• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS Systems Manager Kepatuhan
<a name="systems-manager-compliance"></a>

Anda dapat menggunakan Compliance, alat di AWS Systems Manager, untuk memindai armada node terkelola Anda untuk kepatuhan patch dan inkonsistensi konfigurasi. Anda dapat mengumpulkan dan mengumpulkan data dari beberapa Akun AWS dan Wilayah, lalu menelusuri sumber daya tertentu yang tidak sesuai. Secara default, Kepatuhan menampilkan data kepatuhan saat ini tentang penambalan Patch Manager dan asosiasi diState Manager. (Patch Managerdan State Manager juga keduanya alat di AWS Systems Manager.) Untuk memulai dengan Kepatuhan, buka [konsol Systems Manager](https://console.aws.amazon.com//systems-manager/compliance). Di panel navigasi, pilih **Kepatuhan**.

Data kepatuhan tambalan dari Patch Manager dapat dikirim ke AWS Security Hub CSPM. Security Hub CSPM memberi Anda pandangan komprehensif tentang peringatan keamanan prioritas tinggi dan status kepatuhan Anda. Hub juga memantau status patching armada Anda. Untuk informasi selengkapnya, lihat [Integrasi dengan Patch Manager AWS Security Hub CSPM](patch-manager-security-hub-integration.md). 

Kepatuhan menawarkan manfaat dan fitur tambahan berikut: 
+ Lihat riwayat kepatuhan dan pelacakan perubahan untuk Patch Manager menambal data dan State Manager asosiasi dengan menggunakan AWS Config.
+ Sesuaikan layanan untuk membuat jenis kepatuhan Anda sendiri berdasarkan persyaratan IT atau bisnis Anda.
+ Perbaiki masalah dengan menggunakanRun Command, alat lain di AWS Systems ManagerState Manager, atau Amazon EventBridge.
+ Port data ke Amazon Athena dan Amazon Quick untuk menghasilkan laporan di seluruh armada.

**EventBridge dukungan**  
Alat Systems Manager ini didukung sebagai jenis *peristiwa* dalam EventBridge aturan Amazon. Untuk informasi selengkapnya, lihat [Memantau peristiwa Systems Manager dengan Amazon EventBridge](monitoring-eventbridge-events.md) dan [Referensi: Pola dan jenis EventBridge acara Amazon untuk Systems Manager](reference-eventbridge-events.md).

**Integrasi Chef InSpec**  
Systems Manager terintegrasi dengan [https://www.chef.io/inspec/](https://www.chef.io/inspec/). InSpec adalah kerangka kerja runtime open-source yang memungkinkan Anda membuat profil yang dapat dibaca manusia di atau GitHub Amazon Simple Storage Service (Amazon S3). Anda kemudian dapat menggunakan Systems Manager untuk menjalankan pemindaian kepatuhan dan melihat node terkelola yang sesuai dan tidak sesuai. Untuk informasi selengkapnya, lihat [Menggunakan Chef InSpec profil dengan Kepatuhan Systems Manager](integration-chef-inspec.md).

**Harga**  
Kepatuhan ditawarkan tanpa biaya tambahan. Anda hanya membayar untuk AWS sumber daya yang Anda gunakan.

**Topics**
+ [Memulai dengan Kepatuhan](compliance-prerequisites.md)
+ [Mengkonfigurasi izin untuk Kepatuhan](compliance-permissions.md)
+ [Membuat sinkronisasi data sumber daya untuk Kepatuhan](compliance-datasync-create.md)
+ [Pelajari detail tentang Kepatuhan](compliance-about.md)
+ [Menghapus sinkronisasi data sumber daya untuk Kepatuhan](systems-manager-compliance-delete-RDS.md)
+ [Memulihkan masalah kepatuhan menggunakan EventBridge](compliance-fixing.md)
+ [Tetapkan metadata kepatuhan khusus menggunakan AWS CLI](compliance-custom-metadata-cli.md)

# Memulai dengan Kepatuhan
<a name="compliance-prerequisites"></a>

Untuk memulai dengan Kepatuhan, alat di AWS Systems Manager, selesaikan tugas-tugas berikut.


