如何使用 QuickSight 管理和查看我所有账户的 Systems Manager 补丁和关联合规性数据？

解决方法

使用 Amazon QuickSight，您可以查询、分析和可视化 Systems Manager Inventory 数据。您也可以发布交互式控制面板。您可以将 Amazon QuickSight 与 Amazon Athena 表数据集结合使用，创建控制面板和小工具，用于显示合规信息。

检查是否满足先决条件

在您的账户中设置 Systems Manager Inventory 和资源数据同步。此设置支持以下功能：

• Systems Manager 收集库存信息。
• 资源数据同步设置将库存同步到 Amazon Simple Storage Service (Amazon S3) 存储桶。

您可以为多账户多区域用例创建此设置，并将数据同步到中央 S3 存储桶。Amazon Athena 集成使用资源数据同步设置，在库存数据详细视图页面上查看所有托管节点的库存数据。有关更多信息，请参阅查询多账户多区域的库存数据。

设置完 Systems Manager Inventory、资源数据同步和 Athena 访问配置后，您可以继续设置 QuickSight 账户。

设置 QuickSight 账户

如果您没有 Amazon QuickSight 账户，请以 Amazon Identity and Access Management (IAM) 用户或角色（具备相应的 QuickSight 权限）登录 Amazon Web Services Management Console。前往 Amazon QuickSight，创建新账户。

1. 选择企业版或企业版 + Q。
   -或-
   向下滚动，然后选择注册标准版。
2. 选择相应的 IAM 身份。
3. 在 Quicksight 访问亚马逊云科技服务的权限下，选择 Amazon Athena 和 Amazon S3。
4. 对于选择 Amazon S3 存储桶，选择存储库存数据的目标 S3 存储桶。针对选定的 S3 存储桶，选择 Athena 工作组的写入权限，为 Athena 工作组提供写入权限。
5. 选择完成。

如果您有 QuickSight 账户，请在 QuickSight 配置文件中按下面的步骤操作：

1. 选择用户配置文件，然后选择管理 QuickSight。
2. 选择安全性和权限。
3. 在 QuickSight 访问亚马逊云科技服务的权限下，选择添加或删除。
4. 要允许 Athena 和 S3 权限，请按上一节中的步骤 2 和 3 操作。

在 QuickSight 中创建数据集

您可以使用 Athena 表作为数据源，在 QuickSight 中创建数据集。Amazon Glue 爬网程序会抓取 S3 存储桶中的库存数据，并更新 Amazon Glue 数据目录中的表。然后，Amazon Glue 爬网程序将相应的表传输到 Athena。每个库存元数据都有一个对应的 Athena 表（由 Amazon Glue 创建）。要创建数据集并分析数据，请使用 aws_compliancesummary 和 aws_complianceitem 表：

1. 在 QuickSight 起始页上，在导航面板中选择数据集，然后选择新数据集。
2. 在创建数据集下，选择 Athena 作为数据源。
3. 输入数据源名称。
4. 选择创建数据源。
5. 从数据库的下拉列表中，选择包含库存数据的 S3 存储桶。
   数据库名称的格式为 S3_bucket_name-<region>-database。
6. 从数据表的列表中选择 aws_compliancesummary，然后点击选择。
7. 选择直接查询您的数据。
8. 选择编辑/预览数据。
9. 选择保存并发布。

按照前面的说明，为 aws_complianceitem 表创建另一个数据集。

分析数据集

您可以使用 QuickSight 分析功能可视化和分析数据。要使用 aws_compliancesummary 和 aws_complianceitem 数据集进行数据分析，请按下面的步骤操作：

1. 在 Amazon QuickSight 起始页上，选择新分析。
2. 在数据集页面上，选择 aws_compliancesummary 数据集，然后选择在分析中使用。
3. 要在同一个分析中添加多个数据集，请选择数据集旁边的编辑（铅笔图标）。
4. 在弹出页面中，选择添加数据集，然后从列表中选择 aws_complianceitem。点击选择。
   在数据集下拉列表中，您可以查看这两个用于分析的数据集。

