了解合規的詳細資訊 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解合規的詳細資訊

合規是 的功能 AWS Systems Manager,可收集和報告 中修補狀態的資料 Patch Manager 中的修補和關聯 State Manager. (Patch Manager 以及 State Manager 也是 的兩項功能 AWS Systems Manager。) 合規也會報告您為受管節點指定的自訂合規類型。此部分包含每個合規類型以及如何檢視 Systems Manager 合規資料的詳細資訊。這部分還包含如何查看合規歷程記錄和變更追蹤的相關資訊。

注意

Systems Manager 與 整合 Chef InSpec. InSpec 是開放原始碼的執行期架構,可讓您在 上建立人類可讀取的設定檔 GitHub 或 Amazon Simple Storage Service (Amazon S3)。然後,您可以使用 Systems Manager 執行合規掃描,檢視合規與不合規的執行個體。如需詳細資訊,請參閱使用 Chef InSpec Systems Manager Compliance 的設定檔

關於修補程式合規

使用 之後 Patch Manager 若要在執行個體上安裝修補程式,您可以在主控台中立即取得合規狀態資訊,或回應 AWS Command Line Interface (AWS CLI) 命令或對應的 Systems Manager API 操作。

如需有關修補程式合規狀態值的詳細資訊,請參閱 修補合規狀態值

關於 State Manager 關聯合規

建立一或多個 之後 State Manager 關聯、合規狀態資訊可立即在主控台中或回應 AWS CLI 命令或對應的 Systems Manager API 操作時提供給您。對於關聯,合規會顯示 CompliantNon-compliant 狀態,以及指派至關聯的嚴重程度,例如 CriticalMedium

關於自訂合規

您可以將合規中繼資料指派至受管節點。然後,此中繼資料可與其他合規資料彙整,用於合規報告。例如,假設您的企業在受管節點上執行版本 2.0、3.0 和 4.0 的軟體 X。公司希望標準化為版本 4.0,這表示執行版本 2.0 和 3.0 的執行個體不合規。您可以使用 PutComplianceItems API操作來明確記下哪些受管節點正在執行舊版軟體 X。您只能使用 AWS CLI AWS Tools for Windows PowerShell或 SDKs 來指派合規中繼資料。下列 CLI 範例命令會將合規中繼資料指派給受管執行個體,並以所需的格式 指定合規類型Custom:。取代每個 example resource placeholder 使用您自己的資訊。

Linux & macOS
aws ssm put-compliance-items \ --resource-id i-1234567890abcdef0 \ --resource-type ManagedInstance \ --compliance-type Custom:SoftwareXCheck \ --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \ --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
Windows
aws ssm put-compliance-items ^ --resource-id i-1234567890abcdef0 ^ --resource-type ManagedInstance ^ --compliance-type Custom:SoftwareXCheck ^ --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^ --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
注意

ResourceType 參數僅支援 ManagedInstance。如果將自訂合規新增至受管 AWS IoT Greengrass 核心裝置,則您必須指定 ManagedInstanceResourceType

合規經理便可以查看哪些受管節點合規或不合規的摘要,或建立報告。您最多可以將 10 個不同的自訂合規類型指派至受管節點。

如需如何建立自訂合規類型和檢視合規資料的範例,請參閱 使用 指派自訂合規中繼資料 AWS CLI

檢視目前的合規資料

本部分說明如何使用 Systems Manager 主控台和 AWS CLI檢視合規資料。如需有關檢視修補程式和關聯合規歷程記錄以及變更追蹤的資訊,請參閱 檢視合規組態歷程記錄和變更追蹤

檢視目前的合規資料 (主控台)

使用以下程序在 Systems Manager 主控台中檢視合規資料。

若要在 Systems Manager 主控台檢視目前的合規報告
  1. https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇 Compliance (合規)。

  3. Compliance dashboard filtering (合規儀表板篩選) 區段中,選擇篩選合規資料的選項。Compliance resources summary (合規資源摘要) 區段會根據您選擇的篩選條件,顯示合規資料的計數。

  4. 若要向下鑽研資源以取得詳細資訊,請向下捲動至 Details overview for resources (資源的詳細資料概觀) 區域,然後選擇受管節點的 ID。

  5. Instance ID (執行個體 ID) 或 Name (名稱) 詳細資訊頁面上,選取 Configuration compliance (組態合規) 索引標籤,以檢視受管節點的詳細組態合規報告。

注意

如需有關修復合規問題的資訊,請參閱 使用 EventBridge 修復合規問題

檢視目前的合規資料 (AWS CLI)

您可以使用 AWS CLI 下列 AWS CLI 命令,在 中檢視修補、關聯和自訂合規類型的合規資料摘要。

list-compliance-summaries

根據您指定的篩選條件,傳回合規與不合規關聯狀態的計數摘要。(API:ListComplianceSummaries)

list-resource-compliance-summaries

傳回資源層級的計數摘要。根據您指定的篩選條件標準,摘要包括有關合規與不合規狀態的資訊,以及詳細的合規項目嚴重程度計數。(API:ListResourceComplianceSummaries)

您可以使用下列 AWS CLI 命令,檢視修補的其他合規資料。

describe-patch-group-state

傳回修補程式群組彙總的高層級修補程式合規狀態。(API:DescribePatchGroupState)

describe-instance-patch-states-for-patch-group

傳回指定修補程式群組執行個體的高層級修補程式狀態。(API:DescribeInstancePatchStatesForPatchGroup)

注意

如需如何使用 設定修補和檢視修補合規詳細資訊的圖例 AWS CLI,請參閱 教學課程:使用 修補伺服器環境 AWS CLI

檢視合規組態歷程記錄和變更追蹤

Systems Manager Configuration Compliance 會顯示有關您受管節點目前的修補和關聯合規資料。您可以使用 來檢視修補和關聯合規歷史記錄,以及變更追蹤AWS Config。 AWS Config 提供資源組態 AWS 的詳細檢視 AWS 帳戶。這包含資源彼此之間的關係和之前的組態方式,所以您可以看到一段時間中組態和關係的變化。若要檢視修補和關聯合規歷程記錄和變更追蹤,您必須在 AWS Config中開啟以下資源:

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

如需如何在 AWS Config中選擇和設定這些特定資源的資訊,請參閱《AWS Config 開發人員指南》中的選取哪些資源 AWS Config 記錄

注意

如需有關 AWS Config 定價的資訊,請參閱定價