• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Trabajo con los recursos Patch Manager y el cumplimiento mediante la consola
<a name="patch-manager-console"></a>

Para usar Patch Manager, una herramienta de AWS Systems Manager, complete las siguientes tareas. Estas tareas se describen con más detalle en esta sección.

1. Compruebe que la línea de base de revisiones predefinida de AWS para cada tipo de sistema operativo que utiliza seas adecuada para sus necesidades. Si no es así, cree una base de referencia de revisiones que defina un conjunto estándar de revisiones para dicho tipo de nodo administrado y establézcalo como la opción predeterminada.

1. Organice los nodos administrados en grupos de revisiones mediante etiquetas de Amazon Elastic Compute Cloud (Amazon EC2) (opcional, pero recomendado).

1. Realice una de las siguientes acciones:
   + (Recomendado) Configure una política de revisiones en Quick Setup, una herramienta de Systems Manager, que le permita instalar revisiones faltantes en una programación para una organización completa, un subconjunto de unidades organizacionales o una sola Cuenta de AWS. Para obtener más información, consulte [Cómo configurar las revisiones para las instancias de una organización mediante una política de parches Quick Setup](quick-setup-patch-manager.md).
   + Cree un periodo de mantenimiento que utilice el documento de Systems Manager (documento de SSM) `AWS-RunPatchBaseline` en un tipo de tarea de Run Command. Para obtener más información, consulte [Tutorial: creación de un periodo de mantenimiento para la aplicación de revisiones mediante la consola](maintenance-window-tutorial-patching.md).
   + Ejecute manualmente `AWS-RunPatchBaseline` en una operación Run Command. Para obtener más información, consulte [Ejecución de comandos desde la consola](running-commands-console.md).
   + Aplique revisiones manualmente a los nodos bajo demanda con la función **Patch now** (Aplicar revisión ahora). Para obtener más información, consulte [Aplicación de revisiones a nodos administrados bajo demanda](patch-manager-patch-now-on-demand.md).

1. Monitorice la aplicación de revisiones para verificar la conformidad e investigar los errores.

**Topics**
+ [Cómo crear una política de revisiones](patch-manager-create-a-patch-policy.md)
+ [Visualización de resúmenes del panel de revisiones](patch-manager-view-dashboard-summaries.md)
+ [Trabajo con informes de conformidad de las revisiones](patch-manager-compliance-reports.md)
+ [Aplicación de revisiones a nodos administrados bajo demanda](patch-manager-patch-now-on-demand.md)
+ [Trabajo con línea de base de revisiones](patch-manager-create-a-patch-baseline.md)
+ [Visualización de parches disponibles](patch-manager-view-available-patches.md)
+ [Creación y administración de grupos de revisiones](patch-manager-tag-a-patch-group.md)
+ [Integración de Patch Manager con AWS Security Hub CSPM](patch-manager-security-hub-integration.md)

# Cómo crear una política de revisiones
<a name="patch-manager-create-a-patch-policy"></a>

Una política de revisiones es un ajuste que se configura mediante Quick Setup, una herramienta de AWS Systems Manager. Las políticas de revisiones brindan un control más amplio y centralizado sobre sus operaciones de aplicación de revisiones que el que estaba disponible con otros métodos de configuración de aplicación de revisiones. Una política de revisiones define la programación y la línea de base que se usarán cuando se apliquen revisiones automáticamente a sus nodos y aplicaciones.

Para obtener más información, consulte los temas siguientes:
+ [Configuraciones de políticas de revisiones en Quick Setup](patch-manager-policies.md)
+ [Cómo configurar las revisiones para las instancias de una organización mediante una política de parches Quick Setup](quick-setup-patch-manager.md)

# Visualización de resúmenes del panel de revisiones
<a name="patch-manager-view-dashboard-summaries"></a>

La pestaña **Panel** en Patch Manager proporciona una vista de resumen en la consola que puede utilizar para supervisar las operaciones de aplicación de revisiones en una vista consolidada. Patch Manager es una herramienta de AWS Systems Manager. En la pestaña **Dashboard** (Panel), puede ver los siguientes gráficos:
+ Una instantánea que muestra cuántos nodos administrados están en conformidad o no con las reglas de aplicación de revisiones.
+ Una instantánea que muestra la antigüedad de los resultados de conformidad de las revisiones para los nodos administrados.
+ Recuento vinculado de cuántos nodos administrados no conformes existen para cada uno de los motivos más comunes de no conformidad.
+ Lista vinculada de las operaciones de revisión más recientes.
+ Lista vinculada de las tareas de revisión periódicas que se han configurado.

