• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# AWS Systems Manager のコンプライアンス
AWS Systems Manager のツールである Compliance を使ってマネージドノードのフリートをスキャンし、パッチコンプライアンスと設定の不整合を調べるために使用できます。複数の AWS アカウント とリージョンからデータを収集して集計し、それに準拠していない特定のリソースにドリルダウンすることができます。デフォルトで、Compliance は Patch Manager のパッチ適用、および State Manager の関連付けに関する現在のコンプライアンスデータを表示します (Patch Manager と State Manager は AWS Systems Manager のツールです)。コンプライアンスの使用を開始するには、[Systems Manager コンソール](https://console.aws.amazon.com//systems-manager/compliance)を開きます。ナビゲーションペインで、[**コンプライアンス**] を選択します。
Patch Manager からパッチコンプライアンスデータを AWS Security Hub CSPM に送信できます Security Hub CSPM では、高優先度のセキュリティアラートとコンプライアンス状況を包括的に確認できます。また、フリートのパッチ適用状況も監視できます。詳細については、「[Patch Managerと AWS Security Hub CSPM の統合](patch-manager-security-hub-integration.md)」を参照してください。
コンプライアンスには、さらに次のような利点と特徴があります。
+ AWS Config を使用して、Patch Managerによるパッチの適用のデータやState Managerによる関連付けに関するコンプライアンスの履歴や変更の追跡を表示できます。
+ Compliance をカスタマイズして、IT またはビジネスの要件に基づいた独自のコンプライアンスタイプを作成できます。
+ AWS Systems Manager のツールである Run Command、State Manager、または Amazon EventBridge を使用して、問題を修復します。
+ Amazon Athena と Amazon Quick にデータを移植して、フリート全体のレポートを生成します。
**EventBridge のサポート**
この Systems Manager ツールは、Amazon EventBridge ルールの*イベント*タイプとしてサポートされています。詳細については、「[Amazon EventBridge を使用して Systems Manager イベントをモニタリングする](monitoring-eventbridge-events.md)」および「[リファレンス: Systems Manager 用の Amazon EventBridge イベントパターンとタイプ](reference-eventbridge-events.md)」を参照してください。
**Chef InSpec の統合**
Systems Manager は、[https://www.chef.io/inspec/](https://www.chef.io/inspec/) と統合します。InSpec は、オープンソースのランタイムフレームワークであり、人間が読み取れるプロファイルを GitHub または Amazon Simple Storage Service (Amazon S3) で作成できます。その後、Systems Manager を使用してコンプライアンススキャンを実行し、準拠または非準拠のマネージドノードを表示できます。詳細については、「[Systems Manager Compliance で Chef InSpec プロファイルを使用する](integration-chef-inspec.md)」を参照してください。
**料金**
設定コンプライアンスは、追加料金なしで提供されています。お客様は、使用した AWS リソースに対してのみ料金を支払います。
**Topics**
+ [設定コンプライアンスの使用開始方法](compliance-prerequisites.md)
+ [Compliance のアクセス許可の設定](compliance-permissions.md)
+ [Compliance のためのリソースデータ同期の作成](compliance-datasync-create.md)
+ [コンプライアンスの詳細について](compliance-about.md)
+ [Compliance のためのリソースデータ同期の削除](systems-manager-compliance-delete-RDS.md)
+ [EventBridge を使用してコンプライアンス問題を修復する](compliance-fixing.md)
+ [AWS CLI を使用してカスタムコンプライアンスメタデータを割り当てる](compliance-custom-metadata-cli.md)
# 設定コンプライアンスの使用開始方法
AWS Systems Manager のツールである Compliance の使用を開始するには、以下のタスクを完了してください。
****
| タスク | 詳細情報 |
| --- | --- |
| Compliance では、Patch Manager のパッチデータと State Manager の関連付けを使用できます。(Patch Manager と State Manager は AWS Systems Manager のツールです。) Compliance は、Systems Manager を使用して管理されるマネージドノードのカスタムコンプライアンスタイプでも機能します。[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境で、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスと非 EC2 マシンのセットアップ要件を完了していることを確認します。 | [組織用の Systems Manager 統合コンソールのセットアップ](systems-manager-setting-up-organizations.md) |
| マネージドノードで使用される AWS Identity and Access Management (IAM) ロールを更新して、Compliance のアクセス許可を制限します。 | [Compliance のアクセス許可の設定](compliance-permissions.md) |
