.csv パッチコンプライアンスレポートの生成 - AWS Systems Manager

.csv パッチコンプライアンスレポートの生成

AWS Systems Manager コンソールを使用して、任意の Amazon Simple Storage Service (Amazon S3) バケットに .csv ファイルとして保存されるパッチコンプライアンスレポートを生成できます。オンデマンドレポートを 1 つだけ生成することも、レポートを自動的に生成するスケジュールを指定することもできます。

レポートは、単一のマネージドノードに対して、または選択した AWS アカウント および AWS リージョン のすべてのマネージドノードに対して生成することができます。単一のノードの場合、レポートには、非準拠のノードに関連するパッチの ID など、包括的な詳細が含まれます。すべてのマネージドノードに関するレポートでは、非準拠ノードのパッチ概要情報と数のみが表示されます。

レポートが生成されたら、Amazon QuickSight などのツールを使用してデータをインポートおよび分析できます。Amazon QuickSight は、インタラクティブなビジュアル環境で情報を探索および解釈するために使用できるビジネスインテリジェンス (BI) サービスです。詳細については、「Amazon QuickSight ユーザーガイド」を参照してください。

注記

カスタムのパッチベースラインを作成する場合、そのパッチベースラインによって承認されたパッチのコンプライアンスの重要度レベル (Critical または High など) を指定できます。承認された任意のパッチのパッチ状態が Missing と報告された場合、パッチベースラインで報告される全体的なコンプライアンスの重要度は、指定した重要度レベルになります。

レポートが生成されたときに通知を送信するために使用する Amazon Simple Notification Service (Amazon SNS) トピックを指定することもできます。

パッチコンプライアンスレポートを生成するためのサービスロール

レポートを初めて生成する場合、Systems Manager は、S3 へのエクスポートプロセスに使用する AWS-SystemsManager-PatchSummaryExportRole という名前のオートメーション仮定ロールを作成します。

注記

コンプライアンスデータを暗号化された S3 バケットにエクスポートする場合は、関連する AWS KMS キーポリシーを更新して、AWS-SystemsManager-PatchSummaryExportRole に必要な許可を与える必要があります。例えば、S3 バケットの AWS KMS ポリシーに次のような許可を追加してください。

{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "role-arn" }

role-arn を、アカウントで作成した Amazon リソースネーム (ARN) に、arn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole 形式で置き換えます。

詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS KMS でのキーポリシー」を参照してください。

スケジュールに基づいてレポートを初めて生成する際に、Systems Manager は、エクスポートプロセスに使用するサービスロール AWS-SystemsManager-PatchSummaryExportRole (まだ作成されていない場合) とともに、AWS-EventBridge-Start-SSMAutomationRole という名前の別のサービスロールを作成します。AWS-EventBridge-Start-SSMAutomationRole は、Amazon EventBridge を有効にしてランブック AWS-ExportPatchReportToS3 を使用してオートメーションを開始できるようにします。

これらのポリシーとロールを変更することはお勧めしません。変更することにより、パッチコンプライアンスレポートの生成が失敗する可能性があります。詳細については、「」を参照してくださいパッチコンプライアンスレポートの生成のトラブルシューティング

生成されたパッチコンプライアンスレポートには何が含まれていますか?

このトピックでは、指定された S3 バケットに生成およびダウンロードされるパッチコンプライアンスレポートに含まれるコンテンツの種類について説明します。

単一のマネージドノードノードについて生成されるレポートには、概要情報と詳細情報の両方が含まれています。

[Download a sample report (single node)] (サンプルレポートをダウンロードする (単一ノード))

単一マネージドノードの概要情報には、次の情報が含まれます。

  • [Index] (インデックス)

  • インスタンス ID

  • Instance name

  • インスタンス IP

  • プラットフォーム名

  • プラットフォームバージョン

  • SSM Agent バージョン

  • パッチベースライン

  • パッチグループ

  • コンプライアンス状況

  • コンプライアンスの重要度

  • 非準拠のパッチ数 (重大)

  • 非準拠のパッチ数 (高)