****  

| Tugas | Untuk informasi selengkapnya | 
| --- | --- | 
|  Kepatuhan bekerja dengan data tambalan di Patch Manager dan asosiasi di State Manager. (Patch Manager and State Manager keduanya juga merupakan alat di AWS Systems Manager.) Kepatuhan juga berfungsi dengan jenis kepatuhan khusus pada node terkelola yang dikelola menggunakan Systems Manager. Pastikan Anda telah menyelesaikan persyaratan penyiapan untuk instans Amazon Elastic Compute Cloud (Amazon EC2) dan EC2 non-mesin di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types).  |  [Menyiapkan konsol terpadu Systems Manager untuk organisasi](systems-manager-setting-up-organizations.md)  | 
|  Perbarui peran AWS Identity and Access Management (IAM) yang digunakan oleh node terkelola untuk membatasi izin Kepatuhan.  |  [Mengkonfigurasi izin untuk Kepatuhan](compliance-permissions.md)  | 
|  Jika Anda berencana untuk memantau kepatuhan tambalan, verifikasi bahwa Anda telah mengonfigurasi Patch Manager. Anda harus melakukan operasi patching dengan menggunakan Patch Manager sebelum Kepatuhan dapat menampilkan data kepatuhan tambalan.  |  [AWS Systems Manager Patch Manager](patch-manager.md)  | 
|  Jika Anda berencana untuk memantau kepatuhan asosiasi, verifikasi bahwa Anda telah membuat State Manager asosiasi. Anda harus membuat asosiasi sebelum Kepatuhan dapat menampilkan data kepatuhan asosiasi.  |  [AWS Systems Manager State Manager](systems-manager-state.md)  | 
|  (Opsional) Konfigurasikan sistem untuk melihat riwayat kepatuhan dan pelacakan perubahan.   |  [Melihat riwayat dan pelacakan perubahan konfigurasi kepatuhan](compliance-about.md#compliance-history)  | 
|  (Opsional) Buat jenis kepatuhan kustom.   |  [Tetapkan metadata kepatuhan khusus menggunakan AWS CLI](compliance-custom-metadata-cli.md)  | 
|  (Opsional) Buat sinkronisasi data sumber daya untuk menggabungkan semua data kepatuhan di bucket Amazon Simple Storage Service (Amazon S3).  |  [Membuat sinkronisasi data sumber daya untuk Kepatuhan](compliance-datasync-create.md)  | 

# Mengkonfigurasi izin untuk Kepatuhan
<a name="compliance-permissions"></a>

Sebagai praktik keamanan terbaik, sebaiknya Anda memperbarui peran AWS Identity and Access Management (IAM) yang digunakan oleh node terkelola dengan izin berikut untuk membatasi kemampuan node dalam menggunakan aksi API. [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) Tindakan API ini mendaftarkan jenis kepatuhan dan detail kepatuhan lainnya pada sumber daya yang ditentukan, seperti EC2 instans Amazon atau node terkelola.

Jika node Anda adalah EC2 instans Amazon, Anda harus memperbarui profil instans IAM yang digunakan oleh instance dengan izin berikut. Untuk informasi selengkapnya tentang profil EC2 instans misalnya yang dikelola oleh Systems Manager, lihat[Konfigurasikan izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md). Untuk jenis node terkelola lainnya, perbarui peran IAM yang digunakan oleh node dengan izin berikut. Untuk informasi selengkapnya, lihat [Memperbarui izin untuk peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html) dalam *Panduan Pengguna IAM*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutComplianceItems"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:SourceInstanceARN": "${ec2:SourceInstanceARN}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutComplianceItems"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ssm:SourceInstanceARN": "${ssm:SourceInstanceARN}"
                }
            }
        }
    ]
}
```

------

# Membuat sinkronisasi data sumber daya untuk Kepatuhan
<a name="compliance-datasync-create"></a>

Anda dapat menggunakan fitur sinkronisasi data sumber daya AWS Systems Manager untuk mengirim data kepatuhan dari semua node terkelola ke bucket Amazon Simple Storage Service (Amazon S3) target. Saat Anda membuat sinkronisasi, Anda dapat menentukan node terkelola dari beberapa Akun AWS, Wilayah AWS, dan lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) Anda. Sinkronisasi data sumber daya kemudian secara otomatis memperbarui data terpusat saat data kepatuhan baru dikumpulkan. Dengan semua data kepatuhan yang disimpan dalam bucket S3 target, Anda dapat menggunakan layanan seperti Amazon Athena dan Amazon Quick untuk menanyakan dan menganalisis data gabungan. Mengonfigurasi sinkronisasi data sumber daya untuk Kepatuhan adalah operasi satu kali.

Gunakan prosedur berikut untuk membuat sinkronisasi data sumber daya untuk Kepatuhan dengan menggunakan Konsol Manajemen AWS.

**Untuk membuat dan mengonfigurasi bucket S3 untuk sinkronisasi data sumber daya (konsol)**

1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Buat bucket untuk menyimpan data kepatuhan gabungan Anda. Untuk informasi selengkapnya, lihat [Membuat Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*. Catat nama bucket dan Wilayah AWS tempat Anda membuatnya.

1. Buka bucket, pilih tab **Izin**, dan kemudian pilih **Kebijakan Bucket**.

1. Salin dan tempelkan kebijakan bucket berikut ke dalam editor kebijakan. Ganti amzn-s3-demo-bucket dan *Account-ID* dengan nama bucket S3 yang Anda buat dan ID yang valid. Akun AWS Secara opsional, ganti *Bucket-Prefix* dengan nama awalan Amazon S3 (subdirektori). Jika Anda tidak membuat awalan, hapus*Bucket-Prefix*/dari ARN dalam kebijakan. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "SSMBucketPermissionsCheck",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": "s3:GetBucketAcl",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
           },
           {
               "Sid": " SSMBucketDelivery",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/Bucket-Prefix/*/accountid=111122223333/*"],
               "Condition": {
                   "StringEquals": {
                       "s3:x-amz-acl": "bucket-owner-full-control"
                   }
               }
           }
       ]
   }
   ```

------

**Untuk membuat sinkronisasi data sumber daya**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih **Manajemen akun**, **Sinkronisasi Data Sumber Daya**, lalu pilih **Buat sinkronisasi data sumber daya**.

1. Di bidang **Nama sinkronisasi**, masukkan nama untuk konfigurasi sinkronisasi.

1. Di bidang **Nama bucket**, masukkan nama bucket Amazon S3 yang Anda buat pada awal prosedur ini.

1. (Opsional) Di bidang **awalan Bucket**, masukkan nama awalan bucket S3 (subdirektori).

1. Di bidang **Bucket region**, pilih **Wilayah ini** jika bucket S3 yang Anda buat berada di saat ini Wilayah AWS. Jika ember terletak di tempat yang berbeda Wilayah AWS, pilih **Wilayah lain**, dan masukkan nama Wilayah.
**catatan**  
Jika sinkronisasi dan bucket S3 target berada di Wilayah yang berbeda, Anda mungkin akan dikenakan harga transfer data. Untuk informasi selengkapnya, lihat [Harga Amazon S3](https://aws.amazon.com/s3/pricing/).

1. Pilih **Buat**.

# Pelajari detail tentang Kepatuhan
<a name="compliance-about"></a>

Kepatuhan, alat dalam AWS Systems Manager, mengumpulkan dan melaporkan data tentang status penambalan dalam penambalan dan Patch Manager asosiasi di. State Manager (Patch Managerdan State Manager juga keduanya alat di AWS Systems Manager.) Kepatuhan juga melaporkan jenis kepatuhan khusus yang telah Anda tentukan untuk node terkelola. Bagian ini mencakup detail tentang masing-masing jenis kepatuhan ini dan bagaimana cara melihat data kepatuhan Systems Manager. Bagian ini juga mencakup informasi tentang cara melihat riwayat kepatuhan dan pelacakan perubahan.

**catatan**  
Systems Manager terintegrasi dengan [https://www.chef.io/inspec/](https://www.chef.io/inspec/). InSpec adalah kerangka kerja runtime open-source yang memungkinkan Anda membuat profil yang dapat dibaca manusia di atau GitHub Amazon Simple Storage Service (Amazon S3). Kemudian Anda dapat menggunakan Systems Manager untuk menjalankan pemindaian kepatuhan dan melihat instans yang patuh dan tidak patuh. Untuk informasi selengkapnya, lihat [Menggunakan Chef InSpec profil dengan Kepatuhan Systems Manager](integration-chef-inspec.md).

## Tentang kepatuhan patch
<a name="compliance-monitor-patch"></a>

Setelah Anda menggunakan Patch Manager untuk menginstal tambalan pada instans Anda, informasi status kepatuhan segera tersedia untuk Anda di konsol atau sebagai respons terhadap AWS Command Line Interface (AWS CLI) perintah atau operasi API Systems Manager yang sesuai.

Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).

## Tentang kepatuhan State Manager asosiasi
<a name="compliance-about-association"></a>

Setelah Anda membuat satu atau beberapa State Manager asosiasi, informasi status kepatuhan akan segera tersedia untuk Anda di konsol atau sebagai respons terhadap AWS CLI perintah atau operasi API Systems Manager yang terkait. Untuk asosiasi, Kepatuhan menunjukkan status `Compliant` atau `Non-compliant` dan tingkat kepelikan ditetapkan untuk asosiasi, seperti `Critical` atau `Medium`.

