• AWS Systems Manager CloudWatch 대시보드는 2026년 4월 30일 이후에는 더 이상 사용할 수 없습니다. 고객은 Amazon CloudWatch 콘솔을 계속 사용하여 현재와 마찬가지로 Amazon CloudWatch 대시보드를 보고, 생성하고, 관리할 수 있습니다. 자세한 내용은 [Amazon CloudWatch 대시보드 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)를 참조하세요.
# AWS Systems Manager Compliance
AWS Systems Manager의 도구인 Compliance를 사용하여 관리형 노드 플릿에 대해 패치 규정 준수 및 구성 일관성을 스캔할 수 있습니다. 여러 AWS 계정 및 리전의 데이터를 수집하여 집계한 후 규정을 준수하지 않는 특정 리소스로 드릴다운할 수 있습니다. 기본적으로 Compliance는 Patch Manager에 패치에 대한 현재 준수 데이터를 표시하고 State Manager에 연결을 표시합니다. Patch Manager와 State Manager도 모두 AWS Systems Manager의 도구입니다. Compliance를 시작하려면 [Systems Manager 콘솔](https://console.aws.amazon.com//systems-manager/compliance)을 엽니다. 탐색 창에서 **Compliance**를 선택합니다.
Patch Manager에서 패치 규정 준수 데이터를 AWS Security Hub CSPM로 보낼 수 있습니다. Security Hub CSPM에서는 우선순위가 높은 보안 알림 및 규정 준수 상태를 포괄적으로 파악할 수 있습니다. 또한 플릿의 패치 상태를 모니터링합니다. 자세한 내용은 [Patch Manager와 AWS Security Hub CSPM 통합](patch-manager-security-hub-integration.md) 섹션을 참조하세요.
Compliance에는 다음과 같은 추가적인 장점 및 기능이 있습니다.
+ AWS Config를 사용하여 Patch Manager 패치 데이터와 State Manager 연결에 대한 규정 준수 기록 및 변경 사항 추적을 봅니다.
+ IT 또는 비즈니스 요구 사항에 따라 규정 준수를 사용자 지정하여 자체 규정 준수 유형을 만들 수 있습니다.
+ AWS Systems Manager, State Manager 또는 Amazon EventBridge의 또 다른 도구인 Run Command를 사용하여 문제를 해결합니다.
+ Amazon Athena와 Amazon Quick으로 데이터를 포팅하여 플릿 전체의 보고서를 생성합니다.
**EventBridge 지원**
이 Systems Manager 도구는 Amazon EventBridge 규칙에서 *이벤트* 유형으로 지원됩니다. 자세한 내용은 [Amazon EventBridge로 Systems Manager 이벤트 모니터링](monitoring-eventbridge-events.md) 및 [참조: Systems Manager용 Amazon EventBridge 이벤트 패턴 및 유형](reference-eventbridge-events.md) 섹션을 참조하세요.
**Chef InSpec 통합**
Systems Manager는 [https://www.chef.io/inspec/](https://www.chef.io/inspec/)과 통합됩니다. InSpec은 GitHub 또는 Amazon Simple Storage Service(S3)에 육안 판독 프로파일을 생성할 수 있는 오픈 소스 런타임 프레임워크입니다. Systems Manager를 사용하여 규정 준수 스캔을 수행하고 준수 및 비준수 노드를 확인할 수 있습니다. 자세한 내용은 [Systems Manager Compliance와 함께 Chef InSpec 프로파일 사용](integration-chef-inspec.md) 섹션을 참조하세요.
**가격 책정**
Compliance는 추가 비용 없이 제공됩니다. 사용하는 AWS 리소스에 대해서만 비용을 지불하는 것입니다.
**Topics**
+ [Compliance 시작하기](compliance-prerequisites.md)
+ [규정 준수에 대한 권한 구성](compliance-permissions.md)
+ [Compliance의 리소스 데이터 동기화 생성](compliance-datasync-create.md)
+ [규정 준수에 대해 자세히 알아보기](compliance-about.md)
+ [Compliance의 리소스 데이터 동기화 삭제](systems-manager-compliance-delete-RDS.md)
+ [EventBridge를 사용하여 규정 준수 문제 해결](compliance-fixing.md)
+ [AWS CLI를 사용하여 사용자 지정 규정 준수 메타데이터를 할당합니다.](compliance-custom-metadata-cli.md)
# Compliance 시작하기
AWS Systems Manager의 도구인 Compliance를 시작하려면 다음 태스크를 완료합니다.
