Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Fonctionnement de Patch Manager (AWS CLI)
Cette section inclut des exemples de commandes d'AWS Command Line Interface (AWS CLI) que vous pouvez utiliser pour exécuter des tâches de configuration de Patch Manager, une des fonctionnalités de AWS Systems Manager.
Pour accéder à un exemple d'utilisation de l'AWS CLI afin d'appliquer un correctif à un environnement de serveur à l'aide d'un référentiel de correctifs personnalisée, consultez Didacticiel : application de correctifs à un environnement de serveur (AWS CLI).
Pour de plus amples informations sur l'utilisation de la AWS CLI pour des tâches AWS Systems Manager, veuillez consulter la section AWS Systems Manager de la AWS CLIRéférence des commandes.
Rubriques
Commandes AWS CLI pour des référentiels de correctifs
Exemples de commandes pour les référentiels de correctifs
- Créer un référentiel de correctifs
- Création d'un référentiel de correctifs avec des référentiels personnalisés pour les différentes versions du système d'exploitation
- Mettre à jour un référentiel de correctifs
- Renommer un référentiel de correctifs
- Supprimer un référentiel de correctifs
- Afficher toutes les références de correctifs
- Répertorier toutes les référentiels de correctifs fournis par AWS
- Répertorier mes références de correctifs
- Afficher un référentiel de correctifs
- Obtenir le référentiel de correctifs par défaut
- Définir un référentiel de correctifs personnalisée comme valeur par défaut
- Réinitialiser un référentiel de correctifs AWS comme valeur par défaut
- Baliser un référentiel de correctifs
- Répertorier les balises d'un référentiel de correctifs
- Supprimer une balise d'un référentiel de correctifs
Créer un référentiel de correctifs
La commande suivante crée un référentiel de correctifs approuvant toutes les mises à jour de sécurité critiques et importantes pour Windows Server 2012 R2 cinq jours après leur publication. Des correctifs ont également été spécifiés pour les listes de correctifs approuvés et rejetés. En outre, le référentiel de correctifs a été balisée pour indiquer qu'elle est destinée à un environnement de production.
Le système retourne des informations telles que les suivantes.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Création d'un référentiel de correctifs avec des référentiels personnalisés pour les différentes versions du système d'exploitation
S'applique uniquement aux nœuds gérés Linux. La commande suivante montre comment spécifier le référentiel de correctifs à utiliser pour une version spécifique du système d'exploitation Amazon Linux. Cet exemple utilise un référentiel source autorisé par défaut sur Amazon Linux 2017.09, mais peut être adapté à un autre référentiel source configuré pour un nœud géré.
Note
Pour mieux illustrer cette commande plus complexe, nous utilisons l'option --cli-input-json
avec des options supplémentaires stockées dans un fichier JSON externe.
-
Créez un fichier JSON avec un nom tel que
my-patch-repository.json
et ajoutez-lui le contenu suivant.{ "Description": "My patch repository for Amazon Linux 2017.09", "Name": "Amazon-Linux-2017.09", "OperatingSystem": "AMAZON_LINUX", "ApprovalRules": { "PatchRules": [ { "ApproveAfterDays": 7, "EnableNonSecurity": true, "PatchFilterGroup": { "PatchFilters": [ { "Key": "SEVERITY", "Values": [ "Important", "Critical" ] }, { "Key": "CLASSIFICATION", "Values": [ "Security", "Bugfix" ] }, { "Key": "PRODUCT", "Values": [ "AmazonLinux2017.09" ] } ] } } ] }, "Sources": [ { "Name": "My-AL2017.09", "Products": [ "AmazonLinux2017.09" ], "Configuration": "[amzn-main] \nname=amzn-main-Base\nmirrorlist=http://repo./$awsregion./$awsdomain//$releasever/main/mirror.list //nmirrorlist_expire=300//nmetadata_expire=300 \npriority=10 \nfailovermethod=priority \nfastestmirror_enabled=0 \ngpgcheck=1 \ngpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-ga \nenabled=1 \nretries=3 \ntimeout=5\nreport_instanceid=yes" } ] }
-
Dans le répertoire où vous avez enregistré le fichier, exécutez la commande suivante.
aws ssm create-patch-baseline --cli-input-json file://my-patch-repository.json
Le système retourne des informations telles que les suivantes.
{ "BaselineId": "pb-0c10e65780EXAMPLE" }
Mettre à jour un référentiel de correctifs
La commande suivante ajoute deux correctifs comme refusés et un correctif comme approuvé à un référentiel de correctifs existante.
