本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Systems Manager 的 Security Hub CSPM 控件

这些AWS Security Hub CSPM控制措施评估 AWS Systems Manager (SSM) 服务和资源。这些控件可能并非全部可用AWS 区域。有关更多信息，请参阅 按地区划分的控件可用性。

[SSM.1] 亚马逊 EC2 实例应由以下人员管理 AWS Systems Manager

相关要求：PCI DSS v3.2.1/2.4、 NIST.800-53.r5 CA-9 (1)、5 (2)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8)、nist.800-53.r NIST.800-53.r5 SA-1 5 SI-2 (3) NIST.800-53.r5 SA-3

类别：识别 > 清单

严重性：中

评估的资源：AWS::EC2::Instance

所需的AWS Config录制资源：AWS::EC2::Instance，AWS::SSM::ManagedInstanceInventory

AWS Config 规则：ec2-instance-managed-by-systems-manager

计划类型：已触发变更

参数：无

此控件检查您账户中已停止和正在运行的 EC2 实例是否由管理AWS Systems Manager。您可以使用 S AWS 服务 ystems Manager 来查看和控制您的AWS基础架构。

为了帮助您维护安全性和合规性，Systems Manager 会扫描已停止和正在运行的托管实例。托管实例是配置为与 Systems Manager 一起使用的机器。然后，Systems Manager 会报告其检测到的任何策略违规行为或采取纠正措施。Systems Manager 还帮助您配置和维护托管实例。要了解有关更多信息，请参阅 AWS Systems Manager 用户指南。

修复

有关使用管理 EC2 实例的信息AWS Systems Manager，请参阅AWS Systems Manager用户指南中的 Amazon EC2 主机管理。在AWS Systems Manager控制台的 “配置选项” 部分，您可以保留默认设置或根据需要对其进行更改，以满足您的首选配置。

[SSM.2] 安装补丁后，由 Systems Manager 管理的亚马逊 EC2 实例的补丁合规性状态应为 “合规”

相关要求：NIST.800-53.r5 CM-8（3）、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2（2）、NIST.800-53.r5 SI-2（3）、NIST.800-53.r5 SI-2（4）、NIST.800-53.r5 SI-2（5）、NIST.800-171.r2 3.7.1、PCI DSS v3.2.1/6.2、PCI DSS v4.0.1/2.2.1、PCI DSS v4.0.1/6.3.3

类别：检测 > 检测服务

严重性：高

资源类型：AWS::SSM::PatchCompliance

AWS Config 规则：ec2-managedinstance-patch-compliance-status-check

计划类型：已触发变更

参数：无

该控件在实例上安装补丁后检查 Systems Manager 补丁合规性的合规状态是否为 COMPLIANT 或 NON_COMPLIANT。如果合规性状态为 NON_COMPLIANT，则控制失败。该控件仅检查 Systems Manager Patch Manager 管理的实例。

根据组织要求修补您的 EC2 实例可以减少您的受攻击面。AWS 账户

修复

Systems Manager 建议使用补丁策略为您的托管实例配置补丁。您也可以使用 Systems Manager 文档（如以下过程所述）来修补实例。

[SSM.3] 由 Systems Manager 管理的亚马逊 EC2 实例的关联合规状态应为 “合规”

相关要求： NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)、nist.800-53.r5 CM-8、nist.800-53.r5 CM-8 (1)、nist.800-53.r5 CM-8 (3)、nist.800-53.r5 SI-2 (3)，PCI DSS v3.2.1/2.4，PCI DSS v4.0.1/2.1，PCI DSS v4.0.1/6.3.3

类别：检测 > 检测服务

严重性：低

资源类型：AWS::SSM::AssociationCompliance

AWS Config 规则：ec2-managedinstance-association-compliance-status-check

计划类型：已触发变更

参数：无

此控件检查AWS Systems Manager关联合规性的状态是COMPLIANT还是关联在实例上运行NON_COMPLIANT之后。如果关联合规性状态为 NON_COMPLIANT，则控制失败。

状态管理器关联是分配给托管实例的配置。该配置定义要在实例上保持的状态。例如，关联可以指定必须在实例上安装并运行防病毒软件，或者必须关闭某些端口。

创建一个或多个状态管理器关联后，您可以立即获得合规状态信息。您可以在控制台中查看合规性状态，也可以在响应AWS CLI命令或相应的 Systems Manager API 操作时查看合规性状态。对于关联，配置合规性显示合规性状态（Compliant 或 Non-compliant）。它还显示分配给关联的严重性级别，例如 Critical 或 Medium。

要了解有关 State Manager 关联合规性的更多信息，请参阅 AWS Systems Manager 用户指南中的关于 State Manager 关联合规性。

