Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identifizieren von nicht konformen verwalteten Knoten
Out-of-compliance -verwaltete Knoten werden identifiziert, wenn eines von zwei AWS Systems Manager Dokumenten (SSM-Dokumente) ausgeführt wird. Diese SSM-Dokumente verweisen auf die entsprechende Patch-Baseline für jeden verwalteten Knoten in Patch Manager, einer Funktion von AWS Systems Manager. Anschließend werten sie den Patch-Zustand des verwalteten Knoten aus und stellen Ihnen dann Compliance-Ergebnisse zur Verfügung.
Es gibt zwei SSM-Dokumente, die verwendet werden, um nicht konforme verwaltete Knoten zu identifizieren oder zu aktualisieren: AWS-RunPatchBaseline
und AWS-RunPatchBaselineAssociation
. Jedes wird von verschiedenen Prozessen verwendet, und ihre Compliance-Ergebnisse sind über verschiedene Kanäle verfügbar. In der folgenden Tabelle werden die Unterschiede zwischen diesen Dokumenten aufgeführt.
Anmerkung
Patch-Compliance-Daten von Patch Manager können an AWS Security Hub gesendet werden. Mit dem Security Hub erhalten Sie einen umfassenden Überblick über Ihre Sicherheitswarnungen und den Compliance-Status mit hoher Priorität. Er überwacht auch den Patching-Status Ihrer Flotte. Weitere Informationen finden Sie unter Integrieren Patch Manager mit AWS Security Hub.
AWS-RunPatchBaseline |
AWS-RunPatchBaselineAssociation |
|
---|---|---|
Prozesse, die das Dokument verwenden |
On-Demand-Patchen – Sie können verwaltete Knoten bei Bedarf scannen oder patchen, indem Sie die Option Patch now (Jetzt patchen) verwenden. Weitere Informationen finden Sie unter On-Demand-Patchen von verwalteten Knoten. Quick Setup-Patch-Richtlinien von Systems Manager – Sie können eine Patching-Konfiguration in Quick Setup, einer Funktion von AWS Systems Manager, erstellen, die fehlende Patches in separaten Zeitplänen für eine gesamte Organisation, eine Teilmenge von Organisationseinheiten oder ein einzelnes AWS-Konto scannen oder installieren kann. Weitere Informationen finden Sie unter Patching für Instanzen in einer Organisation konfigurieren. Einen Befehl ausführen – Sie können Wartungsfenster – Sie können ein Wartungsfenster erstellen, das das SSM-Dokument |
Quick Setup-Host-Verwaltung für Systems Manager – Sie können eine Host-Management-Konfigurationsoption in Quick Setup aktivieren, um Ihre verwalteten Instances täglich auf Patch-Compliance zu scannen. Weitere Informationen finden Sie unter Amazon EC2 EC2-Hostmanagement einrichten. Systems Manager Explorer – Wenn Sie Explorer, eine Funktion von AWS Systems Manager, aktiviert, überprüft es Ihre verwalteten Instances regelmäßig auf Patch-Compliance und meldet Ergebnisse im Explorer-Dashboard. |
Format der Patch-Scan-Ergebnisdaten |
Nach der Ausführung von |
Nach der Ausführung von |
So zeigen Sie aktuelle Compliance-Berichte in der Konsole an |
Sie können Patch-Compliance-Informationen für Prozesse anzeigen, die |
Wenn Sie Quick Setup verwenden, um Ihre verwalteten Instances auf Patch-Compliance zu überprüfen, finden Sie den Compliance-Bericht unter Systems Manager State Manager, auf das Sie über die Schaltfläche Ergebnisse anzeigen in Quick Setup zugreifen. Wenn Sie Explorer verwenden, um Ihre verwalteten Instances auf Patch-Compliance zu überprüfen, finden Sie den Compliance-Bericht sowohl unter Explorer als auch unter Systems Manager OpsCenter. |
AWS CLI-Befehle zum Anzeigen von Patch-Compliance-Ergebnissen |
Für Prozesse, die |
Für Prozesse, die |
Patch-Operationen |
Für Prozesse, die Wenn Ihr Ziel darin besteht, nicht konforme verwaltete Knoten zu identifizieren und nicht zu beheben, führen Sie nur eine |
Quick Setup- und Explorer-Prozesse, die AWS-RunPatchBaselineAssociation verwenden, führen nur eine Scan -Operation aus. |
Weitere Informationen |
Informationen über das AWS-RunPatchBaselineAssociation SSM-Dokument |
Informationen zu den verschiedenen Patch-Compliance-Status, die möglicherweise gemeldet werden, finden Sie unter Grundlegendes zu Patch-Compliance-Statuswerten
Informationen zur Behebung verwalteter Knoten, die die Patch-Compliance nicht erfüllen, finden Sie unter Patchen nicht konformer verwalteter Knoten.