关于补丁合规性关于 State Manager 关联合规性关于自定义合规性查看当前合规性数据查看合规性配置历史记录和变更跟踪

使用 Compliance

合规性，一种功能 Amazon Systems Manager，可以收集和报告有关修补状态的数据以及中的Patch Manager关联。State Manager （Patch Manager而且两者兼而State Manager有之 Amazon Systems Manager。） Compliance 还可报告有关您为托管式节点指定的自定义合规性类型的信息。本节包含有关每个合规性类型以及如何查看 Systems Manager 合规性数据的详细信息。本节还包含有关如何查看合规性历史记录和变更跟踪的信息。

注意

Systems Manager 与集成Chef InSpec。 InSpec 是一个开源的运行时框架，允许您在我们的亚马逊简单存储服务 (Amazon S3) Simple Service 上GitHub创建人类可读的配置文件。然后，您可以使用 Systems Manager 运行合规性扫描并查看合规和不合规的实例。有关更多信息，请参阅使用符合 Systems Manager 合规性的Chef InSpec配置文件。

关于补丁合规性

使用 Patch Manager 在实例上安装补丁之后，控制台、 Amazon Command Line Interface (Amazon CLI) 命令响应或相应 Systems Manager API 操作的响应中将立即出现合规性状态信息。

有关补丁合规性状态值的信息，请参阅了解补丁合规性状态值。

关于 State Manager 关联合规性

创建了一个或多个State Manager关联后，合规性状态信息将立即显示在控制台中，或者用于响应 Amazon CLI 命令或相应的 Systems Manager API 操作。对于关联，Compliance 显示 Compliant 或 Non-compliant 的状态和分配给关联的严重性级别，如 Critical 或 Medium。

关于自定义合规性

您可以将合规性元数据分配给托管式节点。然后此元数据可以与用于合规性报告目的的其他合规性数据聚合。例如，假设您的企业在您的托管式节点上运行软件 X 的版本 2.0、3.0 和 4.0。公司希望在版本 4.0 上实现标准化，这意味着运行版本 2.0 和 3.0 的实例将不合规。您可以使用 PutComplianceItemsAPI 操作明确记录哪些托管节点正在运行较旧版本的软件 X。您只能使用 Amazon CLI Amazon Tools for Windows PowerShell、或软件开发工具包分配合规性元数据。以下 CLI 示例命令会将合规性元数据分配给一个托管实例并以要求的格式 Custom: 指定合规性类型。将每个示例资源占位符替换为您自己的信息。

注意

ResourceType 参数仅支持 ManagedInstance。如果您将自定义合规性添加到托管式 Amazon IoT Greengrass 核心设备，则必须指定 ManagedInstance 的 ResourceType。

然后合规经理可以查看摘要，或创建有关哪些托管式节点合规或不合规的报告。您可将最多 10 个不同的自定义合规性类型分配给一个托管式节点。

有关如何创建自定义合规性类型并查看合规性数据的示例，请参阅 Compliance 演练 (Amazon CLI)。

查看当前合规性数据

本节介绍如何在 Systems Manager 控制台中以及如何使用 Amazon CLI查看合规性数据。有关如何查看补丁和关联合规性历史记录和变更跟踪的信息，请参阅查看合规性配置历史记录和变更跟踪。

查看当前合规性数据（控制台）

使用以下过程在 Systems Manager 控制台中查看合规性数据。

在 Systems Manager 控制台中查看合规性报告

打开 Amazon Systems Manager 控制台，网址为 https://console.aws.amazon.com/systems-manager/。
在导航窗格中，选择 合规性。

- 或者 -

如果首先打开 Amazon Systems Manager 主页，请选择菜单图标 ( ) 以打开导航窗格，然后在导航窗格中选择合规性。
在 Compliance dashboard filtering（合规性控制面板筛选）部分中，选择一个选项来筛选合规性数据。Compliance resources summary（合规性资源摘要）部分会根据您选择的筛选条件显示合规性数据的计数。
要深入了解资源以获取更多信息，请向下滚动至 Details overview for resources（资源详细信息概览）区域，然后选择托管式节点的 ID。
在 Instance ID（实例 ID）或 Name（名称）详细信息页面上，选择 Configuration compliance（配置合规性）选项卡以查看详细的托管式节点配置合规性报告。

注意

有关修复合规性问题的信息，请参阅使用 EventBridge 修复合规性问题。

查看当前合规性数据 (Amazon CLI)

您可以使用以下 Amazon CLI 命令在中查看修补、关联和自定义合规性类型的合规性数据的摘要。 Amazon CLI

list-compliance-summaries: 根据您指定的筛选条件返回合规和不合规关联状态的摘要计数。(API: ListComplianceSummaries)
list-resource-compliance-summaries: 返回资源级摘要计数。根据您指定的筛选条件，摘要包括有关合规和不合规状态的信息，以及详细的合规性项目严重性计数。(API: ListResourceComplianceSummaries)

可以使用以下 Amazon CLI 命令查看修补的其他合规性数据。

describe-patch-group-state: 返回补丁组的高级聚合补丁合规性状态。(API: DescribePatchGroupState)
describe-instance-patch-states-for-patch-group: 返回指定补丁组中实例的高级补丁状态。(API: DescribeInstancePatchStatesForPatchGroup)

注意

有关如何使用配置补丁和查看补丁合规性详细信息的说明 Amazon CLI，请参阅教程：修补服务器环境（Amazon CLI）。

查看合规性配置历史记录和变更跟踪

Systems Manager Compliance 显示您的托管式节点的最新修补和关联合规性数据。您可以使用查看修补和关联合规性历史记录以及更改跟踪。Amazon Config Amazon Config 提供了中 Amazon 资源配置的详细视图 Amazon Web Services 账户。这些信息包括资源之间的关联方式以及资源以前的配置方式，让您了解资源的配置和关系如何随着的时间的推移而更改。要查看修补和关联合规性历史记录和变更跟踪，您必须在 Amazon Config中打开以下资源：

SSM:PatchCompliance
SSM:AssociationCompliance

有关如何在 Amazon Config中选择和配置这些特定资源的信息，请参阅 Amazon Config Developer Guide 中的选择哪些资源 Amazon Config 记录。

注意

有关 Amazon Config 定价的信息，请参阅定价。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

为 Compliance 创建资源数据同步

删除用于 Compliance 的资源数据同步