修复

失败的关联可能与不同的事物相关，包括目标和 Systems Manager 文档名称。要修复此问题，您必须首先通过查看关联历史记录来识别和调查关联。有关查看关联历史记录的说明，请参阅 AWS Systems Manager 用户指南中的查看关联历史记录。

调查完成后，您可以编辑关联以更正已结果的问题。您可以编辑关联以指定新名称、计划、严重级别或目标。编辑关联后，AWS Systems Manager创建新版本。有关编辑关联的说明，请参阅 AWS Systems Manager 用户指南中的编辑和创建关联的新版本。

[SSM.4] SSM 文档不应公开

相关要求： NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)

类别：保护 > 安全网络配置 > 不公开访问的资源

严重性：严重

资源类型：AWS::SSM::Document

AWS Config 规则：ssm-document-not-public

计划类型：定期

参数：无

此控件检查账户拥有的AWS Systems Manager文档是否公开。如果所有者为 Self 的 Systems Manager 文档是公开的，则此控件会失败。

公开的 Systems Manager 文档可能会允许意外访问您的文档。公开的 Systems Manager 文档可能会公开有关账户、资源和内部流程的有价值的信息。

除非使用案例要求公开共享，否则我们建议您阻止对所有者为 Self 的 Systems Manager 文档进行公开共享设置。

修复

有关配置 Systems Manager 文档共享的信息，请参阅《AWS Systems Manager 用户指南》中的共享 SSM 文档。

[SSM.5] 应标记 SSM 文档

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::SSM::Document

AWS Config 规则：ssm-document-tagged

计划类型：已触发变更

参数：

此控件检查AWS Systems Manager文档是否具有requiredKeyTags参数指定的标签密钥。如果文档没有任何标签键，或者缺少 requiredKeyTags 参数指定的所有键，则该控件会失败。如果没有为 requiredKeyTags 参数指定任何值，则该控件仅检查是否存在标签键，如果文档没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 aws: 前缀。该控件不评估 Amazon 拥有的 Systems Manager 文档。

标签是您创建并分配给AWS资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》中的使用 ABAC 授权根据属性定义权限。有关标签的更多信息，请参阅《标签AWS资源和标签编辑器用户指南》。

修复

要向AWS Systems Manager文档添加标签，您可以使用 AWS Systems Manager API 的AddTagsToResource操作，或者，如果您使用的是AWS CLI，则运行add-tags-to-resource命令。您还可以使用 AWS Systems Manager 控制台。

[SSM.6] SSM 自动化应启用日志记录 CloudWatch

类别：识别 > 日志记录

严重性：中

资源类型：AWS::::Account

AWS Config 规则：ssm-automation-logging-enabled

计划类型：定期

参数：无

此控件检查是否已启用 Amazon CloudWatch 日志功能 AWS Systems Manager (SSM) 自动化。如果未为 SSM 自动化启用 CloudWatch 日志记录，则控件将失败。

SSM Automation 是一AWS Systems Manager款工具，可帮助您构建自动化解决方案，以便使用预定义或自定义运行手册大规模部署、配置和管理AWS资源。为了满足贵组织的运营或安全要求，您可能需要提供其运行的脚本的记录。您可以将 SSM Automation 配置为将运行手册中aws:executeScript操作的输出发送到您指定的 Amazon Log CloudWatch s 日志组。使用 CloudWatch 日志，您可以监控、存储和访问各种日志文件AWS 服务。

修复

有关启用 SSM 自动化的 CloudWatch 日志记录的信息，请参阅《AWS Systems Manager用户指南》中的使用 CloudWatch 日志记录自动化操作输出。

[SSM.7] SSM 文档应启用“阻止公开共享”设置

类别：保护 > 安全访问管理 > 资源不公开访问

严重性：严重

资源类型：AWS::::Account

AWS Config 规则：ssm-automation-block-public-sharing

计划类型：定期

参数：无

此控件检查是否为 AWS Systems Manager 文档启用了阻止公开共享设置。如果为 Systems Manager 文档禁用了阻止公开共享设置，则此控件会失败。

AWS Systems Manager(SSM) 文档的屏蔽公开共享设置是账户级别的设置。启用此设置可防止对 SSM 文档进行不需要的访问。启用此设置后，您的更改不会影响您当前与公众共享的任何 SSM 文档。除非您的使用案例要求与公众共享 SSM 文档，否则我们建议您启用阻止公开共享设置。每种设置可能有所不同AWS 区域。

修复

有关为 AWS Systems Manager（SSM）文档启用阻止公开共享设置的信息，请参阅《AWS Systems Manager 用户指南》中的阻止 SSM 文档的公开共享。