****
| Task | 자세한 정보 |
| --- | --- |
| Compliance는 Patch Manager의 패치 데이터와 State Manager의 연결을 사용합니다. Patch Manager와 State Manager도 모두 AWS Systems Manager의 도구입니다. Compliance는 Systems Manager를 사용하여 관리형 노드의 사용자 정의 규정 준수 유형도 사용합니다. [하이브리드 및 멀티클라우드](operating-systems-and-machine-types.md#supported-machine-types) 환경의 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 및 비 EC2 시스템에 대한 설정 요구 사항을 완료했는지 확인합니다. | [조직을 위한 Systems Manager 통합 콘솔 설정](systems-manager-setting-up-organizations.md) |
| 관리형 노드에서 사용하는 AWS Identity and Access Management(IAM) 역할을 업데이트하여 규정 준수 권한을 제한합니다. | [규정 준수에 대한 권한 구성](compliance-permissions.md) |
| 패치 규정 준수를 모니터링하려는 경우 Patch Manager를 구성했는지 확인합니다. Compliance가 패치 규정 준수 데이터를 표시하려면 Patch Manager를 사용하여 패치 작업을 수행해야 합니다. | [AWS Systems Manager Patch Manager](patch-manager.md) |
| 연결 규정 준수를 모니터링하려는 경우 State Manager 연결을 생성했는지 확인합니다. Compliance가 연결 규정 준수 데이터를 표시하려면 연결을 생성해야 합니다. | [AWS Systems Manager State Manager](systems-manager-state.md) |
| (선택 사항) 규정 준수 이력 및 변경 사항 추적을 보기 위해 시스템을 구성합니다. | [규정 준수 구성 이력 및 변경 사항 추적 보기](compliance-about.md#compliance-history) |
| (선택 사항) 사용자 지정 규정 준수 유형을 만듭니다. | [AWS CLI를 사용하여 사용자 지정 규정 준수 메타데이터를 할당합니다.](compliance-custom-metadata-cli.md) |
| (옵션) 리소스 데이터 동기화를 생성하여 대상 Amazon Simple Storage Service(Amazon S3) 버킷에서 모든 규정 준수 데이터를 집계합니다. | [Compliance의 리소스 데이터 동기화 생성](compliance-datasync-create.md) |
# 규정 준수에 대한 권한 구성
보안 모범 사례로 관리형 노드에서 사용하는 AWS Identity and Access Management(IAM) 역할을 다음 권한으로 업데이트하여 노드의 [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) API 작업 사용 기능을 제한하는 것이 좋습니다. 이 API 작업은 Amazon EC2 인스턴스 또는 관리형 노드와 같은 지정된 리소스에 규정 준수 유형 및 기타 규정 준수 세부 정보를 등록합니다.
노드가 Amazon EC2 인스턴스인 경우 인스턴스에서 사용하는 IAM 인스턴스 프로파일을 다음 권한으로 업데이트해야 합니다. Systems Manager에서 관리하는 EC2 인스턴스의 인스턴스 프로파일에 대한 자세한 내용은 [Systems Manager에 필요한 인스턴스 권한 구성](setup-instance-permissions.md) 섹션을 참조하세요. 다른 유형의 관리형 노드의 경우 노드에서 사용하는 IAM 역할을 다음 권한으로 업데이트합니다. 자세한 내용은 *IAM 사용 설명서*의 [역할 권한 업데이트](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html)를 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutComplianceItems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:SourceInstanceARN": "${ec2:SourceInstanceARN}"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:PutComplianceItems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ssm:SourceInstanceARN": "${ssm:SourceInstanceARN}"
}
}
}
]
}
```
------
# Compliance의 리소스 데이터 동기화 생성
AWS Systems Manager의 리소스 데이터 동기화 기능을 사용하여 모든 관리형 노드의 규정 준수 데이터를 대상 Amazon Simple Storage Service(Amazon S3) 버킷으로 전송할 수 있습니다. 동기화를 생성할 때 여러 AWS 계정, AWS 리전 및 [하이브리드 및 멀티클라우드](operating-systems-and-machine-types.md#supported-machine-types) 환경에서 관리형 노드를 지정할 수 있습니다. 그러면 새로운 규정 준수 데이터가 수집될 때마다 리소스 데이터 동기화가 중앙 데이터를 자동으로 업데이트합니다. 모든 규정 준수 데이터가 대상 S3 버킷에 저장되면 Amazon Athena와 Amazon Quick 같은 서비스를 사용하여 수집한 데이터에 대한 쿼리를 실행하거나 분석할 수 있습니다. Compliance의 리소스 데이터 동기화 구성은 일회성 작업입니다.
Compliance의 리소스 데이터 동기화는 AWS Management Console에서 다음 절차에 따라 생성합니다.
**리소스 데이터 동기화를 위해 S3 버킷 생성 및 구성(콘솔)**
1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.
