檢視清查歷程記錄和變更追蹤 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢視清查歷程記錄和變更追蹤

您可以使用檢視所有受管節點的 AWS Systems Manager 詳細目錄歷史記錄和變更追蹤AWS Config。 AWS Config 提供您中 AWS 資源組態的詳細檢視 AWS 帳戶。這包含資源彼此之間的關係和之前的組態方式,所以您可以看到一段時間中組態和關係的變化。如要檢視清查歷史記錄和變更追蹤,您必須在 AWS Config中開啟下列資源:

  • SSM:ManagedInstanceInventory

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

  • SSM:FileData

注意

請注意以下有關庫存歷史記錄和變更追蹤的重要詳細資訊:

  • 如果您使用 AWS Config 來追蹤系統中的變更,則必須設定「Systems Manager 庫存」來收集中AWS:File繼資料,以便您可以在 AWS Config (SSM:FileData) 中檢視檔案變更。如果未如此設定,則 AWS Config 不會追蹤系統上的檔案變更。

  • 透過開啟SSM:PatchCompliance 和SSM:AssociationCompliance,您可以檢視「系統管理員」Patch Manager 修補和「Systems Manager Systems Manager」State Manager 關聯規範遵循歷史記錄和變更追蹤。如需這些資源的合規管理詳細資訊,請參閱瞭解合規的詳細資訊

下列程序說明如何使用 AWS Command Line Interface (AWS CLI) 在 AWS Config 中開啟庫存記錄和變更追蹤記錄。如需有關如何在中選擇和設定這些資源的詳細資訊 AWS Config,請參閱AWS Config 開發人員指南中的選取哪些資源 AWS Config 記錄。如需 AWS Config 定價的資訊,請參閱 定價

開始之前

AWS Config 需要 AWS Identity and Access Management (IAM)權限才能獲取有關 Systems Manager 資源的配置詳細信息。在下列程序中,您必須為 AWS Config 授予 Systems Manager 資源權限的IAM角色指定 Amazon 資源名稱 (ARN)。您可以將受AWS_ConfigRole管理的策略附加到指派給的IAM角色 AWS Config。如需有關此角色的詳細資訊,請參閱AWS Config 開發人員指南ConfigRole中的AWS 受管理政策: AWS_。如需如何建立IAM角色並將AWS_ConfigRole受管理原則指派給該角色的詳細資訊,請參閱《IAM使用指南》 AWS 服務中的建立角色以委派權限給某個角色。

若要在中開啟庫存記錄和變更追蹤記錄 AWS Config

  1. 安裝和配置 AWS Command Line Interface (AWS CLI),如果你還沒有。

    如需相關資訊,請參閱安裝或更新最新版本的 AWS CLI

  2. 將以下JSON示例複製並粘貼到簡單的文本文件中,並將其保存為 recordingGroup .json。

    {
   "allSupported":false,
   "includeGlobalResourceTypes":false,
   "resourceTypes":[
      "AWS::SSM::AssociationCompliance",
      "AWS::SSM::PatchCompliance",
      "AWS::SSM::ManagedInstanceInventory",
      "AWS::SSM::FileData"
   ]
}

  3. 運行以下命令將 recordingGroup .json 文件加載到中 AWS Config。

    aws configservice put-configuration-recorder --configuration-recorder name=myRecorder,roleARN=arn:aws:iam::123456789012:role/myConfigRole --recording-group file://recordingGroup.json

  4. 執行以下命令,即可開始記錄清查歷史記錄和變更追蹤。

    aws configservice start-configuration-recorder --configuration-recorder-name myRecorder

設定歷史記錄和變更追蹤之後,您可以透過選擇 Systems Manager 主控台中的 AWS Config 按鈕向下切入至特定受管節點的歷史記錄。您可以從 Managed Instances (受管執行個體) 頁面或 Inventory (庫存) 頁面存取 AWS Config 按鈕。視螢幕大小而定,您可能需要捲動至頁面右側,才能看見該按鈕。