• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Systems Manager合規
您可以使用 中的工具 Compliance AWS Systems Manager,掃描受管節點機群的修補程式合規性和組態不一致。您可以從多個 AWS 帳戶 和 區域收集和彙總資料,然後深入研究不合規的特定資源。依預設,合規會顯示有關 Patch Manager 中的修補和 State Manager 中的關聯的目前合規資料 (Patch Manager 和 State Manager 也是 AWS Systems Manager中的工具。) 若要開始使用合規,請開啟 [Systems Manager 主控台](https://console.aws.amazon.com//systems-manager/compliance)。在導覽窗格中,選擇 **Compliance** (合規)。
來自 的修補程式合規資料Patch Manager可以傳送到 AWS Security Hub CSPM。Security Hub CSPM 可讓您全面檢視高優先順序的安全提醒和合規狀態。它還會監控您的機群的修補狀態。如需詳細資訊,請參閱[Patch Manager 與 整合 AWS Security Hub CSPM](patch-manager-security-hub-integration.md)。
Compliance 還提供下列的優點和功能:
+ 使用 AWS Config查看合規歷程記錄,以及 Patch Manager 修補資料和 State Manager 關聯的變更追蹤。
+ 自訂 Compliance 以根據您的 IT 或業務需求建立自訂的合規類型。
+ 使用 Run Command、、 State Manager或 Amazon EventBridge AWS Systems Manager中的另一個工具來修復問題。
+ 將資料移植到 Amazon Athena 和 Amazon Quick,以產生整個機群的報告。
**支援 EventBridge**
此 Systems Manager 工具作為 Amazon EventBridge 規則中的*事件*類型受到支援。如需詳細資訊,請參閱 [使用 Amazon EventBridge 監控 Systems Manager](monitoring-eventbridge-events.md) 及 [參考:Systems Manager 的 Amazon EventBridge 事件模式和類型](reference-eventbridge-events.md)。
**Chef InSpec 整合**
Systems Manager 與 [https://www.chef.io/inspec/](https://www.chef.io/inspec/) 整合。InSpec 是一種開放原始碼的執行時期架構,讓您能夠在 GitHub 或 Amazon Simple Storage Service (Amazon S3) 建立人類可讀的設定檔。您可以使用 Systems Manager 執行合規掃描,檢視合規與不合規的受管節點。如需詳細資訊,請參閱[將 Chef InSpec 設定檔與 Systems Manager 合規搭配使用](integration-chef-inspec.md)。
**定價**
合規無須額外付費。您只需為所使用的 AWS 資源付費。
**Topics**
+ [開始使用合規](compliance-prerequisites.md)
+ [設定合規許可](compliance-permissions.md)
+ [建立合規的資源資料同步](compliance-datasync-create.md)
+ [了解有關合規性的詳細資訊](compliance-about.md)
+ [刪除合規的資源資料同步](systems-manager-compliance-delete-RDS.md)
+ [使用 EventBridge 修正合規問題](compliance-fixing.md)
+ [使用 指派自訂合規中繼資料 AWS CLI](compliance-custom-metadata-cli.md)
# 開始使用合規
若要開始使用合規 (AWS Systems Manager 中的工具),請完成下列任務。
****
| 任務 | 如需詳細資訊 |
| --- | --- |
| 合規可與 Patch Manager 中的修補程式資料及 State Manager 中的關聯搭配使用。(Patch Manager 和 State Manager 也是 AWS Systems Manager 中的工具。) 合規也可與使用 Systems Manager 管理的受管節點上的自訂合規類型搭配使用。確認您已完成[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和非 EC2 機器的設定要求。 | [為組織設定 Systems Manager 統一主控台](systems-manager-setting-up-organizations.md) |
| 更新受管節點使用的 AWS Identity and Access Management (IAM) 角色以限制合規許可。 | [設定合規許可](compliance-permissions.md) |
| 如果您打算監控修補程式合規,請確認您已設定 Patch Manager。您必須先使用 Patch Manager 執行修補操作,合規才能顯示修補程式合規資料。 | [AWS Systems Manager Patch Manager](patch-manager.md) |
| 如果您打算監控關聯合規,請確認您已建立 State Manager 關聯。您必須先建立關聯,合規才能顯示關聯合規資料。 | [AWS Systems Manager State Manager](systems-manager-state.md) |
| (選用) 設定系統以查看合規歷程記錄和變更追蹤。 | [檢視合規組態歷程記錄和變更追蹤](compliance-about.md#compliance-history) |
| (選用) 建立自訂的合規類型。 | [使用 指派自訂合規中繼資料 AWS CLI](compliance-custom-metadata-cli.md) |
