• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# AWS Systems Manager Explorer
AWS Systems Manager Explorer 是一个可自定义的运营控制面板,用于报告有关 AWS 资源的信息。Explorer 会跨 AWS 区域 聚合显示您的 AWS 账户 的运营数据(OpsData)。在 Explorer 中,OpsData 包含有关[混合和多云](operating-systems-and-machine-types.md#supported-machine-types)环境中托管式节点的元数据。OpsData 还包含其他 Systems Manager 工具提供的信息,包括Patch Manager补丁合规性和State Manager关联合规性详细信息。为了进一步简化您访问 OpsData 的过程,Explorer 会显示来自 AWS Config、AWS Trusted Advisor、AWS Compute Optimizer和(AWS 支持支持用例)等支持 AWS 服务的信息。
为提高操作感知能力,Explorer 还会显示操作工作项 (OpsItems)。Explorer 提供了有关 OpsItems 在业务单位或应用程序之间的分布方式、它们随时间变化的趋势,以及它们随类别变化的方式等上下文。您可以在 Explorer 中对信息进行分组和筛选,以将重点放在与您相关的项目和需要采取措施的项目上。在查找高优先级问题时,您可以使用 Systems Manager OpsCenter 运行自动化运行手册并快速解决这些问题。要开始使用 Explorer,请打开 [Systems Manager 控制台](https://console.aws.amazon.com//systems-manager/explorer)。在导航窗格中,请选择 **Explorer**。
下图显示了一些单独的报告框(称为*小部件*),它们位于 Explorer 中。
![\[ExplorerAWS Systems Manager 中的控制面板\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/Explorer-1-overview.png)
## Explorer 具有哪些功能?
Explorer 包括以下功能:
+ **可操作信息的可自定义显示内容**:Explorer 包括拖放式小组件,它们自动显示有关 AWS 资源的可操作信息。Explorer 在两种类型的小组件中显示信息。
+ **信息性小部件**:这些小部件汇总了来自 Amazon EC2、Patch Manager、State Manager 和支持性 AWS 服务(如 AWS Trusted Advisor、AWS Compute Optimizer 和 支持)的数据。这些小组件提供了重要的上下文,以帮助您了解 AWS 资源的状态和操作风险。信息控件的示例包括 **Instance count**(实例计数)、**Instance by AMI**(按 AMI 划分的实例)、**Total noncompliant nodes**(不合规的节点总数)(修补中)、**Non-compliant associations**(不合规的关联)和 **Support Center cases**(支持中心用例)。
+ **OpsItem 小组件**:Systems Manager *OpsItem* 是与一个或多个 AWS 资源相关的操作工作项。OpsItems 是 Systems Manager OpsCenter 的一项功能。OpsItems 可能要求 DevOps 工程师调查问题,并采取可能的纠正措施。可能的 OpsItems 示例包括:较高的 Amazon EC2 实例 CPU 使用率、分离的 Amazon Elastic Block Store (Amazon EBS) 卷、AWS CodeDeploy 部署失败,或 Systems Manager 自动化执行失败。OpsItem 小组件的示例包括:**Open OpsItem summary (打开的 OpsItem 摘要)**、**OpsItem by status (按状态划分的 OpsItem)**,以及 **OpsItems over time (随时间变化的 OpsItem)**。
+ **Filters(筛选条件)**:每个小组件都提供了根据 AWS 账户、AWS 区域和标签来筛选信息的功能。筛选条件可以帮助您快速优化 Explorer 中显示的信息。
+ **Direct links to service screens (指向服务屏幕的直接链接)**:为了帮助您调查 AWS 资源的问题,Explorer 小组件包含指向相关服务屏幕的直接链接。如果导航到相关的服务屏幕,应用于小部件的筛选条件仍然有效。
+ **Groups (组)**:为了帮助您了解组织中的操作问题的类型,您可以使用一些小组件根据账户、区域和标签对数据进行分组。
+ **报告标签键**:在设置 Explorer 时,您可以指定最多 5 个标签键。这些键可以帮助您对 Explorer 中的数据进行分组和筛选。如果指定的键与生成 OpsItem 的资源上的键匹配,则该键和值将包含在 OpsItems 中。
+ **AWS 账户和 AWS 区域显示的三种模式**:Explorer 包括以下显示模式,用于 AWS 账户和 AWS 区域中的 OpsData 及 OpsItems:
+ *单账户/单区域*:这是默认视图。在该模式下,用户可以查看自己的账户和当前区域中的数据和 OpsItems。
+ *单账户/多区域*:该模式要求您使用 Explorer** Settings (设置)** 页面创建一个或多个资源数据同步。资源数据同步聚合一个或多个区域中的 OpsData。在创建资源数据同步后,您可以在 Explorer 控制面板上切换要使用的同步。然后,您可以根据区域对数据进行筛选和分组。
+ *Multiple-account/multiple-Region (多账户/多区域)*:此模式要求您的组织或公司使用 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/),并且打开 **All features (所有功能)**。在您的计算环境中配置 AWS Organizations 后,您可以在管理账户中聚合所有账户数据。然后,您可以创建资源数据同步,以便根据区域对数据进行筛选和分组。有关 Organizations 的 **All features (所有功能)** 模式的更多信息,请参阅[在 Organizations 中启用所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ **报告**:您可以将 Explorer 报告以逗号分隔值(.csv)文件的形式导出到 Amazon Simple Storage Service(Amazon S3)存储桶。导出完成后,您会收到来自 Amazon Simple Notification Service (Amazon SNS) 的提示。
## Explorer 如何与 OpsCenter 相关?
[Systems Manager OpsCenter](OpsCenter.md) 提供了一个中心位置,运营工程师和 IT 专业人员可以在其中查看、调查和解决与 AWS 资源相关的 OpsItems 问题。Explorer 是一个报告中心,DevOps 经理可以在其中查看不同 AWS 区域和账户中的操作数据的聚合摘要(包括 OpsItems)。Explorer 可以帮助用户发现趋势和模式,并在必要时使用 Systems Manager 自动化运行手册快速解决问题。
OpsCenter 设置现在与 Explorer 设置集成在一起。如果已设置 OpsCenter,则 Explorer 自动显示操作数据,包括有关 OpsItems 的聚合信息。如果尚未设置 OpsCenter,则可以使用 Explorer 设置来开始使用这两项工具。有关更多信息,请参阅 [Systems Manager Explorer 和 OpsCenter 入门](Explorer-setup.md)。
