Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

适用于 Systems Manager 的 Security Hub 控件

这些 Amazon Security Hub 控制措施评估 Amazon Systems Manager (SSM) 服务和资源。这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息，请参阅 按地区划分的控件可用性。

[SSM.1] 亚马逊 EC2 实例应由以下人员管理 Amazon Systems Manager

相关要求：PCI DSS v3.2.1/2.4、 NIST.800-53.r5 CA-9 (1)、5 (2)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8)、nist.800-53.r NIST.800-53.r5 SA-1 5 SI-2 (3) NIST.800-53.r5 SA-3

类别：识别 > 清单

严重性：中

评估的资源：AWS::EC2::Instance

所需的 Amazon Config 录制资源：AWS::EC2::Instance，AWS::SSM::ManagedInstanceInventory

Amazon Config 规则：ec2-instance-managed-by-systems-manager

计划类型：已触发变更

参数：无

此控件检查您账户中已停止和正在运行的 EC2 实例是否由管理 Amazon Systems Manager。您可以使用 S Amazon Web Services 服务 ystems Manager 来查看和控制您的 Amazon 基础架构。

为了帮助您维护安全性和合规性，Systems Manager 会扫描已停止和正在运行的托管实例。托管实例是配置为与 Systems Manager 一起使用的机器。然后，Systems Manager 会报告其检测到的任何策略违规行为或采取纠正措施。Systems Manager 还可以帮助您配置和维护托管实例。

要了解有关更多信息，请参阅 Amazon Systems Manager 用户指南。

修复

要使用 EC2 Systems Manager 管理实例，请参阅Amazon Systems Manager 用户指南中的亚马逊 EC2主机管理。在配置选项部分，您可以保留默认选项或根据需要对其进行变更，以满足首选配置。

[SSM.2] 安装补丁后，由 Systems Manager 管理的亚马逊 EC2 实例的补丁合规性状态应为 “合规”

相关要求：nist.800-53.r5 CM-8 (3)、nist.800-53.r5 SI-2、nist.800-53.r5 SI-2 (2)、nist.800-53.r5 SI-2 (3)、nist.800-53.r5 SI-2 (5)、nist.800-53.r5 SI-2 (5)、nist.800-53.r5 SI-2 (5)、nist.800-53.r5 SI-2 (5) -171.r2 3.7.1，PCI DSS v3.2.1/6.2，PCI DSS v4.0.1/2.1，PCI DSS v4.0.1/2.1，PCI DSS v4.0.1/6.3.3

类别：检测 > 检测服务

严重性：高

资源类型：AWS::SSM::PatchCompliance

Amazon Config 规则：ec2-managedinstance-patch-compliance-status-check

计划类型：已触发变更

参数：无

该控件在实例上安装补丁后检查 Systems Manager 补丁合规性的合规状态是否为 COMPLIANT 或 NON_COMPLIANT。如果合规性状态为 NON_COMPLIANT，则控制失败。该控件仅检查 Systems Manager Patch Manager 管理的实例。

根据组织要求修补您的 EC2 实例可以减少您的受攻击面。 Amazon Web Services 账户

修复

Systems Manager 建议使用补丁策略为您的托管实例配置补丁。您也可以使用 Systems Manager 文档（如以下过程所述）来修补实例。

[SSM.3] 由 Systems Manager 管理的亚马逊 EC2 实例的关联合规状态应为 “合规”

相关要求： NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)、nist.800-53.r5 CM-8、nist.800-53.r5 CM-8 (1)、nist.800-53.r5 CM-8 (3)、nist.800-53.r5 SI-2 (3)，PCI DSS v3.2.1/2.4，PCI DSS v4.0.1/2.1，PCI DSS v4.0.1/6.3.3

类别：检测 > 检测服务

严重性：低

资源类型：AWS::SSM::AssociationCompliance

Amazon Config 规则：ec2-managedinstance-association-compliance-status-check

计划类型：已触发变更

参数：无

此控件检查 Amazon Systems Manager 关联合规性的状态是COMPLIANT还是关联在实例上运行NON_COMPLIANT之后。如果关联合规性状态为 NON_COMPLIANT，则控制失败。

状态管理器关联是分配给托管实例的配置。该配置定义要在实例上保持的状态。例如，关联可以指定必须在实例上安装并运行防病毒软件，或者必须关闭某些端口。

创建一个或多个状态管理器关联后，您可以立即获得合规状态信息。您可以在控制台中查看合规性状态，也可以在响应 Amazon CLI 命令或相应的 Systems Manager API 操作时查看合规性状态。对于关联，配置合规性显示合规性状态（Compliant 或 Non-compliant）。它还显示分配给关联的严重性级别，例如 Critical 或 Medium。

要了解有关 State Manager 关联合规性的更多信息，请参阅 Amazon Systems Manager 用户指南中的关于 State Manager 关联合规性。

