标识不合规的托管式节点 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

标识不合规的托管式节点

当运行两个 Amazon Systems Manager 文档(SSM 文档)中的其中一个文档时,会标识不合规的托管式节点。这些 SSM 文档引用了 Patch Manager(Amazon Systems Manager 的一项功能)中每个托管式节点相应的补丁基准。然后,这些文档会评估托管式节点的补丁状态,并向您提供合规性结果。

有两个 SSM 文档用于标识或更新不合规的托管式节点:AWS-RunPatchBaselineAWS-RunPatchBaselineAssociation。每个文档的使用流程不同,其合规性结果通过不同的渠道提供。下表概述了这些文档之间的差异。

注意

来自 Patch Manager 的补丁合规性数据可以发送到 Amazon Security Hub。Security Hub 能让您全面了解高优先级安全警报和合规性状态。它还监控您的机群的修补状态。有关更多信息,请参阅将 Patch Manager 与 Amazon Security Hub 集成

AWS-RunPatchBaseline AWS-RunPatchBaselineAssociation
使用文档的过程

按需修补 – 您可以使用 Patch now(立即修补)选项按需扫描或修补托管式节点。有关信息,请参阅 按需修补托管式节点(控制台)

Patch Manager 修补配置 – 您可以创建包含维护时段的修补配置,按计划扫描托管式节点以检查补丁合规性。有关信息,请参阅 正在创建修补配置(控制台)

运行命令 – 在 Run Command (Amazon Systems Manager 的一项功能)的操作中,您可以手动运行 AWS-RunPatchBaseline。有关信息,请参阅 从控制台运行命令

维护时段 – 在 Run Command 任务类型中,您可以使用 SSM 文档 AWS-RunPatchBaseline 创建维护时段。有关信息,请参阅 演练:创建用于修补的维护时段(控制台)

Systems Manager快速设置— 您可以配置 Quick Setup ( Amazon Systems Manager 的一个功能),以使用 Patch Manager 每天扫描您的托管实例的补丁合规性。有关信息,请参阅 Amazon Systems Manager Quick Setup 主题中的 Quick Setup 主机管理

Systems ManagerExplorer – 当您允许 Explorer (Amazon Systems Manager 的一项功能),它会定期扫描托管实例以了解补丁合规性,并在 Explorer 控制面板中报告结果。

补丁扫描结果数据的格式

AWS-RunPatchBaseline 运行后,Patch Manager 发送 AWS:PatchSummary 对象至库存( Amazon Systems Manager 的一个功能)。

AWS-RunPatchBaselineAssociation 运行后,Patch Manager 发送 AWS:ComplianceItem 对象至 Systems Manager 库存。

在控制台中查看补丁合规性报告

您可以查看使用 Systems Manager 配置合规性中的 AWS-RunPatchBaseline托管式节点 进程的补丁合规性信息。有关更多信息,请参阅查看补丁合规性结果(控制台)

如果您使用 Quick Setup扫描您的托管实例的补丁合规性,您可以在 Systems ManagerState Manager,它可以通过查看结果中的按钮Quick Setup.

如果您将Explorer 扫描托管实例的补丁合规性,您可以在 Explorer 和 Systems Manager OpsCenter 中查看合规性报告。

查看补丁合规性结果的 Amazon CLI 命令

对于使用 AWS-RunPatchBaseline 的进程,您可以使用以下 Amazon CLI 命令查看有关托管式节点上的补丁的摘要信息。

对于使用 AWS-RunPatchBaselineAssociation 的进程,您可以使用以下 Amazon CLI 命令查看有关实例补丁的摘要信息。

修补操作

对于使用 AWS-RunPatchBaseline 的进程,可以指定是否仅希望该操作运行 Scan 操作,或者 Scan and install 操作。

如果您的目标是标识而非修复不合规的托管式节点,则仅运行 Scan 操作。

Quick Setup 和 Explorer 进程,使用 AWS-RunPatchBaselineAssociation,请仅运行 Scan 操作。
更多信息

关于 AWS-RunPatchBaseline SSM 文档

关于 AWS-RunPatchBaselineAssociation SSM 文档

有关您可能看到报告的各种补丁合规性状态的信息,请参阅 了解补丁合规性状态值

有关修复不符合补丁合规性要求的托管式节点的信息,请参阅 修补不合规的托管式节点