## 什么是 OpsData?
OpsData 是 Systems Manager Explorer 控制面板中显示的任何运营数据。Explorer 从以下源中检索 OpsData:
+ **Amazon Elastic Compute Cloud (Amazon EC2)**
Explorer 中显示的数据包括:节点总数、托管式和非托管式节点总数,以及使用特定 Amazon Machine Image (AMI) 的节点计数。
+ **Systems Manager OpsCenter**
Explorer 中显示的数据包括:OpsItems 按状态计数、OpsItems 按严重性计数、OpsItems 跨组和跨 30 天时段的未结计数以及 OpsItems 一段时间历史数据。
+ **Systems Manager Patch Manager**
Explorer 中显示的数据包括不合规节点和关键不合规节点的数量。
+ **AWS Trusted Advisor**
Explorer 中显示的数据包括:对 EC2 预留实例的成本优化、安全性、容错能力、性能和服务限制领域的最佳实践检查状态。
+ **AWS Compute Optimizer**
Explorer 中显示的数据包括:**Under provisioned (预置不足)** 和 **Over provisioned (预置过度)** EC2 实例的计数、优化发现结果、按需定价详情,以及关于实例类型和价格的建议。
+ **支持 中心用例**
Explorer 中显示的数据包括:用例 ID、严重性、状态、创建时间、主题、服务和类别。
+ **AWS Config**
Explorer 中显示的数据包括:合规和不合规的 AWS Config 规则的总体摘要、合规和不合规资源的数量,以及有关每个资源的特定详细信息(当您深入了解某个不合规的规则或资源时)。
+ **AWS Security Hub CSPM**
Explorer 中显示的数据包括:Security Hub CSPM 调查发现的总体摘要、按严重性分组的每个调查发现的数量,以及有关调查发现的具体详细信息。
**注意**
要在 Explorer 中查看 AWS Trusted Advisor 和 支持 中心工单,您必须借助 AWS 支持 支持设置企业账户或商业账户。
您可以从 Explorer **Settings (设置)** 页面中查看和管理 OpsData 源。有关设置和配置使用 OpsData 填充 Explorer 小部件的服务的信息,请参阅[为 Explorer 设置相关服务](Explorer-setup-related-services.md)。
## 使用 Explorer 是否需要收取费用?
可以。在集成设置期间,当您打开创建 OpsItems 的默认规则时,将启动自动创建 OpsItems 的过程。将根据每月创建的 OpsItems 数量向您的账户收费。还会根据每月进行的 `GetOpsItem`、`DescribeOpsItem`、`UpdateOpsItem` 和 `GetOpsSummary` API 调用次数向您的账户收费。此外,可能还会针对其他服务的公有 API 调用(公开相关的诊断信息)向您收费。有关更多信息,请参阅 [AWS Systems Manager定价](https://aws.amazon.com/systems-manager/pricing/)。
**Topics**
+ [Explorer 具有哪些功能?](#Explorer-learn-more-features)
+ [Explorer 如何与 OpsCenter 相关?](#Explorer-learn-more-OpsCenter)
+ [什么是 OpsData?](#Explorer-learn-more-OpsData)
+ [使用 Explorer 是否需要收取费用?](#Explorer-learn-more-cost)
+ [Systems Manager Explorer 和 OpsCenter 入门](Explorer-setup.md)
+ [使用 Explorer](Explorer-using.md)
+ [从 Systems Manager Explorer 中导出 OpsData](Explorer-exporting-OpsData.md)
+ [Systems Manager Explorer 问题排查](Explorer-troubleshooting.md)
# Systems Manager Explorer 和 OpsCenter 入门
AWS Systems Manager 使用集成设置体验来帮助您开始使用 Systems Manager Explorer 和 Systems Manager OpsCenter。在本文档中,Explorer 和 OpsCenter 设置称为*集成设置*。如果已设置 OpsCenter,您仍然需要完成集成设置以验证设置和选项。如果尚未设置 OpsCenter,则可以使用集成设置来开始使用这两项工具。
**注意**
集成设置仅在 Systems Manager 控制台中提供。您不能以编程方式设置 Explorer 或 OpsCenter。
集成设置执行以下任务:
+ [配置角色和权限](Explorer-setup-permissions.md):集成设置将创建一个 AWS Identity and Access Management (IAM) 角色,允许 Amazon EventBridge 根据默认规则自动创建 OpsItems。在设置后,您必须为 OpsCenter 配置用户、组或角色权限,如本部分中所述。
+ [启用用于创建 OpsItem 的默认规则](Explorer-setup-default-rules.md):集成设置将在 EventBridge 中创建默认规则。这些规则自动创建 OpsItems 以响应事件。这些事件的示例包括:AWS 资源的状态变化、安全设置更改,或服务变得不可用。
+ 激活 OpsData 源:集成设置可激活以下填充 Explorer 小组件的数据来源。
+ 支持 中心(您必须拥有业务或企业支持计划才能激活此源。)
+ AWS Compute Optimizer(您必须拥有业务或企业支持计划才能激活此源。)
+ Systems Manager State Manager 关联合规性
+ AWS Config Compliance
+ Systems Manager OpsCenter
+ Systems Manager Patch Manager 补丁合规性
+ Amazon Elastic Compute Cloud(Amazon EC2)
+ Systems Manager Inventory
+ AWS Trusted Advisor(您必须拥有业务或企业支持计划才能激活此源。)
+ AWS Security Hub CSPM
**注意**
您可以随时在 **Settings (设置)** 页面上更改设置配置。
在完成集成设置后,我们建议您[设置 Explorer 以显示多个区域和账户中的数据](Explorer-resource-data-sync.md)。Explorer 和 OpsCenter 将自动为您在完成集成设置时使用的 AWS 账户 和 AWS 区域 同步 OpsData 和 OpsItems。您可以创建资源数据同步以聚合其他账户和区域中的 OpsData 和 OpsItems。
# 为 Explorer 设置相关服务
AWS Systems Manager Explorer 和 AWS Systems Manager OpsCenter 会从其他 AWS 服务和 Systems Manager 工具收集信息,或与之交互。建议在使用集成设置之前设置并配置这些其他服务或工具。
下表包含的任务允许 Explorer 和 OpsCenter 从其他 AWS 服务和 Systems Manager 工具收集信息,或与之交互。
****
| Task | 信息 |
| --- | --- |
| 验证 Systems Manager 自动化的权限 | Explorer 和 OpsCenter 允许您使用 Systems Manager 自动化运行手册修复 AWS 资源的问题。要使用此修复工具,您必须拥有运行 Systems Manager Automation 运行手册的权限。有关更多信息,请参阅 [设置自动化](automation-setup.md)。 |
| 设置并配置 Systems Manager Patch Manager | Explorer 包含一个小部件以提供有关补丁合规性的信息。要在 Explorer 中查看此数据,必须配置修补功能。有关更多信息,请参阅 [AWS Systems Manager Patch Manager](patch-manager.md)。 |
| 设置并配置 Systems Manager State Manager | Explorer 包含一个小组件,它可提供有关 Systems Manager State Manager 关联合规性的信息。要在 Explorer 中查看此数据,必须配置 State Manager。有关更多信息,请参阅 [AWS Systems Manager State Manager](systems-manager-state.md)。 |
| 打开 AWS Config 配置记录器 | Explorer 使用 AWS Config 配置记录器提供的数据以在小部件中填充有关 EC2 实例的信息。要在 Explorer 中查看此数据,请打开 AWS Config 配置记录器。有关更多信息,请参阅[管理配置记录器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。 在允许配置记录器后,Systems Manager 最多可能需要 6 小时才会在 Explorer 小组件中显示数据,这些小组件可以显示有关 Amazon EC2 实例的信息。 |
| 启用 AWS Trusted Advisor | Explorer 将使用 Trusted Advisor 提供的数据,显示对 Amazon EC2 预留实例在成本优化、安全性、容错能力、性能和服务限制领域进行最佳实践检查的状态。要在 Explorer 中查看此数据,您必须拥有商业或企业支持计划。有关更多信息,请参阅 [支持](https://aws.amazon.com/premiumsupport/)。 |
