Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Lavorare con Patch Manager (AWS CLI)
Questa sezione include esempi di comandi AWS Command Line Interface (AWS CLI) che puoi utilizzare per eseguire le attività di configurazione per Patch Manager, una funzionalità di AWS Systems Manager.
Per un esempio dell'utilizzo di AWS CLI per l'applicazione di patch in un ambiente server tramite una base di patch personalizzata, consulta Tutorial: applicazione di patch in un ambiente server (AWS CLI).
Per ulteriori informazioni sull'utilizzo di AWS CLI per AWS Systems Manager, consulta la sezione AWS Systems Manager di AWS CLIRiferimento ai comandi.
Argomenti
Comandi AWS CLI per le basi di patch
Comandi di esempio per le basi di patch
- Creazione di una base di patch
- Creazione di una base di patch con repository personalizzati per varie versioni dei sistemi operativi
- Aggiornamento di una base di patch
- Assegnazione di un nuovo nome a una base di patch
- Eliminazione di una base di patch
- Elenco di tutte le basi di patch
- Elenco di tutte le basi di patch fornite da AWS
- Elenco di tutte le basi di patch personali
- Visualizzazione di una base di patch
- Ottenimento della base di patch predefinita
- Impostare una linea di base di patch personalizzata come impostazione predefinita
- Reimpostare una base di patch AWS come impostazione predefinita
- Tag di una base di patch
- Elenca i tag di una base di patch.
- Rimozione di un tag da una base di patch
Creazione di una base di patch
Il seguente comando crea una patch di base che approva tutti gli aggiornamenti correlati alla sicurezza critici o importanti per Windows Server 2012 R2 5 giorni dopo il rilascio. Sono state specificate anche le patch per gli elenchi approvati e rifiutati. Inoltre, la base di patch è stata contrassegnata per indicare che è destinata a un ambiente di produzione.
Il sistema restituisce informazioni simili alle seguenti.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Creazione di una base di patch con repository personalizzati per varie versioni dei sistemi operativi
Applicabile solo per i nodi gestiti Linux. Il seguente comando mostra come specificare i repository delle patch da utilizzare per una determinata versione del sistema operativo Amazon Linux. In questo esempio viene utilizzato un repository di origine abilitato per impostazione predefinita in Amaxon Linux 2017.09, ma potrebbe essere adattato per un altro repository di fonte configurato per un nodo gestito.
Nota
Per illustrare meglio questo comando più complesso, utilizziamo l'opzione --cli-input-json con opzioni aggiuntive archiviate in un file JSON esterno.
-
Creare un file JSON con un nome simile a
my-patch-repository.jsone aggiungervi il seguente contenuto.{ "Description": "My patch repository for Amazon Linux 2017.09", "Name": "Amazon-Linux-2017.09", "OperatingSystem": "AMAZON_LINUX", "ApprovalRules": { "PatchRules": [ { "ApproveAfterDays": 7, "EnableNonSecurity": true, "PatchFilterGroup": { "PatchFilters": [ { "Key": "SEVERITY", "Values": [ "Important", "Critical" ] }, { "Key": "CLASSIFICATION", "Values": [ "Security", "Bugfix" ] }, { "Key": "PRODUCT", "Values": [ "AmazonLinux2017.09" ] } ] } } ] }, "Sources": [ { "Name": "My-AL2017.09", "Products": [ "AmazonLinux2017.09" ], "Configuration": "[amzn-main] \nname=amzn-main-Base\nmirrorlist=http://repo./$awsregion./$awsdomain//$releasever/main/mirror.list //nmirrorlist_expire=300//nmetadata_expire=300 \npriority=10 \nfailovermethod=priority \nfastestmirror_enabled=0 \ngpgcheck=1 \ngpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-ga \nenabled=1 \nretries=3 \ntimeout=5\nreport_instanceid=yes" } ] } -
Nella directory in cui è stato salvato il file, eseguire il comando seguente:
aws ssm create-patch-baseline --cli-input-json file://my-patch-repository.jsonIl sistema restituisce informazioni simili alle seguenti.
{ "BaselineId": "pb-0c10e65780EXAMPLE" }
Aggiornamento di una base di patch
Il seguente comando aggiunge due patch come rifiutate e una come approvata a una base di patch esistente.