1. 집계된 규정 준수 데이터를 저장할 버킷을 생성합니다. 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [버킷 생성](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html)을 참조하세요. 버킷 이름과 버킷을 생성한 AWS 리전을 따로 적어둡니다.
1. 버킷을 열고 **권한** 탭과 **버킷 정책**을 차례로 선택합니다.
1. 다음 버킷 정책을 복사하여 정책 편집기에 붙여 넣습니다. 이때 amzn-s3-demo-bucket 및 *Account-ID*를 사용자가 생성한 S3 버킷 이름 및 유효한 AWS 계정 ID로 바꿉니다. 원할 경우 *Bucket-Prefix*를 Amazon S3 접두사(하위 디렉터리) 이름으로 바꿉니다. 접두사를 생성하지 않았다면 정책의 ARN에서 *Bucket-Prefix*/를 제거하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SSMBucketPermissionsCheck",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid": " SSMBucketDelivery",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/Bucket-Prefix/*/accountid=111122223333/*"],
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
**리소스 데이터 동기화 생성**
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)에서 AWS Systems Manager 콘솔을 엽니다.
1. 탐색 창에서 **Fleet Manager**를 선택합니다.
1. [**계정 관리(Account management)**], [**리소스 데이터 동기화(Resource Data Syncs)**]를 선택한 다음 [**리소스 데이터 동기화 생성(Create resource data sync)**]을 선택합니다.
1. [**동기화 이름(Sync name)**] 필드에 동기화 구성 이름을 입력합니다.
1. [**버킷 이름(Bucket name)**] 필드에 절차를 시작할 때 생성한 Amazon S3 버킷 이름을 입력합니다.
1. (옵션) **버킷 접두사(Bucket prefix)** 필드에 S3 버킷 접두사(하위 디렉터리)의 이름을 입력합니다.
1. 생성한 S3 버킷이 현재 AWS 리전에 위치하면 **버킷 리전** 필드에서 **이 리전**을 선택합니다. 버킷이 다른 AWS 리전에 위치하면 [**다른 리전(Another region)**]을 선택하고 리전 이름을 입력합니다.
**참고**
동기화와 대상 S3 버킷이 서로 다른 리전에 위치하는 경우에는 데이터 전송 요금이 부과될 수 있습니다. 자세한 내용은 [Amazon S3 요금](https://aws.amazon.com/s3/pricing/)을 참조하세요.
1. **생성(Create)**을 선택합니다.
# 규정 준수에 대해 자세히 알아보기
AWS Systems Manager의 도구인 Compliance는 Patch Manager 패치의 패치 상태와 State Manager의 연결에 대한 데이터를 수집하고 보고합니다. Patch Manager와 State Manager도 모두 AWS Systems Manager의 도구입니다. 또한 Compliance는 관리형 노드에 대해 지정한 사용자 정의 규정 준수 유형에 대해 보고합니다. 이 섹션에는 이러한 규정 준수 유형 각각에 대한 세부 정보와 Systems Manager 규정 준수 데이터를 보는 방법이 나와 있습니다. 또한 규정 준수 이력과 변경 사항 추적을 확인하는 방법에 정보도 다룹니다.
**참고**
Systems Manager는 [https://www.chef.io/inspec/](https://www.chef.io/inspec/)과 통합됩니다. InSpec은 GitHub 또는 Amazon Simple Storage Service(S3)에 육안 판독 프로파일을 생성할 수 있는 오픈 소스 런타임 프레임워크입니다. Systems Manager를 사용하여 규정 준수 검사를 수행하고 준수 및 비준수 인스턴스를 확인할 수 있습니다. 자세한 내용은 [Systems Manager Compliance와 함께 Chef InSpec 프로파일 사용](integration-chef-inspec.md) 섹션을 참조하세요.
## 패치 규정 준수 정보
Patch Manager를 사용하여 인스턴스에 패치를 설치하고 나면 콘솔 또는 AWS Command Line Interface(AWS CLI) 명령에 대한 응답이나 해당하는 Systems Manager API 작업을 통해 규정 준수 상태에 대한 정보를 즉시 볼 수 있습니다.
패치 규정 준수 상태 값에 대한 자세한 내용은 [패치 규정 준수 상태 값](patch-manager-compliance-states.md) 섹션을 참조하세요.
## State Manager 연결 규정 준수 정보
State Manager 연결을 하나 이상 생성하고 나면 콘솔 또는 AWS CLI 명령에 대한 응답이나 해당하는 Systems Manager API 작업을 통해 규정 준수 상태에 대한 정보를 즉시 볼 수 있습니다. 연결의 경우 Compliance는 `Compliant` 또는 `Non-compliant`의 상태와 연결에 할당된 심각도(예: `Critical` 또는 `Medium`)를 보여줍니다.