Note
Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter À propos des formats de noms de package pour les listes de correctifs approuvés et rejetés.
Le système retourne des informations telles que les suivantes.
{ "BaselineId":"pb-0c10e65780EXAMPLE", "Name":"Windows-Server-2012R2", "RejectedPatches":[ "KB2032276", "MS10-048" ], "GlobalFilters":{ "PatchFilters":[ ] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1481001494.035, "CreatedDate":1480997823.81, "ApprovedPatches":[ "KB2124261" ], "Description":"Windows Server 2012 R2, Important and Critical security updates" }
Renommer un référentiel de correctifs
Le système retourne des informations telles que les suivantes.
{ "BaselineId":"pb-0c10e65780EXAMPLE", "Name":"Windows-Server-2012-R2-Important-and-Critical-Security-Updates", "RejectedPatches":[ "KB2032276", "MS10-048" ], "GlobalFilters":{ "PatchFilters":[ ] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1481001795.287, "CreatedDate":1480997823.81, "ApprovedPatches":[ "KB2124261" ], "Description":"Windows Server 2012 R2, Important and Critical security updates" }
Supprimer un référentiel de correctifs
aws ssm delete-patch-baseline --baseline-id "pb-0c10e65780EXAMPLE"
Le système retourne des informations telles que les suivantes.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Afficher toutes les références de correctifs
aws ssm describe-patch-baselines
Le système retourne des informations telles que les suivantes.
{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" }, { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE" } ] }
Voici une autre commande qui répertorie toutes les référentiels de correctifs dans une Région AWS.
Le système retourne des informations telles que les suivantes.
{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" }, { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE" } ] }
Répertorier toutes les référentiels de correctifs fournis par AWS
Le système retourne des informations telles que les suivantes.
{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" } ] }
Répertorier mes références de correctifs
Le système retourne des informations telles que les suivantes.
{ "BaselineIdentities":[ { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE" } ] }
Afficher un référentiel de correctifs
aws ssm get-patch-baseline --baseline-id pb-0c10e65780EXAMPLE
Note
Pour les référentiels de correctifs personnalisés, vous pouvez spécifier l'ID de référentiel de correctifs ou l'Amazon Resource Name (ARN) complet. Pour le référentiel de correctifs fournie par AWS, vous devez spécifier l'ARN complet. Par exemple, arn:aws:ssm:us-east-2:075727635805:patchbaseline/pb-0c10e65780EXAMPLE
.
Le système retourne des informations telles que les suivantes.
{ "BaselineId":"pb-0c10e65780EXAMPLE", "Name":"Windows-Server-2012R2", "PatchGroups":[ "Web Servers" ], "RejectedPatches":[ ], "GlobalFilters":{ "PatchFilters":[ ] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1480997823.81, "CreatedDate":1480997823.81, "ApprovedPatches":[ ], "Description":"Windows Server 2012 R2, Important and Critical security updates" }
Obtenir le référentiel de correctifs par défaut
aws ssm get-default-patch-baseline --region us-east-2
Le système retourne des informations telles que les suivantes.
{
"BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
Définir un référentiel de correctifs personnalisée comme valeur par défaut
Le système retourne des informations telles que les suivantes.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Réinitialiser un référentiel de correctifs AWS comme valeur par défaut
Le système retourne des informations telles que les suivantes.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Baliser un référentiel de correctifs
Répertorier les balises d'un référentiel de correctifs
Supprimer une balise d'un référentiel de correctifs
Commandes AWS CLI pour les groupes de correctifs
Exemples de commandes pour les groupes de correctifs
- Créer un groupe de correctifs
- Enregistrer un groupe de correctifs « Serveurs web » avec un référentiel de correctifs
- Enregistrer un groupe de correctifs « Backend » dans le référentiel de correctifs fourni par AWS
- Afficher les enregistrements du groupe de correctifs
- Annuler l'enregistrement d'un groupe de correctifs à partir d'un référentiel de correctifs
Créer un groupe de correctifs
Pour faciliter l'organisation des opérations d'application de correctifs, nous vous recommandons d'ajouter des nœuds gérés à des groupes de correctifs à l'aide de balises. Les groupes de correctifs nécessitent l'utilisation de la clé de balise Patch Group
ou PatchGroup
. Si vous avez autorisé les balises dans les métadonnées des instances EC2, vous devez utiliser PatchGroup
(sans espace). Toutefois, peu importe le choix de la valeur d'une balise, la clé de balise doit être Patch Group
ou PatchGroup
. Pour de plus amples informations sur les groupes de correctifs, consultez À propos des groupes de correctifs.