Nota
Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Informazioni sui formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineId":"pb-0c10e65780EXAMPLE", "Name":"Windows-Server-2012R2", "RejectedPatches":[ "KB2032276", "MS10-048" ], "GlobalFilters":{ "PatchFilters":[ ] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1481001494.035, "CreatedDate":1480997823.81, "ApprovedPatches":[ "KB2124261" ], "Description":"Windows Server 2012 R2, Important and Critical security updates" }
Assegnazione di un nuovo nome a una base di patch
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineId":"pb-0c10e65780EXAMPLE", "Name":"Windows-Server-2012-R2-Important-and-Critical-Security-Updates", "RejectedPatches":[ "KB2032276", "MS10-048" ], "GlobalFilters":{ "PatchFilters":[ ] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1481001795.287, "CreatedDate":1480997823.81, "ApprovedPatches":[ "KB2124261" ], "Description":"Windows Server 2012 R2, Important and Critical security updates" }
Eliminazione di una base di patch
aws ssm delete-patch-baseline --baseline-id "pb-0c10e65780EXAMPLE"
Il sistema restituisce informazioni simili alle seguenti.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Elenco di tutte le basi di patch
aws ssm describe-patch-baselines
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" }, { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE" } ] }
Di seguito è mostrato un altro comando che elenca tutte le basi di patch in una Regione AWS.
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" }, { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE" } ] }
Elenco di tutte le basi di patch fornite da AWS
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" } ] }
Elenco di tutte le basi di patch personali
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineIdentities":[ { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE" } ] }
Visualizzazione di una base di patch
aws ssm get-patch-baseline --baseline-id pb-0c10e65780EXAMPLE
Nota
Per le basi di patch personalizzate, è possibile specificare l'ID della base di patch o l'Amazon Resource Name (ARN) completo. Per la base di patch fornita da AWS, è necessario specificare l'ARN completo. Ad esempio, arn:aws:ssm:us-east-2:075727635805:patchbaseline/pb-0c10e65780EXAMPLE.
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineId":"pb-0c10e65780EXAMPLE", "Name":"Windows-Server-2012R2", "PatchGroups":[ "Web Servers" ], "RejectedPatches":[ ], "GlobalFilters":{ "PatchFilters":[ ] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1480997823.81, "CreatedDate":1480997823.81, "ApprovedPatches":[ ], "Description":"Windows Server 2012 R2, Important and Critical security updates" }
Ottenimento della base di patch predefinita
aws ssm get-default-patch-baseline --region us-east-2
Il sistema restituisce informazioni simili alle seguenti.
{
"BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
Impostare una linea di base di patch personalizzata come impostazione predefinita
Il sistema restituisce informazioni simili alle seguenti.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Reimpostare una base di patch AWS come impostazione predefinita
Il sistema restituisce informazioni simili alle seguenti.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Tag di una base di patch
Elenca i tag di una base di patch.
Rimozione di un tag da una base di patch
Comandi AWS CLI per gruppi di patch
Comandi di esempio per gruppi di patch
- Creazione di un gruppo di patch
- Registrazione del gruppo di patch "server web" con una base di patch
- Registrazione di un gruppo di patch "Back-end" con le basi di patch fornite da AWS.
- Visualizzazione delle registrazioni dei gruppi di patch
- Annullamento della registrazione di un gruppo di patch da una base di patch
Creazione di un gruppo di patch
Per organizzare i tentativi di applicazione di patch, consigliamo di aggiungere nodi gestiti ai gruppi di patch utilizzando i tag, I gruppi di patch richiedono l'utilizzo della chiave di tag Patch Group o PatchGroup. Se sono presenti tag consentiti nei metadati dell'istanza EC2, è necessario utilizzare PatchGroup (senza spazio). Puoi specificare un valore tag qualsiasi, ma la chiave di tag deve essere Patch Group o PatchGroup. Per ulteriori informazioni sui gruppi di patch, consulta Informazioni sui gruppi di patch.
Dopo aver raggruppato i nodi gestiti utilizzando i tag, aggiungere il valore del gruppo di patch a una base di patch. Registrando il gruppo di patch con una base di patch, ci si assicura che vengano installate le patch corrette durante l'operazione di applicazione di patch.
