AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

关于配置合规性

本部分包括有关不同类型的信息 (合规性类型) 的信息,您可以使用配置合规性进行查看。配置合规性目前支持 Patch Manager 修补数据、状态管理器 关联和自定义合规性类型。

关于实例合规性

Systems Manager 现在与 Chef InSpec 集成。InSpec 是一个开源的运行时框架,您可以使用它在 GitHub 或 Amazon S3 上创建人工可读的配置文件。然后,您可以使用 Systems Manager 运行合规性扫描并查看合规和不合规的实例。有关更多信息,请参阅 将 Chef InSpec 配置文件与 Systems Manager Compliance 结合使用

关于补丁合规性

在您使用 Patch Manager 在实例上安装补丁之后,会立即在控制台中或在一组 AWS CLI 命令或相应 Systems Manager API 操作的响应中提供合规性状态信息。

注意

如果您要向实例分配特定补丁合规性状态,可以使用 put-compliance-items CLI 命令或 PutComplianceItems API 操作。Amazon EC2 控制台不支持分配合规性状态。

对于每个补丁,将报告以下合规性状态值之一:

  • Installed:补丁已安装,或者在实例上运行 AWS-RunPatchBaseline 文档时 Patch Manager 安装了补丁。

  • Installed_Other:补丁不在基准中,但已安装在实例上。某人可能已手动安装补丁。

  • Missing:基准中已批准补丁,但实例上未安装补丁。如果将 AWS-RunPatchBaseline 文档任务配置为扫描 (而不是安装),系统将为扫描期间找到但未安装的补丁报告此状态。

  • Not_Applicable:基准中已批准补丁,但实例上未安装使用补丁的服务或功能。例如,如果基准中已批准 Web 服务器服务的补丁,但实例上未安装该 Web 服务,则补丁将显示 Not_Applicable

  • Failed:基准中已批准补丁,但无法安装补丁。要解决此问题,请查看命令输出中是否有可帮助您理解此问题的信息。

查看补丁合规性报告

您可以使用控制台或 CLI 来查看补丁合规性报告数据。

注意

有关修复合规性问题的信息,请参阅修复合规性问题

查看补丁合规性报告 (控制台)

查看补丁合规性报告

  1. https://console.amazonaws.cn/systems-manager/ 上打开 AWS Systems Manager 控制台。

  2. 在导航窗格中,选择合规性

    -或者-

    如果 AWS Systems Manager 主页首先打开,请选择菜单图标 ( ) 以打开导航窗格,然后在导航窗格中选择合规性

  3. 对应的托管实例区域中,选择实例的名称以查看其详细的配置合规性报告。

查看补丁合规性报告 (CLI)

您可以通过在 CLI 中运行以下命令来查看补丁合规性详细信息。

list-compliance-summaries

根据您指定的筛选条件返回合规和不合规补丁状态的摘要计数。(API:ListComplianceSummaries)

list-resource-compliance-summaries

返回资源级摘要计数。根据您指定的筛选条件,摘要包括有关合规和不合规状态的信息,以及详细的合规性项目严重性计数。(API:ListResourceComplianceSummaries)

describe-patch-group-state

返回补丁组的高级聚合补丁合规性状态。(API:DescribePatchGroupState)

describe-instance-patch-states-for-patch-group

返回指定补丁组中实例的高级补丁状态。(API:DescribeInstancePatchStatesForPatchGroup)

有关使用 AWS CLI 配置修补以及如何查看补丁合规性详细信息的说明,请参阅 Systems Manager Patch Manager 演练

关于关联合规性

创建一个或多个 状态管理器 关联后,配置合规性将自动报告关联合规性状态。您不需要执行任何其他步骤即可查看这些状态。如果您想将特定关联合规性状态分配给某个实例,则可以使用 PutComplianceItems API 操作显式分配状态。您可以从 AWS CLI、AWS Tools for Windows PowerShell 或软件开发工具包使用此 API 操作。您目前无法使用 Amazon EC2 控制台分配合规性状态。

您可以在 Amazon EC2 控制台中的 Compliance Configuration 页面上查看关联合规性详细信息,您也可以使用以下 API 查看合规性详细信息:

注意

目前,配置合规性显示 CompliantNon-compliant 的合规性状态和 Unspecified 的严重性。

  • ListComplianceSummaries:根据您指定的筛选条件返回合规和不合规关联状态的摘要计数。

  • ListResourceComplianceSummaries:返回资源级摘要计数。根据您指定的筛选条件,摘要包括有关合规和不合规状态的信息,以及 Unspecified 计数。

关于自定义合规性

您可以将合规性元数据分配给托管实例。然后此元数据可以与用于合规性报告目的的其他合规性数据聚合。例如,假设您的企业在您的托管实例上运行软件 X 版本 2.0、3.0 和 4.0。公司希望在版本 4.0 上实现标准化,这意味着运行版本 2.0 和 3.0 的实例将不合规。您可以使用 PutComplianceItems API 操作显式注释哪些托管实例在运行较旧版本的软件 X。目前您只能使用 AWS CLI、AWS Tools for Windows PowerShell或软件开发工具包分配合规性元数据。以下 CLI 示例命令会将合规性元数据分配给一个托管实例并以要求的格式 Custom: 指定合规性类型。

aws ssm put-compliance-items --resource-id i-1234567890 --resource-type ManagedInstance --compliance-type Custom:SoftwareXCheck --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate, --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT

然后合规经理可以查看摘要或创建有关哪些实例合规或不合规的报告。您最多可将 10 个不同的自定义合规性类型分配给一个实例。

有关如何创建自定义合规性类型并查看合规性数据的示例,请参阅Systems Manager 配置合规性管理器演练 (AWS CLI)