• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Conformité d'AWS Systems Manager
<a name="systems-manager-compliance"></a>

Vous pouvez utiliser Compliance, un outil intégré AWS Systems Manager, pour analyser votre parc de nœuds gérés afin de détecter la conformité des correctifs et les incohérences de configuration. Vous pouvez collecter et agréger des données provenant de plusieurs Comptes AWS régions, puis explorer les ressources spécifiques qui ne sont pas conformes. Par défaut, le service Conformité affiche les données de conformité actuelles relatives à l’application de correctifs dans Patch Manager et aux associations dans State Manager. (Patch Manager et State Manager sont également des outils d’ AWS Systems Manager.) Pour vos débuts dans la section conformité, ouvrez [Systems Manager console](https://console.aws.amazon.com//systems-manager/compliance) (la console Systems Manager). Dans le panneau de navigation, sélectionnez **Compliance (Conformité)**.

Les données de conformité des correctifs Patch Manager peuvent être envoyées à AWS Security Hub CSPM. Security Hub CSPM vous donne une vue complète de vos alertes de sécurité prioritaires et de l'état de conformité. Il surveille également le statut d'application des correctifs de votre flotte. Pour de plus amples informations, veuillez consulter [Intégration Patch Manager avec AWS Security Hub CSPM](patch-manager-security-hub-integration.md). 

La conformité offre les avantages et fonctions supplémentaires suivants : 
+ Affichage du suivi des modifications et de l'historique de conformité pour les données de correctifs de Patch Manager et les associations State Manager à l'aide d' AWS Config.
+ Personnalisation de la conformité pour créer vos propres types de conformité en fonction de vos exigences métier ou informatiques.
+ Résolvez les problèmes en utilisant Run Command un autre outil dans AWS Systems ManagerState Manager, ou Amazon EventBridge.
+ Transférez les données vers Amazon Athena et Amazon Quick pour générer des rapports à l'échelle de la flotte.

**EventBridge soutien**  
Cet outil Systems Manager est pris en charge en tant que type d'*événement* dans les EventBridge règles d'Amazon. Pour plus d’informations, consultez [Surveillance des événements de Systems Manager avec Amazon EventBridge](monitoring-eventbridge-events.md) et [Référence : modèles et types d' EventBridge événements Amazon pour Systems Manager](reference-eventbridge-events.md).

**intégration d’Chef InSpec**  
Systems Manager s'intègre à [https://www.chef.io/inspec/](https://www.chef.io/inspec/). InSpec est un framework d'exécution open source qui vous permet de créer des profils lisibles par l'homme sur GitHub Amazon Simple Storage Service (Amazon S3). Vous pouvez ensuite utiliser Systems Manager pour exécuter des analyses de conformité et afficher les nœuds gérés conformes et non conformes. Pour de plus amples informations, veuillez consulter [Utilisation des profils Chef InSpec avec la conformité de Systems Manager](integration-chef-inspec.md).

**Tarification**  
Le service Compliance est fourni sans frais supplémentaires. Vous ne payez que pour les AWS ressources que vous utilisez.

**Topics**
+ [Mise en route avec le service Conformité](compliance-prerequisites.md)
+ [Configurer les autorisations pour la conformité](compliance-permissions.md)
+ [Création d'une synchronisation de données de ressources pour Compliance](compliance-datasync-create.md)
+ [En savoir plus sur la conformité](compliance-about.md)
+ [Suppression d'une synchronisation de données de ressources pour le service Conformité](systems-manager-compliance-delete-RDS.md)
+ [Résolution des problèmes de conformité avec EventBridge](compliance-fixing.md)
+ [Attribuez des métadonnées de conformité personnalisées à l'aide du AWS CLI](compliance-custom-metadata-cli.md)

# Mise en route avec le service Conformité
<a name="compliance-prerequisites"></a>

Pour commencer à utiliser le service Compliance, un outil d’AWS Systems Manager, effectuez les tâches suivantes.