State Manager가 관리형 노드에서 연결을 실행하면 해당 노드의 모든 연결에 대한 규정 준수 상태를 업데이트하는 규정 준수 집계 프로세스가 트리거됩니다. 규정 준수 보고서의 `ExecutionTime` 값은 관리형 노드에서 연결이 실행된 시점이 아니라 Systems Manager가 규정 준수 상태를 캡처한 시점을 나타냅니다. 즉, 서로 다른 시점에 실행된 경우에도 여러 연결에 동일한 `ExecutionTime` 값이 표시될 수 있습니다. 실제 연결 실행 시간을 확인하려면 AWS CLI 명령 [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association-execution-targets.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association-execution-targets.html)를 사용하여 연결 실행 기록을 참조하거나 콘솔에서 실행 세부 정보를 확인하세요.
## 사용자 지정 규정 준수 정보
관리형 노드에 규정 준수 메타데이터를 할당할 수 있습니다. 그러면 이 메타데이터를 규정 준수 보고를 위해 다른 규정 준수 데이터와 함께 집계할 수 있습니다. 예를 들어 여러분의 회사가 관리형 노드에서 소프트웨어 X의 버전 2.0, 3.0, 4.0을 실행한다고 가정하겠습니다. 이 회사는 버전 2.0과 3.0을 실행하는 인스턴스가 규정을 미준수하여 버전 4.0으로 표준화하려고 합니다. [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) API 작업을 사용하여 소프트웨어 X의 이전 버전을 실행하는 관리형 노드를 명시적으로 기록할 수 있습니다. AWS CLI, AWS Tools for Windows PowerShell 또는 SDK를 사용하여 규정 준수 메타데이터만 할당할 수 있습니다. 다음 CLI 명령 샘플은 관리형 인스턴스에 규정 준수 메타데이터를 할당하고, 필요한 형식 `Custom:`으로 규정 준수 유형을 지정합니다. 각 *example resource placeholder*를 사용자의 정보로 바꿉니다.
------
#### [ Linux & macOS ]
```
aws ssm put-compliance-items \
--resource-id i-1234567890abcdef0 \
--resource-type ManagedInstance \
--compliance-type Custom:SoftwareXCheck \
--execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \
--items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
```
------
#### [ Windows ]
```
aws ssm put-compliance-items ^
--resource-id i-1234567890abcdef0 ^
--resource-type ManagedInstance ^
--compliance-type Custom:SoftwareXCheck ^
--execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^
--items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
```
------
**참고**
`ResourceType` 파라미터는 `ManagedInstance`만 지원합니다. 관리형 AWS IoT Greengrass 코어 디바이스에 사용자 지정 규정 준수를 추가하는 경우 `ManagedInstance`의 `ResourceType`를 식별해야 합니다.
그러면 규정 준수 관리자는 요약을 보거나 규정 준수 또는 미준수 관리형 노드에 대한 보고서를 만들 수 있습니다. 관리형 노드 하나에 최대 10개의 사용자 지정 규정 준수 유형을 할당할 수 있습니다.
사용자 지정 규정 준수 유형을 만들고 규정 준수 데이터를 보는 방법의 예는 [AWS CLI를 사용하여 사용자 지정 규정 준수 메타데이터를 할당합니다.](compliance-custom-metadata-cli.md)을 참조하십시오.
## 현재의 규정 준수 데이터 보기
이 섹션에서는 AWS CLI를 사용하거나 Systems Manager 콘솔에서 규정 준수 데이터를 보는 방법을 설명합니다. 패치 및 연결의 규정 준수 이력과 변경 사항 추적을 확인하는 방법은 [규정 준수 구성 이력 및 변경 사항 추적 보기](#compliance-history) 섹션을 참조하세요.
**Topics**
+ [현재의 규정 준수 데이터 보기(콘솔)](#compliance-view-results-console)
+ [현재의 규정 준수 데이터 보기(AWS CLI)](#compliance-view-data-cli)
### 현재의 규정 준수 데이터 보기(콘솔)
Systems Manager 콘솔에서 규정 준수 데이터를 보려면 다음 절차를 따릅니다.
**Systems Manager 콘솔에서 현재의 규정 준수 보고서를 보려면**
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)에서 AWS Systems Manager 콘솔을 엽니다.
1. 탐색 창에서 **Compliance**를 선택합니다.
1. **규정 준수 대시보드 필터링** 섹션에서 규정 준수 데이터를 필터링하는 옵션을 선택합니다. **규정 준수 리소스 요약** 섹션에는 선택한 필터를 기반으로 규정 준수 데이터 개수가 표시됩니다.