  • 非準拠のパッチ数 (中)

  • 非準拠のパッチ数 (低)

  • 非準拠のパッチ数 (情報)

  • 非準拠のパッチ数 (指定なし)

単一マネージドノードの詳細情報には、次の情報が含まれます。

  • [Index] (インデックス)

  • インスタンス ID

  • Instance name

  • パッチ名

  • KB ID/パッチ ID

  • パッチ状態

  • 最終レポート時刻

  • コンプライアンスレベル

  • パッチの重大度

  • パッチの分類

  • CVE ID

  • パッチベースライン

  • ログ URL

  • インスタンス IP

  • プラットフォーム名

  • プラットフォームバージョン

  • SSM Agent バージョン

注記

カスタムのパッチベースラインを作成する場合、そのパッチベースラインによって承認されたパッチのコンプライアンスの重要度レベル (Critical または High など) を指定できます。承認された任意のパッチのパッチ状態が Missing と報告された場合、パッチベースラインで報告される全体的なコンプライアンスの重要度は、指定した重要度レベルになります。

すべてのマネージドノードについて生成されたレポートには、概要情報のみが含まれています。

[Download a sample report (all managed nodes)] (サンプルレポートをダウンロードする (すべてのマネージドノード))

すべてのマネージドノードの概要情報には、次の情報が含まれます。

  • [Index] (インデックス)

  • インスタンス ID

  • Instance name

  • インスタンス IP

  • プラットフォーム名

  • プラットフォームバージョン

  • SSM Agent バージョン

  • パッチベースライン

  • パッチグループ

  • コンプライアンス状況

  • コンプライアンスの重要度

  • 非準拠のパッチ数 (重大)

  • 非準拠のパッチ数 (高)

  • 非準拠のパッチ数 (中)

  • 非準拠のパッチ数 (低)

  • 非準拠のパッチ数 (情報)

  • 非準拠のパッチ数 (指定なし)

単一マネージドノードのパッチコンプライアンスレポートの生成

AWS アカウント の単一マネージドノードのパッチ概要レポートを生成するには、以下の手順を実行します。単一マネージドノードのレポートには、コンプライアンス違反の各パッチの詳細 (パッチ名やIDなど) が表示されます。

単一マネージドノードのパッチコンプライアンスレポートを生成するには
  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Patch Manager] を選択します。

    -または-

    AWS Systems Manager ホームページを最初に開く場合は、メニューアイコン ( The menu icon ) を選択してナビゲーションペインを開き、[Patch Manager] を選択します。

  3. [Compliance reporting] (コンプライアンスレポート) タブを選択します。

  4. レポートを生成するマネージドノードの行のボタンを選択し、[View detail] (詳細の表示) を選択します。

  5. [Patch summary] (パッチの概要) セクションで、[Export to S3] (S3 へのエクスポート) を選択します。

  6. [Report name] (レポート名) で、後でレポートを識別しやすくするための名前を入力します。

  7. [Reporting frequency] (レポートの頻度) で、次のいずれかを選択します。

    • オンデマンド – 1 回限りのレポートを作成します。ステップ 9 に進みます。

    • スケジュール – レポートを自動的に生成する定期的なスケジュールを指定します。ステップ 8 に進みます。

  8. [Schedule type] (スケジュールタイプ) で、3 日ごとなどのレート式を指定するか、または cron 式を指定してレポートの頻度を設定します。

    cron 式の詳細については、「リファレンス: Systems Manager の Cron 式および rate 式」を参照してください。

  9. [Bucket name] (バケット名) で、.csv レポートファイルを保存する S3 バケットの名前を選択します。

    重要

    2019 年 3 月 20 日以降に立ち上げられた AWS リージョン で作業している場合は、同じリージョンで S3 バケットを選択する必要があります。その日付以降に立ち上げられたリージョンは、デフォルトでは無効になっています。これらのリージョンの詳細およびリストについては、「Amazon Web Services 全般のリファレンス」の「リージョンの有効化」を参照してください。