| パッチのコンプライアンスをモニタリングする場合は、Patch Manager を設定していることを確認します。設定コンプライアンスでパッチのコンプライアンスデータを表示するには、その前に Patch Manager を使用してパッチ適用操作を実行しておく必要があります。 | [AWS Systems Manager Patch Manager](patch-manager.md) |
| 関連付けのコンプライアンスをモニタリングする場合は、State Manager の関連付けを作成したことを確認します。設定コンプライアンスで関連付けのコンプライアンスデータを表示するには、その前に関連付けを作成しておく必要があります。 | [AWS Systems Manager State Manager](systems-manager-state.md) |
| (オプション) コンプライアンス履歴および変更の追跡が表示されるようにシステムを設定します。 | [コンプライアンスの設定履歴と変更の追跡の表示](compliance-about.md#compliance-history) |
| (オプション) カスタムコンプライアンスタイプを作成します。 | [AWS CLI を使用してカスタムコンプライアンスメタデータを割り当てる](compliance-custom-metadata-cli.md) |
| (オプション) リソースデータ同期を作成して、ターゲットの Amazon Simple Storage Service (Amazon S3) バケット内のすべてのコンプライアンスデータを集計します。 | [Compliance のためのリソースデータ同期の作成](compliance-datasync-create.md) |
# Compliance のアクセス許可の設定
セキュリティのベストプラクティスとして、マネージドノードで使用される AWS Identity and Access Management (IAM) ロールを以下のアクセス許可で更新して、ノードが [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) API アクションを使用する機能を制限することをお勧めします。この API アクションは、Amazon EC2 インスタンスやマネージドノードなど、指定されたリソースにコンプライアンスタイプやその他のコンプライアンスの詳細を登録します。
ノードが Amazon EC2 インスタンスの場合は、インスタンスで使用される IAM インスタンスプロファイルを次のアクセス許可で更新する必要があります。Systems Manager によって管理される EC2 インスタンスのインスタンスプロファイルの詳細については、「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」を参照してください。他のタイプのマネージドノードでは、ノードで使用される IAM ロールを次のアクセス許可で更新します。詳細については、「*IAM ユーザーガイド*」の「[ロールに対するアクセス許可を更新する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutComplianceItems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:SourceInstanceARN": "${ec2:SourceInstanceARN}"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:PutComplianceItems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ssm:SourceInstanceARN": "${ssm:SourceInstanceARN}"
}
}
}
]
}
```
------
# Compliance のためのリソースデータ同期の作成
AWS Systems Manager のリソースデータ同期機能を使用して、すべてのマネージドノードからターゲットの Amazon Simple Storage Service (Amazon S3) バケットにコンプライアンスデータを送信できます。同期を作成するときは、複数の AWS アカウント、AWS リージョン およびオンプレミスの[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境からのマネージドノードを指定できます。その後、リソースデータの同期により、新しいコンプライアンスデータが収集されると一元化されたデータが自動的に更新されます。ターゲット S3 バケットに保存されたすべてのコンプライアンスデータに対して、Amazon Athena や Amazon Quick などのサービスを使用して集計データのクエリや分析ができます。Compliance のためのリソースデータ同期の設定は、1 回限りの操作です。
次の手順に従って、AWS マネジメントコンソール を使用して Compliance のためのリソースデータ同期の作成を行います。
**リソースデータの同期用に S3 バケットを作成して設定するには (コンソール)**
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. 集計されたコンプライアンスデータを保存するバケットを作成します。詳細については、*Amazon Simple Storage Service ユーザーガイド*の[「バケットの作成」](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html)を参照してください。バケット名とそれを作成した AWS リージョン を書き留めます。
1. バケットを開き、[**Permissions (アクセス許可)**] タブ、[**Bucket Policy (バケットポリシー)**] の順に選択します。
1. 次のバケットポリシーをコピーし、ポリシーエディタに貼り付けます。amzn-s3-demo-bucket と *Account-ID* を、作成した S3 バケットの名前と有効な AWS アカウント ID に置き換えます。任意で、*Bucket-Prefix* を Amazon S3 プレフィックス (サブディレクトリ) に置き換えます。プレフィックスを作成しなかった場合は、*Bucket-Prefix*/ をこのポリシーの ARN から削除します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SSMBucketPermissionsCheck",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid": " SSMBucketDelivery",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/Bucket-Prefix/*/accountid=111122223333/*"],