1. 자세한 내용을 보기 위해 리소스로 드릴다운하려면 아래로 스크롤해 **리소스에 대한 세부 정보 개요** 영역을 선택하고 관리형 노드의 ID를 선택합니다.
1. **인스턴스 ID** 또는 **이름(Name)** 세부 정보 페이지에서 **구성 규정 준수(Configuration compliance)** 탭을 선택하여 관리형 노드에 대한 자세한 구성 규정 준수 보고서를 확인합니다.
**참고**
규정 준수 문제 수정에 대한 자세한 내용은 [EventBridge를 사용하여 규정 준수 문제 해결](compliance-fixing.md)을 참조하십시오.
### 현재의 규정 준수 데이터 보기(AWS CLI)
AWS CLI에서 다음 AWS CLI 명령을 사용하여 패치 적용, 연결, 사용자 지정 규정 준수 유형에 대한 규정 준수 데이터의 요약을 볼 수 있습니다.
[https://docs.aws.amazon.com/cli/latest/reference/ssm/list-compliance-summaries.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-compliance-summaries.html)
지정한 필터에 따라 규정 준수 및 규정 미준수 연결 상태의 요약 개수를 반환합니다. (API: [ListComplianceSummaries](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListComplianceSummaries.html))
[https://docs.aws.amazon.com/cli/latest/reference/ssm/list-resource-compliance-summaries.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-resource-compliance-summaries.html)
리소스 수준 요약 개수를 반환합니다. 요약에는 지정한 필터 조건에 따라 규정 준수 및 규정 미준수 상태와 세부적인 규정 준수 항목 심각도 개수에 대한 정보가 포함되어 있습니다. (API: [ListResourceComplianceSummaries](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceComplianceSummaries.html))
다음 AWS CLI 명령을 사용하여 패치 적용에 대한 그 밖의 규정 준수 데이터를 볼 수 있습니다.
[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-group-state.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-group-state.html)
패치 그룹에 대한 높은 수준의 집계된 패치 규정 준수 상태를 반환합니다. (API: [DescribePatchGroupState](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchGroupState.html))
[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patch-states-for-patch-group.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patch-states-for-patch-group.html)
지정된 패치 그룹의 인스턴스에 대한 높은 수준의 패치 상태를 반환합니다. (API: [DescribeInstancePatchStatesForPatchGroup](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatchStatesForPatchGroup.html))
**참고**
AWS CLI를 사용하여 패치를 구성하고 패치 규정 준수 세부 정보를 보는 방법은 [자습서: AWS CLI를 사용한 서버 환경에 패치 적용](patch-manager-patch-servers-using-the-aws-cli.md) 섹션을 참조하세요.
## 규정 준수 구성 이력 및 변경 사항 추적 보기
Systems Manager Compliance는 관리형 노드에 대한 *현재* 패치 및 연결의 규정 준수 데이터를 표시합니다. [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/)를 사용하여 패치와 연결의 규정 준수 기록 및 변경 사항 추적을 확인할 수 있습니다. AWS Config는 AWS 계정에 있는 AWS 리소스의 구성을 자세히 보여줍니다. 이러한 보기에는 리소스 간에 어떤 관계가 있는지와 리소스가 과거에 어떻게 구성되었는지도 포함되므로, 시간이 지나면서 구성과 관계가 어떻게 변하는지 확인할 수 있습니다. 패치 및 연결의 규정 준수 이력과 변경 사항 추적을 확인하려면 AWS Config에서 다음 리소스를 설정해야 합니다.
+ `SSM:PatchCompliance`
+ `SSM:AssociationCompliance`
AWS Config에서 이러한 특정 리소스를 선택하고 구성하는 방법에 대한 자세한 내용은 *AWS Config Developer Guide*의 [Selecting Which Resources AWS Config Records](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)를 참조하세요.
**참고**
AWS Config 요금에 대한 자세한 내용은 [요금](https://aws.amazon.com/config/pricing/)을 참조하세요.
# Compliance의 리소스 데이터 동기화 삭제
더 이상 AWS Systems Manager Compliance를 사용하여 규정 준수 데이터를 보고 싶지 않은 경우, Compliance 데이터 수집에 사용되는 리소스 데이터 동기화를 삭제하는 것이 좋습니다.
**Compliance 리소스 데이터 동기화를 삭제하려면**
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)에서 AWS Systems Manager 콘솔을 엽니다.
1. 탐색 창에서 **Fleet Manager**를 선택합니다.
1. **계정 관리(Account management)**에서 **리소스 데이터 동기화(Resource data sync)**를 선택합니다.
1. 목록에서 동기화를 선택합니다.
