查看清单历史记录和变更跟踪 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看清单历史记录和变更跟踪

您可以使用 Amazon Config 查看所有托管式节点的 Amazon Systems Manager Inventory 历史记录和更改跟踪。Amazon Config 提供了关于 Amazon Web Services 账户 中 Amazon 资源配置的详细视图。这些信息包括资源之间的关联方式以及资源以前的配置方式,让您了解资源的配置和关系如何随着的时间的推移而更改。要查看清单历史记录和更改跟踪,您必须在 Amazon Config 中打开以下资源:

  • SSM:ManagedInstanceInventory

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

  • SSM:FileData

注意

请注意关于 Inventory 历史记录和更改跟踪的以下重要详细信息:

  • 如果您使用 Amazon Config 来跟踪系统中的更改,则必须配置 Systems Manager Inventory 以收集 AWS:File 元数据,以便能够查看 Amazon Config (SSM:FileData) 中的文件更改。如果不进行此配置,则 Amazon Config 不会跟踪系统上的文件更改。

  • 通过打开 SSM:PatchCompliance 和 SSM:AssociationCompliance,您可以查看 Systems Manager Patch Manager 修补和 Systems Manager State Manager 关联的合规历史记录及更改跟踪。有关这些资源的合规性管理的更多信息,请参阅 使用 Compliance

以下过程介绍了如何使用 Amazon Command Line Interface (Amazon CLI) 在 Amazon Config 中打开清单历史记录和更改跟踪记录。有关如何在 Amazon Config 中选择和配置这些资源的更多信息,请参阅 Amazon Config Developer Guide 中的选择哪些资源 Amazon Config 记录。有关 Amazon Config 定价的信息,请参阅 定价

开始前的准备工作

Amazon Config 需要 Amazon Identity and Access Management (IAM) 权限才能获取有关 Systems Manager 资源的配置详细信息。在以下过程中,您必须为向 Systems Manager 资源提供 Amazon Config 权限的 IAM 角色指定 Amazon Resource Name (ARN)。您可以将 Amazon_ConfigRole 托管式策略附加到分配给 Amazon Config 的 IAM 角色。有关该角色的更多信息,请参阅《Amazon Config 开发人员指南》中的 Amazon 托管式策略:Amazon_ConfigRole。要了解如何创建 IAM 角色并将 Amazon_ConfigRole 托管式策略分配给该角色,请参阅《IAM 用户指南》中的创建向 Amazon Web Service 委托权限的角色

在 Amazon Config 中打开清单历史记录和更改跟踪记录
  1. 安装并配置 Amazon Command Line Interface (Amazon CLI)(如果尚未执行该操作)。

    有关信息,请参阅安装或更新 Amazon CLI 的最新版本

  2. 将以下 JSON 示例复制并粘贴到一个简单的文本文件中,并将其另存为 recordingGroup.json。

    { "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::SSM::AssociationCompliance", "AWS::SSM::PatchCompliance", "AWS::SSM::ManagedInstanceInventory", "AWS::SSM::FileData" ] }
  3. 运行以下命令以将 recordingGroup.json 文件加载到 Amazon Config 中。

    aws configservice put-configuration-recorder --configuration-recorder name=myRecorder,roleARN=arn:aws:iam::123456789012:role/myConfigRole --recording-group file://recordingGroup.json
  4. 运行以下命令以开始记录清单历史记录和变更跟踪。

    aws configservice start-configuration-recorder --configuration-recorder-name myRecorder

在配置历史记录和更改跟踪后,您可以通过在 Systems Manager 控制台中选择 Amazon Config 按钮来深入了解某一特定托管式节点的历史记录。您可以从 Managed Instances(托管式实例)页面或 Inventory(清单)页面访问 Amazon Config 按钮。根据您的监视器大小,您可能需要滚动到页面右侧以查看该按钮。