**Para ver los resúmenes del panel de revisiones**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Patch Manager**.

1. Elija la pestaña **Dashboard** (Panel).

1. Desplácese hasta la sección que contiene los datos resumidos que desea ver:
   + **Amazon EC2 instance management (Administración de instancias de Amazon EC**
   + **Compliance summary (Resumen de conformidad**
   + **Noncompliance counts (Recuentos de no conformidad**
   + **Compliance reports (Informes de conformidad**
   + **Non-patch policy-based operations (Operaciones basadas en políticas no relacionadas con revisiones**
   + **Non-patch policy-based recurring tasks (Tareas recurrentes basadas en políticas no relacionadas con revisiones**

# Trabajo con informes de conformidad de las revisiones
<a name="patch-manager-compliance-reports"></a>

Utilice la información en los siguientes temas como ayuda para generar y trabajar con informes de conformidad de las revisiones en Patch Manager, una herramienta de AWS Systems Manager.

La información de los siguientes temas se aplica independientemente del método o el tipo de configuración que utilice para las operaciones de aplicación de revisiones: 
+ Una política de revisiones configurada en Quick Setup
+ Una opción de administración de host configurada en Quick Setup
+ Una ventana de mantenimiento para ejecutar una revisión `Scan` o una tarea `Install`
+ Una operación **Patch Now** (Aplicar revisión ahora) bajo demanda

**importante**  
Los informes de conformidad de las revisiones son instantáneas puntuales generadas únicamente por operaciones de aplicación de revisiones exitosas. Cada informe contiene un tiempo de captura que identifica cuándo se calculó el estado de conformidad.  
Si tiene varios tipos de operaciones implementadas para analizar las instancias en busca de conformidad de revisiones, recuerde que cada análisis sobreescribe los datos de conformidad de revisiones de los análisis anteriores. Como consecuencia, es posible que obtenga resultados inesperados en los datos de cumplimiento de sus revisiones. Para obtener más información, consulte [Identificación de la ejecución que creó los datos de conformidad de la revisión](patch-manager-compliance-data-overwrites.md).  
Para comprobar qué línea de base de revisiones se utilizó para generar la información de cumplimiento más reciente, vaya a la pestaña **Informes de cumplimiento** en Patch Manager, busque la fila del nodo administrado del que desea obtener información y elija el ID de referencia en la columna **ID de línea de base utilizado**.

**Topics**
+ [Ver resultados de conformidad de parches](patch-manager-view-compliance-results.md)
+ [Cómo generar informes de conformidad de parches en formato .csv](patch-manager-store-compliance-results-in-s3.md)
+ [Corrección de los nodos gestionados no conformes con Patch Manager](patch-manager-noncompliant-nodes.md)
+ [Identificación de la ejecución que creó los datos de conformidad de la revisión](patch-manager-compliance-data-overwrites.md)

# Ver resultados de conformidad de parches
<a name="patch-manager-view-compliance-results"></a>

Utilice estos procedimientos para ver la información de conformidad de revisiones sobre los nodos administrados.

Este procedimiento se aplica a las operaciones de parches que utilizan el documento `AWS-RunPatchBaseline`. Para obtener información acerca de cómo ver la información de conformidad de parches para las operaciones de parches que utilizan el documento `AWS-RunPatchBaselineAssociation`, consulte [Identificación de nodos administrados no conformes](patch-manager-find-noncompliant-nodes.md).