****  

| Tâche | Pour plus d'informations | 
| --- | --- | 
|  Le service Compliance utilise des données d’application de correctifs dans Patch Manager et des associations dans State Manager. (Patch Manager et State Manager sont également des outils d’AWS Systems Manager.) Le service Conformité utilise également des types de conformité personnalisés sur les nœud gérés avec Systems Manager. Vérifiez que vous avez satisfait la configuration requise pour vos instances Amazon Elastic Compute Cloud (Amazon EC2) et vos machines non EC2 dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types).  |  [Configuration de la console unifiée Systems Manager pour une organisation](systems-manager-setting-up-organizations.md)  | 
|  Mettez à jour le rôle Gestion des identités et des accès AWS (IAM) utilisé par vos nœuds gérés pour restreindre les autorisations de conformité.  |  [Configurer les autorisations pour la conformité](compliance-permissions.md)  | 
|  Si vous prévoyez de surveiller la conformité des correctifs, vérifiez que vous avez configuré Patch Manager. Vous devez effectuer des opérations d'application de correctifs à l'aide de Patch Manager pour que le service Compliance puisse afficher les données de conformité des correctifs.  |  [AWS Systems Manager Patch Manager](patch-manager.md)  | 
|  Si vous envisagez de surveiller la conformité des associations, vérifiez que vous avez créé des associations State Manager. Vous devez créer des associations pour que Compliance puisse afficher les données de conformité des associations.  |  [AWS Systems Manager State Manager](systems-manager-state.md)  | 
|  (Facultatif) Configurez le système pour afficher le suivi des modifications et l'historique de conformité.   |  [Affichage du suivi des modifications et de l'historique de configuration de la conformité](compliance-about.md#compliance-history)  | 
|  (Facultatif) Créez des types de conformité personnalisée.   |  [Attribuez des métadonnées de conformité personnalisées à l'aide du AWS CLI](compliance-custom-metadata-cli.md)  | 
|  (Facultatif) Créez une synchronisation de données de ressources pour agréger toutes les données de conformité dans un compartiment Amazon Simple Storage Service (Amazon S3) cible.  |  [Création d'une synchronisation de données de ressources pour Compliance](compliance-datasync-create.md)  | 

# Configurer les autorisations pour la conformité
<a name="compliance-permissions"></a>

Pour des raisons de sécurité, nous vous recommandons de mettre à jour le rôle Gestion des identités et des accès AWS (IAM) utilisé par vos nœuds gérés avec les autorisations suivantes afin de limiter la capacité du nœud à utiliser l'action d'[PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html)API. Cette action d'API enregistre un type de conformité et d'autres informations de conformité sur une ressource désignée, telle qu'une EC2 instance Amazon ou un nœud géré.

Si votre nœud est une EC2 instance Amazon, vous devez mettre à jour le profil d'instance IAM utilisé par l'instance avec les autorisations suivantes. Pour plus d'informations sur les profils d' EC2 instance gérés par les instances par Systems Manager, consultez[Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md). Pour les autres types de nœuds gérés, mettez à jour le rôle IAM utilisé par le nœud avec les autorisations suivantes. Pour plus d’informations, consultez [Mettre à jour les autorisations pour un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html) dans le *Guide de l’utilisateur IAM*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutComplianceItems"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:SourceInstanceARN": "${ec2:SourceInstanceARN}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutComplianceItems"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ssm:SourceInstanceARN": "${ssm:SourceInstanceARN}"
                }
            }
        }
    ]
}
```

------

# Création d'une synchronisation de données de ressources pour Compliance
<a name="compliance-datasync-create"></a>

Vous pouvez utiliser la fonctionnalité de synchronisation des données de ressources AWS Systems Manager pour envoyer les données de conformité de tous vos nœuds gérés vers un compartiment Amazon Simple Storage Service (Amazon S3) cible. Lorsque vous créez la synchronisation, vous pouvez spécifier des nœuds gérés à partir de plusieurs Comptes AWS, Régions AWS, ainsi que de votre environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types). La synchronisation de données de ressources met alors automatiquement à jour les données centralisées lors de la collecte de nouvelles données de conformité. Toutes les données de conformité étant stockées dans un compartiment S3 cible, vous pouvez utiliser des services tels qu'Amazon Athena et Amazon Quick pour interroger et analyser les données agrégées. La configuration de la synchronisation de données de ressources pour Compliance est une opération unique.

Utilisez la procédure suivante pour créer une synchronisation de données de ressources pour Compliance en utilisant la AWS Management Console.

**Pour créer et configurer un compartiment S3 pour la synchronisation de données de ressources (console)**

1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Créez un compartiment pour stocker vos données de conformité agrégées. Pour plus d'informations, consultez [Création d'un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) dans le *Guide de l'utilisateur d'Amazon Simple Storage Service*. Notez le nom du bucket et l' Région AWS endroit où vous l'avez créé.

1. Ouvrez le compartiment, sélectionnez l'onglet **Autorisations**, puis sélectionnez **Politique de compartiment**.

1. Copiez et collez la politique de compartiment suivante dans l'éditeur de politique. Remplacez amzn-s3-demo-bucket par le nom du compartiment S3 que vous avez créé et *Account-ID* un identifiant valide. Compte AWS Vous pouvez éventuellement le *Bucket-Prefix* remplacer par le nom d'un préfixe Amazon S3 (sous-répertoire). Si vous n'avez pas créé de préfixe, supprimez*Bucket-Prefix*/de l'ARN dans la politique. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "SSMBucketPermissionsCheck",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": "s3:GetBucketAcl",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
           },
           {
               "Sid": " SSMBucketDelivery",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/Bucket-Prefix/*/accountid=111122223333/*"],
               "Condition": {
                   "StringEquals": {
                       "s3:x-amz-acl": "bucket-owner-full-control"
                   }
               }
           }
       ]
   }
   ```