| (選用) 建立資源資料同步,將所有合規資料彙總至目標 Amazon Simple Storage Service (Amazon S3) 儲存貯體。 | [建立合規的資源資料同步](compliance-datasync-create.md) |
# 設定合規許可
作為安全最佳實務,建議您使用下列許可來更新受管節點使用的 AWS Identity and Access Management (IAM) 角色,以限制節點使用 [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) API 動作的能力。此 API 動作會在指定的資源 (例如 Amazon EC2 執行個體或受管節點) 上註冊合規類型和其他合規詳細資訊。
如果您的節點是 Amazon EC2 執行個體,您必須使用下列許可更新執行個體使用的 IAM 執行個體設定檔。如需有關 Systems Manager 管理之 EC2 執行個體的執行個體設定檔詳細資訊,請參閱[設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)。對於其他類型的受管節點,請使用下列許可更新節點使用的 IAM 角色。如需詳細資訊,請參閱 *IAM User Guide* 中的 [Update permissions for a role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutComplianceItems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:SourceInstanceARN": "${ec2:SourceInstanceARN}"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:PutComplianceItems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ssm:SourceInstanceARN": "${ssm:SourceInstanceARN}"
}
}
}
]
}
```
------
# 建立合規的資源資料同步
您可以使用 中的資源資料同步功能 AWS Systems Manager ,將合規資料從所有受管節點傳送至目標 Amazon Simple Storage Service (Amazon S3) 儲存貯體。建立同步時,您可以從多個 AWS 區域 AWS 帳戶以及[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境指定受管節點。然後,資源資料同步會在系統收集新的合規資料時,自動更新集中的資料。透過存放在目標 S3 儲存貯體中的所有合規資料,您可以使用 Amazon Athena 和 Amazon Quick 等服務來查詢和分析彙總的資料。設定合規的資源資料同步是一次性操作。
請使用下列程序,藉由使用 AWS 管理主控台建立合規的資源資料同步。
**建立和設定用於資源資料同步的 S3 儲存貯體 (主控台)**
1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 建立儲存貯體以存放您的彙整合規資料。如需詳細資訊,請參閱 *Amazon Simple Storage Service 主控台使用者指南*中的[建立儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html)。請記下儲存貯體名稱,以及您建立儲存貯體 AWS 區域 所在的 。
1. 開啟儲存貯體,選擇 **Permissions (許可)** 標籤,接著選擇 **Bucket Policy (儲存貯體政策)**。
1. 複製下列儲存貯體政策並貼至政策編輯器。將 amzn-s3-demo-bucket 和 *Account-ID* 取代為您建立的 S3 儲存貯體名稱和有效的 AWS 帳戶 ID。或者,您也可以使用 Amazon S3 字首 (子目錄) 取代 *Bucket-Prefix*。如果您沒有建立字首,請將 *Bucket-Prefix*/ 從政策中的 ARN 移除。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SSMBucketPermissionsCheck",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid": " SSMBucketDelivery",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/Bucket-Prefix/*/accountid=111122223333/*"],
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
**建立資源資料同步**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Fleet Manager**。
1. 選擇 **Account management** (帳戶管理)、**Resource Data Syncs** (資源資料同步),然後選擇 **Create resource data sync** (建立資源資料同步)。
1. 在 **Sync name** (同步名稱) 欄位中,輸入同步組態的名稱。
1. 在 **Bucket name** (儲存貯體名稱) 欄位中,輸入此程序開始時建立的 Amazon S3 儲存貯體名稱。
1. (選用) 在**儲存貯體字首**欄位中,輸入 S3 儲存貯體字首 (子目錄) 的名稱。
1. 如果您建立的 S3 儲存貯體位於目前的 AWS 區域,請在**儲存貯體區域**欄位中選擇**此區域**。如果儲存貯體位於不同的 AWS 區域,請選擇**另一個區域**,然後輸入區域的名稱。
**注意**
如果同步與目標 S3 儲存貯體位於不同區域,您可能需要支付資料傳輸費用。如需詳細資訊,請參閱 [Amazon S3 定價](https://aws.amazon.com/s3/pricing/)。
1. 選擇**建立**。
# 了解有關合規性的詳細資訊
中的一種工具合規 AWS Systems Manager,收集和報告 中修補Patch Manager和關聯狀態的資料State Manager。 (Patch Manager 和 State Manager 也是 中的兩種工具 AWS Systems Manager。) 合規也會報告您為受管節點指定的自訂合規類型。此部分包含每個合規類型以及如何檢視 Systems Manager 合規資料的詳細資訊。這部分還包含如何查看合規歷程記錄和變更追蹤的相關資訊。