Attività 1: aggiunta di istanze EC2 a un gruppo di patch mediante tag
Nota
Quando si utilizza la console Amazon Elastic Compute Cloud (Amazon EC2) e AWS CLI, è possibile applicare tag Key = Patch Group o Key = PatchGroup a istanze che non sono ancora configurate per l'utilizzo con Systems Manager. Se un'istanza EC2 che ti aspetti di vedere in Patch Manager non è elencata dopo aver applicato il tag Patch Group o Key = PatchGroup, consultare Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti per suggerimenti per la risoluzione dei problemi.
Eseguire il seguente comando per aggiungere il tag PatchGroup a un'istanza EC2.
aws ec2 create-tags --resources"i-1234567890abcdef0"--tags "Key=PatchGroup,Value=GroupValue"
Attività 2: aggiunta di nodi gestiti a un gruppo di patch mediante i tag
Eseguire il comando seguente per aggiungere il tag PatchGroup a un nodo gestito.
Attività 3: aggiunta di un gruppo di patch a una base di patch
Eseguire il comando seguente per associare il valore di tag PatchGroup alla base di patch specificata.
Il sistema restituisce informazioni simili alle seguenti.
{
"PatchGroup": "Development",
"BaselineId": "pb-0c10e65780EXAMPLE"
}
Registrazione del gruppo di patch "server web" con una base di patch
Il sistema restituisce informazioni simili alle seguenti.
{
"PatchGroup":"Web Servers",
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Registrazione di un gruppo di patch "Back-end" con le basi di patch fornite da AWS.
Il sistema restituisce informazioni simili alle seguenti.
{
"PatchGroup":"Backend",
"BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
Visualizzazione delle registrazioni dei gruppi di patch
aws ssm describe-patch-groups --region us-east-2
Il sistema restituisce informazioni simili alle seguenti.
{ "PatchGroupPatchBaselineMappings":[ { "PatchGroup":"Backend", "BaselineIdentity":{ "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":false, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" } }, { "PatchGroup":"Web Servers", "BaselineIdentity":{ "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":true, "BaselineDescription":"Windows Server 2012 R2, Important and Critical updates", "BaselineId":"pb-0c10e65780EXAMPLE" } } ] }
Annullamento della registrazione di un gruppo di patch da una base di patch
Il sistema restituisce informazioni simili alle seguenti.
{
"PatchGroup":"Production",
"BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
Comandi AWS CLI per visualizzare riepiloghi e dettagli delle patch
Comandi di esempio per la visualizzazione di riepiloghi e dettagli patch
- Ottenimento di tutte le patch definite da una base di patch
- Ottieni tutte le patch per Amazonlinux2018.03 che presentano una classificazione SECURITY e una gravitàCritical
- Ottieni tutte le patch per Windows Server 2012 che presentano una gravità MSRC pari a Critical
- Ottenimento di tutte le patch disponibili
- Ottenimento dello stati di riepilogo delle patch per nodo gestito
- Ottenimento dei dettagli di conformità delle patch per un nodo gestito
- Visualizzare i risultati della conformità delle patch (AWS CLI)
Ottenimento di tutte le patch definite da una base di patch
Nota
Questo comando è supportato solo per le basi di patch Windows Server
Il sistema restituisce informazioni simili alle seguenti.
{ "NextToken":"--token string truncated--", "EffectivePatches":[ { "PatchStatus":{ "ApprovalDate":1384711200.0, "DeploymentStatus":"APPROVED" }, "Patch":{ "ContentUrl":"https://support.microsoft.com/en-us/kb/2876331", "ProductFamily":"Windows", "Product":"WindowsServer2012R2", "Vendor":"Microsoft", "Description":"A security issue has been identified in a Microsoft software product that could affect your system. You can help protect your system by installing this update from Microsoft. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2012 R2 Preview (KB2876331)", "ReleaseDate":1384279200.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2876331", "MsrcNumber":"MS13-089", "Id":"e74ccc76-85f0-4881-a738-59e9fc9a336d" } }, { "PatchStatus":{ "ApprovalDate":1428858000.0, "DeploymentStatus":"APPROVED" }, "Patch":{ "ContentUrl":"https://support.microsoft.com/en-us/kb/2919355", "ProductFamily":"Windows", "Product":"WindowsServer2012R2", "Vendor":"Microsoft", "Description":"Windows Server 2012 R2 Update is a cumulative set of security updates, critical updates and updates. You must install Windows Server 2012 R2 Update to ensure that your computer can continue to receive future Windows Updates, including security updates. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article for more information. After you install this item, you may have to restart your computer.", "Classification":"SecurityUpdates", "Title":"Windows Server 2012 R2 Update (KB2919355)", "ReleaseDate":1428426000.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2919355", "MsrcNumber":"MS14-018", "Id":"8452bac0-bf53-4fbd-915d-499de08c338b" } } ---output truncated---
Ottieni tutte le patch per Amazonlinux2018.03 che presentano una classificazione SECURITY e una gravitàCritical
Il sistema restituisce informazioni simili alle seguenti.