Après avoir regroupé vos nœuds gérés à l'aide de balises, vous devez ajouter la valeur du groupe de correctifs à un référentiel de correctifs. En enregistrant le groupe de correctifs auprès d'un référentiel de correctifs, vous veillez à ce que les correctifs appropriés soient installés lors de l'opération d'application des correctifs.
Tâche 1 : Ajout d'instances EC2 à un groupe de correctifs à l'aide de balises
Note
Lors de l'utilisation de la console Amazon Elastic Compute Cloud (Amazon EC2) et AWS CLI, vous pouvez appliquer Key = Patch Group
ou Key = PatchGroup
des balises aux instances non configurées utilisables avec Systems Manager. Si une instance EC2 que vous prévoyez de voir dans Patch Manager n'est pas répertoriée après l'application de Patch Group
ou Key = PatchGroup
balise, consultez Résolution des problèmes de disponibilité des nœuds gérés afin d'obtenir des conseils de dépannage.
Exécutez la commande suivante pour ajouter la balise PatchGroup
à une instance EC2.
aws ec2 create-tags --resources
"i-1234567890abcdef0"
--tags "Key=PatchGroup,Value=GroupValue
"
Tâche 2 : Ajout de nœuds gérés à un groupe de correctifs à l'aide de balises
Exécutez la commande suivante pour ajouter la balise PatchGroup
à un nœud géré.
Tâche 3 : Ajout d'un groupe de correctifs à un référentiel de correctifs
Exécutez la commande suivante pour associer une valeur de balise PatchGroup
au référentiel de correctifs spécifiée.
Le système retourne des informations telles que les suivantes.
{
"PatchGroup": "Development",
"BaselineId": "pb-0c10e65780EXAMPLE"
}
Enregistrer un groupe de correctifs « Serveurs web » avec un référentiel de correctifs
Le système retourne des informations telles que les suivantes.
{
"PatchGroup":"Web Servers",
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Enregistrer un groupe de correctifs « Backend » dans le référentiel de correctifs fourni par AWS
Le système retourne des informations telles que les suivantes.
{
"PatchGroup":"Backend",
"BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
Afficher les enregistrements du groupe de correctifs
aws ssm describe-patch-groups --region us-east-2
Le système retourne des informations telles que les suivantes.
{ "PatchGroupPatchBaselineMappings":[ { "PatchGroup":"Backend", "BaselineIdentity":{ "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":false, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" } }, { "PatchGroup":"Web Servers", "BaselineIdentity":{ "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":true, "BaselineDescription":"Windows Server 2012 R2, Important and Critical updates", "BaselineId":"pb-0c10e65780EXAMPLE" } } ] }
Annuler l'enregistrement d'un groupe de correctifs à partir d'un référentiel de correctifs
Le système retourne des informations telles que les suivantes.
{
"PatchGroup":"Production",
"BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
Commandes AWS CLI pour afficher les résumés et les détails des correctifs
Exemples de commandes pour afficher les résumés et les détails des correctifs
- Obtenir tous les correctifs définis par un référentiel de correctifs
- Obtenir tous les correctifs pour AmazOnLinux 2018.03 ayant une classification SECURITY et une sévérité de Critical
- Obtenir tous les correctifs pour Windows Server 2012 dont la sévérité MSRC est Critical
- Obtenir tous les correctifs disponibles
- Obtenir le résumé de l'état des correctifs par nœud géré
- Obtenir les informations de conformité des correctifs pour un nœud géré
- Afficher les résultats de conformité de l'application de correctifs (AWS CLI)
Obtenir tous les correctifs définis par un référentiel de correctifs
Note
Cette commande est seulement prise en charge pour les référentiels de correctifs de Windows Server.
Le système retourne des informations telles que les suivantes.