| 启用 AWS Compute Optimizer | Explorer 使用 Compute Optimizer 提供的数据显示以下详细信息:**Under provisioned (预置不足)** 和 **Over provisioned (预置过度)** 的 Amazon EC2 实例的计数、优化结果、按需定价详细信息,以及关于实例类型和价格的建议。要在 Explorer 中查看此数据,请打开 Compute Optimizer。有关更多信息,请参阅[开始使用 AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/getting-started.html)。 |
| 启用 AWS Security Hub CSPM | Explorer 使用 Security Hub CSPM 提供的数据在小部件中填充有关安全调查发现的信息。要在 Explorer 中查看此数据,请开启 Security Hub CSPM 集成。有关更多信息,请参阅[什么是 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)。 |
# 为 Systems Manager Explorer 配置角色和权限
集成设置可自动为 AWS Systems Manager Explorer 和 AWS Systems Manager OpsCenter 创建及配置 AWS Identity and Access Management(IAM)角色。如果您完成了集成设置,则不需要执行任何其他任务以便为 Explorer 配置角色和权限。不过,您必须为 OpsCenter 配置权限,如本主题后面所述。
集成设置创建和配置以下角色以使用 Explorer 和 OpsCenter。
+ `AWSServiceRoleForAmazonSSM`:提供对由 Systems Manager 管理或使用的 AWS 资源的访问权限。
+ `OpsItem-CWE-Role`:允许 CloudWatch Events 和 EventBridge 创建 OpsItems 以响应常见事件。
+ `AWSServiceRoleForAmazonSSM_AccountDiscovery`:允许 Systems Manager 调用其他 AWS 服务,以便在同步数据时发现 AWS 账户 信息。有关该角色的更多信息,请参阅[使用角色为 OpsCenter 和 Explorer 收集 AWS 账户 信息](using-service-linked-roles-service-action-2.md)。
+ `AmazonSSMExplorerExport`:允许 Explorer 将 OpsData 导出到逗号分隔值 (CSV) 文件。
如果将 Explorer 配置为使用 AWS Organizations 和资源数据同步显示多个账户和区域中的数据,则 Systems Manager 将创建 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色。Systems Manager 使用此角色在 AWS Organizations 中获取有关 AWS 账户 的信息。该角色使用以下权限策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListChildren",
"organizations:ListParents"
],
"Resource":"*"
}
]
}
```
------
有关 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 角色的更多信息,请参阅 [使用角色为 OpsCenter 和 Explorer 收集 AWS 账户 信息](using-service-linked-roles-service-action-2.md)。
## 为 Systems Manager OpsCenter 配置权限
在完成集成设置后,您必须配置用户、组或角色权限,以便用户能在 OpsCenter 中执行操作。
**开始前的准备工作**
您可以将 OpsCenter 配置为仅为单个账户或跨多个账户创建和管理 OpsItems。如果您将 OpsCenter 配置为跨多个账户创建和管理 OpsItems,则您可以使用 Systems Manager 委派的管理员账户或 AWS Organizations 管理账户在其他账户中手动创建、查看或编辑 OpsItems。有关 Systems Manager 委派管理员账户的更多信息,请参阅 [为 Explorer 配置委派管理员](Explorer-setup-delegated-administrator.md)。
如果您为单个账户配置 OpsCenter,则您只能在创建 OpsItems 的账户中查看或编辑 OpsItems。您无法跨 AWS 账户共享或传输 OpsItems。因此,我们建议您在用于运行 AWS 工作负载的 AWS 账户中为 OpsCenter 配置权限。然后,您可以在该账户中创建用户或组。这样一来,多个运营工程师或 IT 专业人员便能在同一个 AWS 账户中创建、查看和编辑 OpsItems。
Explorer 和 OpsCenter 使用以下 API 操作。如果您的用户、组或角色拥有访问这些操作的权限,您可以使用 Explorer 和 OpsCenter 的所有功能。您还可以创建更严格的访问权限,如本节后面所述。
+ [CreateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateOpsItem.html)
+ [CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)
+ [DescribeOpsItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html)
+ [DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)
+ [GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html)
+ [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html)
+ [ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html)
+ [UpdateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateOpsItem.html)
+ [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)
如果您愿意,可以通过将以下内联策略添加到您的账户、组或角色来指定只读权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:GetOpsSummary",
"ssm:DescribeOpsItems",
"ssm:GetServiceSetting",
"ssm:ListResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
有关创建和编辑 IAM policy的更多信息,请参阅《IAM 用户指南》中的[创建 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。有关如何将此策略分配给 IAM 组的信息,请参阅[将策略附加到 IAM 组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html)。
使用以下内容创建权限,并将该权限添加到您的用户、组或角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:UpdateOpsItem",
"ssm:DescribeOpsItems",
"ssm:CreateOpsItem",
"ssm:CreateResourceDataSync",
"ssm:DeleteResourceDataSync",
"ssm:ListResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
根据您在组织中使用的身份应用程序,您可选择以下任何选项来配置用户访问权限。
要提供访问权限,请为您的用户、组或角色添加权限:
+ AWS IAM Identity Center 中的用户和群组:
创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供者在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
### 通过使用标签限制对 OpsItems 的访问
您还可以通过使用指定标签的内联 IAM policy 来限制对 OpsItems 的访问。以下是一个指定 *Department* 标签键和 *Finance* 标签值的示例。利用此策略,用户只能调用 *GetOpsItem* API 操作,来查看之前已用键 Department 和值 Finance 标记的 OpsItems。用户无法查看任何其他 OpsItems。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem"
],
"Resource": "*"
,
"Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
}
]
}
```
------
以下是一个指定用于查看和更新 OpsItems 的 API 操作的示例。此策略还指定了两组标签键/值对:Department-Finance 和 Project-Unity。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ssm:GetOpsItem",
"ssm:UpdateOpsItem"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ssm:resourceTag/Department":"Finance",
"ssm:resourceTag/Project":"Unity"
}
}
}
]
}
```
------
有关向 OpsItem 添加标签的更多信息,请参阅 [手动创建 OpsItems](OpsCenter-manually-create-OpsItems.md)。
# 了解由集成设置创建的默认 EventBridge 规则
在 Explorer 和 OpsCenter 的集成设置过程中,您可以选择启用许多基于 Amazon EventBridge 检测到的事件的默认规则。当检测到这些事件时,系统会自动在 AWS Systems Manager OpsCenter 中创建 OpsItems。
