如何使用 Quick Suite 管理和檢視我所有帳戶的 Systems Manager 修補程式和關聯合規性資料？

解決方法

設定前置服務

使用 Quick Suite 管理和檢視合規性資料之前，請在 AWS 帳戶中設定 AWS Systems Manager 的庫存清單功能，以及資源資料同步。

您可以為多個帳戶和 AWS 區域使用資源資料同步設定，並將資料同步到中央的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。

Systems Manager Inventory 使用 AWS Glue 來彙總 Amazon S3 儲存貯體中的庫存清單資料。AWS Glue 使用 Amazon-GlueServiceRoleForSSM 角色來彙總資料。如果 S3 儲存貯體使用 AWS Key Management Service (KMS) 金鑰加密，則需編輯 Amazon-GlueServiceRoleForSSM 角色權限，才能使用 AWS KMS 金鑰。您也必須為 AWS Identity and Access Management (IAM) 使用者設定 AWS KMS 加密權限。

預設情況下，AWS Glue 編目程式每天會彙總中央 S3 儲存貯體的庫存清單資料兩次。AWS Glue 編目程式會根據此排程更新資料。若要修改頻率，請編輯 AWS Glue 編目程式排程。

Amazon Athena 會負責查詢資料，並將結果顯示在 Systems Manager 主控台的詳細檢視 (Detailed View) 頁面上。您只能在支援 Amazon Athena 的區域存取此資料。若要合併多份 Amazon Athena 資料表，請在 Quick Sight 建立合併資料集。

設定 Systems Manager 庫存清單、資源資料同步、AWS Glue 及 Amazon Athena 存取權後，您可以設定 Quick Suite 帳戶。

設定 Quick Suite 帳戶

如果您尚未擁有 Quick Suite 帳戶，請完成以下步驟：

1. 使用具有 Quick Suite 權限的 IAM 身分登入 AWS 管理主控台。
2. 在導覽窗格中，選擇 Amazon Quick Suite，然後選擇 Sign up for Amazon Quick Suite (註冊 Amazon Quick Suite)。
3. 選擇 Enterprise (企業版) 或 Enterprise + Q (企業版 + Q)。
   -或-
   選擇 Sign up for Standard Edition (註冊標準版)。
4. 輸入下列資訊：
   輸入帳戶的名稱。
   輸入用於接收通知的電子郵件地址。
   選擇儲存初始資料的區域。
5. 選擇 Create account (建立帳戶)。
6. 選擇 Manage Quick Suite (管理 Quick Suite)。
7. 選取適當的 IAM 身分。
8. 在 Quick Suite 功能表的 Permissions (權限) 下方，選擇 AWS resources (AWS 資源)。
9. 在 Allow access and autodiscovery for these resources (允許存取和自動探索這些資源) 下方，選擇 Amazon Athena 和 Amazon S3。
10. 在 Select Amazon S3 buckets (選取 Amazon S3 儲存貯體) 部分，選取含有庫存清單資料的目標 S3 儲存貯體。若要授與 Athena 工作群組寫入權限，請選取 Write permission for Athena Workgroup (Athena 工作群組寫入權限)。
11. 選擇 Finish (完成)，然後選擇 Save (儲存)。

如果您已有 Quick Suite 帳戶，請完成以下步驟：

1. 開啟 Quick Suite 主控台。
2. 選擇 Manage Quick Suite (管理 Quick Suite)。
3. 在 Quick Suite 功能表的 Permissions (權限) 下方，選擇 AWS resources (AWS 資源) 選項。
4. 在 Allow access and autodiscovery for these resources (允許存取和自動探索這些資源) 下方，選擇 Amazon Athena 和 Amazon S3。
5. 在 Select Amazon S3 buckets (選取 Amazon S3 儲存貯體) 部分，選取含有庫存清單資料的目標 S3 儲存貯體。若要授與 Athena 工作群組寫入權限，請選取 Write permission for Athena Workgroup (Athena 工作群組寫入權限)。
6. 選擇 Finish (完成)，然後選擇 Save (儲存)。

