非準拠のマネージドノードの識別

O ut-of-compliance マネージドノードは、2 つの AWS Systems Manager ドキュメント (SSM ドキュメント) のいずれかが実行されたときに識別されます。このような SSM ドキュメントにより、AWS Systems Manager の一機能である Patch Manager で各マネージドノードに対する適切なパッチベースラインをリファレンスします。次に、マネージドノードのパッチ状態を評価すると、コンプライアンス結果を利用できるようになります。

非準拠のマネージドノードを識別または更新するために使用される 2 つの SSM ドキュメントは、AWS-RunPatchBaseline と AWS-RunPatchBaselineAssociation です。各ドキュメントは異なるプロセスで使用され、そのコンプライアンス結果は異なるチャネルを通じて入手できます。次の表に、これらのドキュメントの違いについて説明します。

注記

Patch Manager からパッチコンプライアンスデータを AWS Security Hub に送信できます Security Hub では、高優先度のセキュリティアラートとコンプライアンス状況を包括的に確認できます。また、フリートのパッチ適用状況も監視できます。詳細については、「」を参照してくださいPatch Managerと AWS Security Hub の統合

	`AWS-RunPatchBaseline`	`AWS-RunPatchBaselineAssociation`
ドキュメントを使用するプロセス	オンデマンドでパッチ - [Patch now] (今すぐパッチ) オプションを使用して、オンデマンドでマネージドノードをスキャンするか、インスタンスにパッチを適用できます。詳細については、マネージドノードへのオンデマンドパッチ適用を参照してください。 Systems Manager Quick Setup パッチポリシー – 組織全体、組織単位の一部、または 1 つの AWS アカウントに対して、未適用のパッチがないかのスキャンと未適用のパッチのインストールを別々のスケジュールで実行できるパッチ適用設定を AWS Systems Manager の一機能である Quick Setup で作成できます。詳細については、Patch Manager 組織パッチ適用設定を参照してください。コマンドを実行する – AWS Systems Manager の一機能である Run Command 内のオペレーションで `AWS-RunPatchBaseline` を手動で実行できます。詳細については、コンソールからコマンドを実行するを参照してください。メンテナンスウィンドウ – Run Command タスクタイプの SSM ドキュメント `AWS-RunPatchBaseline` を使用するメンテナンスウィンドウを作成できます。詳細については、チュートリアル: パッチ適用向けのメンテナンスウィンドウの作成 (コンソール) を参照してください。	Systems Manager Quick Setup ホスト管理 – Quick Setup でホスト管理設定オプションを有効にすると、マネージインスタンスを毎日スキャンしてパッチコンプライアンスを確認できます。詳細については、Amazon EC2 ホスト管理を参照してください。 Systems Manager Explorer – AWS Systems Manager の一機能である Explorer を許可すると、マネージドインスタンスを定期的にスキャンしてパッチコンプライアンスと検出結果を Explorer ダッシュボードに表示できます。
パッチスキャン結果データの形式	`AWS-RunPatchBaseline` の実行後、Patch Manager は AWS Systems Manager の一機能である Inventory に `AWS:PatchSummary` オブジェクトを送信します。	`AWS-RunPatchBaselineAssociation` の実行後、Patch Manager は `AWS:ComplianceItem` オブジェクトをSystems Manager Inventory に送信します。
コンソールでのパッチコンプライアンスレポートの表示	Systems Manager Configuration Compliance および `AWS-RunPatchBaseline` でマネージドノードの使用を使用するプロセスのパッチコンプライアンス情報を表示できます。詳細については、「パッチコンプライアンス結果の表示」を参照してください。	Quick Setup を使用してマネージドインスタンスをスキャンしてパッチコンプライアンスを確認する場合、[Systems Manager State Manager] でコンプライアンスレポートを表示できます。このレポートには、Quick Setup の [View results (結果の表示)] ボタンを使用するとアクセスできます。 Explorer を使用してマネージドインスタンスをスキャンしてパッチコンプライアンスを確認する場合、Explorer と「Systems Manager OpsCenter」の両方でコンプライアンスレポートを表示できます。
AWS CLIパッチコンプライアンス結果を表示するためのコマンド	`AWS-RunPatchBaseline` を使用するプロセスの場合、次の AWS CLI コマンドを使用して、マネージドノードのパッチに関する概要情報を表示できます。 describe-instance-patch-states describe-instance-patch-states-for-patch-group describe-patch-group-state	`AWS-RunPatchBaselineAssociation` を使用するプロセスの場合、次の AWS CLI コマンドを使用して、インスタンスのパッチに関する概要情報を表示できます。 list-compliance-items
パッチ適用オペレーション	`AWS-RunPatchBaseline` を使用するプロセスの場合、オペレーションで `Scan` オペレーションのみを実行するか、`Scan and install` オペレーションを実行するかを指定します。非準拠のマネージドノードを識別し、それらを修正しないことを目標とする場合は、`Scan` オペレーションのみを実行します。	`AWS-RunPatchBaselineAssociation` を使用する Quick Setup および Explorer プロセスの場合は、`Scan` オペレーションのみを実行します。
詳細情報	AWS-RunPatchBaseline SSM ドキュメントについて	AWS-RunPatchBaselineAssociation SSM ドキュメントについて

レポートされる可能性のあるさまざまなパッチコンプライアンス状態については、「パッチコンプライアンス状態の値について」を参照してください。

パッチコンプライアンスに違反しているマネージドノードの修正については、「非準拠マネージドノードへのパッチ適用」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

非準拠のマネージドノードの修復

パッチコンプライアンス状態の値について