{ "NextToken":"--token string truncated--", "EffectivePatches":[ { "PatchStatus":{ "ApprovalDate":1384711200.0, "DeploymentStatus":"APPROVED" }, "Patch":{ "ContentUrl":"https://support.microsoft.com/en-us/kb/2876331", "ProductFamily":"Windows", "Product":"WindowsServer2012R2", "Vendor":"Microsoft", "Description":"A security issue has been identified in a Microsoft software product that could affect your system. You can help protect your system by installing this update from Microsoft. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2012 R2 Preview (KB2876331)", "ReleaseDate":1384279200.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2876331", "MsrcNumber":"MS13-089", "Id":"e74ccc76-85f0-4881-a738-59e9fc9a336d" } }, { "PatchStatus":{ "ApprovalDate":1428858000.0, "DeploymentStatus":"APPROVED" }, "Patch":{ "ContentUrl":"https://support.microsoft.com/en-us/kb/2919355", "ProductFamily":"Windows", "Product":"WindowsServer2012R2", "Vendor":"Microsoft", "Description":"Windows Server 2012 R2 Update is a cumulative set of security updates, critical updates and updates. You must install Windows Server 2012 R2 Update to ensure that your computer can continue to receive future Windows Updates, including security updates. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article for more information. After you install this item, you may have to restart your computer.", "Classification":"SecurityUpdates", "Title":"Windows Server 2012 R2 Update (KB2919355)", "ReleaseDate":1428426000.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2919355", "MsrcNumber":"MS14-018", "Id":"8452bac0-bf53-4fbd-915d-499de08c338b" } } ---output truncated---
Obtenir tous les correctifs pour AmazOnLinux 2018.03 ayant une classification SECURITY
et une sévérité de Critical
Le système retourne des informations telles que les suivantes.
{ "Patches": [ { "AdvisoryIds": ["ALAS-2011-1"], "BugzillaIds": [ "1234567" ], "Classification": "SECURITY", "CVEIds": [ "CVE-2011-3192"], "Name": "zziplib", "Epoch": "0", "Version": "2.71", "Release": "1.3.amzn1", "Arch": "i686", "Product": "AmazonLinux2018.03", "ReleaseDate": 1590519815, "Severity": "CRITICAL" } ] } ---output truncated---
Obtenir tous les correctifs pour Windows Server 2012 dont la sévérité MSRC est Critical
Le système retourne des informations telles que les suivantes.
{ "Patches":[ { "ContentUrl":"https://support.microsoft.com/en-us/kb/2727528", "ProductFamily":"Windows", "Product":"WindowsServer2012", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2012 (KB2727528)", "ReleaseDate":1352829600.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2727528", "MsrcNumber":"MS12-072", "Id":"1eb507be-2040-4eeb-803d-abc55700b715" }, { "ContentUrl":"https://support.microsoft.com/en-us/kb/2729462", "ProductFamily":"Windows", "Product":"WindowsServer2012", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Microsoft .NET Framework 3.5 on Windows 8 and Windows Server 2012 for x64-based Systems (KB2729462)", "ReleaseDate":1352829600.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2729462", "MsrcNumber":"MS12-074", "Id":"af873760-c97c-4088-ab7e-5219e120eab4" } ---output truncated---
Obtenir tous les correctifs disponibles
aws ssm describe-available-patches --region us-east-2
Le système retourne des informations telles que les suivantes.
{ "NextToken":"--token string truncated--", "Patches":[ { "ContentUrl":"https://support.microsoft.com/en-us/kb/2032276", "ProductFamily":"Windows", "Product":"WindowsServer2008R2", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2008 R2 x64 Edition (KB2032276)", "ReleaseDate":1279040400.0, "MsrcClassification":"Important", "Language":"All", "KbNumber":"KB2032276", "MsrcNumber":"MS10-043", "Id":"8692029b-a3a2-4a87-a73b-8ea881b4b4d6" }, { "ContentUrl":"https://support.microsoft.com/en-us/kb/2124261", "ProductFamily":"Windows", "Product":"Windows7", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows 7 (KB2124261)", "ReleaseDate":1284483600.0, "MsrcClassification":"Important", "Language":"All", "KbNumber":"KB2124261", "MsrcNumber":"MS10-065", "Id":"12ef1bed-0dd2-4633-b3ac-60888aa8ba33" } ---output truncated---
Obtenir le résumé de l'état des correctifs par nœud géré
Le résumé par nœud géré présente un certain nombre de correctifs en indiquant les états suivants par nœud : « NotApplicable », « Missing », « Failed », « InstalledOther » et « Installed ».
Le système retourne des informations telles que les suivantes.