**nota**  
Las operaciones de escaneo de revisiones para Quick Setup y Explorer utilizan el documento `AWS-RunPatchBaselineAssociation`. Tanto Quick Setup como Explorer son herramientas de AWS Systems Manager.

**Identificar la solución de parches para un problema CVE específico (Linux)**  
Para muchos sistemas operativos basados en Linux, los resultados de conformidad de parches indican qué problemas del boletín de vulnerabilidades y exposiciones comunes (CVE) se solucionan con cada uno de los parches. Esta información puede ayudarlo a determinar con qué urgencia necesita instalar un parche faltante o fallido.

Se incluyen detalles de la CVE para las versiones compatibles de los siguientes tipos de sistemas operativos:
+ AlmaLinux
+ Amazon Linux 2
+ Amazon Linux 2023
+ Oracle Linux
+ Red Hat Enterprise Linux (RHEL)
+ Rocky Linux

**nota**  
De forma predeterminada, CentOS Stream no proporciona información de CVE relativa a las actualizaciones. Sin embargo, puede permitir este soporte mediante el uso de repositorios de terceros como es el caso del repositorio Extra Packages for Enterprise Linux (EPEL) publicado por Fedora. Para obtener información, consulte [EPEL](https://fedoraproject.org/wiki/EPEL) en el wiki de Fedora.  
En la actualidad, los valores de ID de CVE solo se reportan para los parches con el estado `Missing` o `Failed`.

También puede agregar ID de CVE a sus listas de parches aprobados o rechazados en sus bases de referencia de parches, según lo justifique la situación y sus objetivos de aplicación de parches.

Para obtener información acerca de cómo trabajar con las listas de parches aprobados y rechazados, consulte los siguientes temas:
+ [Uso de bases de referencia de parches personalizadas](patch-manager-manage-patch-baselines.md)
+ [Formatos de nombre de paquete para listas de revisiones aprobadas y rechazadas](patch-manager-approved-rejected-package-name-formats.md)
+ [Funcionamiento de las reglas de bases de referencia de parches en los sistemas basados en Linux](patch-manager-linux-rules.md)
+ [Cómo se instalan los parches](patch-manager-installing-patches.md)

**nota**  
En algunos casos, Microsoft lanza parches para las aplicaciones que no especifican una hora ni una fecha de actualización. En estos casos, se suministra una fecha y hora actualizadas de `01/01/1970` de forma predeterminada.

## Visualización de los resultados de conformidad de revisiones
<a name="viewing-patch-compliance-results-console"></a>

Utilice los siguientes procedimientos para ver los resultados de conformidad de parches en la consola de AWS Systems Manager. 

**nota**  
Para obtener información acerca de cómo generar informes de conformidad de parches que se descargan en un bucket de Amazon Simple Storage Service (Amazon S3), consulte [Cómo generar informes de conformidad de parches en formato .csv](patch-manager-store-compliance-results-in-s3.md).

**Para ver los resultados de conformidad de parches**

1. Aplique alguna de las siguientes acciones.

   **Opción 1** (recomendada). Navegue desde Patch Manager, una herramienta de AWS Systems Manager:
   + En el panel de navegación, elija **Patch Manager**.
   + Elija la pestaña **Compliance reporting** (Informes de conformidad).
   + En el área de **Detalles de revisión de nodos**, seleccione el ID del nodo administrado para el cual quiera revisar los resultados de conformidad de los parches. Los nodos que estén en estado `stopped` o `terminated` no aparecerán aquí.
   + En el área **Detalles**, en la lista **Propiedades**, seleccione **Parches**.

   **Opción 2**. Navegue desde Cumplimiento, una herramienta de AWS Systems Manager:
   + En el panel de navegación, elija **Compliance**.
   + En la sección **Compliance resources summary** (Resumen de recursos de conformidad), elija un número en la columna correspondiente a los tipos de recursos de parches que desee revisar, como **Non-Compliant resources** (Recursos no conformes).
   + Debajo, en la lista **Recursos**, seleccione el ID del nodo administrado para el cual quiera revisar los resultados de conformidad de los parches.
   + En el área **Detalles**, en la lista **Propiedades**, seleccione **Parches**.

