Utilisation du service Conformité - AWS Systems Manager
A propos de la conformité des correctifsA propos de la conformité des associations State ManagerA propos de la conformité personnaliséeAffichage des données de conformité actuellesAffichage du suivi des modifications et de l'historique de configuration de la conformité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation du service Conformité

Conformité, une capacité de AWS Systems Manager collecte et de rapport des données sur l'état de l'application des correctifs lors de l'application de Patch Manager correctifs et des associations dans. State Manager (Patch Manageret State Manager sont également toutes deux des fonctionnalités de AWS Systems Manager.) Compliance rapporte également les types de conformité personnalisés que vous avez spécifiés pour vos nœuds gérés. Cette section inclut des détails sur chacun de ces types de conformité et la manière d'afficher les données de conformité Systems Manager. Cette section inclut également des informations sur la façon d'afficher le suivi des modifications et l'historique de conformité.

Note

Systems Manager s'intègre à Chef InSpec. InSpec est un framework d'exécution open source qui vous permet de créer des profils lisibles par l'homme sur GitHub Amazon Simple Storage Service (Amazon S3). Ensuite, vous pouvez utiliser Systems Manager pour exécuter des analyses de conformité et afficher les instances conformes et non conformes. Pour plus d’informations, consultez Utilisation de Chef InSpec profils avec Systems Manager Compliance.

A propos de la conformité des correctifs

Une fois que vous avez utilisé Patch Manager pour installer des correctifs sur vos instances, les informations relatives au statut de conformité sont immédiatement disponibles dans la console, ou en réponse à des commandes de l' AWS Command Line Interface (AWS CLI) ou aux opérations d'API Systems Manager correspondantes.

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Comprendre les valeurs d'état de conformité des correctifs.

A propos de la conformité des associations State Manager

Une fois que vous avez créé une ou plusieurs State Manager associations, les informations relatives au statut de conformité sont immédiatement disponibles dans la console ou en réponse aux AWS CLI commandes ou aux opérations d'API Systems Manager correspondantes. Pour les associations, le service Compliance affiche les statuts Compliant ou Non-compliant et le niveau de sévérité attribué à l'association, tel que Critical ou Medium.

A propos de la conformité personnalisée

Vous pouvez attribuer des métadonnées de conformité à un nœud géré. Ces métadonnées peuvent ensuite être regroupées avec d'autres données de conformité à des fins de génération de rapports sur la conformité. Supposons par exemple que votre entreprise exécute les versions 2.0, 3.0 et 4.0 du logiciel X sur vos nœuds gérés. L'entreprise veut procéder à une normalisation dans la version 4.0, ce qui signifie que les instances qui exécutent les versions 2.0 et 3.0 ne sont pas conformes. Vous pouvez utiliser l'opération PutComplianceItemsAPI pour indiquer explicitement quels nœuds gérés exécutent d'anciennes versions du logiciel X. Vous ne pouvez attribuer des métadonnées de conformité qu'à l' AWS CLI aide du ou des SDK. AWS Tools for Windows PowerShell L'exemple suivant de commande d'interface de ligne de commande attribue des métadonnées de conformité à une instance gérée et spécifie le type de conformité au format requis Custom:. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

Linux & macOS
aws ssm put-compliance-items \
    --resource-id i-1234567890abcdef0 \
    --resource-type ManagedInstance \
    --compliance-type Custom:SoftwareXCheck \
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
Windows
aws ssm put-compliance-items ^
    --resource-id i-1234567890abcdef0 ^
    --resource-type ManagedInstance ^
    --compliance-type Custom:SoftwareXCheck ^
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
Note

Le paramètre ResourceType prend uniquement en charge ManagedInstance. Si vous ajoutez une conformité personnalisée à un appareil principal AWS IoT Greengrass géré, vous devez spécifier un ResourceType de ManagedInstance.

Les gestionnaires de la conformité peuvent ensuite afficher des récapitulatifs ou créer des rapports sur les nœuds gérés conformes ou non. Vous pouvez attribuer au maximum 10 types différents de conformité personnalisée à un nœud géré.

Pour obtenir un exemple montrant comment créer un type de conformité personnalisée et afficher les données de conformité, consultez Démonstration du service Conformité (AWS CLI).