{ "InstancePatchStates":[ { "InstanceId": "i-08ee91c0b17045407", "PatchGroup": "", "BaselineId": "pb-0c10e65780EXAMPLE", "SnapshotId": "6d03d6c5-f79d-41d0-8d0e-00a9aEXAMPLE", "InstalledCount": 50, "InstalledOtherCount": 353, "InstalledPendingRebootCount": 0, "InstalledRejectedCount": 0, "MissingCount": 0, "FailedCount": 0, "UnreportedNotApplicableCount": -1, "NotApplicableCount": 671, "OperationStartTime": "2020-01-24T12:37:56-08:00", "OperationEndTime": "2020-01-24T12:37:59-08:00", "Operation": "Scan", "RebootOption": "NoReboot" }, { "InstanceId": "i-09a618aec652973a9", "PatchGroup": "", "BaselineId": "pb-0c10e65780EXAMPLE", "SnapshotId": "c7e0441b-1eae-411b-8aa7-973e6EXAMPLE", "InstalledCount": 36, "InstalledOtherCount": 396, "InstalledPendingRebootCount": 0, "InstalledRejectedCount": 0, "MissingCount": 3, "FailedCount": 0, "UnreportedNotApplicableCount": -1, "NotApplicableCount": 420, "OperationStartTime": "2020-01-24T12:37:34-08:00", "OperationEndTime": "2020-01-24T12:37:37-08:00", "Operation": "Scan", "RebootOption": "NoReboot" } ---output truncated---
Obtenir les informations de conformité des correctifs pour un nœud géré
aws ssm describe-instance-patches --instance-id i-08ee91c0b17045407
Le système retourne des informations telles que les suivantes.
{ "NextToken":"--token string truncated--", "Patches":[ { "Title": "bind-libs.x86_64:32:9.8.2-0.68.rc1.60.amzn1", "KBId": "bind-libs.x86_64", "Classification": "Security", "Severity": "Important", "State": "Installed", "InstalledTime": "2019-08-26T11:05:24-07:00" }, { "Title": "bind-utils.x86_64:32:9.8.2-0.68.rc1.60.amzn1", "KBId": "bind-utils.x86_64", "Classification": "Security", "Severity": "Important", "State": "Installed", "InstalledTime": "2019-08-26T11:05:32-07:00" }, { "Title": "dhclient.x86_64:12:4.1.1-53.P1.28.amzn1", "KBId": "dhclient.x86_64", "Classification": "Security", "Severity": "Important", "State": "Installed", "InstalledTime": "2019-08-26T11:05:31-07:00" }, ---output truncated---
Afficher les résultats de conformité de l'application de correctifs (AWS CLI)
Pour afficher les résultats de conformité des correctifs pour un nœud géré individuel
Exécutez la commande suivante dans l'AWS Command Line Interface (AWS CLI) afin d'afficher les résultats de conformité des correctifs pour un nœud géré individuel.
aws ssm describe-instance-patch-states --instance-id
instance-id
Remplacez instance-id
par l'ID du nœud géré dont vous souhaitez afficher les résultats, au format i-02573cafcfEXAMPLE
ou mi-0282f7c436EXAMPLE
.
Les systèmes renvoient des informations telles que les suivantes.
{ "InstancePatchStates": [ { "InstanceId": "i-02573cafcfEXAMPLE", "PatchGroup": "mypatchgroup", "BaselineId": "pb-0c10e65780EXAMPLE", "SnapshotId": "a3f5ff34-9bc4-4d2c-a665-4d1c1EXAMPLE", "CriticalNonCompliantCount": 2, "SecurityNonCompliantCount": 2, "OtherNonCompliantCount": 1, "InstalledCount": 123, "InstalledOtherCount": 334, "InstalledPendingRebootCount": 0, "InstalledRejectedCount": 0, "MissingCount": 1, "FailedCount": 2, "UnreportedNotApplicableCount": 11, "NotApplicableCount": 2063, "OperationStartTime": "2021-05-03T11:00:56-07:00", "OperationEndTime": "2021-05-03T11:01:09-07:00", "Operation": "Scan", "LastNoRebootInstallOperationTime": "2020-06-14T12:17:41-07:00", "RebootOption": "RebootIfNeeded" } ] }
Pour afficher un résumé du nombre de correctifs pour toutes les instances EC2 dans une région
La commande describe-instance-patch-states
prend en charge la récupération des résultats pour une seule instance gérée à la fois. Cependant, l'utilisation d'un script personnalisé avec la commande describe-instance-patch-states
vous permet de générer un rapport plus granulaire.