在 Quick Sight 中建立資料集

若要在 Quick Sight 中建立資料集，您可以使用 Amazon Athena 資料表作為來源。每個庫存清單中繼資料都有 AWS Glue 所建立的對應 Amazon Athena 資料表。若要建立資料集並分析資料，請使用 aws_compliancesummary 及 aws_complianceitem 資料表。

請完成下列步驟：

1. 開啟 Quick Suite 主控台。
2. 在導覽窗格中，選擇 Datasets (資料集)。
3. 在 Datasets (資料集) 頁面中，選擇 Create dataset (建立資料集)。
4. 從 Create dataset (建立資料集) 彈出式視窗中，選擇 Create data source (建立資料來源)。然後，從 Create dataset (建立資料集) 彈出式視窗中，選取 Athena 作為資料來源，然後選擇 Next (下一步)。
5. 輸入資料來源名稱和 Athena 工作群組。
6. 選擇 Create data source (建立資料來源)。
7. 從資料庫下拉式清單中，選取 S3 儲存貯體。
   **注意：**資料庫名稱格式為 S3_bucket_name-region-database。
8. 從資料表清單中，選取 aws_compliancesummary。
9. 選擇 Select (選取)。
10. 選取 Directly query your data (直接查詢您的資料)。
11. 選擇 Edit/Preview data (編輯/預覽資料)。
12. 選擇 Save and publish (儲存並發佈)。

重複前述步驟，為 aws_complianceitem 資料表建立另一個資料集。

分析資料集

若要使用 aws_compliancesummary 及 aws_complianceitem 資料集進行資料分析，請完成以下步驟：

1. 開啟 Quick Suite 主控台。
2. 選擇 Create analysis (建立分析)。
3. 在 Create Analysis (建立分析) 彈出式視窗中，選擇 aws_compliancesummary，然後選擇 Select (選取)。
4. 若要在同一個分析中加入多個資料集，請選擇 Data (資料)。
5. 在下拉式清單中，選擇 Add dataset (新增資料集)。
6. 從彈出式視窗中，選擇 aws_complianceitem。
7. 選擇 Select (選取)。

**注意：**您也可以將其他資料集加到同一個分析中，以建立視覺化圖表。

新增視覺化圖表

您可以根據 Quick Sight 資料集，將視覺化圖表新增到 Amazon Quick Sight 分析中。資料集包含來自 Amazon Athena 的資料表，這些資料表含有 Systems Manager 庫存清單資料及合規性資訊。

Visuals for aws_compliancesummary

若要依修補程式合規性狀態檢視資源數量，請完成以下步驟：

1. 開啟 Quick Suite 主控台。
2. 選擇您想新增視覺化圖表的分析。
3. 在分析頁面中，選擇您想使用的資料集。
4. 選擇 Visualize (視覺化)。
5. 在 Visualize (視覺化) 窗格中，選擇 Add (新增)，然後選擇 Add visual (新增視覺化圖表)。
6. 選擇 Visual types (視覺化圖表類型)。
7. 在 Visual types (視覺化圖表類型) 窗格中，選取 Donut chart (甜甜圈圖表)。
8. 從 Fields list (欄位清單) 中，選擇 Status (狀態)，並將其加入 Group/Color (群組/顏色) 維度。
9. 在 Value (數值) 下方，拖放 Resourceid。
10. 若要計算不同的值，請選擇 resourceid 欄位旁邊的箭頭。
11. 選擇 Aggregate: Count (彙總：數量)。
12. 選擇 Count distinct (計算不同的值)。
13. 選取圖表。
14. 選擇 Format Visual (格式化視覺化圖表) 圖示。
15. 在 Data labels (資料標籤) 下方，選擇 Show metric (顯示指標)。