**注意**
Systems Manager 與 [https://www.chef.io/inspec/](https://www.chef.io/inspec/) 整合。InSpec 是一種開放原始碼的執行時期架構,讓您能夠在 GitHub 或 Amazon Simple Storage Service (Amazon S3) 建立人類可讀的設定檔。然後,您可以使用 Systems Manager 執行合規掃描,檢視合規與不合規的執行個體。如需詳細資訊,請參閱[將 Chef InSpec 設定檔與 Systems Manager 合規搭配使用](integration-chef-inspec.md)。
## 關於修補程式合規
使用 Patch Manager 在執行個體安裝修補程式後,合規狀態資訊會立即於主控台、回應 AWS Command Line Interface (AWS CLI) 命令或對應的 Systems Manager API 操作時提供給您。
如需有關修補程式合規狀態值的詳細資訊,請參閱 [修補程式合規狀態值](patch-manager-compliance-states.md)。
## 關於State Manager關聯合規
建立一或多個State Manager關聯後,您可以在 主控台或回應 AWS CLI 命令或對應的 Systems Manager API 操作,立即取得合規狀態資訊。對於關聯,合規會顯示 `Compliant` 或 `Non-compliant` 狀態,以及指派至關聯的嚴重程度,例如 `Critical` 或 `Medium`。
當 State Manager 在受管節點上執行關聯時,它會觸發合規彙總程序,進而更新該節點上所有關聯的合規狀態。合規報告中 `ExecutionTime` 的值是代表 Systems Manager 擷取合規狀態的時間,而不是在受管節點上執行關聯的時間。這表示多個關聯可能會顯示相同的 `ExecutionTime` 值,即使它們在不同的時間執行。若要判斷實際關聯執行時間,請使用 AWS CLI 命令[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association-execution-targets.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association-execution-targets.html)或在 主控台中檢視執行詳細資訊,參考關聯執行歷史記錄。
## 關於自訂合規
您可以將合規中繼資料指派至受管節點。然後,此中繼資料可與其他合規資料彙整,用於合規報告。例如,假設您的企業在受管節點上執行版本 2.0、3.0 和 4.0 的軟體 X。公司希望標準化為版本 4.0,這表示執行版本 2.0 和 3.0 的執行個體不合規。您可以使用 [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) API 操作,明確指出哪些受管節點正在執行較舊版本的軟體 X。您只能使用 AWS CLI AWS Tools for Windows PowerShell或 SDKs 來指派合規中繼資料。以下 CLI 範例命令會指派合規中繼資料到受管執行個體,並以規定的格式 `Custom:` 指定合規類型。將每個*範例資源預留位置*取代為您自己的資訊。
------
#### [ Linux & macOS ]
```
aws ssm put-compliance-items \
--resource-id i-1234567890abcdef0 \
--resource-type ManagedInstance \
--compliance-type Custom:SoftwareXCheck \
--execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \
--items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
```
------
#### [ Windows ]
```
aws ssm put-compliance-items ^
--resource-id i-1234567890abcdef0 ^
--resource-type ManagedInstance ^
--compliance-type Custom:SoftwareXCheck ^
--execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^
--items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
```
------
**注意**
`ResourceType` 參數僅支援 `ManagedInstance`。如果將自訂合規新增至受管 AWS IoT Greengrass 核心裝置,則您必須指定 `ManagedInstance` 的 `ResourceType`。
合規經理便可以查看哪些受管節點合規或不合規的摘要,或建立報告。您最多可以將 10 個不同的自訂合規類型指派至受管節點。
如需如何建立自訂合規類型和檢視合規資料的範例,請參閱 [使用 指派自訂合規中繼資料 AWS CLI](compliance-custom-metadata-cli.md)。
## 檢視目前的合規資料
本部分說明如何使用 Systems Manager 主控台和 AWS CLI檢視合規資料。如需有關檢視修補程式和關聯合規歷程記錄以及變更追蹤的資訊,請參閱 [檢視合規組態歷程記錄和變更追蹤](#compliance-history)。
**Topics**
+ [檢視目前的合規資料 (主控台)](#compliance-view-results-console)
+ [檢視目前的合規資料 (AWS CLI)](#compliance-view-data-cli)
### 檢視目前的合規資料 (主控台)
使用以下程序在 Systems Manager 主控台中檢視合規資料。