Par exemple, si l'outil de filtrage jqInstalledPendingReboot
dans une Région AWS particulière.
aws ssm describe-instance-patch-states \ --instance-ids $(aws ec2 describe-instances --region
region
| jq '.Reservations[].Instances[] | .InstanceId' | tr '\n|"' ' ') \ --output text --query 'InstancePatchStates[*].{Instance:InstanceId, InstalledPendingRebootCount:InstalledPendingRebootCount}'
region
représente l'identifiant d'une Région AWS prise en charge par AWS Systems Manager, telle que us-east-2
pour la région USA Est (Ohio). Pour obtenir une liste des valeurs region
prises en charge, consultez la colonne Région dans la rubrique Points de terminaison de service Systems Manager de la Référence générale d'Amazon Web Services.
Par exemple :
aws ssm describe-instance-patch-states \ --instance-ids $(aws ec2 describe-instances --region us-east-2 | jq '.Reservations[].Instances[] | .InstanceId' | tr '\n|"' ' ') \ --output text --query 'InstancePatchStates[*].{Instance:InstanceId, InstalledPendingRebootCount:InstalledPendingRebootCount}'
Le système retourne des informations telles que les suivantes.
1 i-02573cafcfEXAMPLE 0 i-0471e04240EXAMPLE 3 i-07782c72faEXAMPLE 6 i-083b678d37EXAMPLE 0 i-03a530a2d4EXAMPLE 1 i-01f68df0d0EXAMPLE 0 i-0a39c0f214EXAMPLE 7 i-0903a5101eEXAMPLE 7 i-03823c2fedEXAMPLE
Outre InstalledPendingRebootCount
, la liste des types de nombres interrogeables comprend les éléments suivants :
-
CriticalNonCompliantCount
-
SecurityNonCompliantCount
-
OtherNonCompliantCount
-
UnreportedNotApplicableCount
-
InstalledPendingRebootCount
-
FailedCount
-
NotApplicableCount
-
InstalledRejectedCount
-
InstalledOtherCount
-
MissingCount
-
InstalledCount
Commandes AWS CLI pour analyser et corriger des nœuds gérés
Après avoir exécuté les commandes suivantes pour analyser la conformité des correctifs ou installer des correctifs, vous pouvez utiliser les commandes de la section Commandes AWS CLI pour afficher les résumés et les détails des correctifs pour afficher des informations sur le statut et la conformité des correctifs.
Exemples de commandes
Analyser les nœuds gérés pour vérifier la conformité des correctifs (AWS CLI)
Pour analyser les nœuds gérés afin de vérifier la conformité des correctifs
Exécutez la commande suivante.
Le système retourne des informations telles que les suivantes.
{ "Command": { "CommandId": "a04ed06c-8545-40f4-87c2-a0babEXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621974475.267, "Parameters": { "Operation": [ "Scan" ] }, "InstanceIds": [], "Targets": [ { "Key": "InstanceIds", "Values": [ "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" ] } ], "RequestedDateTime": 1621952275.267, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
Pour analyser les nœuds gérés et vérifier la conformité des correctifs par balise de groupe de correctifs
Exécutez la commande suivante.
Le système retourne des informations telles que les suivantes.
{ "Command": { "CommandId": "87a448ee-8adc-44e0-b4d1-6b429EXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621974983.128, "Parameters": { "Operation": [ "Scan" ] }, "InstanceIds": [], "Targets": [ { "Key": "tag:PatchGroup", "Values": [ "Web servers" ] } ], "RequestedDateTime": 1621952783.128, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
Installer des correctifs sur les nœuds gérés (AWS CLI)
Pour installer des correctifs sur des nœuds gérés spécifiques
Exécutez la commande suivante.
Note
Si nécessaire, les nœuds gérés cibles redémarrent pour finaliser l'installation des correctifs. Pour de plus amples informations, veuillez consulter À propos du document SSM AWS-RunPatchBaseline.
Le système retourne des informations telles que les suivantes.
{ "Command": { "CommandId": "5f403234-38c4-439f-a570-93623EXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621975301.791, "Parameters": { "Operation": [ "Install" ] }, "InstanceIds": [], "Targets": [ { "Key": "InstanceIds", "Values": [ "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" ] } ], "RequestedDateTime": 1621953101.791, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
Pour installer des correctifs sur des nœuds gérés appartenant à un groupe de correctifs spécifique
Exécutez la commande suivante.
Le système retourne des informations telles que les suivantes.
{ "Command": { "CommandId": "fa44b086-7d36-4ad5-ac8d-627ecEXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621975407.865, "Parameters": { "Operation": [ "Install" ] }, "InstanceIds": [], "Targets": [ { "Key": "tag:PatchGroup", "Values": [ "Web servers" ] } ], "RequestedDateTime": 1621953207.865, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }