本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
記錄受管執行個體的軟體組態
您可以使用 AWS Config 在 Amazon EC2 執行個體和現場部署伺服器上記錄軟體庫存變更。這可讓您查看軟體組態的歷史變更。例如,在受管理的 Windows 執行個體上安裝新的 Windows 更新時,會 AWS Config 記錄變更,然後將變更傳送至傳遞通道,以便您收到有關變更的通知。使用時 AWS Config,您可以查看代管執行個體安裝 Windows 更新的歷史記錄,以及它們在一段時間內的變更方式。
您必須完成下列步驟才能記錄軟體組態變更:
-
在 AWS Config中開啟受管執行個體清查資源類型的記錄。
-
將 EC2 和內部部署執行個體設定為 AWS Systems Manager中的受管執行個體。受管執行個體是指一種設定為搭配 Systems Manager 使用的機器。
-
使用 Systems Manager 庫存功能,從您的受管執行個體啟動軟體庫存收集。
注意
Systems Manager 現在支援為非受管執行個體建立組態項目
未受管執行個體的組態項目會有
Key: “InstanceStatus”和Value: “Unmanaged”的補充組態。未受管執行個體的組態項目不會收到其他更新
若要接收其他更新,組態項目必須是受管執行個體。
您也可以使用 AWS Config 規則來監視軟體組態變更,並收到變更是否符合規則或不相容的通知。舉例來說,如果您建立規則來檢查您的代管執行個體是否有指定的應用程式,而執行個體並未安裝該應用程式,則會將該執行個體 AWS Config 標記為不符合您的規則。如需受 AWS Config 管規則的清單,請參閱AWS Config 受管規則清單。
在 AWS Config中啟用軟體組態變更的記錄:
-
在 AWS Config中開啟所有支援資源類型的記錄,或是選擇性記錄受管執行個體清查資源類型。如需詳細資訊,請參閱 錄製 AWS 資源。
-
使用包含 AmazonSSM ManagedInstanceCore 受管政策的 Systems Manager 執行個體設定檔來啟動 Amazon EC2 執行個體。此 AWS 受管政策可讓執行個體使用 Systems Manager 服務的核心功能。
如需您可以為 Systems Manager 新增執行個體設定檔的其他政策相關資訊,請參閱《AWS Systems Manager 使用者指南》中的建立 Systems Manager 的 IAM 執行個體設定檔。
重要
SSM 代理程式是為了在雲端中與 Systems Manager 通訊,而必須安裝在受管執行個體的 Amazon 軟體。如果是從 AMI 為下面其中一種作業系統建立 EC2 執行個體,則表示代理程式會預先安裝:
-
Windows Server 2003-2012 R2 AMI 發佈於 2016 月 11 月或之後。
-
Windows Server 2016 和 2019
-
Amazon Linux
-
Amazon Linux 2
-
Ubuntu Server 16.04
-
Ubuntu Server 18.04
如果不是搭配預先安裝代理程式從 AMI 所建立的 EC2 執行個體,則您必須手動安裝代理程式。如需相關資訊,請參閱《AWS Systems Manager 使用者指南》中的下列主題:
-
-
如《AWS Systems Manager 使用者指南》中的設定庫存收集所述,開始庫存收集。Linux 和 Windows 執行個體的程序都是相同的。
AWS Config 可以記錄下列庫存類型的組態變更:
-
應用程式 – 受管執行個體的應用程式清單,例如防毒軟體。
-
AWS 元件 — 代管執行個體的 AWS 元件清單,例如 AWS CLI 和 SDK。
-
執行個體資訊 – 執行個體資訊,例如 OS 名稱和版本、網域,以及防火牆狀態。
-
網路組態 – 組態資訊,例如 IP 地址、閘道和子網路遮罩。
-
Windows 更新 – 受管執行個體的 Windows 更新清單 (僅限 Windows 執行個體)。
注意
AWS Config 目前不支援記錄自訂庫存類型。
-
庫存收集是一種 Systems Manager 功能,而這類功能分組為操作管理、動作和變更、執行個體和節點,以及共用資源等類別。如需詳細資訊,請參閱《AWS Systems Manager 使用者指南》中的什麼是 Systems Manager?以及 Systems Manager 功能。
