檢視清查歷程記錄和變更追蹤 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢視清查歷程記錄和變更追蹤

您能夠使用 AWS Config 來檢視所有受管節點的 AWS Config 庫存歷史記錄和變更追蹤。AWS Systems Manager 可供您詳細檢視 AWS 帳戶 中的 AWS 資源組態。這包含資源彼此之間的關係和之前的組態方式,所以您可以看到一段時間中組態和關係的變化。如要檢視清查歷史記錄和變更追蹤,您必須在 AWS Config 中開啟下列資源:

  • SSM:ManagedInstanceInventory

  • SSM:PatchCompliance

  • SSM:AssociationCompliance

  • SSM:FileData

注意

請注意以下有關庫存歷史記錄和變更追蹤的重要詳細資訊:

  • 如果使用 AWS Config 追蹤系統中的變更,您必須將 Systems Manager 庫存設定為收集 AWS:File 中繼資料,以便可以在 AWS Config (SSM:FileData) 中檢視檔案變更。如果未如此設定,則 AWS Config 不會追蹤系統上的檔案變更。

  • 一旦開啟 SSM:PatchCompliance 與 SSM:AssociationCompliance,您就能檢視 Systems Manager Patch Manager 修補和 Systems Manager State Manager 關聯合規歷史記錄及變更追蹤。如需這些資源的合規管理詳細資訊,請參閱使用合規

以下程序會說明如何使用 AWS Command Line Interface (AWS CLI),在 AWS Config 中開區庫存歷史記錄和變更追蹤記錄功能。如需如何在 AWS Config 中選擇和設定這些資源的詳細資訊,請參閱《AWS Config 開發人員指南》中的選取哪些資源 AWS Config 記錄。如需 AWS Config 定價的資訊,請參閱 定價

開始之前

AWS Config 需具備 AWS Identity and Access Management (IAM) 許可,才能取得 Systems Manager 資源的組態詳細資訊。在以下程序中,您必須指定 IAM 角色的 Amazon Resource Name (ARN),其可將 AWS Config 許可授予給 Systems Manager 資源。您能夠將 AWS_ConfigRole 受管政策連接至指派給 AWS Config 的 IAM 角色。如需有關此角色的詳細資訊,請參閱 AWS Config 開發人員指南AWS 受管理政策:AWS_ ConfigRole。如需如何建立 IAM 角色和指派 AWS_ConfigRole 受管政策給該角色的詳細資訊,請參閱 IAM 使用者指南中的建立角色以將許可指派給 AWS 服務

在 AWS Config 中開啟庫存歷史記錄和變更追蹤記錄功能

  1. 如果您尚未安裝並設定 AWS Command Line Interface (AWS CLI),請進行相應的操作。

    如需相關資訊,請參閱安裝或更新最新版本的 AWS CLI

  2. 複製下列 JSON 範例並貼至簡單的文字檔案,然後將其儲存為 recordingGroup.json。

    {
   "allSupported":false,
   "includeGlobalResourceTypes":false,
   "resourceTypes":[
      "AWS::SSM::AssociationCompliance",
      "AWS::SSM::PatchCompliance",
      "AWS::SSM::ManagedInstanceInventory",
      "AWS::SSM::FileData"
   ]
}

  3. 請執行下列命令,藉此將 recordingGroup.json 檔案載入至 AWS Config。

    aws configservice put-configuration-recorder --configuration-recorder name=myRecorder,roleARN=arn:aws:iam::123456789012:role/myConfigRole --recording-group file://recordingGroup.json

  4. 執行以下命令,即可開始記錄清查歷史記錄和變更追蹤。

    aws configservice start-configuration-recorder --configuration-recorder-name myRecorder

設定歷史記錄和變更追蹤之後,您可以透過選擇 Systems Manager 主控台中的 AWS Config 按鈕向下切入至特定受管節點的歷史記錄。您可以從 Managed Instances (受管執行個體) 頁面或 Inventory (庫存) 頁面存取 AWS Config 按鈕。視螢幕大小而定,您可能需要捲動至頁面右側,才能看見該按鈕。