Ketika State Manager mengeksekusi asosiasi pada node terkelola, itu memicu proses agregasi kepatuhan yang memperbarui status kepatuhan untuk semua asosiasi pada node tersebut. `ExecutionTime`Nilai dalam laporan kepatuhan menunjukkan kapan status kepatuhan ditangkap oleh Systems Manager, bukan saat asosiasi dijalankan pada node terkelola. Ini berarti beberapa asosiasi mungkin menampilkan `ExecutionTime` nilai yang identik bahkan jika mereka dieksekusi pada waktu yang berbeda. Untuk menentukan waktu eksekusi asosiasi aktual, lihat riwayat eksekusi asosiasi menggunakan AWS CLI perintah [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association-execution-targets.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association-execution-targets.html)atau dengan melihat detail eksekusi di konsol.

## Tentang kepatuhan kustom
<a name="compliance-custom"></a>

Anda dapat menetapkan metadata kepatuhan ke node terkelola. Metadata ini kemudian dapat digabungkan dengan data kepatuhan lainnya untuk tujuan pelaporan kepatuhan. Misalnya, katakan bahwa bisnis Anda menjalankan versi 2.0, 3.0, dan 4.0 perangkat lunak X pada node terkelola Anda. Perusahaan ingin melakukan standarisasi pada versi 4.0, yang berarti bahwa instans yang menjalankan versi 2.0 dan 3.0 tidak sesuai. Anda dapat menggunakan operasi [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html)API untuk secara eksplisit mencatat node terkelola mana yang menjalankan versi perangkat lunak X yang lebih lama. Anda hanya dapat menetapkan metadata kepatuhan dengan menggunakan,, atau. AWS CLI AWS Tools for Windows PowerShell SDKs Perintah sampel CLI berikut memberikan metadata kepatuhan ke instans terkelola dan menentukan jenis kepatuhan dalam format `Custom:` yang diperlukan. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ Linux & macOS ]

```
aws ssm put-compliance-items \
    --resource-id i-1234567890abcdef0 \
    --resource-type ManagedInstance \
    --compliance-type Custom:SoftwareXCheck \
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
```

------
#### [ Windows ]

```
aws ssm put-compliance-items ^
    --resource-id i-1234567890abcdef0 ^
    --resource-type ManagedInstance ^
    --compliance-type Custom:SoftwareXCheck ^
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
```

------

**catatan**  
`ResourceType`Parameter hanya mendukung`ManagedInstance`. Jika Anda menambahkan kepatuhan khusus ke perangkat AWS IoT Greengrass inti terkelola, Anda harus menentukan `ResourceType` dari`ManagedInstance`.

Manajer kepatuhan kemudian dapat melihat ringkasan atau membuat laporan tentang node terkelola mana yang sesuai atau tidak. Anda dapat menetapkan maksimal 10 jenis kepatuhan kustom yang berbeda ke node terkelola.

Untuk contoh cara membuat jenis kepatuhan kustom dan melihat data kepatuhan, lihat [Tetapkan metadata kepatuhan khusus menggunakan AWS CLI](compliance-custom-metadata-cli.md).

## Melihat data kepatuhan saat ini
<a name="compliance-view-results"></a>

Bagian ini menjelaskan cara melihat data kepatuhan di konsol Systems Manager dan dengan menggunakan AWS CLI. Untuk informasi tentang cara melihat riwayat kepatuhan patch dan asosiasi serta pelacakan perubahan, lihat [Melihat riwayat dan pelacakan perubahan konfigurasi kepatuhan](#compliance-history).

**Topics**
+ [Melihat data kepatuhan saat ini (konsol)](#compliance-view-results-console)
+ [Melihat data kepatuhan saat ini (AWS CLI)](#compliance-view-data-cli)

### Melihat data kepatuhan saat ini (konsol)
<a name="compliance-view-results-console"></a>

Gunakan prosedur berikut ini untuk melihat data kepatuhan di konsol Systems Manager.

**Untuk melihat laporan kepatuhan saat ini di konsol Systems Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Kepatuhan**.

1. Di bagian **pemfilteran dasbor Kepatuhan**, pilih opsi untuk memfilter data kepatuhan. Bagian **Ringkasan sumber daya kepatuhan** menampilkan jumlah data kepatuhan berdasarkan filter yang Anda pilih.