------

**Pour créer une synchronisation de données de ressources**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Fleet Manager**.

1. Sélectionnez **Accoung management (Gestion du compte)**, **Resource Data Syncs (Synchronisations de données de ressources)**, puis **Create resource data sync (Créer une synchronisation de données de ressources)**.

1. Dans le champ **Sync name (Nom de la synchronisation)**, saisissez un nom pour la configuration de la synchronisation.

1. Dans le champ **Bucket name (Nom du compartiment)**, saisissez le nom du compartiment Amazon S3 créé au début de cette procédure.

1. (Facultatif) Dans le champ **Préfixe du compartiment**, saisissez le nom d'un préfixe de compartiment S3 (sous-répertoire).

1. Dans le champ **Région du compartiment**, sélectionnez **Cette région** si le compartiment S3 créé est localisé dans la Région AWS actuelle. Si le compartiment se trouve dans une **autre région Région AWS, choisissez Another region**, puis entrez le nom de la région.
**Note**  
Si la synchronisation et le compartiment S3 cible sont localisés dans des régions différentes, vous pourriez être sujet à une tarification de transfert de données. Pour plus d'informations, consultez [Tarification Amazon S3](https://aws.amazon.com/s3/pricing/).

1. Choisissez **Créer**.

# En savoir plus sur la conformité
<a name="compliance-about"></a>

Compliance, un outil de AWS Systems Manager, collecte et rapporte des données sur l'état de l'application des correctifs dans le cadre des Patch Manager correctifs et des associations dans. State Manager (Patch Manageret State Manager les deux outils sont également intégrés AWS Systems Manager.) Compliance rapporte également les types de conformité personnalisés que vous avez spécifiés pour vos nœuds gérés. Cette section inclut des détails sur chacun de ces types de conformité et la manière d'afficher les données de conformité Systems Manager. Cette section inclut également des informations sur la façon d'afficher le suivi des modifications et l'historique de conformité.

**Note**  
Systems Manager s'intègre à [https://www.chef.io/inspec/](https://www.chef.io/inspec/). InSpec est un framework d'exécution open source qui vous permet de créer des profils lisibles par l'homme sur GitHub Amazon Simple Storage Service (Amazon S3). Ensuite, vous pouvez utiliser Systems Manager pour exécuter des analyses de conformité et afficher les instances conformes et non conformes. Pour de plus amples informations, veuillez consulter [Utilisation des profils Chef InSpec avec la conformité de Systems Manager](integration-chef-inspec.md).

## A propos de la conformité des correctifs
<a name="compliance-monitor-patch"></a>

Une fois que vous avez utilisé Patch Manager pour installer des correctifs sur vos instances, les informations relatives au statut de conformité sont immédiatement disponibles dans la console, ou en réponse à des commandes de l' AWS Command Line Interface (AWS CLI) ou aux opérations d'API Systems Manager correspondantes.

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter [Valeurs de l’état de conformité des correctifs](patch-manager-compliance-states.md).

## A propos de la conformité des associations State Manager
<a name="compliance-about-association"></a>

Une fois que vous avez créé une ou plusieurs State Manager associations, les informations relatives au statut de conformité sont immédiatement disponibles dans la console ou en réponse aux AWS CLI commandes ou aux opérations d'API Systems Manager correspondantes. Pour les associations, le service Compliance affiche les statuts `Compliant` ou `Non-compliant` et le niveau de sévérité attribué à l'association, tel que `Critical` ou `Medium`.

Lorsque State Manager exécute une association sur un nœud géré, il déclenche un processus d’agrégation de conformité qui met à jour l’état de conformité de toutes les associations sur ce nœud. La valeur `ExecutionTime` figurant dans les rapports de conformité représente le moment où l’état de conformité a été capturé par Systems Manager, et non le moment où l’association a été exécutée sur le nœud géré. Cela signifie que plusieurs associations peuvent afficher des valeurs `ExecutionTime` identiques, même si elles ont été exécutées à des moments différents. Pour déterminer les temps d'exécution réels de l'association, consultez l'historique d'exécution de l'association à l'aide de la AWS CLI commande [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association-execution-targets.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association-execution-targets.html)ou en consultant les détails de l'exécution dans la console.

## A propos de la conformité personnalisée
<a name="compliance-custom"></a>

Vous pouvez attribuer des métadonnées de conformité à un nœud géré. Ces métadonnées peuvent ensuite être regroupées avec d'autres données de conformité à des fins de génération de rapports sur la conformité. Supposons par exemple que votre entreprise exécute les versions 2.0, 3.0 et 4.0 du logiciel X sur vos nœuds gérés. L'entreprise veut procéder à une normalisation dans la version 4.0, ce qui signifie que les instances qui exécutent les versions 2.0 et 3.0 ne sont pas conformes. Vous pouvez utiliser l'opération [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html)API pour indiquer explicitement quels nœuds gérés exécutent d'anciennes versions du logiciel X. Vous ne pouvez attribuer des métadonnées de conformité qu'en utilisant le AWS CLI AWS Tools for Windows PowerShell, ou le SDKs. L'exemple suivant de commande d'interface de ligne de commande attribue des métadonnées de conformité à une instance gérée et spécifie le type de conformité au format requis `Custom:`. Remplacez chaque *example resource placeholder* par vos propres informations.

------
#### [ Linux & macOS ]

```
aws ssm put-compliance-items \
    --resource-id i-1234567890abcdef0 \
    --resource-type ManagedInstance \
    --compliance-type Custom:SoftwareXCheck \
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
```

------
#### [ Windows ]

```
aws ssm put-compliance-items ^
    --resource-id i-1234567890abcdef0 ^
    --resource-type ManagedInstance ^
    --compliance-type Custom:SoftwareXCheck ^
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
```

------

**Note**  
Le paramètre `ResourceType` prend uniquement en charge `ManagedInstance`. Si vous ajoutez une conformité personnalisée à un appareil principal AWS IoT Greengrass géré, vous devez spécifier un `ResourceType` de `ManagedInstance`.

Les gestionnaires de la conformité peuvent ensuite afficher des récapitulatifs ou créer des rapports sur les nœuds gérés conformes ou non. Vous pouvez attribuer au maximum 10 types différents de conformité personnalisée à un nœud géré.

Pour obtenir un exemple montrant comment créer un type de conformité personnalisée et afficher les données de conformité, consultez [Attribuez des métadonnées de conformité personnalisées à l'aide du AWS CLI](compliance-custom-metadata-cli.md).

## Affichage des données de conformité actuelles
<a name="compliance-view-results"></a>

Cette section explique comment afficher les données de conformité dans la console Systems Manager et à l'aide de la AWS CLI. Pour de plus amples informations sur l'affichage du suivi des modifications, ainsi que de l'historique de conformité des associations et des correctifs, veuillez consulter [Affichage du suivi des modifications et de l'historique de configuration de la conformité](#compliance-history).

**Topics**
+ [Affichage des données de conformité actuelles (console)](#compliance-view-results-console)
+ [Affichage des données de conformité actuelles (AWS CLI)](#compliance-view-data-cli)

### Affichage des données de conformité actuelles (console)
<a name="compliance-view-results-console"></a>

Utilisez la procédure suivante pour afficher les données de conformité dans la console Systems Manager.

**Pour afficher les rapports de conformité actuelle dans la console Systems Manager**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Compliance (Conformité)**.

1. Dans la section **Compliance dashboard filtering (Filtrage du tableau de bord de conformité)**, sélectionnez une option pour filtrer les données de conformité. La section **Compliance resources summary (Synthèse des ressources de conformité)** affiche le nombre de données de conformité en fonction du filtre que vous avez choisi.

1. Pour explorer une ressource en détail, faites défiler vers le bas jusqu'à la zone **Details overview for resources (Vue d'ensemble détaillée des ressources)** et sélectionnez l'ID d'un nœud géré.