   **Opción 3**. Navegue desde Fleet Manager, una herramienta de AWS Systems Manager.
   + En el panel de navegación, elija **Fleet Manager**.
   + En el área **Instancias administradas**, seleccione el ID del nodo administrado para el cual quiera revisar los resultados de conformidad de los parches.
   + En el área **Detalles**, en la lista **Propiedades**, seleccione **Parches**.

1. (Opcional) En el cuadro de búsqueda (![\[The Search icon\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/search-icon.png)), elija entre los filtros disponibles.

   Por ejemplo, para Red Hat Enterprise Linux (RHEL), elija entre las siguientes opciones:
   + Nombre
   + Clasificación
   + Estado
   + Gravedad

    Para Windows Server, elija entre las siguientes opciones:
   + KB
   + Clasificación
   + Estado
   + Gravedad

1. Elija uno de los valores disponibles para el tipo de filtro que seleccionó. Por ejemplo, si eligió **State** (Estado), ahora elija un estado de conformidad como **InstalledPendingReboot** (Instalado pendiente de reinicio), **Failed** (Con error) o **Missing** (Ausente).
**nota**  
En la actualidad, los valores de ID de CVE solo se reportan para los parches con el estado `Missing` o `Failed`.

1. En función del estado de conformidad del nodo administrado, puede elegir qué acción llevar a cabo para corregir los nodos no conformes.

   Por ejemplo, puede elegir aplicar una revisión a los nodos administrados no conformes de forma inmediata. Para obtener información acerca de la aplicación de revisiones a los nodos administrados bajo demanda, consulte [Aplicación de revisiones a nodos administrados bajo demanda](patch-manager-patch-now-on-demand.md).

   Para obtener información acerca de los estados de conformidad de parches, consulte [Valores de estado de conformidad de las revisiones](patch-manager-compliance-states.md).

# Cómo generar informes de conformidad de parches en formato .csv
<a name="patch-manager-store-compliance-results-in-s3"></a>

Puede utilizar la consola de AWS Systems Manager para generar informes de conformidad de parches que se guardan como un archivo .csv en un bucket de Amazon Simple Storage Service (Amazon S3) de su elección. Puede generar un informe único bajo demanda o especificar una programación para generar los informes de forma automática. 

Los informes se pueden generar para un único nodo administrado o para todos los nodos administrados de la selección de Cuenta de AWS y Región de AWS. En el caso de un único nodo, un informe presenta detalles completos, incluidos los ID de las revisiones relacionadas con un nodo que no es conforme. En el caso de un informe sobre todos los nodos administrados, solo se proporciona información de resumen y recuentos de las revisiones de los nodos no conformes.

Después de generar un informe, puede utilizar una herramienta como Amazon Quick para importar y analizar los datos. Quick es un servicio de inteligencia empresarial (BI) que se puede utilizar para explorar e interpretar la información en un entorno visual interactivo. Para obtener más información, consulte la [Guía del usuario de Amazon Quick](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html).

**nota**  
Cuando crea una línea de base de revisiones personalizada, puede especificar un nivel de gravedad de conformidad para las revisiones aprobadas por esa línea de base de revisiones, como `Critical` o `High`. Si se informa del estado de cualquier revisión aprobada como `Missing`, la gravedad de la conformidad general notificada por la línea de base de revisiones será el nivel de gravedad que haya especificado.

También puede especificar un tema de Amazon Simple Notification Service (Amazon SNS) que se utilizará para enviar notificaciones cuando se genera un informe.

**Roles de servicio para la generación de informes de conformidad de parches**  
La primera vez que se genera un informe, Systems Manager crea un rol de asunción de Automation denominado `AWS-SystemsManager-PatchSummaryExportRole` para utilizarlo en el proceso de exportación a S3.

