• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板，就像現在一樣。如需詳細資訊，請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解有關合規性的詳細資訊
<a name="compliance-about"></a>

中的一種工具合規 AWS Systems Manager，收集和報告 中修補Patch Manager和關聯狀態的資料State Manager。 (Patch Manager 和 State Manager 也是 中的兩種工具 AWS Systems Manager。) 合規也會報告您為受管節點指定的自訂合規類型。此部分包含每個合規類型以及如何檢視 Systems Manager 合規資料的詳細資訊。這部分還包含如何查看合規歷程記錄和變更追蹤的相關資訊。

**注意**  
Systems Manager 與 [https://www.chef.io/inspec/](https://www.chef.io/inspec/) 整合。InSpec 是一種開放原始碼的執行時期架構，讓您能夠在 GitHub 或 Amazon Simple Storage Service (Amazon S3) 建立人類可讀的設定檔。然後，您可以使用 Systems Manager 執行合規掃描，檢視合規與不合規的執行個體。如需詳細資訊，請參閱[將 Chef InSpec 設定檔與 Systems Manager 合規搭配使用](integration-chef-inspec.md)。

## 關於修補程式合規
<a name="compliance-monitor-patch"></a>

使用 Patch Manager 在執行個體安裝修補程式後，合規狀態資訊會立即於主控台、回應 AWS Command Line Interface (AWS CLI) 命令或對應的 Systems Manager API 操作時提供給您。

如需有關修補程式合規狀態值的詳細資訊，請參閱 [修補程式合規狀態值](patch-manager-compliance-states.md)。

## 關於State Manager關聯合規
<a name="compliance-about-association"></a>

建立一或多個State Manager關聯之後，您可以在 主控台或回應 AWS CLI 命令或對應的 Systems Manager API 操作，立即取得合規狀態資訊。對於關聯，合規會顯示 `Compliant` 或 `Non-compliant` 狀態，以及指派至關聯的嚴重程度，例如 `Critical` 或 `Medium`。

當 State Manager 在受管節點上執行關聯時，它會觸發合規彙總程序，進而更新該節點上所有關聯的合規狀態。合規報告中 `ExecutionTime` 的值是代表 Systems Manager 擷取合規狀態的時間，而不是在受管節點上執行關聯的時間。這表示多個關聯可能會顯示相同的 `ExecutionTime` 值，即使它們在不同的時間執行。若要判斷實際的關聯執行時間，請使用 AWS CLI 命令[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association-execution-targets.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association-execution-targets.html)或檢視主控台中的執行詳細資訊來參考關聯執行歷史記錄。

## 關於自訂合規
<a name="compliance-custom"></a>

您可以將合規中繼資料指派至受管節點。然後，此中繼資料可與其他合規資料彙整，用於合規報告。例如，假設您的企業在受管節點上執行版本 2.0、3.0 和 4.0 的軟體 X。公司希望標準化為版本 4.0，這表示執行版本 2.0 和 3.0 的執行個體不合規。您可以使用 [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) API 操作來明確指出哪些受管節點正在執行較舊版本的軟體 X。您只能使用 AWS CLI AWS Tools for Windows PowerShell或 SDKs 來指派合規中繼資料。以下 CLI 範例命令會指派合規中繼資料到受管執行個體，並以規定的格式 `Custom:` 指定合規類型。將每個*範例資源預留位置*取代為您自己的資訊。

------
#### [ Linux & macOS ]

```
aws ssm put-compliance-items \
    --resource-id i-1234567890abcdef0 \
    --resource-type ManagedInstance \
    --compliance-type Custom:SoftwareXCheck \
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
```

------
#### [ Windows ]

```
aws ssm put-compliance-items ^
    --resource-id i-1234567890abcdef0 ^
    --resource-type ManagedInstance ^
    --compliance-type Custom:SoftwareXCheck ^
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
```

------

**注意**  
`ResourceType` 參數僅支援 `ManagedInstance`。如果將自訂合規新增至受管 AWS IoT Greengrass 核心裝置，則您必須指定 `ManagedInstance` 的 `ResourceType`。

合規經理便可以查看哪些受管節點合規或不合規的摘要，或建立報告。您最多可以將 10 個不同的自訂合規類型指派至受管節點。

如需如何建立自訂合規類型和檢視合規資料的範例，請參閱 [使用 指派自訂合規中繼資料 AWS CLI](compliance-custom-metadata-cli.md)。

