識別不合規執行個體 - AWS Systems Manager

識別不合規執行個體

系統會在兩個 AWS Systems Manager 文件 (SSM 文件) 中的任何一個文件執行時,識別不合規執行個體。這些 SSM 文件會參考 Patch Manager (AWS Systems Manager 功能) 中每個執行個體的適當修補基準。然後,他們會評估執行個體的修補程式狀態,然後將合規結果提供給您。

有兩個 SSM 文件可用來識別或更新不合規執行個體:AWS-RunPatchBaselineAWS-RunPatchBaselineAssociation。每個都會由不同的程序使用,而其合規結果則可透過不同的通道取得。下表概述了這些文件之間的差異。

注意

來自 Patch Manager 的修補程式合規資料可傳送至 AWS Security Hub。Security Hub 可為您提供高優先級安全提醒和合規狀態的全方位檢視。它還會監控您的機群的修補狀態。如需更多詳細資訊,請參閱 將 Patch Manager​ 與 AWS Security Hub​ 整合

AWS-RunPatchBaseline AWS-RunPatchBaselineAssociation
使用文件的程序

隨需修補程式 – 您可以使用 Patch now (立即修補) 選項隨需掃描或修補執行個體。如需相關資訊,請參閱「隨需修補執行個體 (主控台)」。

Patch Manager 修補組態 – 您可以建立包含維護時段的修補組態,以便依排程掃描執行個體,檢查修補程式是否合規。如需相關資訊,請參閱「建立修補組態 (主控台)」。

執行命令 – 您可以在 Run Command 的操作中手動執行 AWS-RunPatchBaseline (AWS Systems Manager 功能)。如需相關資訊,請參閱「從主控台執行命令」。

Maintenance window (維護時段) – 您可以在 Run Command 任務類型中建立使用 SSM 文件 AWS-RunPatchBaseline 的維護時段。如需相關資訊,請參閱「演練:建立維護時段以進行修補 (主控台)」。

Systems Manager 快速設定 – 您可以設定 Quick Setup (AWS Systems Manager 功能),以使用 Patch Manager 每天掃描受管執行個體,檢查修補程式是否合規。如需相關資訊,請參閱 AWS Systems ManagerQuick Setup 主題中的 Quick Setup 主機管理

Systems Manager Explorer – 當您允許 Explorer (AWS Systems Manager 功能) 時,它會定期掃描受管執行個體,檢查修補程式是否合規,並會在 Explorer 儀表板中報告結果。

修補程式掃描結果資料的格式

AWS-RunPatchBaseline 執行後,Patch Manager 會傳送 AWS:PatchSummary 物件至「庫存」(AWS Systems Manager 功能)。

AWS-RunPatchBaselineAssociation 執行後,Patch Manager 會傳送 AWS:ComplianceItem 物件至 Systems Manager 庫存。

在主控台檢視修補的合規報告

您可以在 Systems Manager 組態合規受管執行個體 中檢視使用 AWS-RunPatchBaseline 之程序的修補程式合規資訊。如需更多詳細資訊,請參閱 檢視修補程式合規結果 (主控台)

如果使用 Quick Setup 掃描受管執行個體的修補程式是否合規,則您可以在 Systems Manager State Manager 中查看合規報告,可以使用 Quick Setup 中的 View results (檢視結果) 按鈕取得。

如果使用 Explorer 掃描受管執行個體的修補程式是否合規,則您可以在 Explorer 和 Systems Manager OpsCenter 中查看合規報告。

檢視修補程式合規結果的 AWS CLI 命令

對於使用 AWS-RunPatchBaseline 的程序,您可以使用下列 AWS CLI 命令來檢視執行個體上修補程式的摘要資訊。

對於使用 AWS-RunPatchBaselineAssociation 的程序,您可以使用下列 AWS CLI 命令來檢視執行個體上修補程式的摘要資訊。

修補操作

對於使用 AWS-RunPatchBaseline 的程序,您可以指定是否讓操作僅執行 Scan 操作,或者 Scan and install 操作。

如果您的目標是識別不合規執行個體,而不是進行修復,請僅執行 Scan 操作。

使用 AWS-RunPatchBaselineAssociation 的 Quick Setup 和 Explorer 程序僅執行 Scan 操作。
其他資訊

關於 AWS-RunPatchBaseline SSM 文件

關於 AWS-RunPatchBaselineAssociation SSM 文件

如需您可能會看到報告各種修補程式合規狀態的相關資訊,請參閱 了解修補程式合規狀態值

如需修復修補程式不合規之受管執行個體的相關資訊,請參閱 修補不合規執行個體