  10. (オプション) レポートの生成時に通知を送信するには、[SNS topic] (SNS トピック) セクションを消費して、[SNS topic Amazon Resource Name (ARN)] (SNS トピック Amazon リソースネーム (ARN)) から既存の Amazon SNS トピックを選択します。

  11. [Submit] (送信) をクリックします。

生成されたレポートの履歴の表示については、「パッチコンプライアンスレポートの履歴の表示」を参照してください。

作成したレポートスケジュールの詳細を表示する方法については、「パッチコンプライアンスレポートのスケジュールの表示」を参照してください。

すべてのマネージドノードのパッチコンプライアンスレポートの生成

AWS アカウント のすべてのマネージドノードのパッチ概要レポートを生成するには、以下の手順を実行します。すべてのマネージドノードのレポートには、どのノードがコンプライアンス違反であるか、非準拠のパッチの数が表示されます。パッチの名前やその他の識別子は提供しません。これらの追加の詳細情報を確認するには、単一のマネージドノードのパッチコンプライアンスレポートを生成できます。詳細については、このトピックの前半の「単一マネージドノードのパッチコンプライアンスレポートの生成」を参照してください。

すべてのマネージドノードのパッチコンプライアンスレポートを生成するには
  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Patch Manager] を選択します。

    -または-

    AWS Systems Manager ホームページを最初に開く場合は、メニューアイコン ( The menu icon ) を選択してナビゲーションペインを開き、[Patch Manager] を選択します。

  3. [Compliance reporting] (コンプライアンスレポート) タブを選択します。

  4. [Export to S3] (S3 へのエクスポート) を選択します。(最初にノード ID を選択しないでください。)

  5. [Report name] (レポート名) で、後でレポートを識別しやすくするための名前を入力します。

  6. [Reporting frequency] (レポートの頻度) で、次のいずれかを選択します。

    • オンデマンド – 1 回限りのレポートを作成します。ステップ 8 に進みます。

    • スケジュール – レポートを自動的に生成する定期的なスケジュールを指定します。ステップ 7 に進みます。

  7. [Schedule type] (スケジュールタイプ) で、3 日ごとなどのレート式を指定するか、または cron 式を指定してレポートの頻度を設定します。

    cron 式の詳細については、「リファレンス: Systems Manager の Cron 式および rate 式」を参照してください。

  8. [Bucket name] (バケット名) で、.csv レポートファイルを保存する S3 バケットの名前を選択します。

    重要

    2019 年 3 月 20 日以降に立ち上げられた AWS リージョン で作業している場合は、同じリージョンで S3 バケットを選択する必要があります。その日付以降に立ち上げられたリージョンは、デフォルトでは無効になっています。これらのリージョンの詳細およびリストについては、「Amazon Web Services 全般のリファレンス」の「リージョンの有効化」を参照してください。

  9. (オプション) レポートの生成時に通知を送信するには、[SNS topic] (SNS トピック) セクションを消費して、[SNS topic Amazon Resource Name (ARN)] (SNS トピック Amazon リソースネーム (ARN)) から既存の Amazon SNS トピックを選択します。

  10. [Submit] (送信) をクリックします。

生成されたレポートの履歴の表示については、「パッチコンプライアンスレポートの履歴の表示」を参照してください。

作成したレポートスケジュールの詳細を表示する方法については、「パッチコンプライアンスレポートのスケジュールの表示」を参照してください。

パッチコンプライアンスレポートの履歴の表示

このトピックの情報は、 で生成されたパッチコンプライアンスレポートの詳細を表示するのに役立ちますAWS アカウント

パッチコンプライアンスのレポート履歴を表示するには
  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Patch Manager] を選択します。

    -または-

    AWS Systems Manager ホームページを最初に開く場合は、メニューアイコン ( The menu icon ) を選択してナビゲーションペインを開き、[Patch Manager] を選択します。

  3. [Compliance reporting] (コンプライアンスレポート) タブを選択します。

  4. [View all S3 exports] (すべての S3 エクスポートを表示) を選択し、[Export history] (エクスポート履歴) タブを選択します。

