產生 .csv 修補程式合規報告 - AWS Systems Manager
產生的修補程式合規報告中有哪些內容?為單一受管節點產生修補程式合規報告為所有受管節點產生修補程式合規報告檢視修補程式合規報告歷史檢視修補程式合規報告排程對修補程式合規報告產生進行故障診斷

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

產生 .csv 修補程式合規報告

您可以使用 AWS Systems Manager 主控台產生修補程式合規報告,以 .csv 檔案形式儲存到您選擇的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。您可以產生單一隨需報告,或指定自動產生報告的排程。

您可以針對單一受管節點或所選 AWS 帳戶 和中的所有受管節點產生報告 AWS 區域。對於單一節點,報告包含完整IDs的詳細資料,包括與節點不相容的相關修補程式。針對所有受管節點的報告,只會提供摘要資訊和不合規節點的修補程式計數。

生成報告後,您可以使用 Amazon 之類的工具 QuickSight 導入和分析數據。Amazon QuickSight 是商業智慧 (BI) 服務,可用來在互動式視覺環境中探索和解譯資訊。如需詳細資訊,請參閱 Amazon QuickSight 使用者指南

注意

當您建立自訂修補基準時,您可以指定此修補基準所核准之修補程式的合規嚴重性等級,例如 CriticalHigh。如果任何核准之修補程式的修補程式狀態回報為 Missing,則修補基準的整體報告合規嚴重性是您指定的嚴重性等級。

您也可以指定 Amazon 簡單通知服務 (AmazonSNS) 主題,用於在產生報告時傳送通知。

產生修補程式合規報告的服務角色

第一次產生報告時,Systems Manager 會建立名為 AWS-SystemsManager-PatchSummaryExportRole 的 Automation 擔任角色以用於匯出至 S3 的程序。

注意

如果要將合規資料匯出到加密的 S3 儲存貯體,則必須更新其關聯的 AWS KMS 金鑰政策,以提供必要的許可AWS-SystemsManager-PatchSummaryExportRole。例如,在 S3 儲存貯體政策中新增與此類似的 AWS KMS 權限:

{
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "role-arn"
}

Replace (取代) role-arn 使用在您的帳戶中創建的 Amazon 資源名稱(ARN),格式為arn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole

如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的在 AWS KMS中使用金鑰政策

當您第一次依排程產生報告時,Systems Manager 會建立另一個名為的服務角色AWS-EventBridge-Start-SSMAutomationRole,以及用於匯出程序的服務角色 AWS-SystemsManager-PatchSummaryExportRole (如果尚未建立)。 AWS-EventBridge-Start-SSMAutomationRole使 Amazon EventBridge 能夠使用手冊 AWS-ExportPatchReportTo S3 啟動自動化。

建議您不要嘗試修改這些政策和角色。這樣做可能會導致修補程式合規報告產生失敗。如需詳細資訊,請參閱對修補程式合規報告產生進行故障診斷

產生的修補程式合規報告中有哪些內容?

本主題提供產生並下載至指定 S3 儲存貯體之修補程式合規報告中所包含之內容類型的相關資訊。

針對單一受管節點產生的報告會提供摘要和詳細資訊。

下載範例報告 (單一節點)

單一受管節點的摘要資訊包括下列各項:

  • 索引

  • 執行個體 ID

  • 執行個體名稱

  • 執行個體 IP

  • 平台名稱

  • 平台版本

  • SSM Agent 版本

  • 修補基準

  • 修補程式群組

  • 合規狀態

  • 合規嚴重性

  • 不合規關鍵嚴重性修補程式計數

  • 不合規高嚴重性修補程式計數

  • 不合規中嚴重性修補程式計數

  • 不合規低嚴重性修補程式計數

  • 不合規資訊嚴重性修補程式計數

  • 不合規未指定嚴重性修補程式計數

單一受管節點的詳細資訊包括下列各項:

  • 索引

  • 執行個體 ID

  • 執行個體名稱

  • 修補程式名稱

  • KB ID /修補程式 ID

  • 修補程式狀態

  • 上次報告時間

  • 合規層級

  • 修補程式嚴重性

  • 修補程式分類

  • CVE身份證

  • 修補基準

  • 日誌 URL

  • 執行個體 IP

  • 平台名稱

  • 平台版本

  • SSM Agent 版本

注意

當您建立自訂修補基準時,您可以指定此修補基準所核准之修補程式的合規嚴重性等級,例如 CriticalHigh。如果任何核准之修補程式的修補程式狀態回報為 Missing,則修補基準的整體報告合規嚴重性是您指定的嚴重性等級。