1. Untuk menelusuri sumber daya untuk informasi selengkapnya, gulir ke bawah ke **ikhtisar Detail untuk area sumber daya** dan pilih ID node terkelola.

1. Pada halaman **Instance ID** atau **Name** details, pilih tab **Kepatuhan konfigurasi** untuk melihat laporan kepatuhan konfigurasi terperinci untuk node terkelola.

**catatan**  
Untuk informasi tentang memperbaiki masalah kepatuhan, lihat [Memulihkan masalah kepatuhan menggunakan EventBridge](compliance-fixing.md).

### Melihat data kepatuhan saat ini (AWS CLI)
<a name="compliance-view-data-cli"></a>

Anda dapat melihat ringkasan data kepatuhan untuk jenis patching, asosiasi, dan kepatuhan kustom di bagian dalam menggunakan AWS CLI perintah berikut. AWS CLI 

[https://docs.aws.amazon.com/cli/latest/reference/ssm/list-compliance-summaries.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-compliance-summaries.html)  
Mengembalikan jumlah ringkasan status asosiasi yang sesuai dan tidak sesuai dengan filter yang Anda tentukan. (API: [ListComplianceSummaries](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListComplianceSummaries.html))

[https://docs.aws.amazon.com/cli/latest/reference/ssm/list-resource-compliance-summaries.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-resource-compliance-summaries.html)  
Mengembalikan jumlah ringkasan tingkat sumber daya. Ringkasan tersebut mencakup informasi tentang status patuh dan tidak patuh serta jumlah kepelikan item kepatuhan yang mendetail, sesuai dengan kriteria filter yang Anda tentukan. (API: [ListResourceComplianceSummaries](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceComplianceSummaries.html))

Anda dapat melihat data kepatuhan tambahan untuk patching dengan menggunakan perintah AWS CLI berikut.

[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-group-state.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-group-state.html)  
Mengembalikan status kepatuhan patch agregat tingkat tinggi untuk grup patch. (API: [DescribePatchGroupState](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchGroupState.html))

[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patch-states-for-patch-group.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patch-states-for-patch-group.html)  
Mengembalikan status patch tingkat tinggi untuk instans dalam grup patch yang ditentukan. (API: [DescribeInstancePatchStatesForPatchGroup](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatchStatesForPatchGroup.html))

**catatan**  
Untuk ilustrasi tentang cara mengonfigurasi patching dan melihat detail kepatuhan tambalan dengan menggunakan AWS CLI, lihat. [Tutorial: Menambal lingkungan server menggunakan AWS CLI](patch-manager-patch-servers-using-the-aws-cli.md)

## Melihat riwayat dan pelacakan perubahan konfigurasi kepatuhan
<a name="compliance-history"></a>

Kepatuhan Systems Manager menampilkan data patching dan kepatuhan asosiasi *saat ini* untuk node terkelola Anda. Anda dapat melihat riwayat patching dan kepatuhan asosiasi serta mengubah pelacakan dengan menggunakan [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/). AWS Config memberikan tampilan rinci tentang konfigurasi AWS sumber daya di Anda Akun AWS. Ini mencakup bagaimana sumber daya terkait satu sama lain dan bagaimana sumber daya tersebut dikonfigurasi di masa lalu sehingga Anda dapat melihat bagaimana konfigurasi dan hubungan berubah dari waktu ke waktu. Untuk melihat riwayat kepatuhan dan pelacakan perubahan patching dan asosiasi, Anda harus mengaktifkan sumber daya berikut di AWS Config: 
+ `SSM:PatchCompliance`
+ `SSM:AssociationCompliance`

Untuk informasi tentang cara memilih dan mengonfigurasi sumber daya ini di AWS Config, lihat [Memilih Catatan AWS Config Sumber Daya Mana](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html) di *Panduan Developer AWS Config *.

**catatan**  
Untuk informasi tentang AWS Config harga, lihat [Harga](https://aws.amazon.com/config/pricing/).

# Menghapus sinkronisasi data sumber daya untuk Kepatuhan
<a name="systems-manager-compliance-delete-RDS"></a>

Jika Anda tidak ingin lagi menggunakan AWS Systems Manager Kepatuhan untuk melihat data kepatuhan, sebaiknya hapus sinkronisasi data sumber daya yang digunakan untuk pengumpulan data Kepatuhan.

**Untuk menghapus sinkronisasi data sumber daya Kepatuhan**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih **Manajemen akun**, **Sinkronisasi data sumber daya**.

