使用合规性 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用合规性

法规遵从性,一种Amazon Systems Manager,收集和报告有关修补状态的数据Patch Manager修补程序和关联State Manager. (Patch Manager和State Manager也是Amazon Systems Manager。) 合规性还会报告您为实例指定的自定义合规性类型。此部分包含有关每个合规性类型以及如何查看 Systems Manager 合规性数据的详细信息。此部分还包含有关如何查看合规性历史记录和变更跟踪的信息。

注意

Systems Manager 集成到Chef InSpec. InSpec 是一个开源的运行时框架,您可以使用它在 GitHub 或 Amazon Simple Storage Service (Amazon S3) 上创建人工可读的配置文件。然后,您可以使用 Systems Manager 运行合规性扫描并查看合规和不合规的实例。有关更多信息,请参阅 将 Chef InSpec 配置文件与 Systems Manager 兼容使用

关于补丁合规性

在您使用Patch Manager在实例上安装补丁时,控制台、响应或响应Amazon Command Line Interface(Amazon CLI) 命令或相应的 Systems Manager API 操作。

有关补丁合规性状态值的信息,请参阅 了解修补程序合规性状态值

关于 State Manager 关联合规性

在您创建一个或多个State Manager关联,控制台、合规性状态信息将立即出现合规性状态信息。Amazon CLI命令或相应的 Systems Manager API 操作。对于关联,合规性显示Compliant或者Non-compliant和分配给关联的严重性级别,例如Critical或者Medium.

关于自定义合规性

您可以将合规性元数据分配给托管实例。然后此元数据可以与用于合规性报告目的的其他合规性数据聚合。例如,假设您的企业在您的托管实例上运行软件 X 版本 2.0、3.0 和 4.0。公司希望在版本 4.0 上实现标准化,这意味着运行版本 2.0 和 3.0 的实例将不合规。您可以使用PutComplianceItemsAPI 操作显式注释哪些托管实例在运行某软件的较旧版本。您只能使用Amazon CLI、Amazon Tools for Windows PowerShell或软件开发工具包。以下 CLI 示例命令会将合规性元数据分配给一个托管实例并以要求的格式 Custom: 指定合规性类型。

Linux & macOS
aws ssm put-compliance-items \ --resource-id i-1234567890abcdef0 \ --resource-type ManagedInstance \ --compliance-type Custom:SoftwareXCheck \ --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \ --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
Windows
aws ssm put-compliance-items ^ --resource-id i-1234567890abcdef0 ^ --resource-type ManagedInstance ^ --compliance-type Custom:SoftwareXCheck ^ --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^ --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT

然后合规经理可以查看摘要或创建有关哪些实例合规或不合规的报告。您最多可将 10 个不同的自定义合规性类型分配给一个实例。

有关如何创建自定义合规性类型并查看合规性数据的示例,请参阅合规性演练 (Amazon CLI)

查看当前合规性数据

此部分介绍如何在 Systems Manager 控制台中以及如何使用Amazon CLI. 有关如何查看补丁和关联合规性历史记录和变更跟踪的信息,请参阅查看合规性配置历史记录和变更跟踪

查看当前合规性数据(控制台)

使用以下过程在 Systems Manager 控制台中查看合规性数据。

在 Systems Manager 控制台中查看合规性报告

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择合规性.

    -或者-

    如果Amazon Systems Manager首先打开主页,选择菜单图标( )以打开导航窗格,然后选择合规性在导航窗格中。

  3. Details overview for resources (资源详细信息概述) 区域中,选择实例的 ID。

  4. Instance ID (实例 ID) 详细信息页面上,选择 Configuration compliance (配置合规性) 选项卡以查看其详细配置合规性报告。

注意

有关修复合规性问题的信息,请参阅使用 EventBridge 纠正合规性问题

查看当前合规性数据 (Amazon CLI)

可以通过使用以下 Amazon CLI 命令,在 Amazon CLI 中查看修补、关联和自定义合规性类型的合规性数据摘要。

列表合规性摘要

根据您指定的筛选条件返回合规和不合规关联状态的摘要计数。(API:ListComplianceSummaries

清单资源合规性摘要

返回资源级摘要计数。根据您指定的筛选条件,摘要包括有关合规和不合规状态的信息,以及详细的合规性项目严重性计数。(API:ListResourceComplianceSummaries

可以使用以下 Amazon CLI 命令查看修补的其他合规性数据。

描述-补丁组状态

返回补丁组的高级聚合补丁合规性状态。(API:DescribePatchGroupState

描述实例补丁状态为补丁组

返回指定补丁组中实例的高级补丁状态。(API:DescribeInstancePatchStatesForPatchGroup

注意

有关如何使用 Amazon CLI 配置修补和查看补丁合规性详细信息的说明,请参阅 演练:修补服务器环境 (Amazon CLI)

查看合规性配置历史记录和变更跟踪

Systems Manager 合规性显示CRENT的修补和关联合规性数据。您可以使用查看修补和关联合规性历史记录和变更跟踪。Amazon Config.Amazon Config可以提供关于Amazon您的资源 Amazon Web Services 账户 . 这些信息包括资源之间的关联方式以及资源以前的配置方式,让您了解资源的配置和关系如何随着的时间的推移而更改。要查看修补和关联合规性历史记录和变更跟踪,您必须在Amazon Config:

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

有关如何在中选择和配置这些特定资源的信息,请参阅Amazon Config,请参阅选择所记录的资源Amazon Config记录中的 Amazon Config 开发人员指南.

注意

有关 Amazon Config 定价的信息,请参阅 定价