パッチコンプライアンスレポートのスケジュールの表示

このトピックの情報は、 で作成されるパッチコンプライアンスレポートのスケジュールの詳細を表示するのに役立ちますAWS アカウント

パッチコンプライアンスのレポート履歴を表示するには
  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Patch Manager] を選択します。

    -または-

    AWS Systems Manager ホームページを最初に開く場合は、メニューアイコン ( The menu icon ) を選択してナビゲーションペインを開き、[Patch Manager] を選択します。

  3. [Compliance reporting] (コンプライアンスレポート) タブを選択します。

  4. [View all S3 exports] (すべての S3 エクスポートを表示) を選択し、[Scheduled report] (スケジュールされたレポート) タブを選択します。

パッチコンプライアンスレポートの生成のトラブルシューティング

以下の情報は、AWS Systems Manager の一機能である Patch Manager でパッチコンプライアンスレポートを生成する際に発生する問題のトラブルシューティングに役立ちます。

AWS-SystemsManager-PatchManagerExportRolePolicy ポリシーが壊れているというメッセージが表示される

問題: AWS-SystemsManager-PatchManagerExportRolePolicy が破損していることを示す、次のようなエラーメッセージが表示されます。

An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.
  • 解決策: 新しいパッチコンプライアンスレポートを生成する前に、Patch Manager コンソールまたは AWS CLI を使用して、影響を受けるロールとポリシーを削除します。

    コンソールを使用して破損したポリシーを削除するには
    1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

    2. 次のいずれかを行ってください。

      オンデマンドレポート – 1 回限りのオンデマンドレポートの生成中に問題が発生した場合は、左側のナビゲーションで [Policies] (ポリシー) を選択し、AWS-SystemsManager-PatchManagerExportRolePolicy を検索して、ポリシーを削除します。次に、[Roles] (ロール) を選択し、AWS-SystemsManager-PatchSummaryExportRole を検索して、ロールを削除します。

      スケジュールされたレポート – スケジュールに従ってレポートを生成しているときに問題が発生した場合は、左側のナビゲーションで [ポリシー] を選択し、AWS-EventBridge-Start-SSMAutomationRolePolicyAWS-SystemsManager-PatchManagerExportRolePolicy をそれぞれ検索して、各ポリシーを削除します。次に、[Roles] (ロール) を選択し、AWS-EventBridge-Start-SSMAutomationRoleAWS-SystemsManager-PatchSummaryExportRole をそれぞれ検索して、各ロールを削除します。

    AWS CLI を使用して破損したポリシーを削除するには

    placeholder values をアカウントID に置き換えます。

    • 1 回限りのオンデマンドレポートの生成中に問題が発生した場合は、次のコマンドを実行します。

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

      スケジュールに基づくレポートの生成中に問題が発生した場合は、次のコマンドを実行します。

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

    いずれかの手順を完了したら、次のステップに従って新しいパッチコンプライアンスレポートを生成またはスケジュールします。

パッチコンプライアンスポリシーまたはロールを削除した後、スケジュールされたレポートが正常に生成されない

問題: レポートを初めて生成する際、Systems Manager は、エクスポートプロセスに使用するサービスロールとポリシー (AWS-SystemsManager-PatchSummaryExportRole および AWS-SystemsManager-PatchManagerExportRolePolicy) を作成します。スケジュールに基づいてレポートを初めて生成する際、Systems Manager は、別のサービスロールとポリシー (AWS-EventBridge-Start-SSMAutomationRole および AWS-EventBridge-Start-SSMAutomationRolePolicy) を作成します。Amazon EventBridge では、ランブック -AWSExportPatchReportToS3 を使用してオートメーションを開始します。

これらのポリシーまたはロールのいずれかを削除すると、スケジュールと指定した S3 バケットと Amazon SNS トピックの間の接続が失われる可能性があります。

  • 解決方法: この問題を回避するには、以前のスケジュールを削除し、問題が発生していたスケジュールの代わりとなる新しいスケジュールを作成することをお勧めします。