AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

查看清单历史记录和变更跟踪

您可以通过使用 AWS Config 查看您的所有托管实例的清单历史记录和变更跟踪。AWS Config 可以提供关于您的 AWS 账户中 AWS 资源配置的详细信息。这些信息包括资源之间的关联方式以及资源以前的配置方式,让您了解资源的配置和关系如何随着的时间的推移而更改。要查看清单历史记录和变更跟踪,您必须在 AWS Config 中启用以下资源。

  • SSM:ManagedInstanceInventory

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

注意

启用 SSM:PatchCompliance 和 SSM:AssociationCompliance 后,您即可查看 Patch Manager 修补和 状态管理器 关联的合规历史记录和变更跟踪。有关这些资源的合规性管理的更多信息,请参阅使用配置合规性

以下过程介绍了如何通过使用 AWS CLI 在 AWS Config 中启用清单历史记录和变更跟踪记录。有关如何在 AWS Config 中选择和配置这些资源的更多信息,请参阅 AWS Config Developer Guide 中的选择哪些资源 AWS Config 记录。有关 AWS Config 定价的信息,请参阅定价

在您开始之前

AWS Config 需要 AWS Identity and Access Management (IAM) 权限才能获取有关 Systems Manager 资源的配置详细信息。在以下过程中,您必须为向 Systems Manager 资源提供 AWS Config 权限的 IAM 角色指定 Amazon 资源名称 (ARN)。您可以将 AWSConfigRole 托管策略附加到分配给 AWS Config 的 IAM 角色。有关如何创建 IAM 角色并将 AWSConfigRole 托管策略分配给该角色,请参阅 IAM User Guide 中的创建向 AWS 服务委托权限的角色

在 AWS Config 中启用清单历史记录和变更跟踪记录

  1. 在您的本地计算机上,下载最新版本的 AWS CLI。

  2. 打开 AWS CLI 并运行以下命令指定您的凭证和区域。您必须具有管理员特权,或者必须在 AWS Identity and Access Management (IAM) 中已获相应权限授予。

    aws configure

    系统将提示您指定以下内容。

    AWS Access Key ID [None]: key_name AWS Secret Access Key [None]: key_name Default region name [None]: region Default output format [None]: ENTER
  3. 将以下 JSON 示例复制并粘贴到一个简单的文本文件中,并将其另存为 recordingGroup.json。

    { "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::SSM::AssociationCompliance", "AWS::SSM::PatchCompliance", "AWS::SSM::ManagedInstanceInventory" ] }
  4. 执行以下命令以将 recordingGroup.json 文件加载到 AWS Config 中。

    aws configservice put-configuration-recorder --configuration-recorder name=myRecorder,roleARN=arn:aws:iam::123456789012:role/myConfigRole --recording-group file://recordingGroup.json
  5. 执行以下命令以开始记录清单历史记录和变更跟踪。

    aws configservice start-configuration-recorder --configuration-recorder-name myRecorder

在配置历史记录和变更跟踪之后,您可以通过在 Systems Manager 控制台中选择 AWS Config 按钮来深入了解某特定托管实例的历史记录。

 Systems Manager 中用于打开 AWS Config 控制台的按钮。

您可以从 Managed Instances (托管实例) 页面或 Inventory (清单) 页面访问 AWS Config 按钮。根据您的监视器大小,您可能需要滚动到页面右侧以查看该按钮。