如何使用 QuickSight 管理和檢視我所有帳戶的 Systems Manager 修補程式和關聯合規資料?

3 分的閱讀內容
0

我想要使用 Amazon QuickSight 來管理和檢視 AWS Systems Manager 的合規資料。

解決方法

使用 Amazon QuickSight,您可以查詢、分析和視覺化 Systems Manager 庫存資料。您也可以發佈互動式儀表板。您可以將 Amazon QuickSight 與 Amazon Athena 資料表的資料集搭配使用,建立儀表板和小工具以顯示合規資訊。

檢查先決條件

在您的帳戶中設定 Systems Manager 庫存和資源資料同步。此設定允許下列作業:

  • Systems Manager 會收集庫存資訊。
  • 資源資料同步可將庫存同步到Amazon Simple Storage Service (Amazon S3) 儲存貯體中。

您可以為多個帳戶多個區域使用案例建立此設定,並將資料同步到中央 S3 儲存貯體。Amazon Athena 整合可以使用資源資料同步功能,在庫存資料詳細檢視頁面中檢視所有受管節點的庫存資料。如需詳細資訊,請參閱查詢來自多個區域和帳戶的庫存資料

設定 Systems Manager 庫存、資源資料同步和 Athena 存取設定後,您可以繼續設定您的 QuickSight 帳戶。

設定 QuickSight 帳戶

如果您沒有 Amazon QuickSight 帳戶,請使用具有適當 QuickSight 權限的 AWS 身份和存取管理 (IAM) 使用者或角色登入您的 AWS 管理主控台。前往 Amazon QuickSight,建立一個新帳戶。

  1. 選擇企業企業 + Q
    -或-
    向下捲動,然後選擇
    註冊標準版
  2. 選擇適當的 IAM 身分。
  3. Quicksight 對 AWS 服務的存取權下方,選取 Amazon AthenaAmazon S3
  4. 如果是選取 Amazon S3 儲存貯體,請選取存放庫存資料的目標 S3 儲存貯體。針對所選擇的 S3 儲存貯體選取 Athena 工作群組的寫入權限,即可為 Athena 工作群組提供寫入權限。
  5. 選擇完成

如果您有現有的 QuickSight 帳戶,請在您的 QuickSight 設定檔中執行以下操作:

  1. 選擇使用者設定檔,然後選擇管理 QuickSight
  2. 選擇安全和權限
  3. QuickSight 對 AWS 服務的存取權下方,選擇新增或移除
  4. 若要允許 Athena 和 S3 權限,請遵循上一節的步驟 2 和 3。

在 QuickSight 中建立資料集

您可以使用 Athena 資料表做為來源,在 QuickSight 中建立資料集。AWS Glue 爬蟲程式會檢索 S3 儲存貯體中的庫存資料,並更新 AWS Glue Data Catalog 中的表格。然後 AWS Glue 爬蟲程式會在 Athena 中提供這些表格。每個庫存中繼資料都有一個由 AWS Glue 建立的對應 Athena 表格。若要建立資料集並分析資料,請使用 aws_compliancesummaryaws_complianceitem 表格:

  1. 在 QuickSight 起始頁面上,從導覽窗格中選擇資料集,然後選擇新增資料集
  2. 建立資料集下方,選取 Athena 做為資料來源。
  3. 輸入資料來源名稱。
  4. 選擇建立資料來源
  5. 從資料庫的下拉列表中,選取包含庫存資料的 S3 儲存貯體。
    資料庫名稱的格式為 S3_bucket_name-<region>-database
  6. 從表格列表中選取 aws_compliancesummary,然後選擇選取
  7. 選取直接查詢您的資料
  8. 選擇編輯/預覽資料
  9. 選擇儲存並發佈

使用上述指示為 aws_complianceitem表格建立另一個資料集。

分析資料集

您可以使用 QuickSight Analyses 來視覺化和分析資料。若要使用 aws_compliancesummaryaws_complianceitem 資料集進行資料分析,請執行下列操作:

  1. 在 Amazon QuickSight 開始頁面上,選擇新分析
  2. 資料集頁面上,選擇 aws_compliancesummary 資料集,然後選擇在分析中使用
  3. 若要在相同的分析中新增多個資料集,請選擇資料集旁邊的編輯 (鉛筆圖示)。
  4. 在出現的彈出式頁面中,選擇新增資料集,然後從列表中選取 aws_complianceitem。選擇選取
    從資料集的下拉列表中,您可以檢視這兩個資料集以供「Analyses」使用。

**注意:**您還可以將多個其他資料集加入相同的分析中,藉此建立視覺效果。

新增視覺效果

**注意:**加入視覺效果的步驟為範例。您可以根據使用案例和需求建立這些圖表。

您可以根據 QuickSight 資料集,將視覺效果新增至您的 Amazon QuickSight 分析中。資料集包含來自 Athena 的資料表,其中包含具有合規資訊的 Systems Manager 庫存資料。

aws_compliancesummary 資料集的視覺效果

您可以依照新增視覺效果中的指示,為 **aws_compliancesummary ** 資料集新增視覺效果。

您也可以新增篩選條件,來根據合規類型 (例如修補程式合規和關聯合規) 篩選資料:

