识别不合规的实例 - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

识别不合规的实例

在运行两个 Systems Manager 文档(SSM 文档)之一时,将识别不合规的实例。这些 SSM 文档引用每个实例的相应补丁基准,评估实例的补丁状态,然后向您提供合规性结果。

有两个 SSM 文档可用于识别或更新不合规的实例:AWS-RunPatchBaselineAWS-RunPatchBaselineAssociation。每个流由不同的过程使用,并且可通过不同的通道获得其合规性结果。下表概述了这些文档之间的差异。

注意

Patch Manager中的补丁合规性数据可发送到 AWS Security Hub。Security Hub 可让您全面查看高优先级安全警报与合规性状态。它还会监控队列的修补状态。有关更多信息,请参阅将 Patch Manager 与 AWS Security Hub 集成

AWS-RunPatchBaseline AWS-RunPatchBaselineAssociation
使用文档的进程

Patch on demand (按需修补) - 您可以使用 Patch now (立即修补) 选项按需扫描或修补实例。有关信息,请参阅 按需修补实例.

Patch Manager 修补配置 您可以创建修补配置,其中包括一个维护时段,用于扫描计划中的实例的补丁合规性。–有关信息,请参阅 创建修补配置(控制台).

运行命令 – 您可以在 AWS-RunPatchBaseline 操作中手动运行 Run Command。有关信息,请参阅 从控制台运行命令.

维护时段 您可以创建在 – 任务类型中使用 Systems Manager 文档(SSM 文档)AWS-RunPatchBaseline 的维护时段。Run Command有关信息,请参阅 创建用于修补的维护时段.

Systems Manager 快速设置 您可以配置快速设置以使用 扫描托管实例的补丁合规性。–Patch Manager有关信息,请参阅主题每天扫描实例以查找缺少的补丁中的AWS Systems Manager 快速设置

Systems Manager Explorer – 当您启用 Explorer 时,它会定期扫描托管实例中的补丁合规性,并在 Explorer 控制面板中报告结果。

补丁扫描结果数据的格式

AWS-RunPatchBaseline 运行后,Patch Manager 会将 AWS:PatchSummary 对象发送到 Systems Manager Inventory。

AWS-RunPatchBaselineAssociation 运行后,Patch Manager 会将 AWS:ComplianceItem 对象发送到 Systems Manager Inventory。

在控制台中查看补丁合规性报告

您可以在 AWS-RunPatchBaselineConfiguration Compliance 和 Systems Manager 中查看使用 的进程的补丁合规性信息。AWS Systems Manager 托管实例有关更多信息,请参阅 查看补丁合规性结果 .

如果您使用快速设置扫描托管实例的补丁合规性,则可以在 Systems ManagerState Manager 中查看合规性报告,可使用快速设置中的 View results (查看结果) 按钮访问该报告。

如果您使用 Explorer 扫描托管实例的补丁合规性,则可以在 Explorer 和 Systems Manager OpsCenter 中查看合规性报告。

AWS CLI 用于查看补丁合规性结果的命令

对于使用 AWS-RunPatchBaseline 的过程,您可以使用以下 CLI 命令查看有关实例上的补丁的摘要信息。

对于使用 AWS-RunPatchBaselineAssociation 的过程,您可以使用以下 CLI 命令查看有关实例上的补丁的摘要信息。

修补操作

对于使用 AWS-RunPatchBaseline 的进程,您可以指定是希望操作只运行 Scan 操作还是运行 Scan and install 操作。

如果您的目标是识别不合规的实例而不修复它们,请仅运行 Scan 操作。

快速设置和 Explorer 进程(使用 AWS-RunPatchBaselineAssociation)仅运行 Scan 操作。
更多信息

关于 SSM 文档 AWS-RunPatchBaselineAssociation

关于 SSM 文档 AWS-RunPatchBaselineAssociation

有关您可能看到的各种补丁合规性状态的信息,请参阅了解补丁合规性状态值

有关修正不符合补丁合规性的托管实例的信息,请参阅修补不合规的实例