Uso de Compliance
Compliance, una capacidad de AWS Systems Manager, recopila y genera informes de datos sobre el estado de aplicación de parches en Patch Manager, la aplicación de parches y las asociaciones en State Manager. (Patch Manager y State Manager también son capacidades de AWS Systems Manager). Compliance también notifica sobre los tipos de conformidad personalizados que ha especificado para los nodos administrados. En esta sección, se incluyen detalles sobre cada uno de estos tipos de conformidad y sobre cómo ver los datos de conformidad de Systems Manager. En esta sección, también se incluye información sobre cómo ver el seguimiento de cambios y el historial de cumplimiento.
nota
Systems Manager se integra a Chef
InSpec
Acerca de la conformidad de parches
Después de utilizar Patch Manager para instalar los parches en las instancias, la información sobre el estado de la conformidad estará disponible inmediatamente en la consola o como respuesta a los comandos de la AWS Command Line Interface (AWS CLI) o a las operaciones de la API de Systems Manager correspondientes.
Para obtener información sobre los valores de estado de conformidad de parches, consulte Conocimiento de los valores del estado de conformidad de parches.
Acerca de la conformidad de las asociaciones de State Manager
Después de crear una o varias asociaciones de State Manager, la información sobre el estado de la conformidad estará disponible inmediatamente en la consola o como respuesta a los comandos de la AWS CLI o a las operaciones de la API de Systems Manager correspondientes. Para las asociaciones, Compliance muestra los estados Compliant o Non-compliant y el nivel de severidad asignados a la asociación, como, por ejemplo, Critical o Medium.
Acerca de la conformidad personalizada
Puede asignar metadatos de conformidad a un nodo administrado. Estos metadatos se pueden agregar a otros datos de conformidad para elaborar informes de conformidad. Por ejemplo, supongamos que su negocio ejecuta las versiones 2.0, 3.0 y 4.0 del software X en sus nodos administrados. La empresa desea estandarizar la versión 4.0, lo que significa que las instancias que ejecutan las versiones 2.0 y 3.0 no son conformes. Puede utilizar la operación PutComplianceItems de la API para indicar qué nodos administrados ejecutan versiones anteriores del software X. Solo puede asignar los metadatos de conformidad mediante la AWS CLI, AWS Tools for Windows PowerShell o los SDK. El siguiente comando de muestra de la CLI asigna metadatos de conformidad a una instancia administrada y especifica el tipo de conformidad en el formato requerido Custom:. Reemplace cada example resource placeholder con su propia información.
nota
El parámetro ResourceType solo es compatible con ManagedInstance. Si agrega conformidad personalizada a un dispositivo de núcleo de AWS IoT Greengrass administrado, debe especificar un ResourceType de ManagedInstance.
Los administradores de conformidad pueden ver resúmenes o crear informes sobre qué nodos son conformes o no lo son. Puede asignar un máximo de 10 tipos de conformidad personalizados distintos a un nodo administrado.
Para ver un ejemplo de cómo crear un tipo de conformidad personalizada y ver los datos de conformidad, consulte Explicación de Compliance (AWS CLI).
Visualización de los datos de conformidad actuales
En esta sección, se describe cómo ver los datos de conformidad en la consola de Systems Manager y mediante la AWS CLI. Para obtener información sobre cómo ver el seguimiento de cambios y el historial de cumplimiento de los parches y las asociaciones, consulte Visualización del seguimiento de cambios y del historial de Configuration Compliance.
Temas
Visualización de los datos de conformidad actuales (consola)
Utilice el siguiente procedimiento para ver los datos de conformidad en la consola de Systems Manager.
Para ver los informes de conformidad actuales en la consola de Systems Manager
Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/
. En el panel de navegación, elija Compliance.
-
En la sección Compliance dashboard filtering (Filtrado de paneles de conformidad), elija una opción para filtrar los datos de conformidad. La sección Compliance resources summary (Resumen de recursos de conformidad) muestra recuentos de datos de conformidad según el filtro que eligió.
-
Para obtener más información sobre un recurso, desplácese hacia abajo hasta la sección Details overview for resources (Información general de los detalles de los recursos) y elija el ID de un nodo administrado.
-
En la página de detalles Instance ID (ID de instancia) o Name (Nombre), elija la pestaña Configuration compliance (Conformidad de configuración) para ver un informe detallado de conformidad de configuración del nodo administrado.
nota
Para obtener información sobre cómo solucionar los problemas de conformidad, consulte Solución de problemas de conformidad con EventBridge.
Visualización de los datos de conformidad actuales (AWS CLI)
Puede ver resúmenes de los datos de conformidad para la aplicación de parches, las asociaciones y los tipos de conformidad personalizados en la AWS CLI por medio de los siguientes comandos de la AWS CLI.
- list-compliance-summaries
-
devuelve el recuento de resumen de los estados de asociación que son conformes y no conformes según el filtro que especifique. (API: ListComplianceSummaries)
- list-resource-compliance-summaries
-
Devuelve un recuento de resumen de nivel de recurso. El resumen incluye información sobre los estados conformes y no conformes, así como recuentos detallados de gravedad de elemento de conformidad, según los criterios de filtro que especifique. (API: ListResourceComplianceSummaries)
Puede ver los datos de conformidad adicionales para la aplicación de parches por medio de los siguientes comandos de la AWS CLI.
- describe-patch-group-state
-
muestra el estado de conformidad de parches agregados de alto nivel correspondiente a un grupo de parches. (API: DescribePatchGroupState)
- describe-instance-patch-states-for-patch-group
-
devuelve el estado de parche de alto nivel de las instancias en el grupo de parches especificados. (API: DescribeInstancePatchStatesForPatchGroup)
nota
Para ver una ilustración de cómo configurar la aplicación de parches y los detalles de conformidad de los parches; mediante la AWS CLI, consulte Tutorial: implementación de revisiones en un entorno de servidores (AWS CLI).
Visualización del seguimiento de cambios y del historial de Configuration Compliance
Systems Manager Compliance muestra datos de conformidad actuales sobre la aplicación de revisiones y las asociaciones para los nodos administrados. Puede ver el seguimiento de cambios y el historial de conformidad de la aplicación de parches y las asociaciones mediante AWS Config. AWS Config proporciona una vista detallada de la configuración de los recursos de AWS de su Cuenta de AWS. Esto incluye cómo se relacionan los recursos entre sí y cómo se han configurado en el pasado, para que pueda ver cómo las configuraciones y las relaciones cambian a lo largo del tiempo. Para ver el seguimiento de cambios y el historial de conformidad de la aplicación de parches y las asociaciones, debe habilitar los siguientes recursos en AWS Config:
-
SSM:PatchCompliance -
SSM:AssociationCompliance
Para obtener información sobre cómo elegir y configurar estos recursos específicos en AWS Config, consulte Selección de los recursos que debe registrar AWS Config en la Guía del desarrollador de AWS Config.
nota
Para obtener información sobre precios de AWS Config, consulte precios
