Identification des nœuds gérés non conformes - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Identification des nœuds gérés non conformes

Les nœuds ut-of-compliance gérés sont identifiés lorsque l'un des deux AWS Systems Manager documents (documents SSM) est exécuté. Ces documents SSM font référence au référentiel de correctifs correspondant à chaque nœud géré dans la fonctionnalité Patch Manager d'AWS Systems Manager. Ils évaluent ensuite l'état des correctifs du nœud géré, puis mettent les résultats de conformité à votre disposition.

Deux documents SSM sont utilisés pour identifier ou mettre à jour les nœuds gérés non conformes : AWS-RunPatchBaseline et AWS-RunPatchBaselineAssociation. Chacun d'entre eux est utilisé par différents processus, et leurs résultats de conformité sont disponibles via différents canaux. Le tableau suivant décrit les différences entre ces documents.

Note

Les données de conformité relatives à l'application de correctifs depuis Patch Manager peuvent être envoyées à AWS Security Hub. Security Hub vous offre une vue complète sur vos alertes de sécurité haute priorité et votre statut de conformité. Il surveille également le statut d'application des correctifs de votre flotte. Pour plus d’informations, consultez Intégration Patch Manager avec AWS Security Hub.

AWS-RunPatchBaseline AWS-RunPatchBaselineAssociation
Processus qui utilisent le document

Correctifs à la demande : vous pouvez analyser les nœuds gérés ou y appliquer des correctifs à la demande à l'aide de l'option Patch now (Appliquer les correctifs maintenant). Pour plus d’informations, consultez Application de correctifs sur les nœuds gérés à la demande.

Politiques de correctif Quick Setup de Systems Manager : vous pouvez créer une configuration d'application de correctifs dans Quick Setup, une fonctionnalité d'AWS Systems Manager, capable de rechercher ou d'installer les correctifs manquants selon des planifications distinctes pour l'ensemble d'une organisation, un sous-ensemble d'unités organisationnelles ou un seul Compte AWS. Pour plus d’informations, consultez Configuration de l'application de correctifs pour les instances d'une organisation.

Exécution d'une commande : vous pouvez exécuter AWS-RunPatchBaseline manuellement dans une opération dans Run Command, une fonctionnalité de AWS Systems Manager. Pour plus d’informations, consultez Exécution des commande à partir de la console.

Fenêtre de maintenance : vous pouvez créer une fenêtre de maintenance qui utilise le document SSM AWS-RunPatchBaseline dans un type de tâche Run Command. Pour plus d’informations, consultez Démonstration : création d'une fenêtre de maintenance pour l'application des correctifs (console).

Gestion des hôtes Quick Setup de Systems Manager : vous pouvez activer une option de configuration de gestion des hôtes dans Quick Setup de sorte à analyser quotidiennement la conformité aux correctifs de vos instances gérées. Pour plus d’informations, consultez Configuration de la gestion des hôtes Amazon EC2.

Systems Manager Explorer : lorsque vous autorisez Explorer, une fonctionnalité de AWS Systems Manager, il analyse régulièrement vos instances gérées pour vérifier la conformité des correctifs et générer des rapports sur les résultats dans le tableau de bord Explorer.
Format des données de résultat de l'analyse des correctifs

Une fois que AWS-RunPatchBaseline s'exécute, Patch Manager envoie un objet AWS:PatchSummary à Inventory, une fonctionnalité de AWS Systems Manager.

Une fois que AWS-RunPatchBaselineAssociation s'exécute, Patch Manager envoie un objet AWS:ComplianceItem à Systems Manager Inventory.
Affichage des rapports de conformité actuelle dans la console

Vous pouvez afficher des informations de conformité des correctifs pour les processus qui utilisent AWS-RunPatchBaseline dans Conformité de la configuration Systems Manager et Utilisation de nœuds gérés. Pour plus d’informations, consultez Affichage des résultats de la conformité des correctifs.

Si vous utilisez Quick Setup pour analyser vos instances gérées pour vérifier la conformité des correctifs, vous pouvez consulter le rapport de conformité dans Systems Manager State Manager, accessible via un bouton Afficher les résultats dans Quick Setup.

Si vous utilisez Explorer pour analyser vos instances gérées pour la conformité des correctifs, vous pouvez voir le rapport de conformité dans Explorer et Systems Manager OpsCenter.
Commandes de la AWS CLI pour afficher les résultats de conformité des correctifs

Pour les processus qui utilisent AWS-RunPatchBaseline, vous pouvez aussi utiliser les commandes AWS CLI suivantes pour afficher des informations sommaires sur les correctifs d'un nœud géré.

Pour les processus qui utilisent AWS-RunPatchBaselineAssociation, vous pouvez aussi utiliser la commande AWS CLI suivante pour afficher les informations récapitulatives concernant les correctifs d'une instance.
Opérations d'application de correctifs

Pour les processus qui utilisent AWS-RunPatchBaseline, vous spécifiez si l'opération doit exécuter une opération Scan uniquement ou une opération Scan and install.

Si votre objectif est d'identifier les nœuds gérés non conformes, et non de les corriger, contentez-vous d'exécuter une opération Scan.

 Les processus Quick Setup et Explorer, qui utilisent AWS-RunPatchBaselineAssociation, exécutent uniquement une opération Scan.
Plus d'informations

À propos du document SSM AWS-RunPatchBaseline

À propos du document SSM AWS-RunPatchBaselineAssociation

Pour obtenir des informations sur les différents états de conformité des correctifs qui peuvent être signalés, veuillez consulter Comprendre les valeurs d'état de conformité des correctifs

Pour obtenir des informations sur la résolution des problèmes de non-conformité des nœuds gérés, consultez Application de correctifs sur des nœuds gérés non conformes.