Identifizieren von nicht konformen verwalteten Knoten

Nicht konforme verwaltete Knoten werden identifiziert, wenn eines von zwei AWS Systems Manager-Dokumenten (SSM-Dokumente) ausgeführt wird. Diese SSM-Dokumente verweisen auf die entsprechende Patch-Baseline für jeden verwalteten Knoten in Patch Manager, einer Funktion von AWS Systems Manager. Anschließend werten sie den Patch-Zustand des verwalteten Knoten aus und stellen Ihnen dann Compliance-Ergebnisse zur Verfügung.

Es gibt zwei SSM-Dokumente, die verwendet werden, um nicht konforme verwaltete Knoten zu identifizieren oder zu aktualisieren: AWS-RunPatchBaseline und AWS-RunPatchBaselineAssociation. Jedes wird von verschiedenen Prozessen verwendet, und ihre Compliance-Ergebnisse sind über verschiedene Kanäle verfügbar. In der folgenden Tabelle werden die Unterschiede zwischen diesen Dokumenten aufgeführt.

Anmerkung

Patch-Compliance-Daten von Patch Manager können an AWS Security Hub gesendet werden. Mit dem Security Hub erhalten Sie einen umfassenden Überblick über Ihre Sicherheitswarnungen und den Compliance-Status mit hoher Priorität. Er überwacht auch den Patching-Status Ihrer Flotte. Weitere Informationen finden Sie unter Integration von Patch Manager in AWS Security Hub.

	`AWS-RunPatchBaseline`	`AWS-RunPatchBaselineAssociation`
Prozesse, die das Dokument verwenden	On-Demand-Patchen – Sie können verwaltete Knoten bei Bedarf scannen oder patchen, indem Sie die Option Patch now (Jetzt patchen) verwenden. Weitere Informationen finden Sie unter On-Demand-Patchen von verwalteten Knoten. Quick Setup-Patch-Richtlinien von Systems Manager – Sie können eine Patching-Konfiguration in Quick Setup, einer Funktion von AWS Systems Manager, erstellen, die fehlende Patches in separaten Zeitplänen für eine gesamte Organisation, eine Teilmenge von Organisationseinheiten oder ein einzelnes AWS-Konto scannen oder installieren kann. Weitere Informationen finden Sie unter Das Patchen für Instances in einer Organisation mithilfe von Quick Setup konfigurieren. Einen Befehl ausführen – Sie können `AWS-RunPatchBaseline` manuell in einer Operation in Run Command, einer Funktion von AWS Systems Manager, ausführen. Weitere Informationen finden Sie unter Ausführen von Befehlen über die Konsole. Wartungsfenster – Sie können ein Wartungsfenster erstellen, das das SSM-Dokument `AWS-RunPatchBaseline` in einem Run Command-Aufgabentyp verwendet. Weitere Informationen finden Sie unter Tutorial: Erstellen Sie ein Wartungsfenster zum Patchen über die Konsole.	Quick Setup-Host-Verwaltung für Systems Manager – Sie können eine Host-Management-Konfigurationsoption in Quick Setup aktivieren, um Ihre verwalteten Instances täglich auf Patch-Compliance zu scannen. Weitere Informationen finden Sie unter Amazon-EC2-Host-Verwaltung mit Quick Setup einrichten. Systems Manager Explorer – Wenn Sie Explorer, eine Funktion von AWS Systems Manager, aktiviert, überprüft es Ihre verwalteten Instances regelmäßig auf Patch-Compliance und meldet Ergebnisse im Explorer-Dashboard.
Format der Patch-Scan-Ergebnisdaten	Nach der Ausführung von `AWS-RunPatchBaseline` sendet Patch Manager ein `AWS:PatchSummary`-Objekt an Inventory, eine Funktion von AWS Systems Manager.	Nach der Ausführung von `AWS-RunPatchBaselineAssociation` sendet Patch Manager ein `AWS:ComplianceItem`-Objekt an Systems Manager Inventory.
So zeigen Sie aktuelle Compliance-Berichte in der Konsole an	Sie können Patch-Compliance-Informationen für Prozesse anzeigen, die `AWS-RunPatchBaseline` in Systems Manager Compliance und Arbeiten mit verwalteten Knoten verwenden. Weitere Informationen finden Sie unter Anzeigen der Patch-Compliance-Ergebnisse.	Wenn Sie Quick Setup verwenden, um Ihre verwalteten Instances auf Patch-Compliance zu überprüfen, finden Sie den Compliance-Bericht unter Systems Manager Fleet Manager. Wählen Sie in der Fleet Manager-Konsole die Knoten-ID Ihres verwalteten Knotens aus. Wählen Sie im Menü Allgemein die Option Konfigurationskonformität aus. Wenn Sie Explorer verwenden, um Ihre verwalteten Instances auf Patch-Compliance zu überprüfen, finden Sie den Compliance-Bericht sowohl unter Explorer als auch unter Systems Manager OpsCenter.
AWS CLI-Befehle zum Anzeigen von Patch-Compliance-Ergebnissen	Für Prozesse, die `AWS-RunPatchBaseline` verwenden, können Sie die folgenden AWS CLI-Befehle verwenden, um zusammenfassende Informationen zu Patches auf einem verwalteten Knoten anzuzeigen. describe-instance-patch-states describe-instance-patch-states-for-patch-group describe-patch-group-state	Für Prozesse, die `AWS-RunPatchBaselineAssociation` verwenden, können Sie den folgenden AWS CLI-Befehl verwenden, um zusammenfassende Informationen zu Patches auf einer Instance anzuzeigen. list-compliance-items
Patch-Operationen	Für Prozesse, die `AWS-RunPatchBaseline` verwenden, geben Sie an, ob der Vorgang nur eine `Scan`-Operation oder eine `Scan and install`-Operation ausführen soll. Wenn Ihr Ziel darin besteht, nicht konforme verwaltete Knoten zu identifizieren und nicht zu beheben, führen Sie nur eine `Scan`-Operation durch.	Quick Setup- und Explorer-Prozesse, die `AWS-RunPatchBaselineAssociation` verwenden, führen nur eine `Scan`-Operation aus.
Weitere Informationen	SSM-Befehlsdokument zum Patchen: AWS-RunPatchBaseline	SSM-Befehlsdokument zum Patchen: AWS-RunPatchBaselineAssociation

Informationen zu den verschiedenen Patch-Compliance-Status, die möglicherweise gemeldet werden, finden Sie unter Statuswerte der Patch-Compliance

Informationen zur Behebung verwalteter Knoten, die die Patch-Compliance nicht erfüllen, finden Sie unter Patchen nicht konformer verwalteter Knoten.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Behebung nicht konformer verwalteter Knoten

Statuswerte der Patch-Compliance