## 檢視目前的合規資料
<a name="compliance-view-results"></a>

本部分說明如何使用 Systems Manager 主控台和 AWS CLI檢視合規資料。如需有關檢視修補程式和關聯合規歷程記錄以及變更追蹤的資訊，請參閱 [檢視合規組態歷程記錄和變更追蹤](#compliance-history)。

**Topics**
+ [檢視目前的合規資料 (主控台)](#compliance-view-results-console)
+ [檢視目前的合規資料 (AWS CLI)](#compliance-view-data-cli)

### 檢視目前的合規資料 (主控台)
<a name="compliance-view-results-console"></a>

使用以下程序在 Systems Manager 主控台中檢視合規資料。

**若要在 Systems Manager 主控台檢視目前的合規報告**

1. 在 https：//[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。

1. 在導覽窗格中，選擇 **Compliance** (合規)。

1. 在 **Compliance dashboard filtering** (合規儀表板篩選) 區段中，選擇篩選合規資料的選項。**Compliance resources summary** (合規資源摘要) 區段會根據您選擇的篩選條件，顯示合規資料的計數。

1. 若要向下鑽研資源以取得詳細資訊，請向下捲動至 **Details overview for resources** (資源的詳細資料概觀) 區域，然後選擇受管節點的 ID。

1. 在 **Instance ID** (執行個體 ID) 或 **Name** (名稱) 詳細資訊頁面上，選取 **Configuration compliance** (組態合規) 索引標籤，以檢視受管節點的詳細組態合規報告。

**注意**  
如需有關修復合規問題的資訊，請參閱 [使用 EventBridge 修正合規問題](compliance-fixing.md)。

### 檢視目前的合規資料 (AWS CLI)
<a name="compliance-view-data-cli"></a>

您可以使用 AWS CLI 下列 AWS CLI 命令，在 中檢視修補、關聯和自訂合規類型的合規資料摘要。

[https://docs.aws.amazon.com/cli/latest/reference/ssm/list-compliance-summaries.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-compliance-summaries.html)  
根據您指定的篩選條件，傳回合規與不合規關聯狀態的計數摘要。(API：[ListComplianceSummaries](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListComplianceSummaries.html))

[https://docs.aws.amazon.com/cli/latest/reference/ssm/list-resource-compliance-summaries.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-resource-compliance-summaries.html)  
傳回資源層級的計數摘要。根據您指定的篩選條件標準，摘要包括有關合規與不合規狀態的資訊，以及詳細的合規項目嚴重程度計數。(API：[ListResourceComplianceSummaries](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceComplianceSummaries.html))

您可以使用下列 AWS CLI 命令，檢視修補的其他合規資料。

[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-group-state.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-group-state.html)  
傳回修補程式群組彙總的高層級修補程式合規狀態。(API：[DescribePatchGroupState](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchGroupState.html))

[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patch-states-for-patch-group.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patch-states-for-patch-group.html)  
傳回指定修補程式群組執行個體的高層級修補程式狀態。(API：[DescribeInstancePatchStatesForPatchGroup](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatchStatesForPatchGroup.html))

**注意**  
如需如何使用 設定修補和檢視修補程式合規詳細資訊的圖例 AWS CLI，請參閱 [教學課程：使用 修補伺服器環境 AWS CLI](patch-manager-patch-servers-using-the-aws-cli.md)。

## 檢視合規組態歷程記錄和變更追蹤
<a name="compliance-history"></a>

Systems Manager Configuration Compliance 會顯示有關您受管節點*目前的*修補和關聯合規資料。您可以使用 來檢視修補和關聯合規歷史記錄，以及變更追蹤[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/)。 AWS Config 提供 中資源組態 AWS 的詳細檢視 AWS 帳戶。這包含資源彼此之間的關係和之前的組態方式，所以您可以看到一段時間中組態和關係的變化。若要檢視修補和關聯合規歷程記錄和變更追蹤，您必須在 AWS Config中開啟以下資源：
+ `SSM:PatchCompliance`
+ `SSM:AssociationCompliance`

如需如何在 AWS Config中選擇和設定這些特定資源的資訊，請參閱*《AWS Config 開發人員指南》*中的[選取哪些資源 AWS Config 記錄](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。

**注意**  
如需 AWS Config 定價的資訊，請參閱 [定價](https://aws.amazon.com/config/pricing/)。