例如,规则 `SSMOpsItems-Autoscaling-instance-termination-failure` 将在终止 EC2 自动扩缩实例失败时导致 OpsItem 被创建。
当 Systems Manager 维护时段未能成功完成时,规则 `SSMOpsItems-SSM-maintenance-window-execution-failed` 将导致 OpsItem 被创建。
有关您可以在设置过程中启用的所有 EventBridge 规则的设置说明和描述,请参阅 [设置 OpsCenter](OpsCenter-setup.md)。
如果您不希望 EventBridge 为这些事件创建 OpsItems,您可以在集成设置中选择不启用此选项。如果愿意,您可以将 OpsCenter 指定为特定 EventBridge 事件的目标。有关更多信息,请参阅 [配置 EventBridge 规则以创建 OpsItems](OpsCenter-automatically-create-OpsItems-2.md)。
您可以在 OpsCenter **设置**页面中禁用默认规则或更改其类别和严重性级别,方法是选择 **OpsCenter,设置**,然后在 **OpsItem 规则**区域中选择**编辑**。
您还可以在 Systems Manager 控制台中编辑分配给根据这些规则而创建的单个 OpsItem 的类别或严重性。有关信息,请参阅[编辑 OpsItem](OpsCenter-working-with-OpsItems-editing-details.md)。
![\[在 Systems Manager Explorer 中创建 OpsItems 的默认规则\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/explorer-default-rules.png)
# 为 Explorer 配置委派管理员
如果您通过将资源数据同步与 AWS Organizations 结合使用来聚合多个 AWS 区域和账户中的 AWS Systems Manager Explorer 数据,我们建议您为 Explorer 配置一个委派管理员。委派管理员可通过以下方式提高 Explorer 的安全性。
+ 将可以创建或删除多账户和区域资源数据同步的 Explorer 管理员数量限制为一个 AWS 账户。
+ 您不再需要登录到 AWS Organizations 管理账户即可管理 Explorer 中的资源数据同步。
委派管理员可以使用控制台、SDK、AWS Command Line Interface(AWS CLI)或 AWS Tools for Windows PowerShell,使用以下 Explorer 资源数据同步 API:
+ [CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)
+ [DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)
+ [ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html)
+ [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)
委派管理员可以使用控制台或编程工具(如 SDK、AWS CLI 或 AWS Tools for Windows PowerShell)搜索、筛选和聚合 Explorer 数据。搜索、筛选和数据聚合使用 [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html) API 操作。
委派管理员可以为整个组织或组织单位的子集创建最多五个资源数据同步。委派管理员创建的资源数据同步仅在委派管理员账户中可用。您无法在 AWS Organizations 管理账户中查看同步数据或聚合数据。
**注意**
您不能使用委派管理员账户在[选择加入 AWS 区域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status)中创建资源数据同步。您必须使用 AWS Organizations 管理账户。
有关资源数据同步的更多信息,请参阅 [设置 Systems Manager Explorer 以显示来自多个账户和区域的数据](Explorer-resource-data-sync.md)。有关 AWS Organizations 的更多信息,请参阅《AWS Organizations 用户指南》**中的[什么是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/)。
**Topics**
+ [开始前的准备工作](#Explorer-setup-delegated-administrator-before-you-begin)
+ [配置 Explorer 委派管理员](Explorer-setup-delegated-administrator-configure.md)
+ [取消注册 Explorer 委派管理员](Explorer-setup-delegated-administrator-deregister.md)
## 开始前的准备工作
下表包含有关 Explorer 委派管理的重要信息。
+ 您只能委派一个账户用于 Explorer 管理。
+ 您指定为 Explorer 委派管理员的账户 ID 必须在 AWS Organizations 中列为成员账户。有关更多信息,请参阅 *AWS Organizations 用户指南*中的[在您的组织中创建 AWS 账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html)。
+ 委托管理员可在控制台中使用所有 Explorer 资源数据同步 API 操作,也可通过 SDK、AWS Command Line Interface (AWS CLI) 或 AWS Tools for Windows PowerShell 等编程工具来使用这些操作。资源数据同步 API 操作包括:[CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)、[DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)、[ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html) 和 [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)。
+ 委派管理员可以使用控制台或编程工具(如 SDK、AWS CLI 或 AWS Tools for Windows PowerShell)搜索、筛选和聚合 Explorer 数据。搜索、筛选和数据聚合使用 [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html) API 操作。
+ 委派管理员创建的资源数据同步仅在委派管理员账户中可用。您无法在 AWS Organizations 管理账户中查看同步数据或聚合数据。
+ 委派管理员最多可以创建五个资源数据同步。
+ 委派管理员可以为 AWS Organizations 中的整个组织或组织单位的子集创建资源数据同步。
# 配置 Explorer 委派管理员
使用以下过程注册 Explorer 委派管理员。
**注册 Explorer 委派管理员**
1. 登录到您的 AWS Organizations 管理账户。
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 选择**设置**。
1. 在 **Delegated administrator for Explorer (Explorer 的委派管理员)** 部分,验证您是否已配置所需的服务链接角色和服务访问选项。如有必要,请选择 **Create role (创建角色)** 和 **Enable access (启用访问权限)** 按钮来配置这些选项。
1. 对于 **Account ID (账户 ID)**,输入 AWS 账户 ID。此账户必须是 AWS Organizations 中的成员账户。
1. 选择**注册委托管理员**。
委托管理员现在拥有访问权限,可以访问 **Create resource data sync (创建资源数据同步)** 页面上的 **Include all accounts from my AWS Organizations configuration (包括我的 Amazon Organizations 配置中的所有账户)** 和 **Select organization units in AWS Organizations (选择 Amazon Organizations 中的组织单位)** 选项。
# 取消注册 Explorer 委派管理员
使用以下过程取消注册 Explorer 委派管理员。只有 AWS Organizations 管理账户才能取消注册委托管理员账户。取消注册委派管理员账户后,系统将删除该委派管理员创建的所有 AWS Organizations 资源数据同步。
**取消注册 Explorer 委派管理员**
1. 登录到您的 AWS Organizations 管理账户。
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 选择**设置**。
1. 在 **Delegated administrator for Explorer (Explorer 的委派管理员)** 部分,选择 **Deregister (取消注册)**。系统将显示一条警告。
1. 输入账户 ID,然后选择 **Remove (删除)**。
此账户不再拥有对 AWS Organizations 资源数据同步 API 操作的访问权限。系统将删除此账户创建的所有 AWS Organizations 资源数据同步。
# 设置 Systems Manager Explorer 以显示来自多个账户和区域的数据
AWS Systems Manager 使用集成设置体验来帮助您开始使用 AWS Systems Manager Explorer *和* AWS Systems Manager OpsCenter。完成集成设置后,Explorer 和 OpsCenter 将自动同步数据。更具体地说,在您完成集成设置时,这些工具会自动为使用的 AWS 账户和 AWS 区域同步 OpsData 及 OpsItems。如果要从其他账户和区域聚合 OpsData 和 OpsItems,您必须创建资源数据同步,如本主题中所述。
