Identificazione di nodi gestiti non conformi

Out-of-compliance i nodi gestiti vengono identificati quando viene eseguito uno dei due AWS Systems Manager SSM documenti (documenti). Questi SSM documenti fanno riferimento alla linea di base delle patch appropriata per ogni nodo gestito in Patch Manager, una capacità di. AWS Systems Manager Essi valutano quindi lo stato della patch del nodo gestito e quindi rendono disponibili i risultati di conformità.

Esistono due SSM documenti che vengono utilizzati per identificare o aggiornare i nodi gestiti non conformi: e. AWS-RunPatchBaseline AWS-RunPatchBaselineAssociation Ognuno di essi è utilizzato da processi diversi e i risultati di conformità sono disponibili attraverso diversi canali. La tabella seguente illustra le differenze tra questi documenti.

Nota

Aggiorna i dati di conformità da Patch Manager può essere inviato a AWS Security Hub. Security Hub offre una visione completa degli avvisi di sicurezza ad alta priorità e dello stato di conformità. Monitora anche lo stato di applicazione delle patch del tuo parco istanze. Per ulteriori informazioni, consulta Integrazione Patch Manager con AWS Security Hub.

	`AWS-RunPatchBaseline`	`AWS-RunPatchBaselineAssociation`
Processi che utilizzano il documento	Patch on demand - È possibile eseguire la scansione o applicare patch sui nodi gestiti su richiesta utilizzando l'opzione Applica patch ora. Per informazioni, consultare Patching dei nodi gestiti on demand. Systems Manager Quick Setup politiche di patch: è possibile creare una configurazione di patch in Quick Setup, una funzionalità di AWS Systems Manager, che consente di ricercare o installare le patch mancanti in base a pianificazioni separate per un'intera organizzazione, un sottoinsieme di unità organizzative o una singola. Account AWS Per informazioni, consultare Configurare l'applicazione di patch per le istanze in un'organizzazione utilizzando Quick Setup. Esecuzione di un comando: è possibile eseguire manualmente un'operazione `AWS-RunPatchBaseline` in Run Command, una capacità di AWS Systems Manager. Per informazioni, consultare Esecuzione di comandi dalla console. Finestra di manutenzione: è possibile creare una finestra di manutenzione che utilizzi il SSM documento `AWS-RunPatchBaseline` in un Run Command tipo di attività. Per informazioni, consultare Tutorial: creare una finestra di manutenzione per l'applicazione delle patch utilizzando la console.	Systems Manager Quick Setup Gestione dell'host: è possibile abilitare un'opzione di configurazione della gestione degli host in Quick Setup per scansionare ogni giorno le istanze gestite per verificare la conformità delle patch. Per informazioni, consultare Configura la gestione EC2 dell'host Amazon utilizzando Quick Setup. Systems Manager Explorer— Quando lo consentite Explorer, una funzionalità di AWS Systems Manager, analizza regolarmente le istanze gestite per verificare la conformità delle patch e riporta i risultati Explorer dashboard.
Formato dei dati dei risultati della scansione delle patch	Dopo le `AWS-RunPatchBaseline` corse, Patch Manager invia un `AWS:PatchSummary` oggetto a Inventory, una capacità di AWS Systems Manager.	Dopo le `AWS-RunPatchBaselineAssociation` corse, Patch Manager invia un `AWS:ComplianceItem` oggetto a Systems Manager Inventory.
Visualizzazione di report di conformità delle patch nella console	È possibile visualizzare le informazioni sulla conformità delle patch per i processi che utilizzano `AWS-RunPatchBaseline` in Conformità della configurazione di Systems Manager e Lavorare con nodi gestiti. Per ulteriori informazioni, consulta Visualizzazione dei risultati di conformità delle patch.	Se si utilizza Quick Setup per eseguire la scansione delle istanze gestite per verificare la conformità delle patch, è possibile visualizzare il rapporto di conformità in Systems Manager Fleet Manager. Nel Fleet Manager console, scegli l'ID del nodo gestito. Nel menu Generale, scegli Conformità alla configurazione. Se usi Explorer per analizzare le istanze gestite per verificare la conformità delle patch, puoi visualizzare il rapporto di conformità in entrambe Explorer e Systems Manager OpsCenter.
AWS CLI comandi per la visualizzazione dei risultati di conformità delle patch	Per i processi che utilizzano`AWS-RunPatchBaseline`, è possibile utilizzare i seguenti AWS CLI comandi per visualizzare informazioni di riepilogo sulle patch su un nodo gestito. describe-instance-patch-states describe-instance-patch-states-for-patch-group describe-patch-group-state	Per i processi che utilizzano`AWS-RunPatchBaselineAssociation`, è possibile utilizzare il AWS CLI comando seguente per visualizzare informazioni di riepilogo sulle patch su un'istanza. list-compliance-items
Informazioni sull'applicazione delle patch	Per i processi che utilizzano `AWS-RunPatchBaseline`, si specifica se si desidera che l'operazione esegua solo un'operazione `Scan` o un'operazione `Scan and install`. Se il tuo obiettivo è identificare i nodi gestiti non conformi e non correggerli, esegui solo un'operazione `Scan`.	Quick Setup e Explorer i processi che utilizzano `AWS-RunPatchBaselineAssociation` eseguono solo un'`Scan`operazione.
Ulteriori informazioni	SSMDocumento di comando per l'applicazione di patch: AWS-RunPatchBaseline	SSMDocumento di comando per l'applicazione di patch: AWS-RunPatchBaselineAssociation

Per informazioni sui vari stati di conformità delle patch che potrebbero essere riportati, consulta Valori dello stato di conformità delle patch

Per informazioni sulla correzione dei nodi gestiti che non rispettano la conformità delle patch, consulta Applicazione di patch a nodi gestiti non conformi.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Correzione dei nodi gestiti non conformi

Valori dello stato di conformità delle patch