Affichage des données de conformité actuelles

Cette section explique comment afficher les données de conformité dans la console Systems Manager et à l'aide de la AWS CLI. Pour de plus amples informations sur l'affichage du suivi des modifications, ainsi que de l'historique de conformité des associations et des correctifs, veuillez consulter Affichage du suivi des modifications et de l'historique de configuration de la conformité.

Affichage des données de conformité actuelles (console)

Utilisez la procédure suivante pour afficher les données de conformité dans la console Systems Manager.

Pour afficher les rapports de conformité actuelle dans la console Systems Manager

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Compliance (Conformité).

    -ou-

    Si la page d' AWS Systems Manager accueil s'ouvre en premier, choisissez l'icône du menu ( The menu icon ) pour ouvrir le volet de navigation, puis choisissez Compliance dans le volet de navigation.

  3. Dans la section Compliance dashboard filtering (Filtrage du tableau de bord de conformité), sélectionnez une option pour filtrer les données de conformité. La section Compliance resources summary (Synthèse des ressources de conformité) affiche le nombre de données de conformité en fonction du filtre que vous avez choisi.

  4. Pour explorer une ressource en détail, faites défiler vers le bas jusqu'à la zone Details overview for resources (Vue d'ensemble détaillée des ressources) et sélectionnez l'ID d'un nœud géré.

  5. Sur la page Instance ID (ID d'instance) ou Name (Nom), sélectionnez l'onglet Configuration compliance (Conformité de la configuration) afin d'afficher un rapport détaillé de conformité de la configuration pour le nœud géré.

Note

Pour de plus amples informations sur la résolution des problèmes de conformité, veuillez consulter Résolution des problèmes de conformité avec EventBridge.

Affichage des données de conformité actuelles (AWS CLI)

Vous pouvez consulter les résumés des données de conformité pour les correctifs, les associations et les types de conformité personnalisés dans le in à l'aide AWS CLI des commandes suivantes AWS CLI .

list-compliance-summaries

Renvoie un décompte récapitulatif des statuts d'association conformes et non conformes en fonction du filtre que vous spécifiez. (API : ListComplianceSummaries)

list-resource-compliance-summaries

Renvoie un récapitulatif du nombre au niveau des ressources. Ce récapitulatif inclut des informations sur les statuts Conforme et Non conforme et les nombres détaillés de sévérité de l'élément de conformité, en fonction des critères de filtre que vous spécifiez. (API : ListResourceComplianceSummaries)

Vous pouvez afficher des données de conformité supplémentaires pour l'application de correctifs à l'aide des commandes d' AWS CLI suivantes.

describe-patch-group-state

Renvoie l'état des informations globales de conformité des correctifs pour un groupe de correctifs. (API : DescribePatchGroupState)

describe-instance-patch-states-for-patch-group

Renvoie l'état des correctifs de haut niveau pour les instances du groupe de correctifs spécifié. (API : DescribeInstancePatchStatesForPatchGroup)

Note

Pour une illustration de la configuration des correctifs et pour consulter les détails de conformité des correctifs à l'aide du AWS CLI, voirDidacticiel : application de correctifs à un environnement de serveur (AWS CLI).

Affichage du suivi des modifications et de l'historique de configuration de la conformité

Le service Systems Manager Compliance affiche les données actuelles de conformité des associations et de l'application de correctifs pour vos nœuds gérés. Vous pouvez consulter l'historique de conformité des correctifs et des associations ainsi que le suivi des modifications en utilisant AWS Config. AWS Config fournit une vue détaillée de la configuration des AWS ressources de votre Compte AWS. Elle indique comment les ressources sont liées entre elles et comment elles ont été configurées dans le passé, pour que vous puissiez observer comment les configurations et les relations changent au fil du temps. Pour afficher le suivi des modifications et l'historique des associations et de l'application de correctifs, vous devez activer les ressources suivantes dans AWS Config :

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

Pour de plus amples informations sur le choix et la configuration de ces ressources spécifiques dans AWS Config, veuillez consulter Sélection des ressources enregistrées par AWS Config dans le Guide du développeur AWS Config .

Note

Pour plus d'informations sur la AWS Config tarification, consultez la section Tarification.