パッチコンプライアンス結果の表示

これらの手順を使用して、マネージドノードに関するパッチコンプライアンス情報を表示します。

この手順は、AWS-RunPatchBaseline ドキュメントを使用するパッチ操作に適用されます。AWS-RunPatchBaselineAssociation ドキュメントを使用するパッチ操作のパッチコンプライアンス情報の表示については、「非準拠のマネージドノードの識別」を参照してください。

注記

Quick Setup と Explorer のパッチスキャンオペレーションでは、AWS-RunPatchBaselineAssociation ドキュメントが使用されます。Quick Setup と Explorer はどちらも AWS Systems Manager の機能です。

特定の CVE の問題を解決するパッチの識別 (Linux)

多くの Linux ベースのオペレーティングシステムでは、パッチのコンプライアンスの結果にどの共通脆弱性識別子 (CVE) の問題がどのパッチによって解決されるかが示されます。この情報は、不足または失敗したパッチのインストールを緊急に行う必要があるかどうかを判断するために役立ちます。

CVE の詳細は、以下のタイプのオペレーティングシステムでサポートされるバージョンについて表示されます。

• AlmaLinux

• Amazon Linux 1

• Amazon Linux 2

• Amazon Linux 2022

• Amazon Linux 2023

• Oracle Linux

• Red Hat Enterprise Linux (RHEL)

• Rocky Linux

• SUSE Linux Enterprise Server (SLES)

注記

デフォルトでは、CentOS および CentOS Stream の更新に関する CVE 情報は提供されません。ただし、サードパーティーのリポジトリ (Fedora によって公開されている Extra Packages for Enterprise Linux (EPEL) リポジトリなど) を使用して、このサポートを許可することができます。詳細については、Fedora Wiki の EPEL を参照してください。

現在、CVE ID の値は、ステータスが Missing または Failed のパッチについてのみ報告されます。

状況やパッチ適用の目的に応じて、パッチベースラインの承認済みパッチまたは拒否済みパッチのリストに CVE ID を追加することもできます。

承認済みパッチおよび拒否済みパッチのリストの使用については、以下のトピックを参照してください。

• カスタムパッチベースラインの操作

• 承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について

• Linux ベースシステムでのパッチベースラインルールの動作方法

• パッチのインストール方法

注記

Microsoft がリリースするアプリケーションのパッチは、更新日時を指定していない場合があります。このような場合、デフォルトでは 01/01/1970 の更新日時が指定されています。

パッチ適用のコンプライアンス結果を表示する

AWS Systems Manager コンソールでパッチコンプライアンス結果を表示するには、以下の手順に従います。

注記

Amazon Simple Storage Service (Amazon S3) バケットにダウンロードされるパッチコンプライアンスレポートの生成については、「.csv パッチコンプライアンスレポートの生成」を参照してください。

パッチコンプライアンス結果を表示するには

1. 以下のいずれかを行ってください。

   オプション 1: AWS Systems Manager の一機能である Patch Manager からナビゲートします。

   • ナビゲーションペインで、Patch Manager を選択します。

   • [Compliance reporting] (コンプライアンスレポート) タブを選択します。

   • [ノードのパッチ適用の詳細] 領域で、パッチコンプライアンス結果を確認するマネージドノードのノード ID を選択します。

   • [詳細] 領域の [プロパティ] リストで、[パッチ]を選択します。

   オプション 2: AWS Systems Manager の一機能である Compliance からナビゲートします。

   • ナビゲーションペインで、[コンプライアンス] を選択します。

   • [コンプライアンスリソースの概要] で、確認するパッチリソースのタイプ ([非準拠リソース] など) の列で数値を選択します。

   • 下方の [リソース] リストで、パッチコンプライアンス結果を確認するマネージドノードの ID を選択します。

   • [詳細] 領域の [プロパティ] リストで、[パッチ]を選択します。

   オプション 3: AWS Systems Manager の一機能である Fleet Manager からナビゲートします。

   • ナビゲーションペインで、Fleet Manager を選択します。

   • [マネージドインスタンス] 領域で、パッチコンプライアンス結果を確認するマネージドノードの ID を選択します。

   • [詳細] 領域の [プロパティ] リストで、[パッチ]を選択します。

2. (オプション) [検索] ボックス ( ) で、利用可能なフィルターから選択します。

   たとえば、Red Hat Enterprise Linux ( RHEL )の場合は、以下から選択します。

   • 名前

   • 分類

   • 状態

   • 重要度

   Windows Server の場合は、次の中から選択します。

   • KB

   • 分類

   • 状態

   • 重要度

3. 選択したフィルタータイプに使用可能な値の 1 つを選択します。例えば、[状態] を選択した場合は、[InstalledPendingReboot]、[失敗] や [見つかりません] などのコンプライアンス状態を選択します。

   注記

   現在、CVE ID の値は、ステータスが Missing または Failed のパッチについてのみ報告されます。

4. マネージドノードのコンプライアンス状態に応じて、準拠していないノードを修正するために実行するアクションを選択できます。

   例えば、準拠していないマネージドノードにすぐにパッチを適用するよう選択できます。オンデマンドでマネージドノードにパッチを適用する方法については、「マネージドノードへのオンデマンド パッチ適用」を参照してください。

   パッチコンプライアンス状態の詳細については、「パッチコンプライアンス状態の値について」を参照してください。