Identificazione di nodi gestiti non conformi

Out-of-compliance i nodi gestiti vengono identificati quando uno dei due AWS Systems Manager documenti (documenti SSM) viene eseguito. Questi documenti SSM fanno riferimento alla patch di base appropriata per ogni nodo gestito in Patch Manager, uno strumento in. AWS Systems Manager Essi valutano quindi lo stato della patch del nodo gestito e quindi rendono disponibili i risultati di conformità.

Esistono due documenti SSM utilizzati per identificare o aggiornare nodi gestiti non conformi: AWS-RunPatchBaseline e AWS-RunPatchBaselineAssociation. Ognuno di essi è utilizzato da processi diversi e i risultati di conformità sono disponibili attraverso diversi canali. La tabella seguente illustra le differenze tra questi documenti.

Nota

Aggiorna i dati di conformità da Patch Manager può essere inviato a AWS Security Hub. Security Hub offre una visione completa degli avvisi di sicurezza ad alta priorità e dello stato di conformità. Monitora anche lo stato di applicazione di patch del parco istanze. Per ulteriori informazioni, consulta Integrazione Patch Manager con AWS Security Hub.

	`AWS-RunPatchBaseline`	`AWS-RunPatchBaselineAssociation`
Processi che utilizzano il documento	Patch on demand - È possibile eseguire la scansione o applicare patch sui nodi gestiti su richiesta utilizzando l'opzione Applica patch ora. Per informazioni, consultare Patching dei nodi gestiti on demand. Systems Manager Quick Setup politiche di patch: è possibile creare una configurazione di applicazione delle patch in Quick Setup, uno strumento in AWS Systems Manager grado di ricercare o installare le patch mancanti in base a pianificazioni separate per un'intera organizzazione, un sottoinsieme di unità organizzative o una singola. Account AWS Per informazioni, consultare Configurare l'applicazione di patch per le istanze in un'organizzazione utilizzando Quick Setup. Esecuzione di un comando: è possibile eseguire manualmente un'operazione `AWS-RunPatchBaseline` in Run Command, uno strumento in AWS Systems Manager. Per informazioni, consultare Esecuzione di comandi dalla console. Finestra di manutenzione: è possibile creare una finestra di manutenzione che utilizza il documento SSM `AWS-RunPatchBaseline` in un Run Command tipo di attività. Per informazioni, consultare Tutorial: creazione di una finestra di manutenzione per l'applicazione di patch tramite console.	Systems Manager Quick Setup Gestione dell'host: è possibile abilitare un'opzione di configurazione della gestione degli host in Quick Setup per scansionare ogni giorno le istanze gestite per verificare la conformità delle patch. Per informazioni, consultare Configura la gestione EC2 dell'host Amazon utilizzando Quick Setup. Systems Manager Explorer— Quando lo consentite Explorer, uno strumento che analizza regolarmente le istanze gestite per verificare la conformità delle patch e riporta i risultati AWS Systems ManagerExplorer dashboard.
Formato dei dati dei risultati della scansione delle patch	Dopo le `AWS-RunPatchBaseline` corse, Patch Manager invia un `AWS:PatchSummary` oggetto a Inventory, uno strumento in AWS Systems Manager.	Dopo le `AWS-RunPatchBaselineAssociation` corse, Patch Manager invia un `AWS:ComplianceItem` oggetto a Systems Manager Inventory.
Visualizzazione di report di conformità delle patch nella console	È possibile visualizzare le informazioni sulla conformità delle patch per i processi che utilizzano `AWS-RunPatchBaseline` in Conformità della configurazione di Systems Manager e Utilizzo dei nodi gestiti. Per ulteriori informazioni, consulta Visualizzazione dei risultati di conformità delle patch.	Se si utilizza Quick Setup per eseguire la scansione delle istanze gestite per verificare la conformità delle patch, è possibile visualizzare il rapporto di conformità in Systems Manager Fleet Manager. Nel Fleet Manager console, scegli l'ID del nodo gestito. Nel menu Generale, scegli Conformità alla configurazione. Se si utilizza Explorer per scansionare le istanze gestite per verificare la conformità delle patch, puoi visualizzare il rapporto di conformità in entrambe Explorer e Systems Manager OpsCenter.
AWS CLI comandi per la visualizzazione dei risultati di conformità delle patch	Per i processi che utilizzano`AWS-RunPatchBaseline`, è possibile utilizzare i seguenti AWS CLI comandi per visualizzare informazioni di riepilogo sulle patch su un nodo gestito. describe-instance-patch-states describe-instance-patch-states-for-patch-group describe-patch-group-state	Per i processi che utilizzano`AWS-RunPatchBaselineAssociation`, è possibile utilizzare il AWS CLI comando seguente per visualizzare informazioni di riepilogo sulle patch su un'istanza. list-compliance-items
Informazioni sull'applicazione di patch	Per i processi che utilizzano `AWS-RunPatchBaseline`, si specifica se si desidera che l'operazione esegua solo un'operazione `Scan` o un'operazione `Scan and install`. Se il tuo obiettivo è identificare i nodi gestiti non conformi e non correggerli, esegui solo un'operazione `Scan`.	Quick Setup e Explorer i processi, che utilizzano`AWS-RunPatchBaselineAssociation`, eseguono solo un'`Scan`operazione.
Ulteriori informazioni	Documento di comando SSM per l'applicazione di patch: AWS-RunPatchBaseline	Documento di comando SSM per l'applicazione di patch: AWS-RunPatchBaselineAssociation

Per informazioni sui vari stati di conformità delle patch che potrebbero essere riportati, consulta Valori dello stato di conformità delle patch

Per informazioni sulla correzione dei nodi gestiti che non rispettano la conformità delle patch, consulta Applicazione di patch a nodi gestiti non conformi.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Correzione dei nodi gestiti non conformi

Valori dello stato di conformità delle patch