Amazon EC2 Systems Manager
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

Systems Manager 配置合规性管理器演练

以下步骤为您演示了使用 PutComplianceItems API 操作将自定义合规性元数据分配给资源的过程。您也可以使用此 API 操作手动将补丁或关联合规性元数据分配给某个实例,如以下演练中所示。有关自定义合规性的更多信息,请参阅关于自定义合规性

将自定义合规性元数据分配给托管实例

  1. 在您的本地计算机上,下载最新版本的 AWS CLI。

  2. 打开 AWS CLI 并运行以下命令指定您的凭证和区域。您必须在 Amazon EC2 中具有管理员权限,或者您必须在 AWS Identity and Access Management (IAM) 中被授予相应权限。

    Copy
    aws configure

    系统将提示您指定以下内容。

    Copy
    AWS Access Key ID [None]: key_name AWS Secret Access Key [None]: key_name Default region name [None]: region Default output format [None]: ENTER
  3. 执行以下命令,以便将自定义合规性元数据分配给某个实例。当前,仅支持 ManagedInstance 资源类型。

    Copy
    aws ssm put-compliance-items --resource-id Instance ID --resource-type ManagedInstance --compliance-type Custom:User-defined string --execution-summary ExecutionTime=User-defined time and/or date value --items Id=User-defined ID,Title=User-defined title,Severity=One or more comma-separated severities:CRITICAL,MAJOR,MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANt
  4. 重复上一步以将其他自定义合规性元数据分配给一个或多个实例。您也可以使用以下命令将补丁或关联合规性元数据手动分配给托管实例:

    关联合规性元数据

    Copy
    aws ssm put-compliance-items --resource-id Instance ID --resource-type ManagedInstance --compliance-type Association --execution-summary ExecutionTime=User-defined time and/or date value --items Id=User-defined ID,Title=User-defined title,Severity=One or more comma-separated severities:CRITICAL,MAJOR,MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{DocumentName=The SSM document for the association,DocumentVersion=A version number}"

    补丁合规性元数据

    Copy
    aws ssm put-compliance-items --resource-id Instance ID --resource-type ManagedInstance --compliance-type Patch --execution-summary ExecutionTime=User-defined time and/or date value,ExecutionId=User-defined ID,ExecutionType=Command --items Id=for example, KB12345,Title=User-defined title,Severity=One or more comma-separated severities:CRITICAL,MAJOR,MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{PatchGroup=Name of group,PatchSeverity=The patch severity, for example, CRITICAL}"
  5. 执行以下命令,查看特定托管实例的合规性项目列表。使用筛选条件深入了解特定合规性数据。

    Copy
    aws ssm list-compliance-items --resource-ids Instance ID --resource-types ManagedInstance --filters One or more filters.

    以下示例向您演示如何将此命令与筛选条件结合使用。

    Copy
    aws ssm list-compliance-items --resource-ids i-1234567890abcdef0 --resource-type ManagedInstance --filters Key=DocumentName,Values=AWS-RunPowerShellScript Key=Status,Values=NON_COMPLIANT,Type=NotEqual Key=Id,Values=cee20ae7-6388-488e-8be1-a88cc6c46dcc Key=Severity,Values=UNSPECIFIED
    Copy
    aws ssm list-resource-compliance-summaries --filters Key=OverallSeverity,Values=UNSPECIFIED
    Copy
    aws ssm list-resource-compliance-summaries --filters Key=OverallSeverity,Values=UNSPECIFIED Key=ComplianceType,Values=Association Key=InstanceId,Values=i-1234567890abcdef0
  6. 执行以下命令查看合规性状态的摘要。使用筛选条件深入了解特定合规性数据。

    Copy
    aws ssm list-resource-compliance-summaries --filters One or more filters.

    以下示例向您演示如何将此命令与筛选条件结合使用。

    Copy
    aws ssm list-resource-compliance-summaries --filters Key=ExecutionType,Values=Command
    Copy
    aws ssm list-resource-compliance-summaries --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=OverallSeverity,Values=CRITICAL
  7. 执行以下命令查看某个合规性类型的合规资源和不合规资源的摘要计数。使用筛选条件深入了解特定合规性数据。

    Copy
    aws ssm list-compliance-summaries --filters One or more filters.

    以下示例向您演示如何将此命令与筛选条件结合使用。

    Copy
    aws ssm list-compliance-summaries --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=PatchGroup,Values=TestGroup
    Copy
    aws ssm list-compliance-summaries --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=ExecutionId,Values=4adf0526-6aed-4694-97a5-145222f4c2b6