1. Sur la page **Instance ID (ID d'instance)** ou **Name (Nom)**, sélectionnez l'onglet **Configuration compliance (Conformité de la configuration)** afin d'afficher un rapport détaillé de conformité de la configuration pour le nœud géré.

**Note**  
Pour de plus amples informations sur la résolution des problèmes de conformité, veuillez consulter [Résolution des problèmes de conformité avec EventBridge](compliance-fixing.md).

### Affichage des données de conformité actuelles (AWS CLI)
<a name="compliance-view-data-cli"></a>

Vous pouvez consulter les résumés des données de conformité pour les correctifs, les associations et les types de conformité personnalisés dans le in à l'aide AWS CLI des commandes suivantes AWS CLI . 

[https://docs.aws.amazon.com/cli/latest/reference/ssm/list-compliance-summaries.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-compliance-summaries.html)  
Renvoie un décompte récapitulatif des statuts d'association conformes et non conformes en fonction du filtre que vous spécifiez. (API : [ListComplianceSummaries](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListComplianceSummaries.html))

[https://docs.aws.amazon.com/cli/latest/reference/ssm/list-resource-compliance-summaries.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-resource-compliance-summaries.html)  
Renvoie un récapitulatif du nombre au niveau des ressources. Ce récapitulatif inclut des informations sur les statuts Conforme et Non conforme et les nombres détaillés de sévérité de l'élément de conformité, en fonction des critères de filtre que vous spécifiez. (API : [ListResourceComplianceSummaries](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceComplianceSummaries.html))

Vous pouvez afficher des données de conformité supplémentaires pour l'application de correctifs à l'aide des commandes d' AWS CLI suivantes.

[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-group-state.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-group-state.html)  
Renvoie l'état des informations globales de conformité des correctifs pour un groupe de correctifs. (API : [DescribePatchGroupState](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchGroupState.html))

[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patch-states-for-patch-group.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patch-states-for-patch-group.html)  
Renvoie l'état des correctifs de haut niveau pour les instances du groupe de correctifs spécifié. (API : [DescribeInstancePatchStatesForPatchGroup](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatchStatesForPatchGroup.html))

**Note**  
Pour une illustration de la configuration des correctifs et pour consulter les détails de conformité des correctifs à l'aide du AWS CLI, voir[Tutoriel : appliquer un correctif à un environnement de serveur à l'aide du AWS CLI](patch-manager-patch-servers-using-the-aws-cli.md).

## Affichage du suivi des modifications et de l'historique de configuration de la conformité
<a name="compliance-history"></a>

Le service Systems Manager Compliance affiche les données *actuelles* de conformité des associations et de l'application de correctifs pour vos nœuds gérés. Vous pouvez consulter l'historique de conformité des correctifs et des associations ainsi que le suivi des modifications en utilisant [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/). AWS Config fournit une vue détaillée de la configuration des AWS ressources de votre Compte AWS. Elle indique comment les ressources sont liées entre elles et comment elles ont été configurées dans le passé, pour que vous puissiez observer comment les configurations et les relations changent au fil du temps. Pour afficher le suivi des modifications et l'historique des associations et de l'application de correctifs, vous devez activer les ressources suivantes dans AWS Config : 
+ `SSM:PatchCompliance`
+ `SSM:AssociationCompliance`

Pour de plus amples informations sur le choix et la configuration de ces ressources spécifiques dans AWS Config, veuillez consulter [Sélection des ressources enregistrées par AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html) dans le *Guide du développeur AWS Config *.

**Note**  
Pour plus d'informations sur la AWS Config tarification, consultez la section [Tarification](https://aws.amazon.com/config/pricing/).

# Suppression d'une synchronisation de données de ressources pour le service Conformité
<a name="systems-manager-compliance-delete-RDS"></a>

Si vous ne souhaitez plus utiliser AWS Systems Manager Compliance pour consulter les données de conformité, nous vous recommandons également de supprimer les synchronisations des données de ressources utilisées pour la collecte des données de conformité.

**Pour supprimer une synchronisation de données de ressources Compliance**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Fleet Manager**.

1. Sélectionnez **Account management (Gestion de compte)**, **Resource data syncs (Synchronisation de données de ressources)**.

