Amazon EC2 Systems Manager
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

配置合规性入门

要开始使用配置合规性,请完成以下任务。

任务 了解更多信息

配置合规性在 Systems Manager 托管实例上使用 Patch Manager 补丁数据、状态管理器 关联和自定义合规类型。通过验证 Systems Manager 先决条件验证您的 Amazon EC2 实例和混合计算机是否配置为托管实例。

Systems Manager 先决条件

将托管实例上的 SSM 代理更新到最新版本。

安装和配置 SSM 代理

如果您计划监控补丁合规性,请验证您是否已配置 Systems Manager Patch Manager。您必须使用 Patch Manager 执行修补操作,然后配置合规性才能显示补丁合规性数据。

Systems Manager 补丁管理

如果您计划监控关联合规性,请验证您是否已创建 状态管理器 关联。您必须创建关联,配置合规性才能显示关联合规性数据。

Systems Manager 状态管理

(可选) 创建自定义合规性类型。

Systems Manager 配置合规性管理器演练

(可选) 创建资源数据同步以将所有合规性数据聚合在一个目标 Amazon S3 存储桶。

为配置合规性创建资源数据同步

为配置合规性创建资源数据同步

您可以使用 Systems Manager 资源数据同步将来自所有托管实例的合规性数据发送到目标 Amazon S3 存储桶。在创建同步时,可以指定多个 AWS 账户、AWS 区域和您的本地混合环境的托管实例。收集新的合规性数据后,资源数据同步自动更新集中式数据。所有合规性数据存储在目标 Amazon S3 存储桶中后,您可以使用 Amazon Athena 和 Amazon QuickSight 等服务查询和分析聚合数据。为配置合规性配置资源数据同步是一次性操作。

下图显示资源数据同步如何将来自不同账户、区域和您的混合环境的所有数据聚合到一个中央存储库。

 SSM 配置合规性的资源数据同步

通过使用 Amazon EC2 控制台,使用以下程序创建配置合规性的资源数据同步。

为配置合规性创建资源数据同步

  1. Open the Amazon S3 console at https://console.amazonaws.cn/s3/.

  2. 创建用来存储聚合合规性数据的存储桶。有关更多信息,请参阅 Amazon Simple Storage Service Getting Started Guide 中的创建存储桶。请记下存储桶名称和创建此存储桶的 AWS 区域。

  3. 选择 Permissions 选项卡,然后选择 Bucket Policy

  4. 将下面的存储桶策略复制并粘贴到策略编辑器中。使用您创建的 Amazon S3 存储桶的名称和有效的 AWS 账户 ID 替换 Bucket-NameAccount-ID。或者,使用 Amazon S3 前缀 (子目录) 的名称替换 Bucket-Prefix。如果您未创建前缀,则从该策略的 ARN 中删除 Bucket-Prefix/。

    Copy
    { "Version": "2012-10-17", "Statement": [ { "Sid": "SSMBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::Bucket-Name" }, { "Sid": " SSMBucketDelivery", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:PutObject", "Resource": ["arn:aws:s3:::Bucket-Name/Bucket-Prefix/*/accountid=Account-ID/*"], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }
  5. 打开 Amazon EC2 控制台,在导航窗格中展开 Systems Manager Shared Resources,然后选择 Managed Instances

  6. 选择 Resource Data Syncs,然后选择 Create a Resource Data Sync

  7. Sync Name 字段中,键入同步配置的名称。

  8. Bucket Name 字段中,键入您在此程序开始时创建的 Amazon S3 存储桶的名称。

  9. (可选) 在 Bucket Prefix 字段中,键入 Amazon S3 存储桶前缀 (子目录) 的名称。

  10. Bucket Region 字段中,如果您创建的 Amazon S3 存储桶位于当前 AWS 区域,则选择 This region。如果存储桶位于不同的 AWS 区域,则选择 Another region,然后键入该区域的名称。

    注意

    如果同步和目标 Amazon S3 存储桶位于不同区域,您可能需要支付数据传输价格。有关更多信息,请参阅 Amazon S3 定价

  11. 选择 Create