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
**リソースデータの同期を作成するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. [**アカウント管理**]、[**リソースデータの同期**] の順に選択し、[**リソースデータの同期の作成**] を選択します。
1. [**Sync name**] フィールドに、同期設定の名前を入力します。
1. [**Bucket name**] フィールドに、この手順の最初で作成した Amazon S3 バケットの名前を入力します。
1. (オプション) [**Bucket prefix**] フィールドに、S3 バケットのプレフィックス (サブディレクトリ) の名前を入力します。
1. 作成した S3 バケットが現在の AWS リージョン にある場合は、**[バケットリージョン]** フィールドで **[このリージョン]** を選択します。バケットが他の AWS リージョン にある場合は、[**Another region(別のリージョン)**] を選択して、リージョンの名前を入力します。
**注記**
同期とターゲット S3 バケットが異なるリージョンにある場合は、データ転送料金が発生する場合があります。詳細については、[Amazon S3 の料金](https://aws.amazon.com/s3/pricing/) を参照してください。
1. **[Create]** (作成) を選択します。
# コンプライアンスの詳細について
AWS Systems Manager のツールである Compliance は、Patch Manager パッチ適用のステータスと State Manager の関連付けに関するデータを収集して報告します。(Patch Manager と State Manager も AWS Systems Manager のツールです。) Compliance では、マネージドノードに対して指定したカスタムコンプライアンスタイプについてもレポートします。このセクションでは、各コンプライアンスタイプに関する詳細および Systems Manager のコンプライアンスデータを表示する方法について説明します。このセクションでは、コンプライアンス履歴および変更の追跡を表示する方法についても説明します。
**注記**
Systems Manager は、[https://www.chef.io/inspec/](https://www.chef.io/inspec/) と統合します。InSpec は、オープンソースのランタイムフレームワークであり、人間が読み取れるプロファイルを GitHub または Amazon Simple Storage Service (Amazon S3) で作成できます。その後、Systems Manager を使用してコンプライアンススキャンを実行し、準拠または非準拠のインスタンスを表示できます。詳細については、「[Systems Manager Compliance で Chef InSpec プロファイルを使用する](integration-chef-inspec.md)」を参照してください。
## パッチコンプライアンスについて
Patch Manager を使用してインスタンスにパッチをインストールすると、コンソールでも、AWS Command Line Interface (AWS CLI) コマンドまたは対応する Systems Manager API オペレーションへのレスポンスでも、コンプライアンスステータス情報をすぐに表示できるようになります。
パッチのコンプライアンスステータス値については、「[パッチコンプライアンス状態の値](patch-manager-compliance-states.md)」を参照してください。
## State Manager 関連付けのコンプライアンスについて
State Manager の関連付けを 1 つまたは複数作成すると、コンソールでも、 AWS CLI コマンドまたは対応する Systems Manager API オペレーションへのレスポンスでも、コンプライアンスステータス情報をすぐに表示できるようになります。関連付けについては、設定コンプライアンスが `Compliant` または `Non-compliant` のステータス、および `Critical` または `Medium` などの関連付けに割り当てられた重大度レベルを表示します。
State Manager がマネージドノードで関連付けを実行すると、そのノードにあるすべての関連付けのコンプライアンスステータスを更新する、コンプライアンス集約プロセスがトリガーされます。コンプライアンスレポートの `ExecutionTime` 値は、関連付けがマネージドノードで実行された時刻ではなく、コンプライアンスステータスが Systems Manager によってキャプチャされた時刻を表しています。つまり、複数の関連付けに、それらが異なる時刻に実行されていた場合でも、同じ `ExecutionTime` 値が表示されることがあります。実際に関連付けが実行された時刻を特定するには、AWS CLI コマンド [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association-execution-targets.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association-execution-targets.html) を使用するか、実行の詳細をコンソールに表示して、関連付けの実行履歴を参照します。
