本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon EC2 Systems Manager 控件
这些控制与由管理的 Amazon EC2 实例有关 Amazon Systems Manager。
这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[SSM.1] Amazon EC2 实例应由以下人员管理 Amazon Systems Manager
相关要求:PCI DSS v3.2.1/2.4、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(2)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SA-15(2)、NIST.800-53.r5 SA-15(8)、NIST.800-53.r5 SA-3、NIST.800-53.r5 SI-2(3)。
类别:识别 > 清单
严重性:中
评估的资源:AWS::EC2::Instance
所需的 Amazon Config 录制资源:AWS::EC2::Instance,AWS::SSM::ManagedInstanceInventory
Amazon Config 规则:ec2-instance-managed-by-systems-manager
计划类型:已触发变更
参数:无
此控件检查您账户中已停止和正在运行的 EC2 实例是否由管理 Amazon Systems Manager。您可以使用 S Amazon Web Service ystems Manager 来查看和控制您的 Amazon 基础架构。
为了帮助您维护安全性和合规性,Systems Manager 会扫描已停止和正在运行的托管实例。托管实例是配置为与 Systems Manager 一起使用的机器。然后,Systems Manager 会报告其检测到的任何策略违规行为或采取纠正措施。Systems Manager 还可以帮助您配置和维护托管实例。
要了解有关更多信息,请参阅 Amazon Systems Manager 用户指南。
修复
要使用 Systems Manager 管理 EC2 实例,请参阅 Amazon Systems Manager 用户指南中的 Amazon EC2 主机管理。在配置选项部分,您可以保留默认选项或根据需要对其进行变更,以满足首选配置。
[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态
相关要求:PCI DSS v3.2.1/6.2、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(3)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)。
类别:检测 > 检测服务
严重性:高
资源类型:AWS::SSM::PatchCompliance
Amazon Config 规则:ec2-managedinstance-patch-compliance-status-check
计划类型:已触发变更
参数:无
该控件在实例上安装补丁后检查 Systems Manager 补丁合规性的合规状态是否为 COMPLIANT 或 NON_COMPLIANT。如果合规性状态为 NON_COMPLIANT,则控制失败。该控件仅检查 Systems Manager Patch Manager 管理的实例。
根据您的组织的要求修补 EC2 实例可以减少 Amazon Web Services 账户的攻击面。
修复
Systems Manager 建议使用补丁策略为您的托管实例配置补丁。您也可以使用 Systems Manager 文档(如以下过程所述)来修补实例。
修复不合规的补丁
打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/
。 -
对于节点管理,选择运行命令,然后选择运行命令。
-
选择 Amazon- 的选项RunPatchBaseline。
-
将 Operation (操作) 改为 Install (安装)。
-
选择手动选择实例,然后选择不合规的实例。
-
选择运行。
-
命令完成后,要监控已修补实例的新合规性状态,请在导航窗格中选择合规性。
[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT
相关要求:PCI DSS v3.2.1/2.4、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2(3)。
类别:检测 > 检测服务
严重性:低
资源类型:AWS::SSM::AssociationCompliance
Amazon Config 规则:ec2-managedinstance-association-compliance-status-check
计划类型:已触发变更
参数:无
此控件检查 Amazon Systems Manager 关联合规性的状态是COMPLIANT还是关联在实例上运行NON_COMPLIANT之后。如果关联合规性状态为 NON_COMPLIANT,则控制失败。
状态管理器关联是分配给托管实例的配置。该配置定义要在实例上保持的状态。例如,关联可以指定必须在实例上安装并运行防病毒软件,或者必须关闭某些端口。
创建一个或多个状态管理器关联后,您可以立即获得合规状态信息。您可以在控制台中查看合规性状态,也可以在响应 Amazon CLI 命令或相应的 Systems Manager API 操作时查看合规性状态。对于关联,配置合规性显示合规性状态(Compliant 或 Non-compliant)。它还显示分配给关联的严重性级别,例如 Critical 或 Medium。
要了解有关 State Manager 关联合规性的更多信息,请参阅 Amazon Systems Manager 用户指南中的关于 State Manager 关联合规性。
修复
失败的关联可能与不同的事物相关,包括目标和 SSM 文档名称。要修复此问题,您必须首先通过查看关联历史记录来识别和调查关联。有关查看关联历史记录的说明,请参阅 Amazon Systems Manager 用户指南中的查看关联历史记录。
调查完成后,您可以编辑关联以更正已结果的问题。您可以编辑关联以指定新名称、计划、严重级别或目标。编辑关联后, Amazon Systems Manager 创建新版本。有关编辑关联的说明,请参阅 Amazon Systems Manager 用户指南中的编辑和创建关联的新版本。
[SSM.4] SSM 文档不应公开
相关要求:NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)。
类别:保护 > 安全网络配置 > 不公开访问的资源
严重性:严重
资源类型:AWS::SSM::Document
Amazon Config 规则:ssm-document-not-public
计划类型:定期
参数:无
此控件检查账户拥有的 Amazon Systems Manager 文档是否公开。如果所有者 Self 的 SSM 文档是公开的,则此控制失败。
公开的 SSM 文档可能会允许文档被意外访问。公共 SSM 文档可以公开有关账户、资源和内部流程的有价值的信息。
除非使用案例要求公开共享,否则我们建议您阻止对 Self 所有的 Systems Manager 文档进行公开共享设置。
修复
要阻止 SSM 文档的公开共享,请参阅 Amazon Systems Manager 用户指南中的屏蔽 SSM 文档的公开共享。