AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

查看清单历史记录和变更跟踪

您可以使用 AWS Config 查看所有托管实例的清单历史记录和变更追踪。AWS Config 提供关于 AWS 账户中 AWS 资源配置的详细视图。这些信息包括资源之间的关联方式以及资源以前的配置方式,让您了解资源的配置和关系如何随着的时间的推移而更改。要查看清单历史记录和变更跟踪,您必须在 AWS Config 中启用以下资源。

  • SSM:ManagedInstanceInventory

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

注意

启用 SSM:PatchCompliance 和 SSM:AssociationCompliance 后,您即可查看 Patch Manager 修补和 状态管理器 关联的合规历史记录和变更跟踪。有关这些资源的合规性管理的更多信息,请参阅使用配置合规性

以下过程介绍如何通过使用 AWS CLI 在 AWS Config 中启用清单历史记录和变更跟踪记录。有关如何在 AWS Config 中选择和配置这些资源的更多信息,请参阅 AWS Config Developer Guide 中的选择哪些资源 AWS Config 记录。有关 AWS Config 定价的信息,请参阅定价

开始前的准备工作

AWS Config 需要 AWS Identity and Access Management (IAM) 权限才能获取有关 Systems Manager 资源的配置详细信息。在以下过程中,您必须为向 Systems Manager 资源提供 AWS Config 权限的 IAM 角色指定 Amazon 资源名称 (ARN)。您可以将 AWSConfigRole 托管策略附加到分配给 AWS Config 的 IAM 角色。有关如何创建 IAM 角色并将 AWSConfigRole 托管策略分配给该角色,请参阅 IAM User Guide 中的创建向 AWS 服务委托权限的角色

在 AWS Config 中启用清单历史记录和变更跟踪记录

  1. 安装并配置 AWS CLI(如果尚未执行该操作)。

    有关信息,请参阅安装或升级 AWS CLI,然后对其进行配置

  2. 将以下 JSON 示例复制并粘贴到一个简单的文本文件中,并将其另存为 recordingGroup.json。

    { "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::SSM::AssociationCompliance", "AWS::SSM::PatchCompliance", "AWS::SSM::ManagedInstanceInventory" ] }
  3. 运行以下命令以将 recordingGroup.json 文件加载到 AWS Config 中。

    aws configservice put-configuration-recorder --configuration-recorder name=myRecorder,roleARN=arn:aws:iam::123456789012:role/myConfigRole --recording-group file://recordingGroup.json
  4. 运行以下命令以开始记录清单历史记录和变更跟踪。

    aws configservice start-configuration-recorder --configuration-recorder-name myRecorder

在配置历史记录和变更跟踪之后,您可以通过在 Systems Manager 控制台中选择 AWS Config 按钮深入了解某特定托管实例的历史记录。


                Systems Manager 中用于打开 AWS Config 控制台的按钮。

您可以从 Managed Instances (托管实例) 页面或 Inventory (清单) 页面访问 AWS Config 按钮。根据您的监视器大小,您可能需要滚动到页面右侧以查看该按钮。