## カスタムコンプライアンスについて
マネージドノードにコンプライアンスメタデータを割り当てることができます。このメタデータは、次にコンプライアンスの報告の目的で、他のコンプライアンスデータと集計できます。たとえば、ビジネスでソフトウェア X のバージョン 2.0、3.0、および 4.0 をマネージドノードで実行しているとします。会社はバージョン 4.0 で標準化したいと考えています。つまり、バージョン 2.0 と 3.0 を実行しているインスタンスは非準拠です。[PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) API オペレーションを使用して、古いバージョンのソフトウェア X を実行しているマネージドノードを明示的に確認できます。AWS CLI、AWS Tools for Windows PowerShell、または SDK のみを使用して、コンプライアンスのメタデータを割り当てることができます。次の CLI サンプルコマンドは、マネージドインスタンスにコンプライアンスメタデータを割り当て、必要な形式 `Custom:` でコンプライアンスタイプを指定します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ Linux & macOS ]
```
aws ssm put-compliance-items \
--resource-id i-1234567890abcdef0 \
--resource-type ManagedInstance \
--compliance-type Custom:SoftwareXCheck \
--execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \
--items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
```
------
#### [ Windows ]
```
aws ssm put-compliance-items ^
--resource-id i-1234567890abcdef0 ^
--resource-type ManagedInstance ^
--compliance-type Custom:SoftwareXCheck ^
--execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^
--items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
```
------
**注記**
`ResourceType` パラメータは `ManagedInstance` のみをサポートしています。マネージド AWS IoT Greengrass コアデバイスにカスタムコンプライアンスを追加する場合は、`ManagedInstance` の `ResourceType` を指定する必要があります。
次に、コンプライアンスマネージャーは、準拠しているマネージドノードと準拠していないマネージドノードに関する概要を表示するか、レポートを作成できます。マネージドノードには最大 10 個の異なるカスタムコンプライアンスタイプを割り当てることができます。
カスタムコンプライアンスタイプの作成と、コンプライアンスデータの表示の例については、「[AWS CLI を使用してカスタムコンプライアンスメタデータを割り当てる](compliance-custom-metadata-cli.md)」を参照してください。
## 現在のコンプライアンスデータの表示
このセクションでは、Systems Manager コンソールおよび AWS CLI を使用してコンプライアンスデータを表示する方法について説明します。パッチおよび関連付けのコンプライアンス履歴および変更の追跡を表示する方法については、「[コンプライアンスの設定履歴と変更の追跡の表示](#compliance-history)」を参照してください。
**Topics**
+ [現在のコンプライアンスデータの表示 (コンソール)](#compliance-view-results-console)
+ [現在のコンプライアンスデータの表示 (AWS CLI)](#compliance-view-data-cli)
### 現在のコンプライアンスデータの表示 (コンソール)
Systems Manager コンソールでコンプライアンスデータを表示するには、以下の手順に従います。
**Systems Manager コンソールで現在のコンプライアンスレポートを表示するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、[**コンプライアンス**] を選択します。
1. **[Compliance dashboard filtering]** (コンプライアンスダッシュボードのフィルタリング) セクションで、コンプライアンスデータをフィルタリングするオプションを選択します。**[Compliance resources summary]** (コンプライアンスリソースの概要) セクションに、選択したフィルタに基づくコンプライアンスデータの数が表示されます。
1. リソースにドリルダウンして詳細を表示するには、**[Details overview for resources]** (リソースの詳細概要) エリアをクリックし、マネージドノードの ID を選択します。
1. **[Instance ID]** (インスタンス ID) または **[Name]** (名前) の詳細ページで **[Configuration compliance]** (設定コンプライアンス) タブを選択し、マネージドノードの詳細な設定コンプライアンスレポートを表示します。
**注記**
コンプライアンスの問題の修正については、「[EventBridge を使用してコンプライアンス問題を修復する](compliance-fixing.md)」を参照してください。
### 現在のコンプライアンスデータの表示 (AWS CLI)
次の AWS CLI コマンドを使用して、パッチ適用、関連付け、およびカスタムコンプライアンスタイプのコンプライアンスデータの概要を AWS CLI に表示できます。
[https://docs.aws.amazon.com/cli/latest/reference/ssm/list-compliance-summaries.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-compliance-summaries.html)
指定したフィルタに従って、準拠しているパッチステータスと準拠していないパッチステータスの集計カウントを返します。(API: [ListComplianceSummaries](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListComplianceSummaries.html))