**注意**
有关集成设置的更多信息,请参阅 [Systems Manager Explorer 和 OpsCenter 入门](Explorer-setup.md)。
**Topics**
+ [了解 Explorer 的资源数据同步](Explorer-resource-data-sync-understanding.md)
+ [了解多个账户和区域资源数据同步](Explorer-resource-data-sync-multiple-accounts-and-regions.md)
+ [创建资源数据同步](Explorer-resource-data-sync-configuring-multi.md)
# 了解 Explorer 的资源数据同步
Explorer 的资源数据同步提供两个聚合选项:
+ **Single-account/Multiple-regions (单账户/多区域):**您可以将 Explorer 配置为聚合来自多个 AWS 区域的 OpsItems 和 OpsData 数据,但数据集仅限于当前 AWS 账户。
+ **Multiple-accounts/Multiple-regions (多账户/多区域):**您可以将 Explorer 配置为聚合来自多个 AWS 区域和账户的数据。此选项要求您设置和配置 AWS Organizations。在设置并配置 AWS Organizations 后,则可以按组织单位 (OU) 或为整个组织聚合 Explorer 中的数据。Systems Manager 将数据聚合到 AWS Organizations 管理账户中,然后在 Explorer 中显示这些数据。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[什么是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/)。
**警告**
如果您将 Explorer 配置为在 AWS Organizations 中聚合来自企业的数据,则系统会在企业内的所有成员账户中启用 OpsData。在所有成员账户中启用 OpsData 源会增加对 OpsCenter API 的调用(比如 [CreateOpsItem](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_CreateOpsItem.html) 和 [GetOpsSummary](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_GetOpsSummary.html))的数量。您需要为调用这些 API 操作付费。
下图显示了配置为使用 AWS Organizations 的资源数据同步。在此情况下,用户已在 AWS Organizations 中定义两个账户。资源数据同步将这两个账户和多个 AWS 区域中的数据聚合到 AWS Organizations 管理账户中,然后在 Explorer 中显示这些数据。
![\[Systems Manager Explorer 的资源数据同步\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/ExplorerSyncFromSource.png)
# 了解多个账户和区域资源数据同步
本节介绍有关使用 AWS Organizations 的多个账户和多个区域的资源数据同步的重要详细信息。具体来说,如果您在 **Create resource data sync (创建资源数据同步)** 页面中选择了以下选项之一,本节中的信息才适用:
+ Include all accounts from my AWS Organizations configuration (包括我的 Amazon Organizations 配置中的所有账户)
+ Select organization units in AWS Organizations (选择 Amazon Organizations 中的组织单位)
如果您不打算使用这些选项之一,则可以跳过本节。
在 SSM 控制台中创建资源数据同步时,如果您选择 AWS Organizations 选项之一,则 Systems Manager 会自动允许选定区域内的所有 OpsData 源用于您的组织(或选定组织单位)中的所有 AWS 账户。例如,即便您尚未在某一区域内打开 Explorer,如果您为资源数据同步选择 AWS Organizations 选项,则 Systems Manager 将自动从该区域收集 OpsData。要在不允许 OpsData 源的情况下创建资源数据同步,请在创建数据同步时将 **EnableAllOpsDataSources** 指定为 false。有关更多信息,请参阅 *Amazon EC2 Systems Manager API 参考*中的 [ResourceDataSyncSource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResourceDataSyncSource.html) 数据类型的 `EnableAllOpsDataSources` 参数详细信息。
如果您没有为资源数据同步选择 AWS Organizations 选项之一,则您必须在希望 Explorer 访问数据的每个账户和区域中完成集成设置。否则,Explorer 不会为未完成集成设置的账户和区域显示 OpsData 和 OpsItems。
如果您将某一子账户添加到您的组织,Explorer 将自动允许所有 OpsData 源用于该账户。如果后来您从组织中删除了该子账户,Explorer 将继续从该账户中收集 OpsData。
如果您更新使用 AWS Organizations 选项之一的现有资源数据同步,系统会提示您批准收集受该更改影响的所有账户和区域的所有 OpsData 源。
如果您将新服务添加到 AWS 账户,并且如果 Explorer 收集该服务的 OpsData,Systems Manager 会自动配置 Explorer 以收集该 OpsData。例如,假设在您先前创建资源数据同步时,您的组织没有使用 AWS Trusted Advisor,但您的组织注册了此服务,Explorer 会自动更新您的资源数据同步,以收集此 OpsData。
**重要**
请注意以下有关多个账户和区域的资源数据同步的重要信息:
删除资源数据同步不会在 Explorer 中关闭 OpsData 源。
要查看多个账户中的 OpsData 和 OpsItems,您必须打开 AWS Organizations **All features (所有功能)** 模式,并且必须登录到 AWS Organizations 管理账户。
大多数 AWS 区域默认情况下对于您的 AWS 账户处于活动状态,但对于某些区域,仅当您手动选择它们时才会激活。这些区域称为[选择加入区域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status)。默认情况下,Explorer 跨账户/跨区域资源数据同步不支持选择加入区域中的数据聚合。2025 年 6 月 30 日,增加了对以下选择加入区域的支持。
欧洲地区(米兰)
非洲(开普敦)
中东(巴林)
亚太地区(香港)
请注意,您不能使用委派管理员账户在选择加入区域中创建资源数据同步。您必须使用 AWS Organizations 管理账户。
# 创建资源数据同步
在为 Explorer 配置资源数据同步前,请注意以下细节。
+ Explorer 最多支持 5 个资源数据同步。
+ 在为某一区域创建资源数据同步后,您将无法更改该同步的*账户选项*。例如,如果您在 us-east-2(俄亥俄)区域中创建一个同步,并选择 **Include only the current account (仅包括当前账户)** 选项,则您以后无法编辑该同步,并且无法选择 **Include all accounts from my AWS Organizations configuration (包括我的 Amazon Organizations 配置中的所有账户)** 选项。相反,您必须删除第一个资源数据同步,然后创建新的同步。
+ 在 Explorer 中查看的 OpsData 是只读的。
可以使用以下过程为 Explorer 创建资源数据同步。
**创建资源数据同步**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 选择**设置**。
1. 在 **Configure resource data sync (配置资源数据同步)** 部分中,选择 **Create resource data sync (创建资源数据同步)**。
1. 对于 **Resource data sync name (资源数据同步名称)**,请输入一个名称。
1. 在 **Add accounts (添加账户)** 部分中,选择一个选项。
**注意**
要使用 AWS Organizations 选项中的任何一个,您必须登录到 AWS Organizations 管理账户,或者必须登录到 Explorer 委托管理员账户。有关委派管理员账户的更多信息,请参阅 [为 Explorer 配置委派管理员](Explorer-setup-delegated-administrator.md)。
1. 在 **Regions to include (要包括的区域)** 部分中,选择以下选项之一。
+ 选择 **All current and future regions (所有当前和将来的区域)** 可以自动同步所有当前 AWS 区域和将来上线的任何新区域中的数据。
+ 选择 **All regions (所有区域)** 可以自动同步所有当前 AWS 区域中的数据。
+ 单独选择要包括的区域。
1. 选择**创建资源数据同步**。
在创建资源数据同步后,系统可能需要几分钟的时间以在 Explorer 中填充数据。您可以查看同步,方法是从 Explorer 内的 **Select a resource data sync (选择资源数据同步)** 列表中选择该同步。
# 使用 Explorer
这一部分包含了有关如何更改小部件布局和更改将在控制面板中显示的数据,从而自定义 AWS Systems Manager Explorer 的信息。
**Topics**
+ [编辑为 Explorer 创建的 EventBridge 规则](Explorer-using-editing-default-rules.md)
+ [编辑 Systems Manager Explorer 数据源](Explorer-using-editing-data-sources.md)