**若要在 Systems Manager 主控台檢視目前的合規報告**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Compliance** (合規)。
1. 在 **Compliance dashboard filtering** (合規儀表板篩選) 區段中,選擇篩選合規資料的選項。**Compliance resources summary** (合規資源摘要) 區段會根據您選擇的篩選條件,顯示合規資料的計數。
1. 若要向下鑽研資源以取得詳細資訊,請向下捲動至 **Details overview for resources** (資源的詳細資料概觀) 區域,然後選擇受管節點的 ID。
1. 在 **Instance ID** (執行個體 ID) 或 **Name** (名稱) 詳細資訊頁面上,選取 **Configuration compliance** (組態合規) 索引標籤,以檢視受管節點的詳細組態合規報告。
**注意**
如需有關修復合規問題的資訊,請參閱 [使用 EventBridge 修正合規問題](compliance-fixing.md)。
### 檢視目前的合規資料 (AWS CLI)
您可以使用 AWS CLI 下列 AWS CLI 命令,在 中檢視修補、關聯和自訂合規類型的合規資料摘要。
[https://docs.aws.amazon.com/cli/latest/reference/ssm/list-compliance-summaries.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-compliance-summaries.html)
根據您指定的篩選條件,傳回合規與不合規關聯狀態的計數摘要。(API:[ListComplianceSummaries](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListComplianceSummaries.html))
[https://docs.aws.amazon.com/cli/latest/reference/ssm/list-resource-compliance-summaries.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-resource-compliance-summaries.html)
傳回資源層級的計數摘要。根據您指定的篩選條件標準,摘要包括有關合規與不合規狀態的資訊,以及詳細的合規項目嚴重程度計數。(API:[ListResourceComplianceSummaries](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceComplianceSummaries.html))
您可以使用下列 AWS CLI 命令,檢視修補的其他合規資料。
[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-group-state.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-group-state.html)
傳回修補程式群組彙總的高層級修補程式合規狀態。(API:[DescribePatchGroupState](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchGroupState.html))
[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patch-states-for-patch-group.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patch-states-for-patch-group.html)
傳回指定修補程式群組執行個體的高層級修補程式狀態。(API:[DescribeInstancePatchStatesForPatchGroup](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatchStatesForPatchGroup.html))
**注意**
如需如何使用 設定修補和檢視修補程式合規詳細資訊的圖例 AWS CLI,請參閱 [教學課程:使用 修補伺服器環境 AWS CLI](patch-manager-patch-servers-using-the-aws-cli.md)。
## 檢視合規組態歷程記錄和變更追蹤
Systems Manager Configuration Compliance 會顯示有關您受管節點*目前的*修補和關聯合規資料。您可以使用 來檢視修補和關聯合規歷史記錄,以及變更追蹤[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/)。 AWS Config 提供 資源組態 AWS 的詳細檢視 AWS 帳戶。這包含資源彼此之間的關係和之前的組態方式,所以您可以看到一段時間中組態和關係的變化。若要檢視修補和關聯合規歷程記錄和變更追蹤,您必須在 AWS Config中開啟以下資源:
+ `SSM:PatchCompliance`
+ `SSM:AssociationCompliance`
如需如何在 AWS Config中選擇和設定這些特定資源的資訊,請參閱*《AWS Config 開發人員指南》*中的[選取哪些資源 AWS Config 記錄](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
**注意**
如需 AWS Config 定價的資訊,請參閱 [定價](https://aws.amazon.com/config/pricing/)。
# 刪除合規的資源資料同步
如果您不想再使用 AWS Systems Manager 合規來檢視合規資料,我們也建議您刪除用於合規資料收集的資源資料同步。
**若要刪除合規資源資料同步**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Fleet Manager**。
1. 選擇 **Account management** (帳戶管理)、**Resource data syncs** (資源資料同步)。
1. 在清單中選擇同步。
