了解修补程序合规性状态值 - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解修补程序合规性状态值

有关实例修补程序的信息包括每个单独修补程序的状态或状态的报告。

注意

如果要将特定补丁合规性状态分配给实例,可以使用推出合规性商品AWS Command Line Interface (AWS CLI) 命令或PutComplianceItemsAPI 操作。控制台不支持分配合规性状态。

使用下表中的信息可帮助您确定实例可能不符合修补程序的原因。

Debian 服务器和 Ubuntu 服务器的补丁合规性值

对于 Debian Server 和 Ubuntu 服务器,将软件包分类到不同合规性状态的规则如下表所示。

注意

在评估安装已安装其他, 和缺少状态值:如果您没有选择包括非安全更新复选框时,修补程序候选版本仅限于trusty-security(Ubuntu Server 14.04 LTS),xenial-security(Ubuntu Server 16.04 LTS),bionic-security(Ubuntu Server 18.04 LTS),focal-security(Ubuntu Server 20.04 LTS),groovy-gorilla(Ubuntu 服务器 20.10 STR),或debian-security(Debian Stretch 或者 Debian Jessie)。 如果选择包括非安全更新复选框时,也会考虑来自其他存储库的修补程序。

修补状态 描述 Compliance status
安装

补丁在补丁基准中列出,并已安装在实例上。它可能是由个人手动安装或由 Patch Manager 自动安装的。AWS-RunPatchBaseline文档在实例上运行。

合规
已安装其他

补丁不包括在基准中或未获得基准批准,但已安装在实例上。该修补程序可能已手动安装,该软件包可能是另一个已批准修补程序的必需依赖关系,或者该修补程序可能已包含在 InstalverrideList 操作中。如果您未指定Block作为Rejects 的修补action,Installed_Other修补程序还包括已安装但拒绝的修补程序

合规
已安装待重新启动

Patch ManagerInstall操作已对实例应用补丁,但自应用补丁以来尚未重启该实例。(请注意,在 Patch Manager 之外安装的补丁永远不会具备 INSTALLED_PENDING_REBOOT 状态。) 这通常意味着NoReboot选项被选中RebootOption参数时AWS-RunPatchBaseline文档是上次在实例上运行的。有关更多信息,请参阅 参数名称: RebootOption

不合规
已安装已拒绝

补丁安装在实例上,但在Rejects 的修补列表。这通常意味着补丁是在添加到已拒绝的补丁列表之前安装的。

不合规
缺失

通过基准过滤且尚未安装的软件包。

不合规
已失败

修补操作期间安装失败的程序包。

不合规

其他操作系统的补丁合规性值

对于 Debian Server 和 Ubuntu Services 以外的所有操作系统,将软件包分类到不同合规性状态的规则如下:

修补状态 描述 合规性价值
安装

补丁在补丁基准中列出,并已安装在实例上。如果实例上已运行 AWS-RunPatchBaseline 文档,则它可能是由个人手动安装或由 Patch Manager 自动安装的。

合规
已安装 _ 其他

补丁不在基准中,但已安装在实例上。该修补程序可能已手动安装,或者该软件包可能是另一个已批准修补程序的必需依赖关系。如果您未指定Block作为Rejects 的修补action,Installed_Other修补程序还包括已安装但拒绝的修补程序

合规
已安装 _ 拒绝

补丁已安装在实例上,但在已拒绝的补丁列表中指定。这通常意味着补丁是在添加到已拒绝的补丁列表之前安装的。

不合规
已安装 — 待定 _ 重新启动

Patch ManagerInstall操作将修补程序应用于实例(或者将修补程序应用于 Windows Server 实例),但自应用补丁以来尚未重启该实例。(请注意,在 Patch Manager 之外安装的补丁永远不会具备 INSTALLED_PENDING_REBOOT 状态。) 这通常意味着NoReboot选项被选中RebootOption参数时AWS-RunPatchBaseline文档是上次在实例上运行的。有关更多信息,请参阅 参数名称: RebootOption

不合规
MISSING

基准中已批准补丁,但实例上未安装补丁。如果将 AWS-RunPatchBaseline 文档任务配置为扫描(而不是安装),系统将为扫描期间找到但未安装的补丁报告此状态。

不合规
不适用

基准中已批准补丁,但实例上未安装使用补丁的服务或功能。例如,Web 服务器服务(如 Internet 信息服务 (IIS) 的补丁将显示NOT_APPLICABLE(如果基准中已批准),但实例上未安装 Web 服务。如果补丁已由后续更新取代,则也可以将补丁标记为 NOT_APPLICABLE。这意味着安装了更高版本的更新,并且不再需要 NOT_APPLICABLE 更新。

注意

此合规性状态仅在 Windows Server 操作系统。

不适用
FAILED

基准中已批准补丁,但无法安装补丁。要解决此问题,请查看命令输出中是否有可帮助您理解此问题的信息。

不合规