對 **S3 儲存貯體名稱**,選擇一個現有的儲存貯體。如果需要,可選擇**建立**來建立一個 Amazon S3 儲存貯體。
如果您無法變更某個 S3 儲存貯體的名稱,則表示您此前是從**設定**頁面設定儲存貯體名稱。您只能從**設定**頁面變更該儲存貯體的名稱。
**注意**
在 Explorer 中,您只能從您第一次設定這些設定的頁面編輯 Amazon S3 儲存貯體名稱和 Amazon SNS 主題 ARN。
1. 針對 **SNS 主題 ARN**,請選擇一個現有的 Amazon SNS 主題 ARN,用於在下載完成時進行通知。
如果您無法變更某個 Amazon SNS 主題 ARN,則表示您此前是從**設定**頁面設定 Amazon SNS 主題 ARN。您只能從**設定**頁面變更該主題 ARN。
1. (選用) 針對 **SNS 成功訊息**,請指定匯出成功完成時要顯示的成功訊息。
1. 選擇**提交**。系統會導覽至上一頁,並顯示**按一下以檢視匯出程序狀態訊息。檢視詳細資訊**。
您可以選擇**檢視詳細資訊**以在 Systems Manager Automation 中檢視執行手冊的狀態和進度。
您現在可以將 OpsData 從 Explorer 匯出至指定的 Amazon S3 儲存貯體。
如果您無法使用此程序匯出資料,請確認使用者、群組或角色是否包含 `iam:CreatePolicyVersion` 和 `iam:DeletePolicyVersion` 動作的許可。如需有關將這些動作新增至使用者、群組或角色的相關資訊,請參閱《IAM 使用者指南》**中的[編輯 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)。
# Systems Manager Explorer 故障診斷
本主題涵蓋的資訊能協助您了解如何針對 AWS Systems Manager Explorer 的常見問題進行故障診斷。
**資源資料同步停止運作**
如果您的資源資料同步因*選擇加入 AWS 區域*而停止運作,請驗證設定同步的 AWS Organizations 管理帳戶和成員帳戶是否已選擇加入該區域。
對於您的 AWS 帳戶,大部分 AWS 區域預設為作用中,但只有在您手動選取特定區域時,才會啟用這些區域。這些區域稱為[選擇加入區域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status)。依預設,Explorer 跨帳戶/跨區域資源資料同步在選擇加入區域中不支援資料彙總。我們已於 2025 年 6 月 30 日新增對下列選擇加入區域的支援。
+ 歐洲 (米蘭)
+ 非洲 (開普敦)
+ 中東 (巴林)
+ 亞太區域 (香港)
請注意,您無法使用委派管理員帳戶在選擇加入區域中建立資源資料同步。您必須使用 AWS Organizations 管理帳戶。
**在 **Settings** (設定) 頁面上更新標籤後,無法篩選 Explorer 中的 AWS 資源**
如果您在 Explorer 中更新標籤鍵或其他資料設定,系統可能需要長達六個小時才能根據您的變更同步資料。
***Create resource data sync* (建立資源資料同步) 頁面上的 AWS Organizations 會顯示為灰色**
**建立資源資料同步**頁面上的**包含來自我的 AWS Organizations 組態的所有帳戶**與**選擇 AWS Organizations 中的組織單位**選項僅在安裝及設定 AWS Organizations 時可用。如果您已安裝並設定 AWS Organizations,則 AWS Organizations 管理帳戶或 Explorer 委派管理員可以建立使用這些選項的資源資料同步。
如需詳細資訊,請參閱 [設定 Systems Manager Explorer 以顯示來自多個帳戶和區域的資料](Explorer-resource-data-sync.md) 及 [設定 Explorer 的委派管理員](Explorer-setup-delegated-administrator.md)。
**Explorer 完全不顯示任何資料**
+ 確認您已在您要 Explorer 能存取和顯示資料的每個帳戶和區域中完成整合式設定。如果沒有這樣做,Explorer 將不會顯示未完成整合式設定的帳戶和區域的 OpsData 和 OpsItems。如需更多詳細資訊,請參閱 [開始使用 Systems Manager Explorer 和 OpsCenter](Explorer-setup.md)。
+ 使用 Explorer 檢視來自多個帳戶和區域的資料時,請確認您已登入 AWS Organizations 管理帳戶或 Explorer 委派管理員帳戶。若要檢視來自多個帳戶和區域的 OpsData 和 OpsItems,您必須登入此帳戶。
**Amazon EC2 執行個體的相關小工具未顯示資料**
如果 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的相關小工具 (例如 **Instance count** (執行個體計數)、**Managed instances** (受管執行個體) 以及 **Instance by AMI** (依 AMI 的執行個體) 小工具) 未顯示資料,請確認下列項目:
+ 確認您已等待數分鐘。完成整合式設定之後,OpsData 可能需要數分鐘的時間才會在 Explorer 中顯示。
+ 確認您已設定 AWS Config 組態記錄器。Explorer 使用 AWS Config 組態記錄器提供的資料,在 Widget 中填入有關 EC2 執行個體的資訊。如需詳細資訊,請參閱[管理組態記錄器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。
+ 在 **Settings** (設定) 頁面上,確認 **Amazon EC2** OpsData 來源處於作用中狀態。此外,請確認自啟用組態記錄器或自您對執行個體進行變更後,已超過 6 小時。初始啟用組態記錄器或對執行個體進行變更後,最多可能需要六個小時的時間,Systems Manager 才能在 Explorer EC2 小工具中顯示來自 AWS Config 的資料。
+ 請注意,如果執行個體已停止或終止,則 Explorer 會在 24 小時後停止顯示這些執行個體。
+ 確認您位於設定 Amazon EC2 執行個體的正確 AWS 區域。Explorer 不會顯示內部部署執行個體的相關資料。
+ 如果您設定了多個帳戶和區域的資源資料同步,請確認您已登入 Organizations 管理帳戶或 Explorer 委派管理員帳戶。
**修補 Widget 不會顯示資料**
**Non-compliant instances for patching** (用於修補的不合規執行個體) 小工具只會顯示不合規之修補程式執行個體的相關資料。如果您的執行個體合規,則此 Widget 不會顯示任何資料。如果您懷疑有不合規的執行個體,那麼,請確認您已安裝和設定 Systems Manager 修補,並使用 AWS Systems Manager Patch Manager 來檢查修補程式合規。如需更多詳細資訊,請參閱 [AWS Systems Manager Patch Manager](patch-manager.md)。
**雜項問題**
**Explorer 不允許您編輯或補救 OpsItems**:OpsItems 檢視的跨帳戶或區域是唯讀的。只能從其家用帳戶或區域更新和補救。