[https://docs.aws.amazon.com/cli/latest/reference/ssm/list-resource-compliance-summaries.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-resource-compliance-summaries.html)
リソースレベルの集計カウントを返します。概要には、指定したフィルタ基準に従って、準拠しているステータスと準拠していないステータス、およびコンプライアンス項目の重大度のカウントに関する情報が含まれます。(API: [ListResourceComplianceSummaries](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceComplianceSummaries.html))
次の AWS CLI コマンドを使用すると、パッチ適用に対する追加のコンプライアンスデータを表示できます。
[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-group-state.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-group-state.html)
パッチグループの集計されたパッチコンプライアンス状態の概要を返します。(API: [DescribePatchGroupState](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchGroupState.html))
[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patch-states-for-patch-group.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patch-states-for-patch-group.html)
指定したパッチグループのインスタンスに関するパッチ状態の概要を返します。(API: [DescribeInstancePatchStatesForPatchGroup](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatchStatesForPatchGroup.html))
**注記**
AWS CLI を使用してパッチ適用を設定する方法およびパッチコンプライアンスの詳細を表示する方法については、「[チュートリアル: AWS CLI を使用してサーバー環境にパッチを適用する](patch-manager-patch-servers-using-the-aws-cli.md)」を参照してください。
## コンプライアンスの設定履歴と変更の追跡の表示
Systems Manager Compliance では、マネージドノードに対する*現在の*パッチ適用と関連付けに関するコンプライアンスデータが表示されます。[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/) を使用して、パッチ適用と関連付けのコンプライアンス履歴と変更の追跡を表示できます。AWS Config は、AWS アカウント の AWS リソースの設定の詳細な表示を提供します。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。パッチ適用および関連付けのコンプライアンス履歴および変更の追跡を表示するには、AWS Config で以下のリソースを有効にしておく必要があります。
+ `SSM:PatchCompliance`
+ `SSM:AssociationCompliance`
AWS Config でこれらの特定のリソースを選択および設定する方法については、*AWS Config デベロッパーガイド*の「[AWS Configで記録するリソースの選択](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)」を参照してください。
**注記**
AWS Config の料金については、「[料金](https://aws.amazon.com/config/pricing/)」を参照してください。
# Compliance のためのリソースデータ同期の削除
AWS Systems Manager コンプライアンスを使用してコンプライアンスデータを表示する必要がなくなった場合は、コンプライアンスデータ収集に使用するリソースデータ同期を削除することもお勧めします。
**コンプライアンスリソースデータ同期を削除するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. [**Account management** (アカウント管理)] で [**Resource data sync** (リソースデータ同期)] を選択します。
1. リストで同期を選択します。
**重要**
必ずコンプライアンスで使用する同期を選択してください。Systems Manager では、複数のツールに対するリソースデータ同期がサポートされています。間違った同期を選択すると、Systems Manager Explorer、または Systems Manager Inventory のデータ集約が中断する可能性があります。
1. **[削除]** を選択します。
1. データが保存されている Amazon Simple Storage Service (Amazon S3) バケットを削除します。S3 バケットを削除する方法の詳細については、「[バケットの削除](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html)」を参照してください。
# EventBridge を使用してコンプライアンス問題を修復する
AWS Systems Manager のツールである Run Command を使用すると、パッチおよび関連付けのコンプライアンスの問題を迅速に修復できます。インスタンスまたは AWS IoT Greengrass コアデバイス ID またはタグのどちらかをターゲットに設定して、`AWS-RunPatchBaseline` ドキュメントまたは `AWS-RefreshAssociation` ドキュメントを実行できます。関連付けの更新またはパッチベースラインの再実行で、コンプライアンスの問題を解決できない場合は、関連付け、パッチベースライン、またはインスタンス設定を調査して、Run Command オペレーションで問題が解決しなかった理由を把握する必要があります。
パッチ適用の詳細については、「[AWS Systems Manager Patch Manager](patch-manager.md)」および「[パッチ適用のための SSM コマンドドキュメント: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md)」を参照してください。