**重要**
請確定您選擇了用於合規的同步。Systems Manager 支援多項工具的資源資料同步。如果選擇了錯誤的同步,則您可能會中斷 Systems Manager Explorer 或 Systems Manager Inventory 的資料彙總。
1. 選擇 **刪除**。
1. 刪除存放資料的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。如需有關刪除 S3 儲存貯體的資訊,請參閱[刪除儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html)。
# 使用 EventBridge 修正合規問題
您可以使用 Run Command (AWS Systems Manager 中的工具) 快速修復修補程式和關聯合規問題。您可以鎖定執行個體或 AWS IoT Greengrass 核心裝置 ID 或標籤,然後執行 `AWS-RunPatchBaseline` 文件或 `AWS-RefreshAssociation` 文件。如果重新整理關聯或重新執行修補基準無法解決合規問題,則您需要調查您的關聯、修補基準或執行個體組態,以了解為什麼 Run Command 操作未能解決問題。
如需有關修補的詳細資訊,請參閱 [AWS Systems Manager Patch Manager](patch-manager.md) 與 [用於修補的 SSM 命令文件:`AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md)。
如需關聯的相關詳細資訊,請參閱 [在 Systems Manager 中使用關聯](state-manager-associations.md)。
如需有關執行命令的詳細資訊,請參閱 [AWS Systems Manager Run Command](run-command.md)。
**指定合規為 Eventbridge 事件的目標**
您也可以設定 Amazon EventBridge 執行動作,以回應 Systems Manager 合規事件。例如,如果一個以上的受管節點無法安裝重大修補程式更新,或執行安裝防毒軟體的關聯,則您可以設定 Eventbridge 在合規事件發生時,執行 `AWS-RunPatchBaseline` 文件或 `AWS-RefreshAssocation` 文件。
使用以下程序設定合規作為 Eventbridge 事件的目標。
**若要設定合規作為 Eventbridge 事件的目標 (主控台)**
1. 前往 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。
1. 在導覽窗格中,選擇**規則**。
1. 選擇**建立規則**。
1. 輸入規則的名稱和描述。
在同一個 AWS 區域 和同一個事件匯流排上,規則不能與另一個規則同名。
1. 針對**事件匯流排**,選擇要與此規則建立關聯的事件匯流排。如果您想要此規則回應匹配來自您的 AWS 帳戶 的事件,請選取 **default** (預設)。當您帳戶中的 AWS 服務 發出事件時,一律會前往您帳戶的預設事件匯流排。
1. 針對**規則類型**,選擇**具有事件模式的規則**。
1. 選擇**下一步**。
1. 在**事件來源**欄位中,選擇 **AWS 事件或 EventBridge 合作夥伴事件**。
1. 在 **Event pattern** (事件模式) 區段中,選擇 **Event pattern form** (事件模式表單)。
1. 在 **Event source** (事件來源) 欄位中,選擇 **AWS services** (服務)。
1. 針對 **AWS service** ( 服務),請選擇 **Systems Manager**。
1. 在 **Event Type** (事件類型) 欄位中,選擇 **Configuration Compliance** (組態合規)。
1. 針對 **Specific detail type(s)** (特定詳細資訊類型),請選擇 **Configuration Compliance State Change** (組態合規狀態變更)。
1. 選擇**下一步**。
1. 在**目標類型**欄位中,選擇 **AWS 服務**。
1. 針對 **Select a target** (選取目標),請選擇 **Systems Manager Run Command**。
1. 在 **Document** (文件) 清單中,選擇叫用目標時要執行的 Systems Manager 文件 (SSM 文件)。例如,選擇 `AWS-RunPatchBaseline` 作為不合規修補程式事件,或選擇 `AWS-RefreshAssociation` 作為不合規關聯事件。
1. 指定其餘欄位和參數的資訊。
**注意**
必填欄位和參數在名稱旁會有星號 (\$1)。若要建立目標,您必須為每個必填參數或欄位指定值。如果不這麼做,系統會建立規則,但規則不會執行。
1. 選擇**下一步**。
1. (選用) 為規則輸入一或多個標籤。如需詳細資訊,請參閱《Amazon EventBridge 使用者指南**》中的[標記您的 Amazon EventBridge 資源](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-tagging.html)。
1. 選擇**下一步**。
1. 檢閱規則的詳細資訊,然後選擇**建立規則**。
# 使用 指派自訂合規中繼資料 AWS CLI
下列程序會逐步引導您使用 AWS Command Line Interface (AWS CLI) 呼叫 AWS Systems Manager [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) API 操作,將自訂合規中繼資料指派給資源。您也可以使用此 API 操作,手動將修補程式或關聯合規中繼資料指派至受管節點,如以下演練中所示。如需自訂合規的詳細資訊,請參閱 [關於自訂合規](compliance-about.md#compliance-custom)。
**將自訂合規中繼資料指派給受管執行個體 (AWS CLI)**
1. 如果您尚未安裝和設定 AWS Command Line Interface (AWS CLI)。
如需相關資訊,請參閱[安裝或更新最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