**nota**  
Si va a exportar datos de conformidad a un bucket de S3 cifrado, debe actualizar su política de claves de AWS KMS asociada para proporcionar los permisos necesarios para `AWS-SystemsManager-PatchSummaryExportRole`. Por ejemplo, agregue un permiso similar a este a la política AWS KMS del bucket de S3:  

```
{
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "role-arn"
}
```
Reemplace *role-arn* por el nombre de recurso de Amazon (ARN) del creado en su cuenta, en el formato `arn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole`.  
Para obtener más información, consulte [Políticas de claves en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) en la *Guía para desarrolladores de AWS Key Management Service*.

La primera vez que se genera un informe en una programación, Systems Manager crea otro rol de servicio denominado `AWS-EventBridge-Start-SSMAutomationRole`, así como el rol de servicio `AWS-SystemsManager-PatchSummaryExportRole` (en caso de no haberse creado ya) para utilizarlo en el proceso de exportación. `AWS-EventBridge-Start-SSMAutomationRole` permite que Amazon EventBridge inicie una automatización mediante el manual de procedimientos [AWS-ExportPatchReportToS3](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).

Se recomienda no intentar modificar estas políticas y roles. En caso de hacerlo, podría producirse un error al generar el informe de conformidad de parches. Para obtener más información, consulte [Solución de problemas relacionados con la generación de informes de conformidad de parches](#patch-compliance-reports-troubleshooting).

**Topics**
+ [¿Qué incluye un informe de conformidad de parches generado?](#patch-compliance-reports-to-s3-examples)
+ [Cómo generar informes de conformidad de revisiones para un único nodo administrado](#patch-compliance-reports-to-s3-one-instance)
+ [Cómo generar informes de conformidad de revisiones para todos los nodos administrados](#patch-compliance-reports-to-s3-all-instances)
+ [Cómo visualizar el historial de informes de conformidad de parches](#patch-compliance-reporting-history)
+ [Cómo visualizar la programación de generación de informes de conformidad de parches](#patch-compliance-reporting-schedules)
+ [Solución de problemas relacionados con la generación de informes de conformidad de parches](#patch-compliance-reports-troubleshooting)

## ¿Qué incluye un informe de conformidad de parches generado?
<a name="patch-compliance-reports-to-s3-examples"></a>

Este tema proporciona información acerca de los tipos de contenido incluidos en los informes de conformidad de parches que se generan y descargan en un bucket de S3 especificado.

### Formato de informe para un único nodo administrado
<a name="patch-compliance-reports-to-s3-examples-single-instance"></a>

Un informe generado para un único nodo administrado proporciona información de resumen y detallada.

[Descargar un ejemplo de informe (único nodo)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-single-instance-patch-compliance-report.zip)

La información de resumen de un único nodo administrado incluye lo siguiente:
+ Index
+ ID de instancia
+ Nombre de instancia
+ IP de la instancia
+ nombre de la plataforma
+ Versión de la plataforma
+ SSM AgentVersión 
+ línea de base de revisiones
+ grupo de parches
+ Compliance status (Estado de conformidad)
+ severidad de la conformidad
+ recuento de parches de severidad crítica no conformes
+ recuento de parches de severidad alta no conformes
+ recuento de parches de severidad media no conformes
+ recuento de parches de severidad baja no conformes
+ recuento de parches de severidad informativa no conformes
+ recuento de parches de severidad sin especificar no conformes

La información detallada de un único nodo administrado incluye lo siguiente:
+ Index
+ ID de instancia
+ Nombre de instancia
+ nombre del parche
+ ID de KB o ID de parche
+ estado del parche
+ hora del último informe
+ nivel de conformidad
+ gravedad del parche
+ clasificación del parche
+ ID de CVE
+ línea de base de revisiones
+ URL de registros
+ IP de la instancia
+ nombre de la plataforma
+ Versión de la plataforma
+ SSM AgentVersión 

**nota**  
Cuando crea una línea de base de revisiones personalizada, puede especificar un nivel de gravedad de conformidad para las revisiones aprobadas por esa línea de base de revisiones, como `Critical` o `High`. Si se informa del estado de cualquier revisión aprobada como `Missing`, la gravedad de la conformidad general notificada por la línea de base de revisiones será el nivel de gravedad que haya especificado.

