• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Usar os perfis do Chef InSpec com o Systems Manager Compliance
O AWS Systems Manager é integrado ao [https://www.chef.io/products/chef-inspec](https://www.chef.io/products/chef-inspec). O Chef InSpec é uma estrutura de teste de código aberto que permite criar perfis legíveis para armazenamento no GitHub ou no Amazon Simple Storage Service (Amazon S3). Em seguida, você pode usar o Systems Manager para executar verificações de compatibilidade e visualizar nós compatíveis e não compatíveis. Um *perfil* é um requisito de segurança, compatibilidade ou política de seu ambiente de computação. Por exemplo, é possível criar perfis que executam as seguintes verificações ao verificar os nós com o Compliance, uma ferramenta do AWS Systems Manager:
+ Verificar se portas específicas estão abertas ou fechadas.
+ Verificar se aplicativos específicos estão em execução.
+ Verificar se determinados pacotes estão instalados.
+ Verificar propriedades específicas em chaves do Registro do Windows.
Você pode criar perfis do InSpec *apenas* para instâncias do Amazon Elastic Compute Cloud (Amazon EC2) que você gerencia com o Systems Manager. Os servidores on-premises ou as máquinas virtuais (VMs) não são compatíveis. O seguinte exemplo do perfil do Chef InSpec verifica se a porta 22 está aberta.
```
control 'Scan Port' do
impact 10.0
title 'Server: Configure the service port'
desc 'Always specify which port the SSH server should listen to.
Prevent unexpected settings.'
describe sshd_config do
its('Port') { should eq('22') }
end
end
```
O InSpec inclui um conjunto de recursos que ajudam você a escrever rapidamente verificações e controles de auditoria. O InSpec usa a [Domain-specific Language (DSL) do InSpec](https://docs.chef.io/inspec/7.0/reference/glossary/#dsl) para escrever esses controles no Ruby. Você também pode usar perfis criados por uma grande comunidade de usuários do InSpec. Por exemplo, o projeto [DevSec chef-os-hardening](https://github.com/dev-sec/chef-os-hardening) no GitHub inclui dezenas de perfis para ajudar você a proteger seus nós. Você pode criar e armazenar perfis no GitHub ou no Amazon S3.
## Como funciona
Veja a seguir a forma como o processo de usar perfis do InSpec com o Compliance funciona:
1. Identifique perfis do InSpec predefinidos que você deseja usar ou crie seus próprios. Você pode usar [perfis predefinidos](https://github.com/search?p=1&q=topic%3Ainspec+org%3Adev-sec&type=Repositories) no GitHub para começar. Para obter informações sobre como criar seus próprios perfis do InSpec, consulte [Perfis do Chef InSpec](https://www.inspec.io/docs/reference/profiles/)
1. Armazene perfis em um repositório GitHub público ou privado ou em um bucket do S3.
1. Execute o Compliance com seus perfis do InSpec usando o documento do Systems Manager (documento do SSM) `AWS-RunInspecChecks`. Você pode iniciar uma verificação do Compliance usando o Run Command, uma ferramenta do AWS Systems Manager, para verificações sob demanda ou programar verificações regulares do Compliance usando o State Manager, uma ferramenta do AWS Systems Manager.
1. Identifique os nós incompatíveis usando a API Compliance ou o console do Compliance.
**nota**
Observe as seguintes informações:
O Chef usa um cliente em seus nós gerenciados para processar o perfil. Você não precisa instalar o cliente. Quando o Systems Manager executa o documento `AWS-RunInspecChecks`, o sistema verifica se o cliente está instalado. Caso contrário, o Systems Manager instala o cliente do Chef durante a verificação e, em seguida, desinstala o cliente após a verificação ser concluída.
A execução do documento do SSM `AWS-RunInspecChecks`, conforme descrito neste tópico, atribui uma entrada de conformidade do tipo `Custom:Inspec` para cada nó de destino. Para atribuir esse tipo de conformidade, o documento chama a operação de API [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html).
## Executar uma verificação de conformidade no InSpec
Esta seção inclui informações sobre como executar uma verificação de conformidade do InSpec usando o console do Systems Manager e a AWS Command Line Interface (AWS CLI). O procedimento do console mostra como configurar o State Manager para executar a verificação. O procedimento da AWS CLI mostra como configurar o Run Command para executar a verificação.
### Executar uma verificação de conformidade no InSpec com State Manager (console)
**Como executar uma verificação de conformidade no InSpec com o State Manager usando o console do AWS Systems Manager**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **State Manager**.
1. Selecione **Criar associação**.
1. Na seção **Provide association details** (Fornecer detalhes da associação), digite um nome.
1. Na lista **Document** (Documento), escolha **`AWS-RunInspecChecks`**.
1. Na lista **Document version** (Versão do documento), escolha **Latest at runtime** (Mais recente em runtime).
1. Na seção **Parâmetros**, na lista **Tipo de origem**, escolha **GitHub** ou **S3**.
Se você escolher **GitHub**, digite o caminho para um perfil do InSpec em um repositório do GitHub público ou privado no campo **Informações da origem**. Este é um caminho de exemplo para um perfil público fornecido pela equipe do Systems Manager no seguinte local: [https://github.com/awslabs/amazon-ssm/tree/master/Compliance/InSpec/PortCheck](https://github.com/awslabs/amazon-ssm/tree/master/Compliance/InSpec/PortCheck).
```
{"owner":"awslabs","repository":"amazon-ssm","path":"Compliance/InSpec/PortCheck","getOptions":"branch:master"}
```
Se você escolher **S3**, insira um URL válido para um perfil do InSpec em um bucket do S3, no campo **Source Info (Informações de origem)**.