**중요**
Compliance에 사용되는 동기화를 선택해야 합니다. Systems Manager는 여러 도구에 대한 리소스 데이터 동기화를 지원합니다. 잘못된 동기화를 선택하면 Systems Manager Explorer 또는 Systems Manager Inventory의 데이터 집계가 중단될 수 있습니다.
1. **삭제**를 선택합니다.
1. 데이터가 저장된 Amazon Simple Storage Service(Amazon S3) 버킷을 삭제합니다. S3 버킷 삭제에 대한 자세한 내용은 [버킷 삭제](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html)를 참조하세요.
# EventBridge를 사용하여 규정 준수 문제 해결
AWS Systems Manager의 도구인 Run Command를 사용하여 패치 및 연결 규정 준수 문제를 신속하게 해결할 수 있습니다. 인스턴스 또는 AWS IoT Greengrass 코어 디바이스 ID 또는 태그를 타겟팅할 수 있고 `AWS-RunPatchBaseline` 문서 또는 `AWS-RefreshAssociation` 문서를 실행할 수 있습니다. 연결을 새로 고치거나 패치 기준을 다시 실행해도 규정 준수 문제가 해결되지 않으면 연결, 패치 기준 또는 인스턴스 구성을 조사하여 Run Command 작업이 문제를 해결하지 못한 이유를 파악해야 합니다.
패치에 대한 자세한 내용은 [AWS Systems Manager Patch Manager](patch-manager.md) 및 [패치를 위한 SSM 명령 문서: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md) 섹션을 참조하세요.
연결에 대한 자세한 내용은 [Systems Manager에서 연결 작업](state-manager-associations.md) 섹션을 참조하세요.
명령 실행에 대한 자세한 내용은 [AWS Systems Manager Run Command](run-command.md)을 참조하십시오.
**Compliance를 EventBridge 이벤트 대상으로 지정**
Systems Manager Compliance 이벤트에 대한 응답으로 작업을 수행하도록 Amazon EventBridge를 구성할 수도 있습니다. 예를 들어 하나 이상의 관리형 노드가 중요한 패치 업데이트를 설치하지 못했거나 바이러스 백신 소프트웨어를 설치하는 연결을 실행하지 못한 경우 Compliance 이벤트가 발생할 때 `AWS-RunPatchBaseline` 문서 또는 `AWS-RefreshAssocation` 문서를 실행하도록 EventBridge를 구성할 수 있습니다.
다음 절차에 따라 Compliance를 EventBridge 이벤트 대상으로 구성합니다.
**Compliance를 EventBridge 이벤트 대상으로 구성하려면(콘솔)**
1. [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)에서 Amazon EventBridge 콘솔을 엽니다.
1. 탐색 창에서 **규칙**을 선택합니다.
1. **규칙 생성**을 선택합니다.
1. 규칙에 대해 이름과 설명을 입력하세요.
규칙은 동일한 AWS 리전과 동일한 이벤트 버스의 다른 규칙과 동일한 이름을 가질 수 없습니다.
1. **이벤트 버스**에서 이 규칙과 연결할 이벤트 버스를 선택합니다. 이 규칙이 자신의 AWS 계정에서 오는 일치하는 이벤트에 응답하도록 하려면 **default**(기본)를 선택합니다. 계정의 AWS 서비스이(가) 이벤트를 출력하면 항상 계정의 기본 이벤트 버스로 이동합니다.
1. **규칙 유형**에서 **이벤트 패턴이 있는 규칙**을 선택합니다.
1. **Next**(다음)를 선택합니다.
1. **이벤트 소스(Event source)**에서 **AWS 이벤트 또는 EventBridge 파트너 이벤트(Events or EventBridge partner events)**를 선택합니다.
1. **이벤트 패턴(Event pattern)**섹션에서 **이벤트 패턴 양식(Event pattern form)**을 선택합니다.
1. **이벤트 소스**에서 **AWS 서비스**를 선택합니다.
1. **AWS service**(서비스)에서 **Systems Manager**를 선택합니다.
1. [**이벤트 유형(Event type)**] 필드에서 [**Configuration Compliance**]를 선택합니다.
1. **Specific detail type(s)**(특정 상세 유형)에서 **Configuration Compliance State Change**(구성 준수 상태 변경)을 선택합니다.
1. **Next**(다음)를 선택합니다.
1. **대상 유형**에서 **AWS서비스**를 선택합니다.
1. **Select a target**(대상 선택)에서 **Systems Manager Run Command**을(를) 선택합니다.