**注意：**您也可以将其他多个数据集添加到同一个分析中，创建视觉对象。

添加视觉对象

**注意：**视觉对象添加步骤作为示例提供。您可以根据自己的用例和要求创建相关图表。

您可以根据 QuickSight 数据集，在 Amazon QuickSight 分析中添加视觉对象。数据集包括 Athena 中的表，其中有 Systems Manager 库存数据，包含合规信息。

aws_compliancesummary 数据集的视觉对象

您可以按照添加视觉对象中的说明，为 aws_compliancesummary 数据集添加视觉对象。

您还可以添加筛选条件，根据补丁合规性和关联合规性等合规性类型筛选数据：

1. 在左侧导航面板中选择筛选条件。
2. 选择添加筛选条件，然后选择合规性类型。
3. 从值列表中，选择补丁，以仅包含补丁合规性。
4. 在应用到下拉列表中，选择所有适用的视觉对象。
5. 选择应用。

要根据补丁合规性状态查看资源数量，请按照下面的步骤操作：

1. 在视觉对象类型中，选择圆环图。
2. 从字段列表中，选择状态，将其添加到组/颜色维度。
3. 将资源 ID 拖放到值下。
4. 要对相异值计数，请选择资源 ID 旁边的箭头。
5. 选择汇总： 计数，然后选择相异值计数。
6. 选择图表。然后，选择格式化视觉对象图标（铅笔图标）。
7. 在数据标签下，选择显示指标。
   您可以在图表中看到实际值和百分比。

要按区域查看合规实例，请按下面的步骤操作：

1. 选择前面的视觉对象，然后选择图表上的三个点。
2. 选择复制视觉对象。
3. 在字段井下，找到组/颜色维度下拉列表，选择区域。
4. 选择筛选条件，选择添加筛选条件，选择状态，然后选择合规。
5. 选择应用。
   您可以查看每个区域中合规实例的图表。

要按区域查看不合规实例，请按下面的步骤操作：

1. 在前面的视觉对象中，选择图表上的三个点。
2. 选择复制视觉对象。
3. 选择筛选条件。选择状态筛选条件，然后选择不合规。
4. 选择应用。
   您可以查看每个区域中不合规实例的图表。

要查看多账户设置中所有账户的账户信息，请使用前面的视觉对象。在字段井下，找到组/颜色维度，选择账户 ID。您可以看到基于账户 ID 的图表。

aws_complianceitem 数据集的视觉对象

您可以按添加视觉对象中的说明，为 aws_complianceitem 数据集添加视觉对象。

您还可以添加筛选条件，根据补丁合规性和关联合规性等合规性类型筛选数据。为此，请按上一节中的相应说明操作。

要按实例查看缺失补丁的列表，请按下面的步骤操作：

1. 在视觉对象类型中，选择数据透视表。
2. 在行下，添加区域、资源 ID、补丁状态、ID 及名称，在值下添加 ID。
3. 要对相异值计数，请选择 ID 旁边的箭头。
4. 选择“汇总： 计数”，然后选择“相异值计数”。
5. 选择筛选条件。选择添加筛选条件，选择补丁状态，然后选择缺失。
6. 选择应用。

要按合规性状态查看实例的列表，请按下面的步骤操作：

1. 选择 aws_complianceitem 数据集。
2. 选择添加，然后选择添加视觉对象。
3. 在视觉对象类型中，选择数据透视表。
4. 在“行”下，添加区域、资源 ID、补丁状态、ID 和名称，在“值”下添加 ID。
5. 要对相异值计数，请选择 ID 旁边的箭头。
6. 选择“汇总： 计数”，然后选择“相异值计数”。

要获取有关所有账户的信息，请在前面的视觉对象中添加账户 ID，将其作为行的第一个字段。由此根据账户 ID 筛选数据透视表。

发布控制面板

您可以发布所有作为控制面板创建的视觉对象，并将其与其他用户共享。

1. 添加所有视觉对象后，选择主题，然后选择相应的主题。
2. 选择页面右上角的共享。
3. 选择发布控制面板。
4. 输入控制面板的名称，然后选择发布控制面板。

注意事项

• 默认情况下，Amazon Glue 爬网程序每天抓取两次中央 S3 存储桶中的库存数据。因此，数据将根据此计划更新。您可以编辑 Amazon Glue 爬网程序计划，根据要求修改频率。
• 在 QuickSight 中，您可以创建联接的数据集，联接多个 Athena 表，从而创建合并的数据集。此场景的用例是创建联接的数据集，其中包含 aws_compliancesummary 和 aws_instanceinformation 表，以按平台 (Linux/Windows) 可视化数据。平台信息仅记录在 aws_instanceinformation 表中。此外，您可以使用此信息，筛选已终止实例的数据。这些数据在 Systems Manager Inventory 中保存 30 天。有关更多信息，请参阅联接数据。