関連付けの詳細については、「[Systems Manager の関連付けの使用](state-manager-associations.md)」を参照してください。
コマンドの実行の詳細については、「[AWS Systems Manager Run Command](run-command.md)」を参照してください。
**EventBridge イベントのターゲットとして設定コンプライアンスを指定する**
Systems Manager Compliance のイベントに応じてアクションを実行するよう Amazon EventBridge を設定することもできます。例えば、1 つ以上のマネージドノードが、重要なパッチ更新のインストールまたはアンチウイルスソフトウェアをインストールする関連付けの実行に失敗する場合、Compliance イベントが発生したときに、`AWS-RunPatchBaseline` ドキュメントまたは `AWS-RefreshAssocation` ドキュメントを実行するよう EventBridge を設定できます。
以下の手順を使用して、設定コンプライアンスを EventBridge イベントのターゲットとして設定します。
**設定コンプライアンスを EventBridge イベントのターゲットとして設定する (コンソール)**
1. Amazon EventBridge コンソール ([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)) を開きます。
1. ナビゲーションペインで **ルール]** を選択します。
1. **[ルールの作成]** を選択します。
1. ルールの名前と説明を入力します。
ルールには、同じ AWS リージョン 内および同じイベントバス上の別のルールと同じ名前を付けることはできません。
1. **[イベントバス]** で、このルールに関連付けるイベントバスを選択します。このルールを使用して、自分の AWS アカウント の一致するイベントに応答する場合は、[**default**] ( デフォルト) を選択します。アカウントの AWS のサービスで発生したイベントは、常にアカウントのデフォルトのイベントバスに移動します。
1. **[ルールタイプ]** で、**[イベントパターンを持つルール]** を選択してください。
1. [**Next**] を選択します。
1. **[Event source]** (イベントソース) で、**[AWS events or EventBridge partner events]** ( イベントまたは EventBridge パートナーイベント) を選択してください。
1. [**Event pattern**] (イベントパターン) セクションで [**Event pattern form**] (イベントパターンフォーム) を選択します。
1. **[イベントソース]** で、**[AWS のサービス]** を選択してください。
1. [**AWS のサービス**] で、[**Systems Manager**] を選択します。
1. [**イベントタイプ**] で、[**設定コンプライアンス**] を選択します。
1. [**特定の詳細タイプ**] で [**設定コンプライアンスのステータスの変更**] を選択します。
1. [**Next**] を選択します。
1. **[ターゲットタイプ]** で、**[AWS のサービス]** を選択します。
1. [**Select a target**] (ターゲットを選択) で [**Systems ManagerRun Command**] を選択します。
1. [**ドキュメント**] リストで、ターゲットが呼び出されたときに実行する Systems Manager ドキュメント (SSM ドキュメント) を選択します。例えば、非準拠のパッチイベントの場合は `AWS-RunPatchBaseline` を選択するか、非準拠の関連付けイベントの場合は `AWS-RefreshAssociation` を選択します。
1. 残りのフィールドとパラメータの情報を指定します。
**注記**
必須フィールドとパラメータには、名前の横にアスタリスク (\$1) が付いています。ターゲットを作成するには、各必須パラメータまたはフィールドの値を指定する必要があります。指定しないと、システムはルールを作成しますが、ルールは実行されません。
1. [**Next**] を選択します。
1. (オプション) ルールに 1 つ以上のタグを入力します。詳細については、*Amazon EventBridge ユーザーガイド*の「[Amazon EventBridge リソースのタグ付け](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-tagging.html)」を参照してください 。
1. [**Next**] を選択します。
1. ルールの詳細を確認し、**[Create rule]** (ルールの作成) を選択します。
# AWS CLI を使用してカスタムコンプライアンスメタデータを割り当てる
以下の手順では、AWS Systems Manager [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) API オペレーションを呼び出すために AWS Command Line Interface (AWS CLI CLI) を使用して、リソースにカスタムコンプライアンスメタデータを割り当てるプロセスについて説明します。また、この API オペレーションを使用して、次のチュートリアルに示すように手動でパッチや関連付けコンプライアンスメタデータをマネージドノードに割り当てることもできます。カスタムコンプライアンスの詳細については、「[カスタムコンプライアンスについて](compliance-about.md#compliance-custom)」を参照してください。
**マネージドインスタンスにカスタムコンプライアンスメタデータを割り当てるには (AWS CLI)**
1. まだ AWS Command Line Interface (AWS CLI) をインストールして設定していない場合は、インストールして設定します。
詳細については、「[AWS CLI の最新バージョンをインストールまたは更新します。](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