若要根據區域檢視合規或不合規的執行個體，請完成以下步驟：

1. 選擇前一張視覺化圖表。
2. 選擇圖表上的 More options (更多選項) 圖示。
3. 選擇 Duplicate visual to (複製視覺化圖表到)。
4. 在 Field wells (欄位區) 下方，於 Group/Color (群組/顏色) 維度下拉式清單中選擇 Region (區域)。
5. 選擇 Filter (篩選條件)。
6. 選擇 ADD FILTER (新增篩選條件)。
7. 選取 Status (狀態)。
8. 選取 COMPLIANT (合規) 或 NON-COMPLIANT (不合規)。
9. 選擇 Apply (套用)。

若要檢視多帳戶設定中所有帳戶的資訊，請使用前述視覺化圖表。在 Fields wells (欄位區) 下方，於 Group/Color (群組/顏色) 維度中選取 accountid。

aws_complianceitem 資料集的視覺化圖表

若要檢視各個執行個體所缺少修補程式的清單，請完成以下步驟：

1. 開啟 Quick Suite 主控台。
2. 選擇 Visualize (視覺化)。
3. 在 Visualize (視覺化) 窗格中，選擇 Visual types (視覺化圖表類型)。
4. 在 Visual types (視覺化圖表類型) 窗格中，選取 Donut chart (甜甜圈圖表)。
5. 在 Visual types (視覺化圖表類型) 中，選取 Pivot table (樞紐分析表)。
6. 在 Rows (列) 下方，新增以下值：
   Region
   resourceid
   patchstate
   id
   title
7. 在 Values (值) 下方，新增 id。
8. 若要計算不同值，請選擇 id 欄位旁邊的箭頭。
9. 選擇 Aggregate: Count (彙總：數量)。
10. 選擇 Count distinct (計算不同的值)。
11. 選擇 Filter (篩選條件)。
12. 在 Filter (篩選條件) 中，選擇 Add Filter (新增篩選條件)。
13. 選擇 Patchstate。
14. 選取 Missing (缺少)。
15. 選擇 Apply (套用)。

若要檢視各個合規性狀態的執行個體清單，請執行以下步驟：

1. 開啟 Quick Suite 主控台。
2. 選擇 Create analysis (建立分析)。
3. 在 Create Analysis (建立分析) 彈出式視窗中，選擇 aws_complianceitem，然後選擇 Select (選取)。
4. 選擇 Add (新增)。
5. 選擇 Add visual (新增視覺化圖表)。
6. 在 Visual types (視覺化圖表類型) 中，選取 Pivot table (樞紐分析表)。
7. 在 Rows (列) 下方，新增以下值：
   Region
   resourceid
   patchstate
   id
   title
8. 在 Values (值) 下方，新增 id。
9. 若要計算不同值，請選擇 id 欄位旁邊的箭頭。
10. 選擇 Aggregate: Count (彙總：數量)。
11. 選擇 Count distinct (計算不同的值)。

若要取得所有帳戶的資訊，請在 Rows (列) 下方新增 accountid。

新增篩選條件

您也可以新增篩選條件，即可依照合規性類型篩選資料，例如修補程式合規性和關聯合規性。

若要新增篩選條件，請完成以下步驟：

1. 開啟 Quick Suite 主控台。
2. 在導覽窗格中，選擇 Filter (篩選條件)。
3. 在 Filters (篩選條件) 下方，選擇 Add filter (新增篩選條件)。
4. 選取 Compliance type (合規性類型)。
5. 如要僅納入修補程式合規性，請從清單中選擇 Patch (修補程式)。
6. 從 Applied to (套用至) 選項清單中，選取 Single sheet (單一工作表) 和 All visuals (所有視覺化圖表)。
7. 選擇 Apply (套用)。

發佈儀表板

新增所有視覺化圖表後，您可以將所有視覺化圖表發佈為儀表板，與其他使用者共用。

請完成下列步驟：

1. 在應用程式列的 Edit (編輯) 功能表下方，選擇 Themes (佈景主題)。
2. 選取適當的佈景主題。
3. 選擇 Publish (發佈)。
4. 輸入儀表板名稱。
5. 選擇 Publish dashboard (發佈儀表板)。