+ [自定义 Explorer 显示视图](Explorer-using-filters.md)
+ [接收来自 Explorer 中的 AWS Security Hub CSPM 的调查结果](explorer-securityhub-integration.md)
+ [删除 Systems Manager Explorer 资源数据同步](Explorer-using-resource-data-sync-delete.md)
# 编辑为 Explorer 创建的 EventBridge 规则
在完成集成设置时,系统将在 Amazon EventBridge 中允许十多个规则。这些规则在 AWS Systems Manager OpsCenter 中自动创建 OpsItems。然后,AWS Systems Manager Explorer 显示有关 OpsItems 的聚合信息。
每个规则包含预设的 **Category (类别)** 和 **Severity (严重性)** 值。在系统从事件中创建 OpsItems 时,它自动分配预设的 **Category (类别)** 和 **Severity (严重性)**。
**重要**
您无法编辑默认规则的 **Category (类别)** 和 **Severity (严重性)** 值,但可以在根据默认规则创建的 OpsItems 上编辑这些值。
![\[在 Systems Manager Explorer 中创建 OpsItems 的默认规则\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/explorer-default-rules.png)
**编辑用于创建 OpsItems 的默认规则**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 选择**设置**。
1. 在 **OpsItems rules (OpsItem 规则)** 部分中,选择 **Edit (编辑)**。
1. 展开 **CWE rules (CWE 规则)**。
1. 清除您不希望使用的规则旁边的复选框。
1. 使用 **Category (类别)** 和 **Severity (严重性)** 列表以更改规则的该信息。
1. 选择**保存**。
更改将在系统下次创建 OpsItem 时生效。
# 编辑 Systems Manager Explorer 数据源
对于[默认](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html)可用的 AWS 区域,AWS Systems Manager Explorer 将显示来自以下来源的数据。您可以编辑 Explorer 设置以添加或删除数据源:
+ Amazon Elastic Compute Cloud(Amazon EC2)
+ AWS Systems Manager Inventory(清单)
+ AWS Systems Manager OpsCenter OpsItems
+ AWS Systems Manager Patch Manager 补丁合规性
+ AWS Systems Manager State Manager 关联合规性
+ AWS Trusted Advisor
+ AWS Compute Optimizer
+ AWS 支持 中心案例
+ AWS Config 规则和资源合规性
+ AWS Security Hub CSPM 调查发现
**注意**
对于亚太地区(大阪)区域,Explorer 不会显示来自 AWS Compute Optimizer 和 AWS Security Hub CSPM 调查发现的数据。
对于 [AWS 选择加入区域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status),Explorer 会显示来自以下来源的数据:
+ Amazon Elastic Compute Cloud(Amazon EC2)
+ AWS Systems Manager Inventory(清单)
+ AWS Systems Manager OpsCenter OpsItems
+ AWS Systems Manager Patch Manager 补丁合规性
+ AWS Systems Manager State Manager 关联合规性
+ AWS Trusted Advisor
+ AWS 支持 中心案例
+ AWS Config 规则和资源合规性
**注意**
要在 Explorer 中查看 支持 中心案例,必须借助 支持 设置企业账户或业务账户。
您无法配置 Explorer 以停止显示 OpsCenter OpsItem 数据。
**开始前的准备工作**
验证并确保您已设置并配置了用数据填充 Explorer 小组件的服务。有关更多信息,请参阅 [为 Explorer 设置相关服务](Explorer-setup-related-services.md)。
**要编辑数据来源**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 选择 **Settings**(设置),然后选择 **Configure Dashboard**(配置控制面板)选项卡。
1. 在 **OpsData sources**(OpsData 源)部分的 **Status**(状态)列中,根据要查看的数据打开或关闭数据源。
# 自定义 Explorer 显示视图
您可以在 AWS Systems Manager Explorer 中使用拖放功能自定义小部件布局。您还可以使用筛选条件自定义在 Explorer 中显示的 OpsData 和 OpsItems,如本主题中所述。
在自定义控件布局之前,请验证要查看的控件当前显示在 Explorer 中。要查看 Explorer 中的某些控件(例如 AWS Config 合规性控件),必须在 **Configure dashboard**(配置控制面板)页面上启用它们。
**允许在 Explorer 中显示控件**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 选择 **Dashboard actions**(控制面板操作),**Configure dashboard**(配置控制面板)。
1. 选择 **Configure Dashboard**(配置控制面板)选项卡。
1. 选择 **Enable all**(全部启用)或打开单个控件或数据来源。
1. 选择 **Explorer** 查看您的更改。
要在 Explorer 中自定义小组件布局,请选择要移动的小组件。单击并按住小部件的名称,然后将其拖到新位置。
![\[在 Systems Manager Explorer 中移动小组件\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/explorer-customize.png)
对于要移动的每个小部件,请重复该过程。
如果确定您不喜欢新布局,请选择 **Reset layout (重置布局)** 以将所有小部件移回到原始位置。
## 使用筛选条件更改 Explorer 中显示的数据
预设情况下,Explorer 显示当前 AWS 账户和当前区域的数据。如果创建一个或多个资源数据同步,您可以使用筛选条件更改哪个同步处于活动状态。然后,您可以选择显示特定区域或所有区域的数据。您也可以使用搜索栏筛选不同的 OpsItem 和键标签条件。
**使用筛选条件更改在 Explorer 中显示的数据**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 在 **Filter (筛选条件)** 部分中,使用 **Select a resource data sync (选择资源数据同步)** 列表以选择一个同步。
1. 使用 **Regions (区域)** 列表选择特定的 AWS 区域,或者选择 **All Regions (所有区域)**。
1. 选择搜索栏,然后选择用于筛选数据的条件。
![\[在 Systems Manager Explorer 中使用筛选条件搜索栏\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/explorer-filters.png)
1. 按 Enter。
如果关闭并重新打开页面,Explorer 将保留您选择的筛选选项。
# 接收来自 Explorer 中的 AWS Security Hub CSPM 的调查结果
[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 向您提供在 AWS 中安全状态的全面视图。该服务从跨 AWS 账户、服务和支持的第三方产品收集安全数据,称为*调查发现*。Security Hub CSPM 调查发现可帮助您检查您的环境是否符合安全行业标准和最佳实践、分析安全趋势并确定优先级最高的安全问题。
Security Hub CSPM 会将调查发现发送到 Amazon EventBridge,后者使用事件规则将这些调查发现发送到 Explorer。启用集成后(如此处所述),您可以在 Explorer 小部件中查看 Security Hub CSPM 调查发现,并在 OpsCenter OpsItems 中查看调查发现的详细信息。根据严重性,小部件提供所有 Security Hub CSPM 调查发现的摘要。Security Hub CSPM 中的新调查发现通常在创建后几秒钟内即可在 Explorer 中看见。
**警告**
请注意以下重要信息:
Explorer 已与 OpsCenter(Systems Manager 中的一项工具)集成。启用与 Security Hub CSPM 的 Explorer 集成后,OpsCenter 会自动为 Security Hub CSPM 调查发现创建 OpsItems。根据您的 AWS 环境,启用集成可能会导致大量的 OpsItems,并收取一定费用。
在继续操作之前,请阅读有关与 Security Hub CSPM OpsCenter 集成的信息。该主题包含有关如何更改和更新调查发现,以及如何从您的账户中收取 OpsItems 费用的特定详细信息。有关更多信息,请参阅 [了解 OpsCenter 与 AWS Security Hub CSPM 的集成](OpsCenter-applications-that-integrate.md#OpsCenter-integrate-with-security-hub)。有关 OpsCenter 定价信息,请参阅 [AWS Systems Manager 定价](https://aws.amazon.com/systems-manager/pricing/)。