1. 以下のコマンドを実行して、マネージドノードにカスタムコンプライアンスメタデータを割り当てます。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。`ResourceType` パラメーターは、`ManagedInstance` の値のみをサポートします。マネージド AWS IoT Greengrass コアデバイスにカスタムコンプライアンスメタデータを割り当てる場合であっても、この値を指定します。
------
#### [ Linux & macOS ]
```
aws ssm put-compliance-items \
--resource-id instance_ID \
--resource-type ManagedInstance \
--compliance-type Custom:user-defined_string \
--execution-summary ExecutionTime=user-defined_time_and/or_date_value \
--items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
```
------
#### [ Windows ]
```
aws ssm put-compliance-items ^
--resource-id instance_ID ^
--resource-type ManagedInstance ^
--compliance-type Custom:user-defined_string ^
--execution-summary ExecutionTime=user-defined_time_and/or_date_value ^
--items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
```
------
1. 前のステップを繰り返して、追加のカスタムコンプライアンスメタデータを 1 つ以上のノードに割り当てます。次のコマンドを使用して、マネージドノードにパッチまたは関連付けコンプライアンスメタデータを手動で割り当てることもできます。
関連付けコンプライアンスメタデータ
------
#### [ Linux & macOS ]
```
aws ssm put-compliance-items \
--resource-id instance_ID \
--resource-type ManagedInstance \
--compliance-type Association \
--execution-summary ExecutionTime=user-defined_time_and/or_date_value \
--items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
```
------
#### [ Windows ]
```
aws ssm put-compliance-items ^
--resource-id instance_ID ^
--resource-type ManagedInstance ^
--compliance-type Association ^
--execution-summary ExecutionTime=user-defined_time_and/or_date_value ^
--items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
```
------
パッチコンプライアンスメタデータ
------
#### [ Linux & macOS ]
```
aws ssm put-compliance-items \
--resource-id instance_ID \
--resource-type ManagedInstance \
--compliance-type Patch \
--execution-summary ExecutionTime=user-defined_time_and/or_date_value,ExecutionId=user-defined_ID,ExecutionType=Command \
--items Id=for_example, KB12345,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{PatchGroup=name_of_group,PatchSeverity=the_patch_severity, for example, CRITICAL}"
```
------
#### [ Windows ]
```
aws ssm put-compliance-items ^
--resource-id instance_ID ^
--resource-type ManagedInstance ^
--compliance-type Patch ^
--execution-summary ExecutionTime=user-defined_time_and/or_date_value,ExecutionId=user-defined_ID,ExecutionType=Command ^
--items Id=for_example, KB12345,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{PatchGroup=name_of_group,PatchSeverity=the_patch_severity, for example, CRITICAL}"
```
------
1. 以下のコマンドを実行して、特定のマネージドノードのコンプライアンス項目を一覧表示します。フィルターを使用して、特定のコンプライアンスデータにドリルダウンします。
------
#### [ Linux & macOS ]
```
aws ssm list-compliance-items \
--resource-ids instance_ID \
--resource-types ManagedInstance \
--filters one_or_more_filters
```
------
#### [ Windows ]
```
aws ssm list-compliance-items ^
--resource-ids instance_ID ^
--resource-types ManagedInstance ^
--filters one_or_more_filters
```
------
次の例では、このコマンドをフィルタとともに使用する方法を示しています。
------
#### [ Linux & macOS ]
```
aws ssm list-compliance-items \