1. [**문서(Document)**] 목록에서 대상이 호출될 때 실행할 Systems Manager 문서(SSM 문서)를 선택합니다. 예를 들어 규정 미준수 패치 이벤트의 경우 `AWS-RunPatchBaseline`을 선택하고, 규정 미준수 연결 이벤트의 경우 `AWS-RefreshAssociation`을 선택합니다.
1. 나머지 필드 및 파라미터의 정보를 지정합니다.
**참고**
필수 필드 및 파라미터는 이름 옆에 별표(\$1)가 있습니다. 대상을 생성하려면 각 필수 파라미터 또는 필드의 값을 지정해야 합니다. 그렇지 않으면 시스템에서 규칙이 생성되지만 실행되지 않습니다.
1. **Next**(다음)를 선택합니다.
1. (선택 사항)규칙에 대해 하나 이상의 태그를 입력하세요. 자세한 내용은 *Amazon EventBridge User Guide*의 [Tagging Your Amazon EventBridge Resources](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-tagging.html)를 참조하세요.
1. **Next**(다음)를 선택합니다.
1. 규칙의 세부 정보를 검토하고 **규칙 생성**을 선택합니다.
# AWS CLI를 사용하여 사용자 지정 규정 준수 메타데이터를 할당합니다.
다음 절차에서는 AWS Command Line Interface(AWS CLI)를 통해 AWS Systems Manager [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) API 작업을 호출하여 리소스에 사용자 정의 규정 준수 메타데이터를 할당하는 과정을 안내합니다. 다음 시연에서처럼 이 API 작업을 사용하여 관리형 노드에 패치 또는 연결 규정 준수 메타데이터를 수동으로 할당할 수도 있습니다. 사용자 정의 규정 준수에 대한 자세한 내용은 [사용자 지정 규정 준수 정보](compliance-about.md#compliance-custom)를 참조하십시오.
**관리형 인스턴스에 사용자 정의 규정 준수 메타데이터를 할당하려면(AWS CLI)**
1. 아직 하지 않은 경우 AWS Command Line Interface(AWS CLI)을 설치하고 구성합니다.
자세한 내용은 [최신 버전의 AWS CLI 설치 또는 업데이트](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)를 참조하세요.
1. 다음 명령을 실행하여 사용자 지정 규정 준수 메타데이터를 관리형 노드에 할당합니다. 각 *example resource placeholder*를 사용자의 정보로 바꿉니다. `ResourceType` 파라미터는 `ManagedInstance`의 값만 지원합니다. 관리형 AWS IoT Greengrass 코어 디바이스에 사용자 정의 규정 준수 메타데이터를 할당하더라도 이 값을 지정합니다.
------
#### [ Linux & macOS ]
```
aws ssm put-compliance-items \
--resource-id instance_ID \
--resource-type ManagedInstance \
--compliance-type Custom:user-defined_string \
--execution-summary ExecutionTime=user-defined_time_and/or_date_value \
--items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
```
------
#### [ Windows ]
```
aws ssm put-compliance-items ^
--resource-id instance_ID ^
--resource-type ManagedInstance ^
--compliance-type Custom:user-defined_string ^
--execution-summary ExecutionTime=user-defined_time_and/or_date_value ^
--items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
```
------
1. 이전 단계를 반복하여 하나 이상의 노드에 사용자 지정 규정 준수 메타데이터를 추가로 할당합니다. 다음 명령을 사용하여 관리형 노드에 패치 또는 연결 규정 준수 메타데이터를 수동으로 할당할 수도 있습니다.
연결 규정 준수 메타데이터
------
#### [ Linux & macOS ]
```
aws ssm put-compliance-items \
--resource-id instance_ID \
--resource-type ManagedInstance \
--compliance-type Association \
--execution-summary ExecutionTime=user-defined_time_and/or_date_value \
--items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
```
------
#### [ Windows ]
```
aws ssm put-compliance-items ^
--resource-id instance_ID ^
--resource-type ManagedInstance ^
--compliance-type Association ^
--execution-summary ExecutionTime=user-defined_time_and/or_date_value ^
--items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
```
------
패치 규정 준수 메타데이터
------
#### [ Linux & macOS ]
```
aws ssm put-compliance-items \
--resource-id instance_ID \
--resource-type ManagedInstance \
--compliance-type Patch \
--execution-summary ExecutionTime=user-defined_time_and/or_date_value,ExecutionId=user-defined_ID,ExecutionType=Command \
--items Id=for_example, KB12345,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{PatchGroup=name_of_group,PatchSeverity=the_patch_severity, for example, CRITICAL}"
```
------
#### [ Windows ]
```
aws ssm put-compliance-items ^
--resource-id instance_ID ^
--resource-type ManagedInstance ^
--compliance-type Patch ^
--execution-summary ExecutionTime=user-defined_time_and/or_date_value,ExecutionId=user-defined_ID,ExecutionType=Command ^
--items Id=for_example, KB12345,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{PatchGroup=name_of_group,PatchSeverity=the_patch_severity, for example, CRITICAL}"
```
------
1. 다음 명령을 실행하여 특정 관리형 노드의 규정 준수 항목 목록을 봅니다. 필터를 사용하여 특정 규정 준수 데이터로 드릴다운합니다.