針對所有受管節點產生的報告僅提供摘要資訊。

下載範例報告 (所有受管節點)

所有受管節點的摘要資訊包括下列各項:

  • 索引

  • 執行個體 ID

  • 執行個體名稱

  • 執行個體 IP

  • 平台名稱

  • 平台版本

  • SSM Agent 版本

  • 修補基準

  • 修補程式群組

  • 合規狀態

  • 合規嚴重性

  • 不合規關鍵嚴重性修補程式計數

  • 不合規高嚴重性修補程式計數

  • 不合規中嚴重性修補程式計數

  • 不合規低嚴重性修補程式計數

  • 不合規資訊嚴重性修補程式計數

  • 不合規未指定嚴重性修補程式計數

為單一受管節點產生修補程式合規報告

請使用下列處理程序來產生 AWS 帳戶中單一受管節點的修補程式摘要報告。單一受管理節點的報告會提供每個不符合規範的修補程式的詳細資料,包括修補程式名稱和IDs。

為單一受管節點產生修補程式合規報告

  1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Patch Manager

  3. 選擇 Compliance reporting (合規報告) 索引標籤。

  4. 選擇您要產生報告之受管節點資料列的按鈕,然後選擇 View detail (檢視詳細資訊)。

  5. Patch summary (修補程式摘要) 區段中,選擇 Export to S3 (匯出至 S3)。

  6. 對於 Report name (報告名稱),輸入一個名稱以協助您稍後識別報告。

  7. 對於 Reporting frequency (報告頻率),選擇下列其中一項:

    • On demand (隨需) – 建立一次性報告。跳至步驟 9。

    • On a schedule (排程) – 指定自動產生報告的週期性排程。繼續步驟 8。

  8. 對於 Schedule type (排程類型),請指定 Rate 表達式 (例如每 3 天),或提供 Cron 表達式來設定報告頻率。

    如需 cron 表達式的相關資訊,請參閱 參考:Systems Manager 的 Cron 和 Rate 運算式

  9. 對於 Bucket name (儲存貯體名稱),請選擇您要存放 .csv 報告檔案的 S3 儲存貯體名稱。

    重要

    如果您在 2019 年 3 月 20 日之後啟動的工作,則必須在該區域中選取 S3 儲存貯體。 AWS 區域 依預設,在該日期之後啟動的區域會處於關閉狀態。如需詳細資訊和這些區域的清單,請參閱《Amazon Web Services 一般參考》中的啟用區域一節。

  10. (選用) 若要在產生報告時傳送通知,請花費SNS主題區段,然後從 Amazon 資源名稱 (ARN) SNS 主SNS題中選擇現有的 Amazon 主題

  11. 選擇提交

如需檢視產生報告之歷史記錄的相關資訊,請參閱 檢視修補程式合規報告歷史

如需檢視已建立之報告排程詳細資訊的相關資訊,請參閱 檢視修補程式合規報告排程

為所有受管節點產生修補程式合規報告

請使用下列處理程序來產生 AWS 帳戶中所有受管節點的修補程式摘要報告。所有受管節點的報告會指出哪些節點不合規,以及不合規修補程式的數目。它不會提供修補程式的名稱或其他識別符。如需這些其他詳細資訊,您可以為單一受管節點產生修補程式合規報告。如需相關資訊,請參閱本主題中稍早的 為單一受管節點產生修補程式合規報告

為所有受管節點產生修補程式合規報告

  1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Patch Manager

  3. 選擇 Compliance reporting (合規報告) 索引標籤。

  4. 選擇 Export to S3 (匯出至 S3)。(請勿先選取節點 ID。)

  5. 對於 Report name (報告名稱),輸入一個名稱以協助您稍後識別報告。

  6. 對於 Reporting frequency (報告頻率),選擇下列其中一項:

    • On demand (隨需) – 建立一次性報告。跳至步驟 8。

    • On a schedule (排程) – 指定自動產生報告的週期性排程。繼續步驟 7。

  7. 對於 Schedule type (排程類型),請指定 Rate 表達式 (例如每 3 天),或提供 Cron 表達式來設定報告頻率。

    如需 cron 表達式的相關資訊,請參閱 參考:Systems Manager 的 Cron 和 Rate 運算式

  8. 對於 Bucket name (儲存貯體名稱),請選擇您要存放 .csv 報告檔案的 S3 儲存貯體名稱。

    重要

    如果您在 2019 年 3 月 20 日之後啟動的工作,則必須在該區域中選取 S3 儲存貯體。 AWS 區域 依預設,在該日期之後啟動的區域會處於關閉狀態。如需詳細資訊和這些區域的清單,請參閱《Amazon Web Services 一般參考》中的啟用區域一節。