1. 執行以下命令,將自訂合規中繼資料指派給受管節點。將每個*範例資源預留位置*取代為您自己的資訊。`ResourceType` 參數僅支援 `ManagedInstance` 的值。即使您將自訂合規中繼資料指派給受管 AWS IoT Greengrass 核心裝置,也請指定此值。
------
#### [ Linux & macOS ]
```
aws ssm put-compliance-items \
--resource-id instance_ID \
--resource-type ManagedInstance \
--compliance-type Custom:user-defined_string \
--execution-summary ExecutionTime=user-defined_time_and/or_date_value \
--items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
```
------
#### [ Windows ]
```
aws ssm put-compliance-items ^
--resource-id instance_ID ^
--resource-type ManagedInstance ^
--compliance-type Custom:user-defined_string ^
--execution-summary ExecutionTime=user-defined_time_and/or_date_value ^
--items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
```
------
1. 重複之前的步驟,以指派更多自訂合規中繼資料到一個以上的節點。您也可以使用下列命令,手動指派修補程式或關聯合規中繼資料到受管節點:
關聯合規中繼資料
------
#### [ Linux & macOS ]
```
aws ssm put-compliance-items \
--resource-id instance_ID \
--resource-type ManagedInstance \
--compliance-type Association \
--execution-summary ExecutionTime=user-defined_time_and/or_date_value \
--items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
```
------
#### [ Windows ]
```
aws ssm put-compliance-items ^
--resource-id instance_ID ^
--resource-type ManagedInstance ^
--compliance-type Association ^
--execution-summary ExecutionTime=user-defined_time_and/or_date_value ^
--items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
```
------
修補程式合規中繼資料
------
#### [ Linux & macOS ]
```
aws ssm put-compliance-items \
--resource-id instance_ID \
--resource-type ManagedInstance \
--compliance-type Patch \
--execution-summary ExecutionTime=user-defined_time_and/or_date_value,ExecutionId=user-defined_ID,ExecutionType=Command \
--items Id=for_example, KB12345,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{PatchGroup=name_of_group,PatchSeverity=the_patch_severity, for example, CRITICAL}"
```
------
#### [ Windows ]
```
aws ssm put-compliance-items ^
--resource-id instance_ID ^
--resource-type ManagedInstance ^
--compliance-type Patch ^
--execution-summary ExecutionTime=user-defined_time_and/or_date_value,ExecutionId=user-defined_ID,ExecutionType=Command ^
--items Id=for_example, KB12345,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{PatchGroup=name_of_group,PatchSeverity=the_patch_severity, for example, CRITICAL}"
```
------
1. 執行以下命令來檢視特定受管節點的合規項目清單。使用篩選條件來深入檢視特定的合規資料。
------
#### [ Linux & macOS ]
```
aws ssm list-compliance-items \
--resource-ids instance_ID \
--resource-types ManagedInstance \
--filters one_or_more_filters
```
------
#### [ Windows ]
```
aws ssm list-compliance-items ^
--resource-ids instance_ID ^
--resource-types ManagedInstance ^
--filters one_or_more_filters
```
------
以下範例說明如何搭配篩選條件使用此命令。
------
#### [ Linux & macOS ]
```
aws ssm list-compliance-items \
--resource-ids i-02573cafcfEXAMPLE \