### Formato de informe para todos los nodos administrados
<a name="patch-compliance-reports-to-s3-examples-all-instances"></a>

Un informe generado para todos los nodos administrados proporciona únicamente información de resumen.

[Descargar un informe de ejemplo (todos los nodos administrados)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-all-instances-patch-compliance-report.zip)

La información de resumen de todos los nodos administrados incluye lo siguiente:
+ Index
+ ID de instancia
+ Nombre de instancia
+ IP de la instancia
+ nombre de la plataforma
+ Versión de la plataforma
+ SSM AgentVersión 
+ línea de base de revisiones
+ grupo de parches
+ Compliance status (Estado de conformidad)
+ severidad de la conformidad
+ recuento de parches de severidad crítica no conformes
+ recuento de parches de severidad alta no conformes
+ recuento de parches de severidad media no conformes
+ recuento de parches de severidad baja no conformes
+ recuento de parches de severidad informativa no conformes
+ recuento de parches de severidad sin especificar no conformes

## Cómo generar informes de conformidad de revisiones para un único nodo administrado
<a name="patch-compliance-reports-to-s3-one-instance"></a>

Utilice el siguiente procedimiento para generar un informe de resumen de revisiones para un único nodo administrado en la Cuenta de AWS. El informe para un único nodo administrado proporciona detalles sobre cada revisión que no está en conformidad, incluidos los nombres e ID de las revisiones. 

**Cómo generar informes de conformidad de revisiones para un único nodo administrado**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Patch Manager**.

1. Elija la pestaña **Compliance reporting** (Informes de conformidad).

1. Elija el botón de la fila del nodo administrado para el que desea generar un informe y, a continuación, elija **View detail** (Ver detalle).

1. En la sección **Patch summary** (Resumen de revisiones), elija **Export to S3** (Exportar a S3).

1. En **Report name** (Nombre del informe), ingrese un nombre que le permita identificar el informe más adelante.

1. En **Reporting frequency** (Frecuencia de la generación de informes), elija una de las siguientes opciones:
   + **On demand** (Bajo demanda): cree un informe único Vaya al paso 9.
   + **On a schedule** (Programación): especifique una programación periódica para la generación automática de informes. Continúe con el paso 8.

1. En **Schedule type** (Tipo de programación), especifique una expresión rate, por ejemplo, cada 3 días, o proporcione una expresión cron que configure la frecuencia del informe.

   Para obtener más información acerca de las expresiones cron, consulte [Referencia: expresiones cron y rate para Systems Manager](reference-cron-and-rate-expressions.md).

1. En **Bucket name** (Nombre del bucket), seleccione el nombre de un bucket de S3 en el que desee almacenar los archivos de informe .csv.
**importante**  
Si trabaja en una Región de AWS que se lanzó después del 20 de marzo de 2019, deberá seleccionar un bucket de S3 en la misma región. Las regiones lanzadas después de esa fecha se desactivaron de forma predeterminada. Para obtener más información sobre estas regiones y una lista de ellas, consulte [Enabling a Region](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) en la *Referencia general de Amazon Web Services*.

1. (Opcional) Para enviar notificaciones cuando se genere el informe, expanda la sección **SNS topic** (Tema de SNS) y, a continuación, elija un tema de Amazon SNS existente desde **SNS topic Amazon Resource Name (ARN)** (Nombre de recurso de Amazon (ARN) del tema de SNS).

1. Elija **Enviar**.

Para obtener información acerca de cómo ver un historial de informes generados, consulte [Cómo visualizar el historial de informes de conformidad de parches](#patch-compliance-reporting-history).

Para obtener información acerca de cómo ver los detalles de las programaciones de generación de informes que ha creado, consulte [Cómo visualizar la programación de generación de informes de conformidad de parches](#patch-compliance-reporting-schedules).