  9. (選用) 若要在產生報告時傳送通知,請花費SNS主題區段,然後從 Amazon 資源名稱 (ARN) SNS 主SNS題中選擇現有的 Amazon 主題

  10. 選擇提交

如需檢視產生報告之歷史記錄的相關資訊,請參閱 檢視修補程式合規報告歷史

如需檢視已建立之報告排程詳細資訊的相關資訊,請參閱 檢視修補程式合規報告排程

檢視修補程式合規報告歷史

使用本主題中的資訊可協助您檢視在中產生的修補程式符合性報告的詳細資料 AWS 帳戶。

檢視修補程式合規報告歷史

  1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Patch Manager

  3. 選擇 Compliance reporting (合規報告) 索引標籤。

  4. 選擇 View all S3 exports (檢視所有 S3 匯出),然後選擇 Export history (匯出歷史記錄) 索引標籤。

檢視修補程式合規報告排程

使用本主題中的資訊可協助您檢視在中建立的修補程式符合性報告排程的詳細資料 AWS 帳戶。

檢視修補程式合規報告歷史

  1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Patch Manager

  3. 選擇 Compliance reporting (合規報告) 索引標籤。

  4. 選擇 View all S3 exports (檢視所有 S3 匯出),然後選擇 Report schedule rules (報告排程規則) 索引標籤。

對修補程式合規報告產生進行故障診斷

使用下列資訊協助使用 Patch Manager 中 ( AWS Systems Manager功能) 的修補程式合規報告產生對問題進行故障診斷。

報告 AWS-SystemsManager-PatchManagerExportRolePolicy 政策已損毀的訊息

問題:您會收到類似下列的錯誤訊息,指出 AWS-SystemsManager-PatchManagerExportRolePolicy 已損毀:

An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.

  • 解決方案:在產生新的修補程式符合性報告之前,請使用Patch Manager主控台或 AWS CLI 刪除受影響的角色和策略。

    使用主控台刪除損毀的政策

    1. 在開啟IAM主控台https://console.aws.amazon.com/iam/

    2. 執行以下任意一項:

      隨需報告 – 如果在產生一次性隨需報告時發生問題,則請在左側導覽中選擇 Policies (政策),搜尋 AWS-SystemsManager-PatchManagerExportRolePolicy,然後刪除政策。接下來,選擇 Roles (角色),搜尋 AWS-SystemsManager-PatchSummaryExportRole,然後刪除該角色。

      排定的報告 – 如果問題在依排程產生報告時發生,則請在左側導覽中選擇政策,對於 AWS-EventBridge-Start-SSMAutomationRolePolicyAWS-SystemsManager-PatchManagerExportRolePolicy,一次搜尋一個,然後刪除每個政策。接下來,選擇 Roles (角色),一次搜尋一個 AWS-EventBridge-Start-SSMAutomationRoleAWS-SystemsManager-PatchSummaryExportRole,然後刪除每個角色。

    若要使用刪除損毀的政策 AWS CLI

    更換 placeholder values 使用您的帳戶 ID。

    • 如果在產生一次性隨需報告時發生問題,請執行下列命令:

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

      如果在產生排程報告時發生問題,請執行下列命令:

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

    在完成上述任一程序後,依照步驟產生或排程新的修補程式合規報告。

刪除修補程式合規政策或角色後,無法成功產生排定的報告

問題:第一次產生報告時,Systems Manager 會建立服務角色和政策以用於匯出程序 (AWS-SystemsManager-PatchSummaryExportRoleAWS-SystemsManager-PatchManagerExportRolePolicy)。當您第一次依排程產生報告時,Systems Manager 會建立另一個服務角色和政策 (AWS-EventBridge-Start-SSMAutomationRoleAWS-EventBridge-Start-SSMAutomationRolePolicy)。這些讓 Amazon EventBridge 開始使用手冊的自動化 AWS-ExportPatchReportTo S3

如果您刪除任何這些政策或角色,排程與指定的 S3 儲存貯體和 Amazon SNS 主題之間的連線可能會遺失。

  • 解決方案:若要解決這個問題,建議刪除先前的排程,並建立新的排程,以取代發生問題的排程。