使用 AWS Systems Manager 将 STIG 设置应用到您的实例 - Amazon Elastic Compute Cloud
AWSEC2-ConfigureSTIG 输入参数运行 AWSEC2-ConfigureSTIG 命令文档

使用 AWS Systems Manager 将 STIG 设置应用到您的实例

您可以使用 AWSEC2-ConfigureSTIG Systems Manager 命令文档将 STIG 设置应用于现有 EC2 实例。您必须从其更新的实例运行命令文档。命令文档根据其所运行实例的操作系统和配置应用相应的设置。

本页包含有关 AWSEC2-ConfigureSTIG 命令文档的详细信息,包括输入参数以及如何在 Systems Manager 控制台中或在 AWS CLI 中使用 send-command 运行该文档。

AWSEC2-ConfigureSTIG 输入参数

您可以提供以下输入参数来指定命令文档应如何将 STIG 设置应用到您的实例。

Level(字符串,必填)

指定要应用的 STIG 严重性类别。有效值包括:

如果您未指定值,系统将默认该值为 High

InstallPackages(字符串,可选 – 仅限 Linux)

如果值为 No,则脚本不安装任何其他软件包。如果值为 Yes,则脚本会安装实现最大合规性所需的其他软件包。默认值为 No

SetDoDConsentBanner(字符串,可选 – 仅限 Linux)

如果值为 No,则当您连接到安装了 Linux STIG 脚本的实例时不会显示 DoD 同意横幅。如果值为 Yes,则当您连接到安装了 STIG Linux 脚本之一的实例时,会在您登录之前显示 DoD 同意横幅。您必须先确认该横幅,然后才能登录。默认值为 No

有关同意横幅的示例,请参阅当您访问 DLA 文档服务网站时显示的 Disclaimer Department of Defense Privacy and Consent Notice

运行 AWSEC2-ConfigureSTIG 命令文档

要运行 AWSEC2-ConfigureSTIG 文档,请按照适用于您的首选环境的步骤操作。

Console

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 AWS Systems Manager 控制台。

  2. 从导航窗格中选择运行命令。这将显示您的账户中当前正在运行的命令的列表(如果适用)。

  3. 选择 Run command(运行命令)。这将打开运行命令对话框,并显示您有权访问的命令文档列表。

  4. 从命令文档列表中选择 AWSEC2-ConfigureSTIG。为了简化结果,您可以输入完整或部分文档名称。也可以按所有者、平台类型或标签进行筛选。

    当选择命令文档时,将在列表下方填充详细信息。

  5. 文档版本列表中选择 Default version at runtime

  6. 配置命令参数以定义 AWSEC2-ConfigureSTIG 如何安装脚本包并运行它来更新实例。有关参数的详细信息,请参阅 AWSEC2-ConfigureSTIG 输入参数

  7. 对于目标选择,请指定标签或者手动选择实例,以确定要在其上执行此操作的实例。

    注意

    如果手动选择实例,而且要查看的实例未包含在列表中,请参阅我的实例在哪里?以获得故障排除提示。

  8. 要获得用来定义 Systems Manager Run Command 行为(例如速率控制)的其他参数,请输入从控制台运行命令中所述的值。

  9. 选择运行

    如果成功,命令文档将安装脚本并配置您的实例。如果命令执行失败,请查看 Systems Manager 命令输出,了解执行失败的详细原因。

AWS CLI
示例 1:使用默认值运行

运行以下命令安装 STIG 脚本并使用默认值运行该脚本。有关输入参数的更多信息,请参阅AWSEC2-ConfigureSTIG 输入参数

aws ssm send-command \
	--document-name "AWSEC2-ConfigureSTIG" \
	--instance-ids "i-1234567890abcdef0"'
示例 2:在您的实例上配置“中等”级别的 STIG 设置

运行以下命令安装 STIG 脚本,并将 Level 输入参数设置为 Medium 后运行该脚本。有关输入参数的更多信息,请参阅AWSEC2-ConfigureSTIG 输入参数

aws ssm send-command \
	--document-name "AWSEC2-ConfigureSTIG" \
	--instance-ids "i-1234567890abcdef0"
	--parameters '{"Level":"Medium"}'

如果成功,命令文档将安装脚本并配置您的实例。如果命令执行失败,请查看命令输出,了解执行失败的详细原因。

PowerShell
示例 1:使用默认值运行

运行以下命令安装 STIG 脚本并使用默认值运行该脚本。有关输入参数的更多信息,请参阅AWSEC2-ConfigureSTIG 输入参数

Send-SSMCommand -DocumentName "AWSEC2-ConfigureSTIG" -InstanceId "i-1234567890abcdef0"}
示例 2:在您的实例上配置“中等”级别的 STIG 设置

运行以下命令安装 STIG 脚本,并将 Level 输入参数设置为 Medium 后运行该脚本。有关输入参数的更多信息,请参阅AWSEC2-ConfigureSTIG 输入参数

Send-SSMCommand -DocumentName "AWSEC2-ConfigureSTIG" -InstanceId "i-1234567890abcdef0" -Parameter @{'Level'='Medium'}

如果成功,命令文档将安装脚本并配置您的实例。如果命令执行失败,请查看命令输出,了解执行失败的详细原因。