1. Dans la liste, sélectionnez une synchronisation. 
**Important**  
Veillez à bien choisir la synchronisation utilisée pour le service Conformité. Systems Manager prend en charge la synchronisation de données de ressources pour plusieurs outils. Si vous choisissez la mauvaise synchronisation, vous risquez de perturber l'agrégation des données pour Systems Manager Explorer ou Systems Manager Inventory.

1. Sélectionnez **Delete (Supprimer)**.

1. Supprimez le compartiment Amazon Simple Storage Service (Amazon S3) dans lequel les données ont été enregistrées. Pour obtenir des informations sur la suppression d'un compartiment Amazon S3, consultez [Deleting a bucket (Suppression d'un compartiment)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html).

# Résolution des problèmes de conformité avec EventBridge
<a name="compliance-fixing"></a>

Vous pouvez corriger rapidement les problèmes de conformité des correctifs et des associations en utilisant la fonctionnalité Run Command, un outil d’AWS Systems Manager. Vous pouvez cibler une instance ou les ID ou balises des appareils principaux AWS IoT Greengrass et exécutez le document `AWS-RunPatchBaseline` ou `AWS-RefreshAssociation`. Si actualiser l'association ou exécuter à nouveau le référentiel de correctif ne permet pas de résoudre le problème de conformité, vous devez vérifier vos associations, référentiels de correctifs ou configurations d'instance pour comprendre pourquoi les opérations Run Command n'ont pas permis de résoudre le problème. 

Pour de plus amples informations sur l'application de correctifs, veuillez consulter [AWS Systems Manager Patch Manager](patch-manager.md) et [Document de commande SSM pour l’application de correctifs : `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).

Pour de plus amples informations sur les associations, veuillez consulter [Utilisation d'associations dans Systems Manager](state-manager-associations.md).

Pour de plus amples informations sur l'exécution d'une commande, veuillez consulter [AWS Systems Manager Run Command](run-command.md).

**Spécifier Compliance comme cible d'un événement EventBridge**  
Vous pouvez également configurer Amazon EventBridge pour effectuer une action en réponse à des événements Systems Manager Compliance. Par exemple, si un ou plusieurs nœuds gérés ne parviennent pas à installer des mises à jour de correctif critiques ou à exécuter une association qui installe un logiciel antivirus, vous pouvez configurer EventBridge pour exécuter le document `AWS-RunPatchBaseline` ou `AWS-RefreshAssocation` lorsque l'événement Compliance se produit. 

Utilisez la procédure suivante afin de configurer Compliance comme cible d'un événement EventBridge.

**Pour configurer Compliance comme cible d'un événement EventBridge (console)**

1. Ouvrez la console Amazon EventBridge à l’adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Dans le volet de navigation, choisissez **Rules**.

1. Choisissez **Créer une règle**.

1. Saisissez un nom et une description pour la règle.

   Une règle ne peut pas avoir le même nom qu'une autre règle de la même Région AWS et sur le même bus d'événement.

1. Pour **Event bus** (Bus d'événement), sélectionnez le bus d'événement que vous souhaitez associer à cette règle. Si vous souhaitez que cette règle s'applique aux événements correspondants provenant de votre propre Compte AWS, sélectionnez **défaut**. Lorsqu'un Service AWS de votre compte émet un événement, il accède toujours au bus d'événement par défaut de votre compte.

1. Pour **Rule type** (Type de règle), choisissez **Rule with an event pattern** (Règle avec un modèle d'événement).

1. Choisissez **Suivant**.

1. Pour **Event source** (Origine de l'événement), choisissez ** events or EventBridge partner events** (Événements AWS ou événements partenaires EventBridge).

1. Dans la section **Event pattern** (Modèle d'événement), choisissez **Event pattern form** (Modèle d'événement).

1. Pour **Event source** (Origine de l'événement), choisissez **AWSservices** (Services ).

1. Pour le **AWS service** choisissez **Systems Manager**.

1. Dans le champ **Event type (Type d'événement)**, sélectionnez **Configuration Compliance (Conformité de configuration)**.

1. Pour **Specific detail type(s)** (Type(s) de détails spécifiques), choisissez **Configuration Compliance State Change** (Changements d'état de la conformité de configuration).

1. Choisissez **Suivant**.

1. Pour **Types de cibles**, choisissez **service AWS**.

1. Pour **Target** (Cible), sélectionnez **Systems Manager Run Command**.

1. Dans la liste **Document**, sélectionnez un document Systems Manager (document SSM) à exécuter lorsque la cible sera invoquée. Par exemple, sélectionnez `AWS-RunPatchBaseline` pour un événement de correctif non conforme, ou `AWS-RefreshAssociation` pour un événement d'association non conforme.

