翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
非準拠のマネージドノードの識別
O ut-of-compliance マネージドノードは、2 つの AWS Systems Manager ドキュメント (SSM ドキュメント) のいずれかが実行されたときに識別されます。このような SSM ドキュメントにより、AWS Systems Manager の一機能である Patch Manager で各マネージドノードに対する適切なパッチベースラインをリファレンスします。次に、マネージドノードのパッチ状態を評価すると、コンプライアンス結果を利用できるようになります。
非準拠のマネージドノードを識別または更新するために使用される 2 つの SSM ドキュメントは、AWS-RunPatchBaseline
と AWS-RunPatchBaselineAssociation
です。各ドキュメントは異なるプロセスで使用され、そのコンプライアンス結果は異なるチャネルを通じて入手できます。次の表に、これらのドキュメントの違いについて説明します。
注記
Patch Manager からパッチコンプライアンスデータを AWS Security Hub に送信できます Security Hub では、高優先度のセキュリティアラートとコンプライアンス状況を包括的に確認できます。また、フリートのパッチ適用状況も監視できます。詳細については、「」を参照してくださいPatch Managerと AWS Security Hub の統合
AWS-RunPatchBaseline |
AWS-RunPatchBaselineAssociation |
|
---|---|---|
ドキュメントを使用するプロセス |
オンデマンドでパッチ - [Patch now] (今すぐパッチ) オプションを使用して、オンデマンドでマネージドノードをスキャンするか、インスタンスにパッチを適用できます。詳細については、マネージドノードへのオンデマンド パッチ適用 を参照してください。 Systems Manager Quick Setup パッチポリシー – 組織全体、組織単位の一部、または 1 つの AWS アカウント に対して、未適用のパッチがないかのスキャンと未適用のパッチのインストールを別々のスケジュールで実行できるパッチ適用設定を AWS Systems Manager の一機能である Quick Setup で作成できます。詳細については、Patch Manager 組織パッチ適用設定 を参照してください。 コマンドを実行する – AWS Systems Manager の一機能である Run Command 内のオペレーションで メンテナンスウィンドウ – Run Command タスクタイプの SSM ドキュメント |
Systems Manager Quick Setup ホスト管理 – Quick Setup でホスト管理設定オプションを有効にすると、マネージインスタンスを毎日スキャンしてパッチコンプライアンスを確認できます。詳細については、Amazon EC2 ホスト管理 を参照してください。 Systems Manager Explorer – AWS Systems Manager の一機能である Explorer を許可すると、マネージドインスタンスを定期的にスキャンしてパッチコンプライアンスと検出結果を Explorer ダッシュボードに表示できます。 |
パッチスキャン結果データの形式 |
|
|
コンソールでのパッチコンプライアンスレポートの表示 |
Systems Manager Configuration Compliance および |
Quick Setup を使用してマネージドインスタンスをスキャンしてパッチコンプライアンスを確認する場合、[Systems Manager State Manager] でコンプライアンスレポートを表示できます。このレポートには、Quick Setup の [View results (結果の表示)] ボタンを使用するとアクセスできます。 Explorer を使用してマネージドインスタンスをスキャンしてパッチコンプライアンスを確認する場合、Explorer と「Systems Manager OpsCenter」の両方でコンプライアンスレポートを表示できます。 |
AWS CLIパッチコンプライアンス結果を表示するための コマンド |
|
|
パッチ適用オペレーション |
非準拠のマネージドノードを識別し、それらを修正しないことを目標とする場合は、 |
AWS-RunPatchBaselineAssociation を使用する Quick Setup および Explorer プロセスの場合は、Scan オペレーションのみを実行します。 |
詳細情報 |
レポートされる可能性のあるさまざまなパッチコンプライアンス状態については、「パッチコンプライアンス状態の値について」を参照してください。
パッチコンプライアンスに違反しているマネージドノードの修正については、「非準拠マネージドノードへのパッチ適用」を参照してください。