AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

使用配置合规性

配置合规性收集和报告有关 Patch Manager 修补、状态管理器 关联和自定义合规性类型的数据。此部分包含有关每个合规性类型以及如何查看 Systems Manager 合规性数据的详细信息。此部分还包含有关如何查看合规性历史记录和变更跟踪的信息。

注意

Systems Manager 现在与 Chef InSpec 集成。InSpec 是一个开源的运行时框架,您可以使用它在 GitHub 或 Amazon S3 上创建人工可读的配置文件。然后,您可以使用 Systems Manager 运行合规性扫描并查看合规和不合规的实例。有关更多信息,请参阅 将 Chef InSpec 配置文件与 Systems Manager Compliance 结合使用

关于补丁合规性

使用 Systems Manager Patch Manager 在实例上安装补丁之后,控制台或对 AWS CLI 命令或对应 Systems Manager API 操作的响应中将立即出现合规性状态信息。

对于每个补丁,系统将报告以下合规性状态值之一:

  • Installed:补丁已安装,或者在实例上运行 AWS-RunPatchBaseline 文档时 Patch Manager 安装了补丁。

  • Installed_Other:补丁不在基准中,但已安装在实例上。某人可能已手动安装补丁。

  • Missing:基准中已批准补丁,但实例上未安装补丁。如果将 AWS-RunPatchBaseline 文档任务配置为扫描 (而不是安装),系统将为扫描期间找到但未安装的补丁报告此状态。

  • Not_Applicable:基准中已批准补丁,但实例上未安装使用补丁的服务或功能。例如,如果基准中已批准 Web 服务器服务的补丁,但实例上未安装该 Web 服务,则补丁将显示 Not_Applicable

  • Failed:基准中已批准补丁,但无法安装补丁。要解决此问题,请查看命令输出中是否有可帮助您理解此问题的信息。

注意

如果您要向实例分配特定补丁合规性状态,可以使用 put-compliance-items CLI 命令或 PutComplianceItems API 操作。控制台中不支持分配合规性状态。

关于 状态管理器 关联合规性

创建一个或多个 状态管理器 关联之后,控制台或对 AWS CLI 命令或对应 Systems Manager API 操作的响应中将立即出现合规性状态信息。对于关联,配置合规性将显示 CompliantNon-compliant 的状态和 Unspecified 的严重性。

关于自定义合规性

您可以将合规性元数据分配给托管实例。然后此元数据可以与用于合规性报告目的的其他合规性数据聚合。例如,假设您的企业在您的托管实例上运行软件 X 版本 2.0、3.0 和 4.0。公司希望在版本 4.0 上实现标准化,这意味着运行版本 2.0 和 3.0 的实例将不合规。您可以使用 PutComplianceItems API 操作显式注释哪些托管实例在运行较旧版本的软件 X。目前您只能使用 AWS CLI、AWS Tools for Windows PowerShell或软件开发工具包分配合规性元数据。以下 CLI 示例命令会将合规性元数据分配给一个托管实例并以要求的格式 Custom: 指定合规性类型。

aws ssm put-compliance-items --resource-id i-1234567890 --resource-type ManagedInstance --compliance-type Custom:SoftwareXCheck --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate, --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT

然后合规经理可以查看摘要或创建有关哪些实例合规或不合规的报告。您最多可将 10 个不同的自定义合规性类型分配给一个实例。

有关如何创建自定义合规性类型并查看合规性数据的示例,请参阅配置合规性演练 (AWS CLI)

查看当前合规性数据

此部分介绍如何在 AWS Systems Manager 控制台中以及如何使用 AWS CLI 查看合规性数据。有关如何查看补丁和关联合规性历史记录和变更跟踪的信息,请参阅查看合规性配置历史记录和变更跟踪

查看当前合规性数据(控制台)

使用以下过程在 Systems Manager 控制台中查看合规性数据。

在 Systems Manager 控制台中查看合规性报告

  1. https://console.www.amazonaws.cn/systems-manager/ 上打开 AWS Systems Manager 控制台。

  2. 在导航窗格中,选择合规性

    -或者-

    如果 AWS Systems Manager 主页首先打开,请选择菜单图标 ( ) 以打开导航窗格,然后在导航窗格中选择合规性

  3. Corresponding managed instances (对应的托管实例) 区域中,选择实例 ID 以查看其详细的配置合规性报告。

注意

有关修复合规性问题的信息,请参阅修复合规性问题

查看当前合规性数据 (CLI)

可以在 AWS CLI 中或使用以下 AWS CLI 命令查看修补、关联和自定义合规性类型的合规性数据的摘要。

list-compliance-summaries

根据您指定的筛选条件返回合规和不合规关联状态的摘要计数。(API:ListComplianceSummaries)

list-resource-compliance-summaries

返回资源级摘要计数。根据您指定的筛选条件,摘要包括有关合规和不合规状态的信息,以及详细的合规性项目严重性计数。(API:ListResourceComplianceSummaries)

可以使用以下 AWS CLI 命令查看修补的其他合规性数据。

describe-patch-group-state

返回补丁组的高级聚合补丁合规性状态。(API:DescribePatchGroupState)

describe-instance-patch-states-for-patch-group

返回指定补丁组中实例的高级补丁状态。(API:DescribeInstancePatchStatesForPatchGroup)

注意

有关如何使用 AWS CLI 配置修补和查看补丁合规性详细信息的说明,请参阅 Systems Manager Patch Manager 演练

查看合规性配置历史记录和变更跟踪

Systems Manager 配置合规性显示您的托管实例的最新 修补和关联合规性数据。可以使用 AWS Config 查看修补和关联合规性历史记录和变更跟踪。AWS Config 可以提供关于您的 AWS 账户中 AWS 资源配置的详细信息。这些信息包括资源之间的关联方式以及资源以前的配置方式,让您了解资源的配置和关系如何随着的时间的推移而更改。要查看修补和关联合规性历史记录和变更跟踪,您必须在 AWS Config 中启用以下资源:

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

有关如何在 AWS Config 中选择和配置这些特定资源的信息,请参阅 AWS Config Developer Guide 中的选择哪些资源 AWS Config 记录

注意

有关 AWS Config 定价的信息,请参阅定价