1. Spécifiez les informations pour les champs et paramètres restants.
**Note**  
Les champs et paramètres requis sont dotés d'une astérisque (\$1) en regard de leur nom. Pour créer une cible, vous devez spécifier une valeur pour chaque paramètre ou champ requis. Si vous ne le faites pas, le système crée la règle mais elle n'est pas exécutée.

1. Choisissez **Suivant**.

1. (Facultatif) Saisissez une ou plusieurs balises pour la règle. Pour plus d'informations, consultez [Balisage de vos ressources Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-tagging.html) dans le *Guide de l'utilisateur Amazon EventBridge*.

1. Choisissez **Suivant**.

1. Consultez les détails de la règle et choisissez **Create rule** (Créer une règle).

# Attribuez des métadonnées de conformité personnalisées à l'aide du AWS CLI
<a name="compliance-custom-metadata-cli"></a>

La procédure suivante explique comment utiliser le AWS Command Line Interface (AWS CLI) pour appeler l'opération AWS Systems Manager [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html)API afin d'attribuer des métadonnées de conformité personnalisées à une ressource. Vous pouvez aussi utiliser cette opération d'API pour attribuer manuellement des métadonnées de conformité des correctifs ou des associations à un nœud géré, comme indiqué dans la démonstration suivante. Pour de plus amples informations sur la conformité personnalisée, consultez [A propos de la conformité personnalisée](compliance-about.md#compliance-custom).

**Pour attribuer des métadonnées de conformité personnalisée à une instance gérée (AWS CLI)**

1. Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait.

   Pour de plus amples informations, consultez [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Exécutez la commande suivante pour attribuer des métadonnées de conformité personnalisée à un nœud géré. Remplacez chaque *example resource placeholder* par vos propres informations. Le paramètre `ResourceType` ne prend en charge qu'une valeur de `ManagedInstance`. Spécifiez cette valeur même si vous attribuez des métadonnées de conformité personnalisées à un appareil AWS IoT Greengrass principal géré.

------
#### [ Linux & macOS ]

   ```
   aws ssm put-compliance-items \
       --resource-id instance_ID \
       --resource-type ManagedInstance \
       --compliance-type Custom:user-defined_string \
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value \
       --items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
   ```

------
#### [ Windows ]

   ```
   aws ssm put-compliance-items ^
       --resource-id instance_ID ^
       --resource-type ManagedInstance ^
       --compliance-type Custom:user-defined_string ^
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value ^
       --items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
   ```

------

1. Répétez l'étape précédente pour attribuer des métadonnées supplémentaires de conformité personnalisée à un ou plusieurs nœuds. Vous pouvez aussi utiliser les commandes suivantes pour attribuer manuellement des métadonnées de conformité des correctifs ou des associations à des nœuds gérés :

   Métadonnées de conformité des associations

------
#### [ Linux & macOS ]

   ```
   aws ssm put-compliance-items \
       --resource-id instance_ID \
       --resource-type ManagedInstance \
       --compliance-type Association \
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value \
       --items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
   ```

------
#### [ Windows ]

   ```
   aws ssm put-compliance-items ^
       --resource-id instance_ID ^
       --resource-type ManagedInstance ^
       --compliance-type Association ^
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value ^
       --items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
   ```

------

   Métadonnées de conformité des correctifs

------
#### [ Linux & macOS ]

   ```
   aws ssm put-compliance-items \
       --resource-id instance_ID \
       --resource-type ManagedInstance \
       --compliance-type Patch \
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value,ExecutionId=user-defined_ID,ExecutionType=Command  \
       --items Id=for_example, KB12345,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{PatchGroup=name_of_group,PatchSeverity=the_patch_severity, for example, CRITICAL}"
   ```

------
#### [ Windows ]

   ```
   aws ssm put-compliance-items ^
       --resource-id instance_ID ^
       --resource-type ManagedInstance ^
       --compliance-type Patch ^
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value,ExecutionId=user-defined_ID,ExecutionType=Command  ^
       --items Id=for_example, KB12345,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{PatchGroup=name_of_group,PatchSeverity=the_patch_severity, for example, CRITICAL}"
   ```

------

1. Exécutez la commande suivante pour afficher la liste des éléments de conformité pour un nœud géré spécifique. Utilisez des filtres pour explorer en détail des données de conformité spécifiques.