Para obter mais informações sobre como o Systems Manager se integra com o GitHub e com o Amazon S3, consulte [Executar scripts do GitHub](integration-remote-scripts.md).
1. Na seção **Targets** (Destinos), escolha os nós gerenciados nos quais você quer executar essa operação, especificando as tags, selecionando as instâncias ou dispositivos de borda manualmente ou especificando um grupo de recursos.
**dica**
Se um nó gerenciado que você espera ver não estiver listado, consulte [Solução de problemas de disponibilidade do nó gerenciado](fleet-manager-troubleshooting-managed-nodes.md) para obter dicas de solução de problemas.
1. Na seção **Specify schedule** (Especificar programação), use as opções do construtor de programação para criar uma programação que especifica quando você deseja que a verificação do Compliance seja executada.
1. Para **Rate control** (Controle de taxa):
+ Em **Concurrency** (Concorrência), especifique um número ou uma porcentagem de nós gerenciados nos quais executar o comando ao mesmo tempo.
**nota**
Se você selecionou destinos especificando tags aplicadas a instâncias a nós gerenciados ou especificando grupos de recursos da AWS, e não tiver certeza de quantas instâncias são direcionadas, restrinja o número de instâncias que poderão executar o documento ao mesmo tempo, especificando uma porcentagem.
+ Em **Error threshold** (Limite de erro), especifique quando parar de executar o comando em outros nós depois de falhar em alguns ou em uma porcentagem de nós. Por exemplo, se você especificar três erros, o Systems Manager deixará de enviar o comando quando o 4° erro for recebido. Os nós gerenciados que continuam processando o comando também podem enviar erros.
1. (Opcional) Em **Output options (Opções de saída)**, para salvar a saída do comando em um arquivo, selecione a caixa **Write command output to an S3 bucket (Gravar saída do comando em um bucket do S3)**. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.
**nota**
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil de instância (para instâncias do EC2) ou perfil de serviço do IAM (máquinas ativadas para ambientes híbridos) atribuído à instância, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md) ou [Criar um perfil de serviço do IAM para um ambiente híbrido](hybrid-multicloud-service-role.md). Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço do IAM associado ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
1. Escolha **Create Association (Criar associação)**. O sistema cria a associação e executa automaticamente a verificação do Compliance.
1. Aguarde vários minutos até que a verificação seja concluída e, em seguida, escolha **Compliance** no painel de navegação.
1. Em **Corresponding managed instances** (Instâncias gerenciadas correspondentes), localize os nós em que a coluna **Compliance Type** (Tipo de compatibilidade) seja **Custom:Inspec**.
1. Escolha o ID de um nó para visualizar os detalhes dos status de incompatibilidade.
### Executar uma verificação de conformidade no InSpec com Run Command (AWS CLI)
1. Instale e configure a AWS Command Line Interface (AWS CLI), caso ainda não o tenha feito.
Para obter informações, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Execute um dos seguintes comandos para executar um perfil do InSpec no GitHub ou no Amazon S3.
O comando usa os seguintes parâmetros:
+ **sourceType**: GitHub ou Amazon S3
+ **sourceInfo**: URL para a pasta de perfil do InSpec no GitHub ou em um bucket do S3. A pasta base deve conter o arquivo base do InSpec (\*.yml) e todos os controles relacionados (\*.rb).
**GitHub**
```
aws ssm send-command --document-name "AWS-RunInspecChecks" --targets '[{"Key":"tag:{{tag_name}}","Values":["{{tag_value}}"]}]' --parameters '{"sourceType":["GitHub"],"sourceInfo":["{\"owner\":\"{{owner_name}}\", \"repository\":\"{{repository_name}}\", \"path\": \"{{Inspec.yml_file}}"}"]}'
```
Aqui está um exemplo.
```
aws ssm send-command --document-name "AWS-RunInspecChecks" --targets '[{"Key":"tag:testEnvironment","Values":["webServers"]}]' --parameters '{"sourceType":["GitHub"],"getOptions":"branch:master","sourceInfo":["{\"owner\":\"awslabs\", \"repository\":\"amazon-ssm\", \"path\": \"Compliance/InSpec/PortCheck\"}"]}'
```
**Amazon S3**
```
aws ssm send-command --document-name "AWS-RunInspecChecks" --targets '[{"Key":"tag:{{tag_name}}","Values":["{{tag_value}}"]}]' --parameters'{"sourceType":["S3"],"sourceInfo":["{\"path\":\"https://s3.{{aws-api-domain}}/{{amzn-s3-demo-bucket}}/{{Inspec.yml_file}}\"}"]}'
```
Aqui está um exemplo.
```
aws ssm send-command --document-name "AWS-RunInspecChecks" --targets '[{"Key":"tag:testEnvironment","Values":["webServers"]}]' --parameters'{"sourceType":["S3"],"sourceInfo":["{\"path\":\"https://s3.{{aws-api-domain}}/amzn-s3-demo-bucket/InSpec/PortCheck.yml\"}"]}'
```
1. Execute o comando a seguir para visualizar um resumo da verificação do Compliance.
```
aws ssm list-resource-compliance-summaries --filters Key=ComplianceType,Values=Custom:Inspec
```
1. Execute o comando a seguir para ver detalhes de um nó que não é compatível.
```
aws ssm list-compliance-items --resource-ids {{node_ID}} --resource-type ManagedInstance --filters Key=DocumentName,Values=AWS-RunInspecChecks
```