------
#### [ Linux & macOS ]
```
aws ssm list-compliance-items \
--resource-ids instance_ID \
--resource-types ManagedInstance \
--filters one_or_more_filters
```
------
#### [ Windows ]
```
aws ssm list-compliance-items ^
--resource-ids instance_ID ^
--resource-types ManagedInstance ^
--filters one_or_more_filters
```
------
다음 예제에서는 필터와 함께 이 명령을 사용하는 방법을 보여 줍니다.
------
#### [ Linux & macOS ]
```
aws ssm list-compliance-items \
--resource-ids i-02573cafcfEXAMPLE \
--resource-type ManagedInstance \
--filters Key=DocumentName,Values=AWS-RunPowerShellScript Key=Status,Values=NON_COMPLIANT,Type=NotEqual Key=Id,Values=cee20ae7-6388-488e-8be1-a88ccEXAMPLE Key=Severity,Values=UNSPECIFIED
```
------
#### [ Windows ]
```
aws ssm list-compliance-items ^
--resource-ids i-02573cafcfEXAMPLE ^
--resource-type ManagedInstance ^
--filters Key=DocumentName,Values=AWS-RunPowerShellScript Key=Status,Values=NON_COMPLIANT,Type=NotEqual Key=Id,Values=cee20ae7-6388-488e-8be1-a88ccEXAMPLE Key=Severity,Values=UNSPECIFIED
```
------
------
#### [ Linux & macOS ]
```
aws ssm list-resource-compliance-summaries \
--filters Key=OverallSeverity,Values=UNSPECIFIED
```
------
#### [ Windows ]
```
aws ssm list-resource-compliance-summaries ^
--filters Key=OverallSeverity,Values=UNSPECIFIED
```
------
------
#### [ Linux & macOS ]
```
aws ssm list-resource-compliance-summaries \
--filters Key=OverallSeverity,Values=UNSPECIFIED Key=ComplianceType,Values=Association Key=InstanceId,Values=i-02573cafcfEXAMPLE
```
------
#### [ Windows ]
```
aws ssm list-resource-compliance-summaries ^
--filters Key=OverallSeverity,Values=UNSPECIFIED Key=ComplianceType,Values=Association Key=InstanceId,Values=i-02573cafcfEXAMPLE
```
------
1. 다음 명령을 실행하여 규정 준수 상태 요약을 봅니다. 필터를 사용하여 특정 규정 준수 데이터로 드릴다운합니다.
```
aws ssm list-resource-compliance-summaries --filters One or more filters.
```
다음 예제에서는 필터와 함께 이 명령을 사용하는 방법을 보여 줍니다.
------
#### [ Linux & macOS ]
```
aws ssm list-resource-compliance-summaries \
--filters Key=ExecutionType,Values=Command
```
------
#### [ Windows ]
```
aws ssm list-resource-compliance-summaries ^
--filters Key=ExecutionType,Values=Command
```
------
------
#### [ Linux & macOS ]
```
aws ssm list-resource-compliance-summaries \
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=OverallSeverity,Values=CRITICAL
```
------
#### [ Windows ]
```
aws ssm list-resource-compliance-summaries ^
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=OverallSeverity,Values=CRITICAL
```
------
1. 다음 명령을 실행하여 규정 준수 유형에 대한 규정 준수 및 규정 미준수 리소스의 요약 개수를 봅니다. 필터를 사용하여 특정 규정 준수 데이터로 드릴다운합니다.
```
aws ssm list-compliance-summaries --filters One or more filters.
```
다음 예제에서는 필터와 함께 이 명령을 사용하는 방법을 보여 줍니다.
------
#### [ Linux & macOS ]
```
aws ssm list-compliance-summaries \
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=PatchGroup,Values=TestGroup
```
------
#### [ Windows ]
```
aws ssm list-compliance-summaries ^
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=PatchGroup,Values=TestGroup
```
------
------
#### [ Linux & macOS ]
```
aws ssm list-compliance-summaries \
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=ExecutionId,Values=4adf0526-6aed-4694-97a5-14522EXAMPLE
```
------
#### [ Windows ]
```
aws ssm list-compliance-summaries ^
--filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=ExecutionId,Values=4adf0526-6aed-4694-97a5-14522EXAMPLE
```
------