修复

失败的关联可能与不同的事物相关，包括目标和 Systems Manager 文档名称。要修复此问题，您必须首先通过查看关联历史记录来识别和调查关联。有关查看关联历史记录的说明，请参阅 Amazon Systems Manager 用户指南中的查看关联历史记录。

调查完成后，您可以编辑关联以更正已结果的问题。您可以编辑关联以指定新名称、计划、严重级别或目标。编辑关联后， Amazon Systems Manager 创建新版本。有关编辑关联的说明，请参阅 Amazon Systems Manager 用户指南中的编辑和创建关联的新版本。

[SSM.4] SSM 文档不应公开

相关要求： NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)

类别：保护 > 安全网络配置 > 不公开访问的资源

严重性：严重

资源类型：AWS::SSM::Document

Amazon Config 规则：ssm-document-not-public

计划类型：定期

参数：无

此控件检查账户拥有的 Amazon Systems Manager 文档是否公开。如果所有者 Self 的 Systems Manager 文档是公开的，则此控件将失败。

公开的 Systems Manager 文档可能会允许意外访问您的文档。公开的 Systems Manager 文档可能会公开有关账户、资源和内部流程的有价值的信息。

除非使用案例要求公开共享，否则我们建议您阻止对 Self 所有的 Systems Manager 文档进行公开共享设置。

修复

要屏蔽 Systems Manager 文档的公开共享，请参阅《Amazon Systems Manager 用户指南》中的屏蔽 SSM 文档的公开共享。

[SSM.5] 应标记 SSM 文档

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::SSM::Document

Amazon Config 规则：ssm-document-tagged

计划类型：已触发变更

参数：

此控件检查 Amazon Systems Manager 文档是否具有requiredKeyTags参数指定的标签密钥。如果文档没有任何标签密钥，或者它没有requiredKeyTags参数指定的所有密钥，则控件将失败。如果您没有为requiredKeyTags参数指定任何值，则该控件仅检查标签键是否存在，如果文档没有任何标签键，则该控件将失败。该控件会忽略系统标签，系统标签是自动应用的，并且aws:带有前缀。该控件不评估亚马逊拥有的 Systems Manager 文档。

标签是您创建并分配给 Amazon 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可以帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实现基于属性的访问控制 (ABAC) 作为一种授权策略。有关 ABAC 策略的更多信息，请参阅 IA M 用户指南中的基于具有 ABAC 授权的属性定义权限。有关标签的更多信息，请参阅《标签 Amazon 资源和标签编辑器用户指南》。

修复

要向 Amazon Systems Manager 文档添加标签，您可以使用 Amazon Systems Manager API 的AddTagsToResource操作，或者，如果您使用的是 Amazon CLI，则运行add-tags-to-resource命令。您还可以使用 Amazon Systems Manager 控制台。

[SSM.6] SSM 自动化应启用日志记录 CloudWatch

类别：识别 > 日志记录

严重性：中

资源类型：AWS::::Account

Amazon Config 规则：ssm-automation-logging-enabled

计划类型：定期

参数：无

此控件检查是否已启用 Amazon CloudWatch 日志功能 Amazon Systems Manager (SSM) 自动化。如果未为 SSM 自动化启用 CloudWatch 日志记录，则控件将失败。

SSM Automation 是一 Amazon Systems Manager 款工具，可帮助您构建自动化解决方案，以便使用预定义或自定义运行手册大规模部署、配置和管理 Amazon 资源。为了满足贵组织的运营或安全要求，您可能需要提供其运行的脚本的记录。您可以将 SSM Automation 配置为将运行手册中aws:executeScript操作的输出发送到您指定的 Amazon Log CloudWatch s 日志组。使用 CloudWatch 日志，您可以监控、存储和访问各种日志文件 Amazon Web Services 服务。

修复

有关启用 SSM 自动化的 CloudWatch 日志记录的信息，请参阅《Amazon Systems Manager 用户指南》中的使用 CloudWatch 日志记录自动化操作输出。

[SSM.7] SSM 文档应启用屏蔽公共共享设置

类别：保护 > 安全访问管理 > 资源不公开访问

严重性：严重

资源类型：AWS::::Account

Amazon Config 规则：ssm-automation-block-public-sharing

计划类型：定期

参数：无

此控件检查是否为 Amazon Systems Manager 文档启用了阻止公共共享设置。如果禁用 Systems Manager 文档的屏蔽公共共享设置，则控制失败。

Amazon Systems Manager (SSM) 文档的屏蔽公开共享设置是账户级别的设置。启用此设置可以防止对您的 SSM 文档进行不必要的访问。如果您启用此设置，则您的更改不会影响您当前与公众共享的任何 SSM 文档。除非您的用例要求您与公众共享 SSM 文档，否则我们建议您启用屏蔽公开共享设置。每种设置可能有所不同 Amazon Web Services 区域。

修复

有关为 Amazon Systems Manager (SSM) 文档启用 “阻止公开共享” 设置的信息，请参阅《Amazon Systems Manager 用户指南》中的 “屏蔽 SSM 文档的公开共享”。