1. Pilih sinkronisasi dalam daftar. 
**penting**  
Pastikan Anda memilih sinkronisasi yang digunakan untuk Kepatuhan. Systems Manager mendukung sinkronisasi data sumber daya untuk beberapa alat. Jika Anda memilih sinkronisasi yang salah, Anda dapat mengganggu agregasi data untuk Systems Manager Explorer atau Systems Manager Inventory.

1. Pilih **Hapus**.

1. Hapus bucket Amazon Simple Storage Service (Amazon S3) tempat data disimpan. Untuk informasi tentang menghapus bucket S3, lihat [Menghapus](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html) bucket.

# Memulihkan masalah kepatuhan menggunakan EventBridge
<a name="compliance-fixing"></a>

Anda dapat dengan cepat memperbaiki masalah kepatuhan patch dan asosiasi dengan menggunakan Run Command, alat di AWS Systems Manager. Anda dapat menargetkan instance atau perangkat AWS IoT Greengrass inti IDs atau tag dan menjalankan `AWS-RunPatchBaseline` dokumen atau `AWS-RefreshAssociation` dokumen. Jika menyegarkan asosiasi atau menjalankan kembali baseline tambalan gagal menyelesaikan masalah kepatuhan, maka Anda perlu menyelidiki asosiasi, garis dasar tambalan, atau konfigurasi instance Anda untuk memahami mengapa Run Command operasi tidak menyelesaikan masalah. 

Untuk informasi selengkapnya tentang patching, lihat [AWS Systems Manager Patch Manager](patch-manager.md) dan [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).

Untuk informasi selengkapnya tentang asosiasi, lihat [Bekerja dengan asosiasi di Systems Manager](state-manager-associations.md).

Untuk informasi selengkapnya tentang menjalankan perintah, lihat [AWS Systems Manager Run Command](run-command.md).

**Tentukan Kepatuhan sebagai target suatu EventBridge peristiwa**  
Anda juga dapat mengonfigurasi Amazon EventBridge untuk melakukan tindakan sebagai respons terhadap peristiwa Kepatuhan Systems Manager. Misalnya, jika satu atau beberapa node terkelola gagal menginstal pembaruan patch kritis atau menjalankan asosiasi yang menginstal perangkat lunak anti-virus, maka Anda dapat mengonfigurasi EventBridge untuk menjalankan `AWS-RunPatchBaseline` dokumen atau `AWS-RefreshAssocation` dokumen saat peristiwa Kepatuhan terjadi. 

Gunakan prosedur berikut untuk mengonfigurasi Kepatuhan sebagai target suatu EventBridge peristiwa.

**Untuk mengonfigurasi Kepatuhan sebagai target EventBridge acara (konsol)**

1. Buka EventBridge konsol Amazon di [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Di panel navigasi, pilih **Aturan**.

1. Pilih **Buat aturan**.

1. Masukkan nama dan deskripsi aturan.

   Aturan tidak dapat memiliki nama yang sama dengan aturan lain di bus acara yang sama Wilayah AWS dan di bus acara yang sama.

1. Untuk **bus acara**, pilih bus acara yang ingin Anda kaitkan dengan aturan ini. Jika Anda ingin aturan ini merespons peristiwa pencocokan yang berasal dari Anda sendiri Akun AWS, pilih **default**. Ketika Layanan AWS di akun Anda memancarkan acara, itu selalu masuk ke bus acara default akun Anda.

1. Untuk **Tipe aturan**, pilih **Aturan dengan pola peristiwa**.

1. Pilih **Selanjutnya**.

1. Untuk **sumber Acara**, pilih **AWS acara atau acara EventBridge mitra**.

1. Di bagian **Pola acara**, pilih **Formulir pola acara**.

1. Untuk **Sumber peristiwa**, pilih **Layanan AWS **.

1. Untuk **AWS layanan**, pilih **Systems Manager**.

1. Untuk **Jenis peristiwa**, pilih **Kepatuhan Konfigurasi**.

1. Untuk **jenis detail spesifik**, pilih **Perubahan Status Kepatuhan Konfigurasi**.

1. Pilih **Berikutnya**.

1. Untuk **Jenis target**, pilih **Layanan AWS **.

1. Untuk **Pilih target**, pilih ** Systems Manager Run Command**.

1. Di daftar **Dokumen**, pilih dokumen Systems Manager (dokumen SSM) untuk dijalankan ketika target Anda dipanggil. Misalnya, pilih `AWS-RunPatchBaseline` untuk peristiwa patch yang tidak sesuai, atau pilih `AWS-RefreshAssociation` untuk peristiwa asosiasi yang tidak sesuai.