{ "Patches": [ { "AdvisoryIds": ["ALAS-2011-1"], "BugzillaIds": [ "1234567" ], "Classification": "SECURITY", "CVEIds": [ "CVE-2011-3192"], "Name": "zziplib", "Epoch": "0", "Version": "2.71", "Release": "1.3.amzn1", "Arch": "i686", "Product": "AmazonLinux2018.03", "ReleaseDate": 1590519815, "Severity": "CRITICAL" } ] } ---output truncated---
Ottieni tutte le patch per Windows Server 2012 che presentano una gravità MSRC pari a Critical
Il sistema restituisce informazioni simili alle seguenti.
{ "Patches":[ { "ContentUrl":"https://support.microsoft.com/en-us/kb/2727528", "ProductFamily":"Windows", "Product":"WindowsServer2012", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2012 (KB2727528)", "ReleaseDate":1352829600.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2727528", "MsrcNumber":"MS12-072", "Id":"1eb507be-2040-4eeb-803d-abc55700b715" }, { "ContentUrl":"https://support.microsoft.com/en-us/kb/2729462", "ProductFamily":"Windows", "Product":"WindowsServer2012", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Microsoft .NET Framework 3.5 on Windows 8 and Windows Server 2012 for x64-based Systems (KB2729462)", "ReleaseDate":1352829600.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2729462", "MsrcNumber":"MS12-074", "Id":"af873760-c97c-4088-ab7e-5219e120eab4" } ---output truncated---
Ottenimento di tutte le patch disponibili
aws ssm describe-available-patches --region us-east-2
Il sistema restituisce informazioni simili alle seguenti.
{ "NextToken":"--token string truncated--", "Patches":[ { "ContentUrl":"https://support.microsoft.com/en-us/kb/2032276", "ProductFamily":"Windows", "Product":"WindowsServer2008R2", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2008 R2 x64 Edition (KB2032276)", "ReleaseDate":1279040400.0, "MsrcClassification":"Important", "Language":"All", "KbNumber":"KB2032276", "MsrcNumber":"MS10-043", "Id":"8692029b-a3a2-4a87-a73b-8ea881b4b4d6" }, { "ContentUrl":"https://support.microsoft.com/en-us/kb/2124261", "ProductFamily":"Windows", "Product":"Windows7", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows 7 (KB2124261)", "ReleaseDate":1284483600.0, "MsrcClassification":"Important", "Language":"All", "KbNumber":"KB2124261", "MsrcNumber":"MS10-065", "Id":"12ef1bed-0dd2-4633-b3ac-60888aa8ba33" } ---output truncated---
Ottenimento dello stati di riepilogo delle patch per nodo gestito
Il riepilogo dei nodi gestiti specifica il numero di istanze con le patch che presentano uno dei seguenti stati del nodo: "NotApplicable", "Missing", "Failed", "InstalledOther" e "Installed".
Il sistema restituisce informazioni simili alle seguenti.