如果您在登录管理员账户时在 Explorer 中创建资源数据同步,则会自动为管理员和同步中的所有成员账户启用 Security Hub CSPM 集成。启用后,OpsCenter 会自动为 Security Hub CSPM 调查发现创建 OpsItems,并收取一定费用。有关创建资源数据同步的更多信息,请参阅 [设置 Systems Manager Explorer 以显示来自多个账户和区域的数据](Explorer-resource-data-sync.md)。
## Explorer 接收的结果的类型
Explorer 从 Security Hub CSPM 接收[所有调查发现](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-integration-types.html#securityhub-cwe-integration-types-all-findings)。当您打开 Security Hub CSPM 默认设置时,可在 Explorer 小部件中查看基于严重性的所有调查发现。默认情况下,Explorer 会针对重大和高严重性的调查发现创建 OpsItems。您可以手动配置 Explorer,已针对中等和低严重性调查发现创建 OpsItems。
尽管 Explorer 不会针对信息性调查发现创建 OpsItems,但您可以在 Security Hub CSPM 调查发现摘要小部件中查看信息操作数据(OpsData)。无论严重程度如何,Explorer 都会为所有调查发现创建 OpsData。有关 Security Hub CSPM 严重性级别的更多信息,请参阅《AWS Security Hub API Reference》**中的 [Severity](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_Severity.html)。
## 启用集成
本部分介绍如何启用和配置 Explorer 开始接收 Security Hub CSPM 调查发现。
**开始前的准备工作**
请完成以下任务,然后才能配置 Explorer 开始接收 Security Hub CSPM 调查发现。
+ 启用和配置 Security Hub CSPM。有关更多信息,请参阅《AWS Security Hub 用户指南》**中的[设置 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)。
+ 登录到 AWS Organizations 管理账户。Systems Manager 需要对 AWS Organizations 的访问权限,才能从 Security Hub CSPM 调查发现创建 OpsItems。在您登录到管理账户后,系统将提示您选择 Explorer **Configure dashboard (配置控制面板)** 选项卡上的 **Enable access (启用访问权限)**,如以下过程中所述。如果您没有登录到 AWS Organizations 管理账户,则不能允许访问,并且 Explorer 无法从 Security Hub CSPM 调查发现创建 OpsItems。
**开始接收 Security Hub CSPM 调查发现**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 选择**设置**。
1. 选择 **Configure dashboard (配置控制面板)** 选项卡。
1. 选择 **AWS Security Hub CSPM**。
1. 选择 **Disabled (已禁用)** 滑块,以打开 **AWS Security Hub CSPM**。
默认情况下,会显示重大和高严重性的调查发现。要同时显示中等和低严重性安全性调查发现,请选择**中等、低**旁边的**已禁用**滑块。
1. 在**通过 Security Hub CSPM 调查发现创建的 OpsItems** 部分中,选择**启用访问权限**。如果您没有看到此按钮,请登录到 AWS Organizations 管理账户,然后返回到此页面以选择该按钮。
## 如何查看来自 Security Hub CSPM 的调查发现
以下程序介绍了如何查看 Security Hub CSPM 调查发现。
**查看 Security Hub CSPM 调查发现**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 查找 **AWS Security Hub CSPM 结果摘要**小组件。这将显示 Security Hub CSPM 调查发现。您可以选择严重性级别,以查看相应 OpsItem 的详细描述。
## 如何停止接收结果
以下程序介绍了如何停止接收 Security Hub CSPM 调查发现。
**停止接收 Security Hub CSPM 调查发现**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 选择**设置**。
1. 选择 **Configure dashboard (配置控制面板)** 选项卡。
1. 选择 **Enabled (已启用)** 滑块以关闭 **AWS Security Hub CSPM**。
**重要**
如果控制台中禁用 Security Hub CSPM 调查发现的选项显示为灰色,则可以通过在 AWS CLI 中运行以下命令来禁用此设置。您必须在登录 AWS Organizations 管理账户或 Systems Manager 委派管理员账户时运行该命令。对于 `region` 参数,请指定您要停止在 Explorer 中接收 Security Hub CSPM 调查发现的 AWS 区域。
```
aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region AWS 区域
```
以下为示例。
```
aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region us-east-1
```
# 删除 Systems Manager Explorer 资源数据同步
在 AWS Systems Manager Explorer 中,您可以创建资源数据同步以聚合其他账户和区域中的 OpsData 和 OpsItems。
您无法更改资源数据同步的账户选项。例如,如果您在 us-east-2(俄亥俄)区域中创建了一个同步,并选择了 **Include only the current account (仅包括当前账户)** 选项,则您以后无法编辑该同步,并且无法选择 **Include all accounts from my AWS Organizations configuration (包括我的 Amazon Organizations 配置中的所有账户)** 选项。相反,您必须删除该资源数据同步,然后创建新的同步,如以下过程中所述。
**删除资源数据同步**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 选择**设置**。
1. 在 **Configure resource data sync (配置资源数据同步)** 部分中,选择要删除的资源数据同步。
1. 选择**删除**。
# 从 Systems Manager Explorer 中导出 OpsData
您可以从 AWS Systems Manager Explorer 将 5000 个 OpsData 项目以逗号分隔值 (.csv) 文件的形式,导出到 Amazon Simple Storage Service(Amazon S3)存储桶。Explorer 使用 [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportopsdatatos3.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportopsdatatos3.html) 自动化运行手册来导出 OpsData。导出 OpsData 时,系统会显示自动化运行手册页面,您可以在其中指定详细信息,例如 assumeRole、Amazon S3 存储桶名称、SNS 主题 ARN 和要导出的字段。
**Topics**
+ [步骤 1:指定 SNS 主题](#Explorer-specify-SNS-topic)
+ [步骤 2:(可选)配置数据导出](#Explorer-configure-data-export)
+ [步骤 3:导出 OpsData](#Explorer-export-OpsData)
## 步骤 1:指定 SNS 主题
在您配置数据导出时,您必须指定一个 Amazon Simple Notification Service (Amazon SNS) 主题,该主题所在的 AWS 区域与您要导出数据的区域相同。导出完成后,Systems Manager 将向该 Amazon SNS 主题发送通知。有关创建 Amazon SNS 主题的信息,请参阅[创建 Amazon SNS 主题](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-topic.html)。
## 步骤 2:(可选)配置数据导出
您可以从**设置**或**将操作数据导出到 S3 存储桶**页面配置数据导出设置。
**从 Explorer 配置数据导出**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 选择**设置**。
1. 在 **Configure data export (配置数据导出)** 部分中,选择 **Edit (编辑)**。
1. 要将数据导出文件上传到现有的 Amazon S3 存储桶,请选择 **选择现有的 S3 存储桶**,然后从列表中选择该存储桶。
要将数据导出文件上传到新的 Amazon S3 存储桶,请选择**创建新的 S3 存储桶**,然后输入要用于新存储桶的名称。
**注意**
您只能在 Explorer 中首次配置 Amazon S3 存储桶名称和 Amazon SNS 主题 ARN 的页面上编辑这些设置。如果您从**设置**页面设置了 Amazon S3 存储桶和 Amazon SNS 主题 ARN,则只能从**设置**页面修改这些设置。
1. 对于**选择 Amazon SNS 主题 ARN**,选择要在导出完成时通知的主题。
1. 选择**创建**。