------
#### [ Linux & macOS ]

   ```
   aws ssm list-compliance-items \
       --resource-ids instance_ID \
       --resource-types ManagedInstance \
       --filters one_or_more_filters
   ```

------
#### [ Windows ]

   ```
   aws ssm list-compliance-items ^
       --resource-ids instance_ID ^
       --resource-types ManagedInstance ^
       --filters one_or_more_filters
   ```

------

   Les exemples suivants vous montrent comment utiliser cette commande avec des filtres.

------
#### [ Linux & macOS ]

   ```
   aws ssm list-compliance-items \
       --resource-ids i-02573cafcfEXAMPLE \
       --resource-type ManagedInstance \
       --filters Key=DocumentName,Values=AWS-RunPowerShellScript Key=Status,Values=NON_COMPLIANT,Type=NotEqual Key=Id,Values=cee20ae7-6388-488e-8be1-a88ccEXAMPLE Key=Severity,Values=UNSPECIFIED
   ```

------
#### [ Windows ]

   ```
   aws ssm list-compliance-items ^
       --resource-ids i-02573cafcfEXAMPLE ^
       --resource-type ManagedInstance ^
       --filters Key=DocumentName,Values=AWS-RunPowerShellScript Key=Status,Values=NON_COMPLIANT,Type=NotEqual Key=Id,Values=cee20ae7-6388-488e-8be1-a88ccEXAMPLE Key=Severity,Values=UNSPECIFIED
   ```

------

------
#### [ Linux & macOS ]

   ```
   aws ssm list-resource-compliance-summaries \
       --filters Key=OverallSeverity,Values=UNSPECIFIED
   ```

------
#### [ Windows ]

   ```
   aws ssm list-resource-compliance-summaries ^
       --filters Key=OverallSeverity,Values=UNSPECIFIED
   ```

------

------
#### [ Linux & macOS ]

   ```
   aws ssm list-resource-compliance-summaries \
       --filters Key=OverallSeverity,Values=UNSPECIFIED Key=ComplianceType,Values=Association Key=InstanceId,Values=i-02573cafcfEXAMPLE
   ```

------
#### [ Windows ]

   ```
   aws ssm list-resource-compliance-summaries ^
       --filters Key=OverallSeverity,Values=UNSPECIFIED Key=ComplianceType,Values=Association Key=InstanceId,Values=i-02573cafcfEXAMPLE
   ```

------

1. Exécutez la commande suivante pour afficher un récapitulatif des statuts de conformité. Utilisez des filtres pour explorer en détail des données de conformité spécifiques.

   ```
   aws ssm list-resource-compliance-summaries --filters One or more filters.
   ```

   Les exemples suivants vous montrent comment utiliser cette commande avec des filtres.

------
#### [ Linux & macOS ]

   ```
   aws ssm list-resource-compliance-summaries \
       --filters Key=ExecutionType,Values=Command
   ```

------
#### [ Windows ]

   ```
   aws ssm list-resource-compliance-summaries ^
       --filters Key=ExecutionType,Values=Command
   ```

------

------
#### [ Linux & macOS ]

   ```
   aws ssm list-resource-compliance-summaries \
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=OverallSeverity,Values=CRITICAL
   ```

------
#### [ Windows ]

   ```
   aws ssm list-resource-compliance-summaries ^
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=OverallSeverity,Values=CRITICAL
   ```

------

1. Exécutez la commande suivante pour afficher un récapitulatif du nombre de ressources conformes et non conformes pour un type de conformité. Utilisez des filtres pour explorer en détail des données de conformité spécifiques.

   ```
   aws ssm list-compliance-summaries --filters One or more filters.
   ```

   Les exemples suivants vous montrent comment utiliser cette commande avec des filtres.

------
#### [ Linux & macOS ]

   ```
   aws ssm list-compliance-summaries \
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=PatchGroup,Values=TestGroup
   ```

------
#### [ Windows ]

   ```
   aws ssm list-compliance-summaries ^
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=PatchGroup,Values=TestGroup
   ```

------

------
#### [ Linux & macOS ]

   ```
   aws ssm list-compliance-summaries \
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=ExecutionId,Values=4adf0526-6aed-4694-97a5-14522EXAMPLE
   ```

------
#### [ Windows ]

   ```
   aws ssm list-compliance-summaries ^
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=ExecutionId,Values=4adf0526-6aed-4694-97a5-14522EXAMPLE
   ```

------