  1. 從左側導航窗格中選擇篩選條件
  2. 選擇新增篩選條件,然後選取合規類型
  3. 從數值列表中,選取修補程式,即可僅納入修補程式合規。
  4. 套用至-下拉式選單中選取所有適用的視覺效果。
  5. 選擇套用

若要根據修補程式合規狀態檢視資源數,請執行下列操作:

  1. 視覺類型中,選取甜甜圈圖表
  2. 欄位列表中,選取狀態,將其新增至將維度分組/著色
  3. Resourceid 拖放到 Value 下方。
  4. 要計算不同的值,請選擇 resourceid 旁邊的箭頭。
  5. 選擇匯總: 計數,然後選擇不同計數
  6. 選取圖表。然後,選擇格式化視覺圖示 (鉛筆圖示)。
  7. 資料標籤下方,選取顯示指標
    您可以在圖表中看到實際值和百分比。

若要按區域檢視合規執行個體,請執行下列作業:

  1. 選擇前面的視覺效果,然後選擇圖表上的三個點。
  2. 選擇複製視覺效果
  3. 欄位來源下方的群組/顏色維度下拉式選單中,選取區域
  4. 選擇篩選條件,選擇新增篩選條件,選取狀態,然後選取合規
  5. 選擇套用
    您可以查看每個區域中合規執行個體的圖表。

若要按區域檢視不合規的執行個體,請執行下列作業:

  1. 在前面的視覺中,選擇圖表上的三個點。
  2. 選擇複製視覺效果
  3. 選擇篩選條件。選擇狀態篩選條件,然後選取 NON_COMPLIANT
  4. 選擇套用
    您可以查看每個區域中不合規執行個體的圖表。

若要檢視多帳戶設定中所有帳戶的帳戶資訊,請使用前面的視覺效果。在欄位來源下方的群組/顏色維度中,選取 accountid。您可以查看以帳戶 ID 為基礎的圖表。

aws_complianceitem 資料集的視覺效果

您可以按照新增視覺效果中的指示,為 aws\ _complianceItem 資料集新增視覺效果。

您也可以新增篩選條件,根據合規類型 (例如修補程式合規性和關聯合規性) 篩選資料。若要這麼做,請使用前一節中的相應指示。

若要按照執行個體檢視遺漏的修補程式列表,請執行下列作業:

  1. 視覺效果類型中,選取樞紐分析表
  2. 數值下方的id 底下,加入 Regionresourceidpatchsteteidtitle
  3. 要計算不同的值,請選擇 id 旁邊的箭頭。
  4. 選擇匯總: 計數,然後選擇不同計數。
  5. 選擇篩選條件。選擇新增篩選條件,選擇 patchstate,然後選取遺漏
  6. 選擇套用

若要按照合規狀態檢視執行個體列表,請執行下列作業:

  1. 選取 aws_complianceitem 資料集。
  2. 選擇新增,然後選擇新增視覺效果
  3. 視覺效果類型中,選取樞紐分析表
  4. 在數值下方的列與 id 底下,加入 Region、resourceid、patchstete、id 和 title。
  5. 要計算不同的值,請選擇 id 旁邊的箭頭。
  6. 選擇匯總: 計數,然後選擇不同計數。

若要取得所有帳戶的資訊,請在前面的視覺效果中,將 accountid 新增為下方的第一個欄位。這會根據帳戶 ID 篩選樞紐分析表。

發佈儀表板

您可以發佈作為儀表板建立的所有視覺效果,並與其他使用者共享。

  1. 加入所有視覺效果後,選擇主題,然後選擇適當的主題。
  2. 選擇頁面右上角的分享
  3. 選取發佈儀表板
  4. 輸入儀表板的名稱,然後選擇發佈儀表板

考量

  • AWS Glue 爬蟲程式預設會每天兩次在中央 S3 儲存貯體中檢索庫存資料。因此,資料會根據此排程更新。您可以編輯 AWS Glue 爬蟲程式排程,根據需求修改頻率。
  • 您可以在 QuickSight 中建立聯結資料集,以聯結多個 Athena 資料表,建立合併的資料集。這種情況下的使用案例是使用 aws_compliancesummary 和 aws_instanceinformation 資料表建立一個聯結資料集,來將基於平台 (Linux/Windows) 的資料視覺化。平台資訊只會在 aws_instanceinformation 資料表中擷取。此外,您也可以使用此資訊篩選出已終止執行個體的資料。此資料會在 Systems Manager Inventory 中儲存 30 天。若要取得更多資訊,請參閱連結資料
AWS 官方
AWS 官方已更新 9 個月前