{ "InstancePatchStates":[ { "InstanceId": "i-08ee91c0b17045407", "PatchGroup": "", "BaselineId": "pb-0c10e65780EXAMPLE", "SnapshotId": "6d03d6c5-f79d-41d0-8d0e-00a9aEXAMPLE", "InstalledCount": 50, "InstalledOtherCount": 353, "InstalledPendingRebootCount": 0, "InstalledRejectedCount": 0, "MissingCount": 0, "FailedCount": 0, "UnreportedNotApplicableCount": -1, "NotApplicableCount": 671, "OperationStartTime": "2020-01-24T12:37:56-08:00", "OperationEndTime": "2020-01-24T12:37:59-08:00", "Operation": "Scan", "RebootOption": "NoReboot" }, { "InstanceId": "i-09a618aec652973a9", "PatchGroup": "", "BaselineId": "pb-0c10e65780EXAMPLE", "SnapshotId": "c7e0441b-1eae-411b-8aa7-973e6EXAMPLE", "InstalledCount": 36, "InstalledOtherCount": 396, "InstalledPendingRebootCount": 0, "InstalledRejectedCount": 0, "MissingCount": 3, "FailedCount": 0, "UnreportedNotApplicableCount": -1, "NotApplicableCount": 420, "OperationStartTime": "2020-01-24T12:37:34-08:00", "OperationEndTime": "2020-01-24T12:37:37-08:00", "Operation": "Scan", "RebootOption": "NoReboot" } ---output truncated---
Ottenimento dei dettagli di conformità delle patch per un nodo gestito
aws ssm describe-instance-patches --instance-id i-08ee91c0b17045407
Il sistema restituisce informazioni simili alle seguenti.
{ "NextToken":"--token string truncated--", "Patches":[ { "Title": "bind-libs.x86_64:32:9.8.2-0.68.rc1.60.amzn1", "KBId": "bind-libs.x86_64", "Classification": "Security", "Severity": "Important", "State": "Installed", "InstalledTime": "2019-08-26T11:05:24-07:00" }, { "Title": "bind-utils.x86_64:32:9.8.2-0.68.rc1.60.amzn1", "KBId": "bind-utils.x86_64", "Classification": "Security", "Severity": "Important", "State": "Installed", "InstalledTime": "2019-08-26T11:05:32-07:00" }, { "Title": "dhclient.x86_64:12:4.1.1-53.P1.28.amzn1", "KBId": "dhclient.x86_64", "Classification": "Security", "Severity": "Important", "State": "Installed", "InstalledTime": "2019-08-26T11:05:31-07:00" }, ---output truncated---
Visualizzare i risultati della conformità delle patch (AWS CLI)
Per visualizzare i risultati della conformità delle patch per un singolo nodo gestito
Esegui il comando in AWS Command Line Interface(AWS CLI) per visualizzare i risultati della conformità delle patch per un singolo nodo gestito.
aws ssm describe-instance-patch-states --instance-idinstance-id
Sostituisci instance-id con l'ID del nodo gestito per il quale desideri visualizzare i risultati, nel formato i-02573cafcfEXAMPLE o mi-0282f7c436EXAMPLE.
Questo sistema restituisce informazioni simili alle seguenti.
{ "InstancePatchStates": [ { "InstanceId": "i-02573cafcfEXAMPLE", "PatchGroup": "mypatchgroup", "BaselineId": "pb-0c10e65780EXAMPLE", "SnapshotId": "a3f5ff34-9bc4-4d2c-a665-4d1c1EXAMPLE", "CriticalNonCompliantCount": 2, "SecurityNonCompliantCount": 2, "OtherNonCompliantCount": 1, "InstalledCount": 123, "InstalledOtherCount": 334, "InstalledPendingRebootCount": 0, "InstalledRejectedCount": 0, "MissingCount": 1, "FailedCount": 2, "UnreportedNotApplicableCount": 11, "NotApplicableCount": 2063, "OperationStartTime": "2021-05-03T11:00:56-07:00", "OperationEndTime": "2021-05-03T11:01:09-07:00", "Operation": "Scan", "LastNoRebootInstallOperationTime": "2020-06-14T12:17:41-07:00", "RebootOption": "RebootIfNeeded" } ] }
Per visualizzare un riepilogo del conteggio delle patch per tutte le istanze EC2 in una Regione
describe-instance-patch-states supporta il recupero dei risultati di una sola istanza gestita alla volta. Tuttavia, l'utilizzo di uno script personalizzato con describe-instance-patch-states, è possibile generare un report più granulare.
Ad esempio, se lo Strumento di filtro jqInstalledPendingReboot.
aws ssm describe-instance-patch-states \ --instance-ids $(aws ec2 describe-instances --regionregion| jq '.Reservations[].Instances[] | .InstanceId' | tr '\n|"' ' ') \ --output text --query 'InstancePatchStates[*].{Instance:InstanceId, InstalledPendingRebootCount:InstalledPendingRebootCount}'
region (regione) rappresenta l'identificatore di una Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco dei valori regione supportati, consulta la colonna Regione in Endpoint del servizio Systems Manager nella Riferimenti generali di Amazon Web Services.