1. Tentukan informasi untuk bidang dan parameter yang tersisa.
**catatan**  
Bidang dan parameter yang wajib diisi memiliki tanda bintang (\$1) di samping namanya. Untuk membuat target, Anda harus menentukan nilai untuk setiap parameter atau bidang yang diperlukan. Jika tidak, sistem akan membuat aturannya, tetapi aturan tersebut tidak akan dijalankan.

1. Pilih **Berikutnya**.

1. (Opsional) Masukkan satu atau lebih tanda untuk aturan. Untuk informasi selengkapnya, lihat [Menandai EventBridge Sumber Daya Amazon Anda](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-tagging.html) di *Panduan EventBridge Pengguna Amazon*.

1. Pilih **Berikutnya**.

1. Tinjau detail aturan dan pilih **Buat aturan**.

# Tetapkan metadata kepatuhan khusus menggunakan AWS CLI
<a name="compliance-custom-metadata-cli"></a>

Prosedur berikut memandu Anda melalui proses penggunaan AWS Command Line Interface (AWS CLI) untuk memanggil operasi AWS Systems Manager [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html)API guna menetapkan metadata kepatuhan khusus ke sumber daya. Anda juga dapat menggunakan operasi API ini untuk menetapkan metadata kepatuhan tambalan atau asosiasi secara manual ke node terkelola, seperti yang ditunjukkan dalam panduan berikut. Untuk informasi selengkapnya tentang kepatuhan kustom, lihat [Tentang kepatuhan kustom](compliance-about.md#compliance-custom).

**Untuk menetapkan metadata kepatuhan kustom ke instans terkelola (AWS CLI)**

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Jalankan perintah berikut untuk menetapkan metadata kepatuhan kustom ke node terkelola. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri. `ResourceType`Parameter hanya mendukung nilai`ManagedInstance`. Tentukan nilai ini meskipun Anda menetapkan metadata kepatuhan khusus ke perangkat inti terkelola AWS IoT Greengrass .

------
#### [ Linux & macOS ]

   ```
   aws ssm put-compliance-items \
       --resource-id instance_ID \
       --resource-type ManagedInstance \
       --compliance-type Custom:user-defined_string \
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value \
       --items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
   ```

------
#### [ Windows ]

   ```
   aws ssm put-compliance-items ^
       --resource-id instance_ID ^
       --resource-type ManagedInstance ^
       --compliance-type Custom:user-defined_string ^
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value ^
       --items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
   ```

------

1. Ulangi langkah sebelumnya untuk menetapkan metadata kepatuhan khusus tambahan ke satu atau beberapa node. Anda juga dapat menetapkan metadata kepatuhan patch atau asosiasi secara manual ke node terkelola dengan menggunakan perintah berikut:

   Metadata kepatuhan asosiasi

------
#### [ Linux & macOS ]

   ```
   aws ssm put-compliance-items \
       --resource-id instance_ID \
       --resource-type ManagedInstance \
       --compliance-type Association \
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value \
       --items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
   ```

------
#### [ Windows ]

   ```
   aws ssm put-compliance-items ^
       --resource-id instance_ID ^
       --resource-type ManagedInstance ^
       --compliance-type Association ^
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value ^
       --items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
   ```

------

   Metadata kepatuhan patch

------
#### [ Linux & macOS ]

   ```
   aws ssm put-compliance-items \
       --resource-id instance_ID \
       --resource-type ManagedInstance \
       --compliance-type Patch \
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value,ExecutionId=user-defined_ID,ExecutionType=Command  \
       --items Id=for_example, KB12345,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{PatchGroup=name_of_group,PatchSeverity=the_patch_severity, for example, CRITICAL}"
   ```

------
#### [ Windows ]

   ```
   aws ssm put-compliance-items ^
       --resource-id instance_ID ^
       --resource-type ManagedInstance ^
       --compliance-type Patch ^
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value,ExecutionId=user-defined_ID,ExecutionType=Command  ^
       --items Id=for_example, KB12345,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{PatchGroup=name_of_group,PatchSeverity=the_patch_severity, for example, CRITICAL}"
   ```

------

1. Jalankan perintah berikut untuk melihat daftar item kepatuhan untuk node terkelola tertentu. Gunakan filter untuk menelusuri data kepatuhan tertentu.

