使用合規

符合性，一種功能 AWS Systems Manager，收集和報告修補中修補狀態和中Patch Manager關聯的資料State Manager。 （Patch Manager並State Manager且也是 AWS Systems Manager.） 合規也會報告您為受管節點指定的自訂合規類型。此部分包含每個合規類型以及如何檢視 Systems Manager 合規資料的詳細資訊。這部分還包含如何查看合規歷程記錄和變更追蹤的相關資訊。

注意

Systems Manager 與 Chef InSpec. InSpec 是開放原始碼的執行階段架構，可讓您在GitHub或 Amazon Simple Storage Service (Amazon S3) 上建立人類可讀的設定檔。然後，您可以使用 Systems Manager 執行合規掃描，檢視合規與不合規的執行個體。如需詳細資訊，請參閱搭Chef InSpec配 Systems Manager 規範使用設定。

關於修補程式合規

使用Patch Manager在執行個體上安裝修補程式之後，您可以立即在主控台中取得符合性狀態資訊，或是回應 AWS Command Line Interface (AWS CLI) 命令或對應的 Systems Manager API 作業。

如需有關修補程式合規狀態值的詳細資訊，請參閱 了解修補程式合規狀態值。

關於State Manager關聯合規

建立一或多個State Manager關聯之後，符合性狀態資訊可立即在主控台中使用，或是回應 AWS CLI 指令或對應的 Systems Manager API 作業。對於關聯，合規會顯示 Compliant 或 Non-compliant 狀態，以及指派至關聯的嚴重程度，例如 Critical 或 Medium。

關於自訂合規

您可以將合規中繼資料指派至受管節點。然後，此中繼資料可與其他合規資料彙整，用於合規報告。例如，假設您的企業在受管節點上執行版本 2.0、3.0 和 4.0 的軟體 X。公司希望標準化為版本 4.0，這表示執行版本 2.0 和 3.0 的執行個體不合規。您可以使用此PutComplianceItemsAPI作業明確記下哪些受管理節點正在執行舊版軟體 X。您只能使用 AWS CLI AWS Tools for Windows PowerShell、或指派符合性中繼資料SDKs。下列CLI範例命令會將符合性中繼資料指派給代管執行個體，並以所需格式指定符合性類型Custom:。替換每個 example resource placeholder 使用您自己的信息。

Linux & macOS

aws ssm put-compliance-items \
    --resource-id i-1234567890abcdef0 \
    --resource-type ManagedInstance \
    --compliance-type Custom:SoftwareXCheck \
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT

Windows

aws ssm put-compliance-items ^
    --resource-id i-1234567890abcdef0 ^
    --resource-type ManagedInstance ^
    --compliance-type Custom:SoftwareXCheck ^
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT

注意

ResourceType 參數僅支援 ManagedInstance。如果將自訂合規新增至受管 AWS IoT Greengrass 核心裝置，則您必須指定 ManagedInstance 的 ResourceType。

合規經理便可以查看哪些受管節點合規或不合規的摘要，或建立報告。您最多可以將 10 個不同的自訂合規類型指派至受管節點。

如需如何建立自訂合規類型和檢視合規資料的範例，請參閱 合規演練 (AWS CLI)。

檢視目前的合規資料

本部分說明如何使用 Systems Manager 主控台和 AWS CLI檢視合規資料。如需有關檢視修補程式和關聯合規歷程記錄以及變更追蹤的資訊，請參閱 檢視合規組態歷程記錄和變更追蹤。

檢視目前的合規資料 (主控台)

使用以下程序在 Systems Manager 主控台中檢視合規資料。

若要在 Systems Manager 主控台檢視目前的合規報告

1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/。

2. 在導覽窗格中，選擇 Compliance (合規)。

3. 在 Compliance dashboard filtering (合規儀表板篩選) 區段中，選擇篩選合規資料的選項。Compliance resources summary (合規資源摘要) 區段會根據您選擇的篩選條件，顯示合規資料的計數。

4. 若要向下鑽研資源以取得詳細資訊，請向下捲動至 Details overview for resources (資源的詳細資料概觀) 區域，然後選擇受管節點的 ID。

5. 在 Instance ID (執行個體 ID) 或 Name (名稱) 詳細資訊頁面上，選取 Configuration compliance (組態合規) 索引標籤，以檢視受管節點的詳細組態合規報告。

注意

如需有關修復合規問題的資訊，請參閱 使用 EventBridge 修正合規問題。

檢視目前的合規資料 (AWS CLI)

您可以使用下列 AWS CLI 命令，在中檢視修補、關聯和自訂符合性類型的相容性資料摘要。 AWS CLI

list-compliance-summaries

根據您指定的篩選條件，傳回合規與不合規關聯狀態的計數摘要。(API: ListComplianceSummaries)

list-resource-compliance-summaries

傳回資源層級的計數摘要。根據您指定的篩選條件標準，摘要包括有關合規與不合規狀態的資訊，以及詳細的合規項目嚴重程度計數。(API: ListResourceComplianceSummaries)

您可以使用下列 AWS CLI 命令，檢視修補的其他合規資料。

describe-patch-group-state

傳回修補程式群組彙總的高層級修補程式合規狀態。(API: DescribePatchGroupState)

describe-instance-patch-states-for-patch-group

傳回指定修補程式群組執行個體的高層級修補程式狀態。(API: DescribeInstancePatchStatesForPatchGroup)

注意

如需如何使用設定修補及檢視修補程式符合性詳細資訊的圖解 AWS CLI，請參閱教學課程：修補伺服器環境 (AWS CLI)。

檢視合規組態歷程記錄和變更追蹤

Systems Manager Configuration Compliance 會顯示有關您受管節點目前的修補和關聯合規資料。您可以使用來檢視修補和關聯規範遵循歷程記錄以及變更追蹤AWS Config。 AWS Config 提供. 中 AWS 資源組態的詳細檢視 AWS 帳戶。這包含資源彼此之間的關係和之前的組態方式，所以您可以看到一段時間中組態和關係的變化。若要檢視修補和關聯合規歷程記錄和變更追蹤，您必須在 AWS Config中開啟以下資源：

• SSM:PatchCompliance

• SSM:AssociationCompliance

如需如何在 AWS Config中選擇和設定這些特定資源的資訊，請參閱《AWS Config 開發人員指南》中的選取哪些資源 AWS Config 記錄。

注意

如需 AWS Config 定價的相關資訊，請參閱定價。