查看清单历史记录和变更跟踪 - AWS Systems Manager

查看清单历史记录和变更跟踪

您可以使用 AWS Config 查看所有托管式节点的 AWS Systems Manager Inventory 历史记录和更改跟踪。AWS Config 提供了关于 AWS 账户 中 AWS 资源配置的详细视图。这些信息包括资源之间的关联方式以及资源以前的配置方式,让您了解资源的配置和关系如何随着的时间的推移而更改。要查看清单历史记录和更改跟踪,您必须在 AWS Config 中打开以下资源:

  • SSM:ManagedInstanceInventory

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

  • SSM:FileData

注意

请注意关于 Inventory 历史记录和更改跟踪的以下重要详细信息:

  • 如果您使用 AWS Config 来跟踪系统中的更改,则必须配置 Systems Manager Inventory 以收集 AWS:File 元数据,以便能够查看 AWS Config (SSM:FileData) 中的文件更改。如果不进行此配置,则 AWS Config 不会跟踪系统上的文件更改。

  • 通过打开 SSM:PatchCompliance 和 SSM:AssociationCompliance,您可以查看 Systems Manager Patch Manager 修补和 Systems Manager State Manager 关联的合规历史记录及更改跟踪。有关这些资源的合规性管理的更多信息,请参阅 了解有关合规性的详细信息

以下过程介绍了如何使用 AWS Command Line Interface (AWS CLI) 在 AWS Config 中打开清单历史记录和更改跟踪记录。有关如何在 AWS Config 中选择和配置这些资源的更多信息,请参阅 AWS Config Developer Guide 中的选择哪些资源 AWS Config 记录。有关 AWS Config 定价的信息,请参阅 定价

开始之前

AWS Config 需要 AWS Identity and Access Management (IAM) 权限才能获取有关 Systems Manager 资源的配置详细信息。在以下过程中,您必须为向 Systems Manager 资源提供 AWS Config 权限的 IAM 角色指定 Amazon Resource Name (ARN)。您可以将 AWS_ConfigRole 托管式策略附加到分配给 AWS Config 的 IAM 角色。有关该角色的更多信息,请参阅《AWS Config 开发人员指南》中的 AWS 托管式策略:AWS_ConfigRole。要了解如何创建 IAM 角色并将 AWS_ConfigRole 托管式策略分配给该角色,请参阅《IAM 用户指南》中的创建向 AWS 服务 委托权限的角色

在 AWS Config 中打开清单历史记录和更改跟踪记录

  1. 安装并配置 AWS Command Line Interface(AWS CLI)(如果尚未执行该操作)。

    有关信息,请参阅安装或更新 AWS CLI 的最新版本

  2. 将以下 JSON 示例复制并粘贴到一个简单的文本文件中,并将其另存为 recordingGroup.json。

    {
   "allSupported":false,
   "includeGlobalResourceTypes":false,
   "resourceTypes":[
      "AWS::SSM::AssociationCompliance",
      "AWS::SSM::PatchCompliance",
      "AWS::SSM::ManagedInstanceInventory",
      "AWS::SSM::FileData"
   ]
}

  3. 运行以下命令以将 recordingGroup.json 文件加载到 AWS Config 中。

    aws configservice put-configuration-recorder --configuration-recorder name=myRecorder,roleARN=arn:aws:iam::123456789012:role/myConfigRole --recording-group file://recordingGroup.json

  4. 运行以下命令以开始记录清单历史记录和变更跟踪。

    aws configservice start-configuration-recorder --configuration-recorder-name myRecorder

在配置历史记录和更改跟踪后,您可以通过在 Systems Manager 控制台中选择 AWS Config 按钮来深入了解某一特定托管式节点的历史记录。您可以从 Managed Instances(托管式实例)页面或 Inventory(清单)页面访问 AWS Config 按钮。根据您的监视器大小,您可能需要滚动到页面右侧以查看该按钮。