标识不合规的托管式节点
当运行两个 Amazon Systems Manager 文档(SSM 文档)中的其中一个文档时,会标识不合规的托管式节点。这些 SSM 文档引用了 Patch Manager(Amazon Systems Manager 的一项功能)中每个托管式节点相应的补丁基准。然后,这些文档会评估托管式节点的补丁状态,并向您提供合规性结果。
有两个 SSM 文档用于标识或更新不合规的托管式节点:AWS-RunPatchBaseline 和 AWS-RunPatchBaselineAssociation。每个文档的使用流程不同,其合规性结果通过不同的渠道提供。下表概述了这些文档之间的差异。
注意
来自 Patch Manager 的补丁合规性数据可以发送到 Amazon Security Hub。Security Hub 能让您全面了解高优先级安全警报和合规性状态。它还监控您的机群的修补状态。有关更多信息,请参阅 将 Patch Manager 与 Amazon Security Hub 集成。
AWS-RunPatchBaseline |
AWS-RunPatchBaselineAssociation |
|
|---|---|---|
| 使用文档的过程 |
按需修补 – 您可以使用 Patch now(立即修补)选项按需扫描或修补托管式节点。有关信息,请参阅按需修补托管式节点。 Systems Manager Quick Setup 补丁策略:您可以在 Quick Setup 中创建修补配置,这是 Amazon Systems Manager 的一项功能,可针对整个组织、部分组织单位或单个 Amazon Web Services 账户 按不同的计划扫描或安装缺失的补丁。有关信息,请参阅Patch Manager 组织修补配置。 运行命令 – 在 Run Command (Amazon Systems Manager 的一项功能)的操作中,您可以手动运行 维护时段 – 在 Run Command 任务类型中,您可以使用 SSM 文档 |
Systems Manager Quick Setup 主机管理:您可以在 Quick Setup 中启用主机管理配置选项,每天扫描您的托管实例的补丁合规性。有关信息,请参阅Amazon EC2 主机管理。 Systems ManagerExplorer – 当您允许 Explorer (Amazon Systems Manager 的一项功能),它会定期扫描托管实例以了解补丁合规性,并在 Explorer 控制面板中报告结果。 |
| 补丁扫描结果数据的格式 |
在 |
在 |
| 在控制台中查看补丁合规性报告 |
您可以查看使用 Systems Manager 配置合规性中的 |
如果您使用 Quick Setup扫描您的托管实例的补丁合规性,您可以在 Systems ManagerState Manager,它可以通过查看结果中的按钮Quick Setup。 如果您将Explorer 扫描托管实例的补丁合规性,您可以在 Explorer 和 Systems Manager OpsCenter 中查看合规性报告。 |
| 查看补丁合规性结果的 Amazon CLI 命令 |
对于使用 |
对于使用 |
| 修补操作 |
对于使用 如果您的目标是标识而非修复不合规的托管式节点,则仅运行 |
Quick Setup 和 Explorer 进程,使用 AWS-RunPatchBaselineAssociation,请仅运行 Scan 操作。 |
| 更多信息 |
有关您可能看到报告的各种补丁合规性状态的信息,请参阅 了解补丁合规性状态值
有关修复不符合补丁合规性要求的托管式节点的信息,请参阅 修补不合规的托管式节点。