## Cómo generar informes de conformidad de revisiones para todos los nodos administrados
<a name="patch-compliance-reports-to-s3-all-instances"></a>

Utilice el siguiente procedimiento para generar un informe de resumen de revisiones para todos los nodos administrados en la Cuenta de AWS. El informe de todos los nodos administrados muestra cuáles son los nodos y los números de las revisiones que no están en conformidad. No proporciona los nombres ni otros identificadores de los parches. Para obtener estos detalles adicionales, puede generar un informe de conformidad de revisiones para un único nodo administrado. Para obtener información, consulte la sección [Cómo generar informes de conformidad de revisiones para un único nodo administrado](#patch-compliance-reports-to-s3-one-instance) que se ha expuesto anteriormente en este tema. 

**Cómo generar informes de conformidad de revisiones para todos los nodos administrados**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Patch Manager**.

1. Elija la pestaña **Compliance reporting** (Informes de conformidad).

1. Elija **Export to S3** (Exportar a S3). (No seleccione primero un ID de nodo).

1. En **Report name** (Nombre del informe), ingrese un nombre que le permita identificar el informe más adelante.

1. En **Reporting frequency** (Frecuencia de la generación de informes), elija una de las siguientes opciones:
   + **On demand** (Bajo demanda): cree un informe único Vaya al paso 8.
   + **On a schedule** (Programación): especifique una programación periódica para la generación automática de informes. Continúe en el paso 7.

1. En **Schedule type** (Tipo de programación), especifique una expresión rate, por ejemplo, cada 3 días, o proporcione una expresión cron que configure la frecuencia del informe.

   Para obtener más información acerca de las expresiones cron, consulte [Referencia: expresiones cron y rate para Systems Manager](reference-cron-and-rate-expressions.md).

1. En **Bucket name** (Nombre del bucket), seleccione el nombre de un bucket de S3 en el que desee almacenar los archivos de informe .csv.
**importante**  
Si trabaja en una Región de AWS que se lanzó después del 20 de marzo de 2019, deberá seleccionar un bucket de S3 en la misma región. Las regiones lanzadas después de esa fecha se desactivaron de forma predeterminada. Para obtener más información sobre estas regiones y una lista de ellas, consulte [Enabling a Region](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) en la *Referencia general de Amazon Web Services*.

1. (Opcional) Para enviar notificaciones cuando se genere el informe, expanda la sección **SNS topic** (Tema de SNS) y, a continuación, elija un tema de Amazon SNS existente desde **SNS topic Amazon Resource Name (ARN)** (Nombre de recurso de Amazon (ARN) del tema de SNS).

1. Elija **Enviar**.

Para obtener información acerca de cómo ver un historial de informes generados, consulte [Cómo visualizar el historial de informes de conformidad de parches](#patch-compliance-reporting-history).

Para obtener información acerca de cómo ver los detalles de las programaciones de generación de informes que ha creado, consulte [Cómo visualizar la programación de generación de informes de conformidad de parches](#patch-compliance-reporting-schedules).

## Cómo visualizar el historial de informes de conformidad de parches
<a name="patch-compliance-reporting-history"></a>

Utilice la información de este tema para que pueda ver los detalles acerca de los informes de conformidad de parches generados en su Cuenta de AWS.

**Cómo visualizar el historial de informes de conformidad de parches**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Patch Manager**.

1. Elija la pestaña **Compliance reporting** (Informes de conformidad).

1. Elija **View all S3 exports** (Ver todas las exportaciones de S3) y, a continuación, elija la pestaña **Export history** (Historial de exportación).

## Cómo visualizar la programación de generación de informes de conformidad de parches
<a name="patch-compliance-reporting-schedules"></a>

Utilice la información de este tema para que pueda ver los detalles acerca de las programaciones de generación de informes de conformidad de parches que ha creado en su Cuenta de AWS.

**Cómo visualizar el historial de informes de conformidad de parches**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Patch Manager**.

1. Elija la pestaña **Compliance reporting** (Informes de conformidad).

1. Elija **View all S3 exports** (Ver todas las exportaciones de S3) y, a continuación, elija la pestaña **Report scheduled rules** (Informar reglas programadas).

