使用合規 - AWS Systems Manager

使用合規

合規 (AWS Systems Manager 的功能) 會收集並回報有關 Patch Manager 中的修補和 State Manager 中的關聯的狀態資料。(Patch Manager 和State Manager 也是 AWS Systems Manager 的功能。) 合規也會報告您為受管節點指定的自訂合規類型。此部分包含每個合規類型以及如何檢視 Systems Manager 合規資料的詳細資訊。這部分還包含如何查看合規歷程記錄和變更追蹤的相關資訊。

注意

Systems Manager 與 Chef InSpec 整合。InSpec 是開放原始碼執行時間架構,允許您在 GitHub 或 Amazon Simple Storage Service (Amazon S3) 建立人們看得懂的描述檔。然後,您可以使用 Systems Manager 執行合規掃描,檢視合規與不合規的執行個體。如需詳細資訊,請參閱 搭配 Systems Manager 合規使用 Chef InSpec 描述檔

關於修補程式合規

使用 Patch Manager 在執行個體安裝修補程式後,合規狀態資訊會立即於主控台、回應 AWS Command Line Interface (AWS CLI) 命令或對應的 Systems Manager API 操作時提供給您。

如需有關修補程式合規狀態值的詳細資訊,請參閱 了解修補程式合規狀態值

關於State Manager關聯合規

建立一個以上的 State Manager 關聯後,合規狀態資訊會立即於主控台、回應 AWS CLI 命令或對應的 Systems Manager API 操作時提供給您。對於關聯,合規會顯示 CompliantNon-compliant 狀態,以及指派至關聯的嚴重程度,例如 CriticalMedium

關於自訂合規

您可以將合規中繼資料指派至受管節點。然後,此中繼資料可與其他合規資料彙整,用於合規報告。例如,假設您的企業在受管節點上執行版本 2.0、3.0 和 4.0 的軟體 X。公司希望標準化為版本 4.0,這表示執行版本 2.0 和 3.0 的執行個體不合規。您可以使用 PutComplianceItems API 操作來明確指示哪些受管節點執行較舊版本的軟體 X。您只能使用 AWS CLI、AWS Tools for Windows PowerShell 或軟體開發套件指派合規中繼資料。以下 CLI 範例命令會指派合規中繼資料到受管執行個體,並以規定的格式 Custom: 指定合規類型。

Linux & macOS
aws ssm put-compliance-items \ --resource-id i-1234567890abcdef0 \ --resource-type ManagedInstance \ --compliance-type Custom:SoftwareXCheck \ --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \ --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
Windows
aws ssm put-compliance-items ^ --resource-id i-1234567890abcdef0 ^ --resource-type ManagedInstance ^ --compliance-type Custom:SoftwareXCheck ^ --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^ --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
注意

ResourceType 參數僅支援 ManagedInstance。如果將自訂合規新增至受管 AWS IoT Greengrass 核心裝置,則您必須指定 ManagedInstanceResourceType

合規經理便可以查看哪些受管節點合規或不合規的摘要,或建立報告。您最多可以將 10 個不同的自訂合規類型指派至受管節點。

如需如何建立自訂合規類型和檢視合規資料的範例,請參閱 合規演練 (AWS CLI)

檢視目前的合規資料

本部分說明如何使用 Systems Manager 主控台和 AWS CLI 檢視合規資料。如需有關檢視修補程式和關聯合規歷程記錄以及變更追蹤的資訊,請參閱 檢視合規組態歷程記錄和變更追蹤

檢視目前的合規資料 (主控台)

使用以下程序在 Systems Manager 主控台中檢視合規資料。

若要在 Systems Manager 主控台檢視目前的合規報告

  1. 開啟位於 AWS Systems Managerhttps://console.aws.amazon.com/systems-manager/ 的 主控台。https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Compliance (合規)。

    -或-

    如果 AWS Systems Manager 首頁先開啟,選擇選單圖示 ( ) 以開啟導覽窗格,然後在導覽窗格中選擇 Compliance (合規)。

  3. Compliance dashboard filtering (合規儀表板篩選) 區段中,選擇篩選合規資料的選項。Compliance resources summary (合規資源摘要) 區段會根據您選擇的篩選條件,顯示合規資料的計數。

  4. 若要向下鑽研資源以取得詳細資訊,請向下捲動至 Details overview for resources (資源的詳細資料概觀) 區域,然後選擇受管節點的 ID。

  5. Instance ID (執行個體 ID) 或 Name (名稱) 詳細資訊頁面上,選取 Configuration compliance (組態合規) 索引標籤,以檢視受管節點的詳細組態合規報告。

注意

如需有關修復合規問題的資訊,請參閱 使用 EventBridge 修正合規問題

檢視目前的合規資料 (AWS CLI)

您可以使用下列 AWS CLI 命令,在 AWS CLI 檢視修補、關聯、自訂合規類型的合規資料摘要。

list-compliance-summaries

根據您指定的篩選條件,傳回合規與不合規關聯狀態的計數摘要。(API:ListComplianceSummaries)

list-resource-compliance-summaries

傳回資源層級的計數摘要。根據您指定的篩選條件標準,摘要包括有關合規與不合規狀態的資訊,以及詳細的合規項目嚴重程度計數。(API:ListResourceComplianceSummaries)

您可以使用下列 AWS CLI 命令,檢視修補的其他合規資料。

describe-patch-group-state

傳回修補程式群組彙總的高層級修補程式合規狀態。(API:DescribePatchGroupState)

describe-instance-patch-states-for-patch-group

傳回指定修補程式群組執行個體的高層級修補程式狀態。(API:DescribeInstancePatchStatesForPatchGroup)

注意

如需如何使用 AWS CLI 設定修補和檢視修補程式詳細資訊的說明,請參閱 演練:修補伺服器環境 (AWS CLI)

檢視合規組態歷程記錄和變更追蹤

Systems Manager Configuration Compliance 會顯示有關您受管節點目前的修補和關聯合規資料。您可以使用 AWS Config 檢視修補和關聯合規歷程記錄以及變更追蹤。AWS Config 可詳細檢視您 AWS 帳戶 中的 AWS 資源組態。這包含資源彼此之間的關係和之前的組態方式,所以您可以看到一段時間中組態和關係的變化。若要檢視修補和關聯合規歷程記錄和變更追蹤,您必須在 AWS Config 中開啟以下資源:

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

如需如何在 AWS Config 中選擇和設定這些特定資源的資訊,請參閱《AWS Config 開發人員指南》中的選取哪些資源 AWS Config 記錄

注意

如需 AWS Config 定價的資訊,請參閱 定價