Amazon EC2 Systems Manager
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

关于配置合规性

本部分包括有关不同类型的信息 (合规性类型) 的信息,您可以使用配置合规性进行查看。配置合规性目前支持 Patch Manager 修补数据、状态管理器 关联和自定义合规性类型。

关于补丁合规性

您使用 Patch Manager 配置和执行修补后,配置合规性将自动报告补丁合规性状态。您不需要执行任何其他步骤即可查看这些状态。如果您想将特定补丁合规性状态分配给某个实例,则可以使用 PutComplianceItems API 操作显式分配状态。您可以从 AWS CLI、AWS Tools for Windows PowerShell 或软件开发工具包使用此 API 操作。您目前无法使用 Amazon EC2 控制台分配合规性状态。

您可以在 Compliance Configuration 页面上的 Amazon EC2 控制台中查看并深入了解补丁合规性详细信息,您也可以使用以下 API 操作。

每个补丁的结果将显示下列状态之一。

  • Installed:补丁已安装,或者在实例上运行 AWS-RunPatchBaseline 文档时 Patch Manager 安装了补丁。

  • Installed_Other:补丁不在基准中,但已安装在实例上。某人可能已手动安装补丁。

  • Missing:基准中已批准补丁,但实例上未安装补丁。如果将 AWS-RunPatchBaseline 文档任务配置为扫描 (而不是安装),系统将为扫描期间找到但未安装的补丁报告此状态。

  • Not_Applicable:基准中已批准补丁,但实例上未安装使用补丁的服务或功能。例如,如果基准中已批准 Web 服务器服务的补丁,但实例上未安装该 Web 服务,则补丁将显示“Not_Applicable”。

  • Failed:基准中已批准补丁,但无法安装补丁。要解决此问题,请查看命令输出中是否有可帮助您理解此问题的信息。

要查看如何配置修补以及如何使用 AWS CLI 查看补丁合规性详细信息的示例,请参阅Systems Manager Patch Manager 演练

关于关联合规性

创建一个或多个 状态管理器 关联后,配置合规性将自动报告关联合规性状态。您不需要执行任何其他步骤即可查看这些状态。如果您想将特定关联合规性状态分配给某个实例,则可以使用 PutComplianceItems API 操作显式分配状态。您可以从 AWS CLI、AWS Tools for Windows PowerShell 或软件开发工具包使用此 API 操作。您目前无法使用 Amazon EC2 控制台分配合规性状态。

您可以在 Amazon EC2 控制台中的 Compliance Configuration 页面上查看关联合规性详细信息,您也可以使用以下 API 查看合规性详细信息:

注意

目前,配置合规性显示 CompliantNon-compliant 的合规性状态和 Unspecified 的严重性。

  • ListComplianceSummaries:根据您指定的筛选条件返回合规和不合规关联状态的摘要计数。

  • ListResourceComplianceSummaries:返回资源级摘要计数。根据您指定的筛选条件,摘要包括有关合规和不合规状态的信息,以及 Unspecified 计数。

关于自定义合规性

您可以将合规性元数据分配给托管实例。然后此元数据可以与用于合规性报告目的的其他合规性数据聚合。例如,假设您的企业在您的托管实例上运行软件 X 版本 2.0、3.0 和 4.0。公司希望在版本 4.0 上实现标准化,这意味着运行版本 2.0 和 3.0 的实例将不合规。您可以使用 PutComplianceItems API 操作显式注释哪些托管实例在运行较旧版本的软件 X。目前您只能使用 AWS CLI、AWS Tools for Windows PowerShell或软件开发工具包分配合规性元数据。以下 CLI 示例命令会将合规性元数据分配给一个托管实例并以要求的格式 Custom: 指定合规性类型。

Copy
aws ssm put-compliance-items --resource-id i-1234567890 --resource-type ManagedInstance --compliance-type Custom:SoftwareXCheck --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate, --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT

然后合规经理可以查看摘要或创建有关哪些实例合规或不合规的报告。您最多可将 10 个不同的自定义合规性类型分配给一个实例。

有关如何创建自定义合规性类型并查看合规性数据的示例,请参阅Systems Manager 配置合规性管理器演练