Ad esempio:
aws ssm describe-instance-patch-states \ --instance-ids $(aws ec2 describe-instances --region us-east-2 | jq '.Reservations[].Instances[] | .InstanceId' | tr '\n|"' ' ') \ --output text --query 'InstancePatchStates[*].{Instance:InstanceId, InstalledPendingRebootCount:InstalledPendingRebootCount}'
Il sistema restituisce informazioni simili alle seguenti.
1 i-02573cafcfEXAMPLE 0 i-0471e04240EXAMPLE 3 i-07782c72faEXAMPLE 6 i-083b678d37EXAMPLE 0 i-03a530a2d4EXAMPLE 1 i-01f68df0d0EXAMPLE 0 i-0a39c0f214EXAMPLE 7 i-0903a5101eEXAMPLE 7 i-03823c2fedEXAMPLE
Oltre a InstalledPendingRebootCount, l'elenco dei tipi di conteggio che è possibile cercare include quanto segue:
-
CriticalNonCompliantCount -
SecurityNonCompliantCount -
OtherNonCompliantCount -
UnreportedNotApplicableCount -
InstalledPendingRebootCount -
FailedCount -
NotApplicableCount -
InstalledRejectedCount -
InstalledOtherCount -
MissingCount -
InstalledCount
Comandi AWS CLI per la scansione e l'applicazione di patch dei nodi gestiti
Dopo aver eseguito i seguenti comandi per verificare la conformità delle patch o installare le patch, è possibile utilizzare i comandi nella sezione Comandi AWS CLI per visualizzare riepiloghi e dettagli delle patch per visualizzare informazioni sullo stato della patch e sulla conformità.
Comandi di esempio
Scansione dei nodi gestiti per la conformità alle patch (AWS CLI)
Per eseguire la scansione di nodi gestiti specifici per la conformità delle patch
Esegui il seguente comando.
Il sistema restituisce informazioni simili alle seguenti.
{ "Command": { "CommandId": "a04ed06c-8545-40f4-87c2-a0babEXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621974475.267, "Parameters": { "Operation": [ "Scan" ] }, "InstanceIds": [], "Targets": [ { "Key": "InstanceIds", "Values": [ "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" ] } ], "RequestedDateTime": 1621952275.267, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
Per analizzare i nodi gestiti per verificare la conformità delle patch in base al tag del gruppo
Esegui il seguente comando.
Il sistema restituisce informazioni simili alle seguenti.
{ "Command": { "CommandId": "87a448ee-8adc-44e0-b4d1-6b429EXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621974983.128, "Parameters": { "Operation": [ "Scan" ] }, "InstanceIds": [], "Targets": [ { "Key": "tag:PatchGroup", "Values": [ "Web servers" ] } ], "RequestedDateTime": 1621952783.128, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
Installazione di patch sui nodi gestiti (AWS CLI)
Per installare patch su nodi gestiti specifici
Esegui il seguente comando.
Nota
I nodi gestiti di destinazione si riavviano in base alle necessità per completare l'installazione della patch. Per ulteriori informazioni, consulta Informazioni sul documento SSM AWS-RunPatchBaseline.
Il sistema restituisce informazioni simili alle seguenti.
{ "Command": { "CommandId": "5f403234-38c4-439f-a570-93623EXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621975301.791, "Parameters": { "Operation": [ "Install" ] }, "InstanceIds": [], "Targets": [ { "Key": "InstanceIds", "Values": [ "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" ] } ], "RequestedDateTime": 1621953101.791, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
Per installare patch su nodi gestiti in un gruppo di patch specifico
Esegui il seguente comando.
Il sistema restituisce informazioni simili alle seguenti.
{ "Command": { "CommandId": "fa44b086-7d36-4ad5-ac8d-627ecEXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621975407.865, "Parameters": { "Operation": [ "Install" ] }, "InstanceIds": [], "Targets": [ { "Key": "tag:PatchGroup", "Values": [ "Web servers" ] } ], "RequestedDateTime": 1621953207.865, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