--resource-ids i-02573cafcfEXAMPLE \
--resource-type ManagedInstance \
--filters Key=DocumentName,Values=AWS-RunPowerShellScript Key=Status,Values=NON_COMPLIANT,Type=NotEqual Key=Id,Values=cee20ae7-6388-488e-8be1-a88ccEXAMPLE Key=Severity,Values=UNSPECIFIED
```
------
#### [ Windows ]
```
aws ssm list-compliance-items ^
--resource-ids i-02573cafcfEXAMPLE ^
--resource-type ManagedInstance ^
--filters Key=DocumentName,Values=AWS-RunPowerShellScript Key=Status,Values=NON_COMPLIANT,Type=NotEqual Key=Id,Values=cee20ae7-6388-488e-8be1-a88ccEXAMPLE Key=Severity,Values=UNSPECIFIED
```
------
------
#### [ Linux & macOS ]
```
aws ssm list-resource-compliance-summaries \
--filters Key=OverallSeverity,Values=UNSPECIFIED
```
------
#### [ Windows ]
```
aws ssm list-resource-compliance-summaries ^
--filters Key=OverallSeverity,Values=UNSPECIFIED
```
------
------
#### [ Linux & macOS ]
```
aws ssm list-resource-compliance-summaries \
--filters Key=OverallSeverity,Values=UNSPECIFIED Key=ComplianceType,Values=Association Key=InstanceId,Values=i-02573cafcfEXAMPLE
```
------
#### [ Windows ]
```
aws ssm list-resource-compliance-summaries ^
--filters Key=OverallSeverity,Values=UNSPECIFIED Key=ComplianceType,Values=Association Key=InstanceId,Values=i-02573cafcfEXAMPLE
```
------
1. コンプライアンスステータスの概要を表示するには、次のコマンドを実行します。フィルターを使用して、特定のコンプライアンスデータにドリルダウンします。
```
aws ssm list-resource-compliance-summaries --filters One or more filters.
```
次の例では、このコマンドをフィルタとともに使用する方法を示しています。
------
#### [ Linux & macOS ]
```
aws ssm list-resource-compliance-summaries \
--filters Key=ExecutionType,Values=Command
```
------
#### [ Windows ]
```
aws ssm list-resource-compliance-summaries ^
--filters Key=ExecutionType,Values=Command
```
------
------
#### [ Linux & macOS ]
```
aws ssm list-resource-compliance-summaries \
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=OverallSeverity,Values=CRITICAL
```
------
#### [ Windows ]
```
aws ssm list-resource-compliance-summaries ^
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=OverallSeverity,Values=CRITICAL
```
------
1. コンプライアンスタイプの準拠しているリソースと準拠していないリソースのカウントの概要を表示するには、次のコマンドを実行します。フィルターを使用して、特定のコンプライアンスデータにドリルダウンします。
```
aws ssm list-compliance-summaries --filters One or more filters.
```
次の例では、このコマンドをフィルタとともに使用する方法を示しています。
------
#### [ Linux & macOS ]
```
aws ssm list-compliance-summaries \
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=PatchGroup,Values=TestGroup
```
------
#### [ Windows ]
```
aws ssm list-compliance-summaries ^
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=PatchGroup,Values=TestGroup
```
------
------
#### [ Linux & macOS ]
```
aws ssm list-compliance-summaries \
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=ExecutionId,Values=4adf0526-6aed-4694-97a5-14522EXAMPLE
```
------
#### [ Windows ]
```
aws ssm list-compliance-summaries ^
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=ExecutionId,Values=4adf0526-6aed-4694-97a5-14522EXAMPLE
```
------