------
#### [ Linux & macOS ]

   ```
   aws ssm list-compliance-items \
       --resource-ids instance_ID \
       --resource-types ManagedInstance \
       --filters one_or_more_filters
   ```

------
#### [ Windows ]

   ```
   aws ssm list-compliance-items ^
       --resource-ids instance_ID ^
       --resource-types ManagedInstance ^
       --filters one_or_more_filters
   ```

------

   Contoh berikut menunjukkan kepada Anda cara menggunakan perintah ini dengan filter.

------
#### [ Linux & macOS ]

   ```
   aws ssm list-compliance-items \
       --resource-ids i-02573cafcfEXAMPLE \
       --resource-type ManagedInstance \
       --filters Key=DocumentName,Values=AWS-RunPowerShellScript Key=Status,Values=NON_COMPLIANT,Type=NotEqual Key=Id,Values=cee20ae7-6388-488e-8be1-a88ccEXAMPLE Key=Severity,Values=UNSPECIFIED
   ```

------
#### [ Windows ]

   ```
   aws ssm list-compliance-items ^
       --resource-ids i-02573cafcfEXAMPLE ^
       --resource-type ManagedInstance ^
       --filters Key=DocumentName,Values=AWS-RunPowerShellScript Key=Status,Values=NON_COMPLIANT,Type=NotEqual Key=Id,Values=cee20ae7-6388-488e-8be1-a88ccEXAMPLE Key=Severity,Values=UNSPECIFIED
   ```

------

------
#### [ Linux & macOS ]

   ```
   aws ssm list-resource-compliance-summaries \
       --filters Key=OverallSeverity,Values=UNSPECIFIED
   ```

------
#### [ Windows ]

   ```
   aws ssm list-resource-compliance-summaries ^
       --filters Key=OverallSeverity,Values=UNSPECIFIED
   ```

------

------
#### [ Linux & macOS ]

   ```
   aws ssm list-resource-compliance-summaries \
       --filters Key=OverallSeverity,Values=UNSPECIFIED Key=ComplianceType,Values=Association Key=InstanceId,Values=i-02573cafcfEXAMPLE
   ```

------
#### [ Windows ]

   ```
   aws ssm list-resource-compliance-summaries ^
       --filters Key=OverallSeverity,Values=UNSPECIFIED Key=ComplianceType,Values=Association Key=InstanceId,Values=i-02573cafcfEXAMPLE
   ```

------

1. Jalankan perintah berikut untuk melihat ringkasan status kepatuhan. Gunakan filter untuk menelusuri data kepatuhan tertentu.

   ```
   aws ssm list-resource-compliance-summaries --filters One or more filters.
   ```

   Contoh berikut menunjukkan kepada Anda cara menggunakan perintah ini dengan filter.

------
#### [ Linux & macOS ]

   ```
   aws ssm list-resource-compliance-summaries \
       --filters Key=ExecutionType,Values=Command
   ```

------
#### [ Windows ]

   ```
   aws ssm list-resource-compliance-summaries ^
       --filters Key=ExecutionType,Values=Command
   ```

------

------
#### [ Linux & macOS ]

   ```
   aws ssm list-resource-compliance-summaries \
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=OverallSeverity,Values=CRITICAL
   ```

------
#### [ Windows ]

   ```
   aws ssm list-resource-compliance-summaries ^
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=OverallSeverity,Values=CRITICAL
   ```

------

1. Jalankan perintah berikut untuk melihat jumlah ringkasan sumber daya yang sesuai dan tidak sesuai untuk jenis kepatuhan. Gunakan filter untuk menelusuri data kepatuhan tertentu.

   ```
   aws ssm list-compliance-summaries --filters One or more filters.
   ```

   Contoh berikut menunjukkan kepada Anda cara menggunakan perintah ini dengan filter.

------
#### [ Linux & macOS ]

   ```
   aws ssm list-compliance-summaries \
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=PatchGroup,Values=TestGroup
   ```

------
#### [ Windows ]

   ```
   aws ssm list-compliance-summaries ^
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=PatchGroup,Values=TestGroup
   ```

------

------
#### [ Linux & macOS ]

   ```
   aws ssm list-compliance-summaries \
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=ExecutionId,Values=4adf0526-6aed-4694-97a5-14522EXAMPLE
   ```

------
#### [ Windows ]

   ```
   aws ssm list-compliance-summaries ^
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=ExecutionId,Values=4adf0526-6aed-4694-97a5-14522EXAMPLE
   ```

------