## 步骤 3:导出 OpsData
在导出 Explorer 数据时,Systems Manager 将创建一个名为 `AmazonSSMExplorerExportRole` 的 AWS Identity and Access Management(IAM)角色。此角色使用以下 IAM policy。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OpsSummaryExportAutomationServiceRoleStatement1",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "OpsSummaryExportAutomationServiceRoleStatement2",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "OpsSummaryExportAutomationServiceRoleStatement3",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:SNSTopicName"
]
},
{
"Sid": "OpsSummaryExportAutomationServiceRoleStatement4",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:MyLogGroup"
]
},
{
"Sid": "OpsSummaryExportAutomationServiceRoleStatement5",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": [
"*"
]
},
{
"Sid": "OpsSummaryExportAutomationServiceRoleStatement6",
"Effect": "Allow",
"Action": [
"ssm:GetOpsSummary"
],
"Resource": [
"*"
]
}
]
}
```
------
该角色包含以下信任实体。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OpsSummaryExportAutomationServiceRoleTrustPolicy",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**从 Explorer 中导出 OpsData**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 在 Explorer 小组件中选择数据链接。例如,在**按状态分类 OpsItems** 小组件中选择**未解决**的问题或**待解决**的问题。或者,在**按严重性分类 OpsItem** 小组件中选择**严重**或**高**数据链接。Explorer 会打开所选数据集的 **OpsData** 页面。
1. 选择**导出表**。
**注意**
首次导出 OpsData 时,系统会为导出创建代入角色。您无法修改默认的代入角色。
1. 对于 **S3 存储桶名称**,选择现有存储桶。您可以根据需要选择**创建**以创建 Amazon S3 存储桶。
如果您无法更改 S3 存储桶名称,则表示您已从**设置**页面配置存储桶名称。您只能从**设置**页面更改存储桶名称。
**注意**
您只能在 Explorer 中首次配置 Amazon S3 存储桶名称和 Amazon SNS 主题 ARN 的页面上编辑这些设置。
1. 对于 **SNS 主题 ARN**,请选择现有的 Amazon SNS 主题 ARN,以便在下载完成时发出通知。
如果您无法更改 Amazon SNS 主题 ARN,则表示您已从**设置**页面配置 Amazon SNS 主题 ARN。您只能从**设置**页面更改主题 ARN。
1. (可选)对于 **SNS 成功消息**,指定成功完成导出时要显示的成功消息。
1. 选择**提交**。系统导航到上一页并显示消息**单击查看导出过程的状态。查看详细信息**。
您可以选择**查看详细信息**以在 Systems Manager Automation 中查看运行手册的状态和进度。
现在,您可以将 OpsData 从 Explorer 导出到指定的 Amazon S3 存储桶。
如果您无法使用此过程导出数据,请验证并确保您的用户、组或角色包括 `iam:CreatePolicyVersion` 和 `iam:DeletePolicyVersion` 操作。有关将这些操作添加到您的用户、组或角色的信息,请参阅**《IAM 用户指南》中的[编辑 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)。
# Systems Manager Explorer 问题排查
本主题包含有关如何排查 AWS Systems Manager Explorer 常见问题的信息。
**资源数据同步停止工作**
如果资源数据同步已停止用于*选择加入 AWS 区域*,请确认 AWS Organizations 管理账户和配置同步的成员账户都选择加入该区域。
大多数 AWS 区域默认情况下对于您的 AWS 账户处于活动状态,但对于某些区域,仅当您手动选择它们时才会激活。这些区域称为[选择加入区域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status)。默认情况下,Explorer 跨账户/跨区域资源数据同步不支持选择加入区域中的数据聚合。2025 年 6 月 30 日,增加了对以下选择加入区域的支持。
+ 欧洲地区(米兰)
+ 非洲(开普敦)
+ 中东(巴林)
+ 亚太地区(香港)
请注意,您不能使用委派管理员账户在选择加入区域中创建资源数据同步。您必须使用 AWS Organizations 管理账户。
**在 **Settings**(设置)页面上更新标签后无法筛选 Explorer 中的 AWS 资源**
如果您在 Explorer 中更新标签键或其他数据设置,系统可能需要最多 6 小时来根据您的更改同步数据。
***Create resource data sync (创建资源数据同步)* 页面上的 AWS Organizations 选项灰显**
仅当您设置并配置了 AWS Organizations 后,**Create resource data sync (创建资源数据同步)** 页面上的 **Include all accounts from my AWS Organizations configuration (包括我的 Amazon Organizations 配置中的所有账户)** 和 **Select organization units in AWS Organizations (选择 Amazon Organizations 中的组织单位)** 选项才可用。如果设置并配置了 AWS Organizations,则 AWS Organizations 管理账户或 Explorer 委托管理员都可以创建使用这些选项的资源数据同步。
有关更多信息,请参阅 [设置 Systems Manager Explorer 以显示来自多个账户和区域的数据](Explorer-resource-data-sync.md) 和 [为 Explorer 配置委派管理员](Explorer-setup-delegated-administrator.md)。
**Explorer 根本不显示任何数据**
+ 确认在您希望 Explorer 访问和显示数据的每个账户和区域中完成了集成设置。否则,Explorer 不会为未完成集成设置的账户和区域显示 OpsData 和 OpsItems。有关更多信息,请参阅 [Systems Manager Explorer 和 OpsCenter 入门](Explorer-setup.md)。
+ 在使用 Explorer 查看多个账户和区域中的数据时,请验证并确保您登录到 AWS Organizations 管理账户或 Explorer 委托管理员账户。要查看多个账户和区域中的 OpsData 和 OpsItems,您必须登录到该账户。
**有关 Amazon EC2 实例的小组件不显示数据**
如果有关 Amazon Elastic Compute Cloud (Amazon EC2) 实例,例如 **Instance count (实例计数)**、**Managed instances (托管实例)** 和 **Instance by AMI (按 AMI 小组件划分的实例)**的小组件不显示数据,则请验证并确保以下内容:
+ 确认您等待了几分钟。在完成集成设置后,OpsData 可能需要几分钟的时间才会在 Explorer 中显示。
+ 确认您配置了 AWS Config 配置记录器。Explorer 使用 AWS Config 配置记录器提供的数据在小部件中填充有关 EC2 实例的信息。有关更多信息,请参阅[管理配置记录器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。
+ 验证并确保 **Amazon EC2** OpsData 源在 **Settings (设置)** 页面上处于活动状态。此外,还要验证并确保自您激活配置记录器或对实例进行更改后已经过去 6 个小时。在您最初激活配置记录器或对您的实例进行更改后,Systems Manager 可能需要最多六个小时才能在 Explorer EC2 小组件中显示来自 AWS Config 的数据。
+ 请注意,如果停止或终止实例,则 Explorer 在 24 小时后停止显示这些实例。
+ 验证并确保您位于正确的 AWS 区域中,您在其中配置了 Amazon EC2 实例。Explorer 不会显示有关本地实例的数据。
+ 如果您为多个账户和区域配置了一个资源数据同步,请验证并确保您登录到 Organizations 管理账户或 Explorer 委托管理员账户。
**补丁小部件不显示数据**
**Non-compliant instances for patching (不合规的修补实例)** 小组件仅显示有关不合规的补丁实例的数据。如果实例合规,则该小部件不显示任何数据。如果您怀疑具有不合规的实例,请验证并确保您设置并配置了 Systems Manager 修补,并使用 AWS Systems Manager Patch Manager 检查补丁合规性。有关更多信息,请参阅 [AWS Systems Manager Patch Manager](patch-manager.md)。
**其他问题**
**Explorer 不允许您编辑或修复 OpsItems**:跨账户或区域查看的 OpsItems 是只读的。只能从主账户或区域中更新和修复它们。