--resource-type ManagedInstance \
--filters Key=DocumentName,Values=AWS-RunPowerShellScript Key=Status,Values=NON_COMPLIANT,Type=NotEqual Key=Id,Values=cee20ae7-6388-488e-8be1-a88ccEXAMPLE Key=Severity,Values=UNSPECIFIED
```
------
#### [ Windows ]
```
aws ssm list-compliance-items ^
--resource-ids i-02573cafcfEXAMPLE ^
--resource-type ManagedInstance ^
--filters Key=DocumentName,Values=AWS-RunPowerShellScript Key=Status,Values=NON_COMPLIANT,Type=NotEqual Key=Id,Values=cee20ae7-6388-488e-8be1-a88ccEXAMPLE Key=Severity,Values=UNSPECIFIED
```
------
------
#### [ Linux & macOS ]
```
aws ssm list-resource-compliance-summaries \
--filters Key=OverallSeverity,Values=UNSPECIFIED
```
------
#### [ Windows ]
```
aws ssm list-resource-compliance-summaries ^
--filters Key=OverallSeverity,Values=UNSPECIFIED
```
------
------
#### [ Linux & macOS ]
```
aws ssm list-resource-compliance-summaries \
--filters Key=OverallSeverity,Values=UNSPECIFIED Key=ComplianceType,Values=Association Key=InstanceId,Values=i-02573cafcfEXAMPLE
```
------
#### [ Windows ]
```
aws ssm list-resource-compliance-summaries ^
--filters Key=OverallSeverity,Values=UNSPECIFIED Key=ComplianceType,Values=Association Key=InstanceId,Values=i-02573cafcfEXAMPLE
```
------
1. 執行下列命令以檢視合規狀態摘要。使用篩選條件來深入檢視特定的合規資料。
```
aws ssm list-resource-compliance-summaries --filters One or more filters.
```
以下範例說明如何搭配篩選條件使用此命令。
------
#### [ Linux & macOS ]
```
aws ssm list-resource-compliance-summaries \
--filters Key=ExecutionType,Values=Command
```
------
#### [ Windows ]
```
aws ssm list-resource-compliance-summaries ^
--filters Key=ExecutionType,Values=Command
```
------
------
#### [ Linux & macOS ]
```
aws ssm list-resource-compliance-summaries \
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=OverallSeverity,Values=CRITICAL
```
------
#### [ Windows ]
```
aws ssm list-resource-compliance-summaries ^
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=OverallSeverity,Values=CRITICAL
```
------
1. 執行以下命令以檢視合規類型的合規與不合規資源計數摘要。使用篩選條件來深入檢視特定的合規資料。
```
aws ssm list-compliance-summaries --filters One or more filters.
```
以下範例說明如何搭配篩選條件使用此命令。
------
#### [ Linux & macOS ]
```
aws ssm list-compliance-summaries \
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=PatchGroup,Values=TestGroup
```
------
#### [ Windows ]
```
aws ssm list-compliance-summaries ^
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=PatchGroup,Values=TestGroup
```
------
------
#### [ Linux & macOS ]
```
aws ssm list-compliance-summaries \
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=ExecutionId,Values=4adf0526-6aed-4694-97a5-14522EXAMPLE
```
------
#### [ Windows ]
```
aws ssm list-compliance-summaries ^
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=ExecutionId,Values=4adf0526-6aed-4694-97a5-14522EXAMPLE
```
------