## Solución de problemas relacionados con la generación de informes de conformidad de parches
<a name="patch-compliance-reports-troubleshooting"></a>

Utilice la siguiente información que lo ayudará a solucionar problemas con la generación de informes de conformidad de parches en Patch Manager, una herramienta de AWS Systems Manager.

**Topics**
+ [Un mensaje notifica que la política `AWS-SystemsManager-PatchManagerExportRolePolicy` está dañada.](#patch-compliance-reports-troubleshooting-1)
+ [Después de eliminar roles o políticas de conformidad de parches, los informes programados no se generan correctamente](#patch-compliance-reports-troubleshooting-2)

### Un mensaje notifica que la política `AWS-SystemsManager-PatchManagerExportRolePolicy` está dañada.
<a name="patch-compliance-reports-troubleshooting-1"></a>

**Problema:** recibe un mensaje de error similar al siguiente, en el que se indica que `AWS-SystemsManager-PatchManagerExportRolePolicy` está dañado:

```
An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.
```
+ **Solución**: utilice la consola Patch Manager o la AWS CLI para eliminar los roles y las políticas afectadas antes de generar un nuevo informe de cumplimiento de las revisiones.

**Cómo eliminar la política dañada con la consola**

  1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

  1. Realice una de las siguientes acciones:

     **Informes bajo demanda:** si el problema se produjo cuando se generaba un informe bajo demanda único, en el panel de navegación izquierdo, elija **Policies** (Políticas), busque `AWS-SystemsManager-PatchManagerExportRolePolicy`, y, a continuación, elimine la política. Luego, elija **Roles** (Roles), busque `AWS-SystemsManager-PatchSummaryExportRole` y, a continuación, elimine el rol.

     **Informes programados:** si el problema se produjo mientras generaba un informe en una programación, en el panel de navegación izquierdo, elija **Políticas**, busque una a la vez en `AWS-EventBridge-Start-SSMAutomationRolePolicy` y `AWS-SystemsManager-PatchManagerExportRolePolicy` y elimine cada política. Luego, elija **Roles** (Roles), busque uno a la vez en `AWS-EventBridge-Start-SSMAutomationRole` y `AWS-SystemsManager-PatchSummaryExportRole` y, a continuación, elimine cada rol.

**Cómo eliminar una política dañada con la AWS CLI**

  Sustituya los *valores de marcador* por su ID de la cuenta.
  + Si el problema se produjo al generar un informe único bajo demanda, ejecute los siguientes comandos:

    ```
    aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
    ```

    ```
    aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
    ```

    Si el problema se produjo al generar un informe programado, ejecute los siguientes comandos:

    ```
    aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
    ```

    ```
    aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
    ```

    ```
    aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
    ```

    ```
    aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
    ```

  Después de completar cualquiera de los procedimientos, siga los pasos para generar o programar un nuevo informe de conformidad de revisiones.

### Después de eliminar roles o políticas de conformidad de parches, los informes programados no se generan correctamente
<a name="patch-compliance-reports-troubleshooting-2"></a>

**Problema:** la primera vez que se genera un informe, Systems Manager crea un rol de servicio y una política para utilizarlos en el proceso de exportación (`AWS-SystemsManager-PatchSummaryExportRole` y `AWS-SystemsManager-PatchManagerExportRolePolicy`). La primera vez que se genera un informe en una programación, Systems Manager crea otro rol de servicio y una política (`AWS-EventBridge-Start-SSMAutomationRole` y `AWS-EventBridge-Start-SSMAutomationRolePolicy`). Estas permiten que Amazon EventBridge inicie una automatización mediante el manual de procedimientos [AWS-ExportPatchReportToS3 ](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).

Si elimina alguna de estas políticas o roles, es posible que se pierdan las conexiones entre su programación y el bucket de S3 y el tema de Amazon SNS especificados. 
+ **Solución**: para resolver este problema, se recomienda eliminar la programación anterior y crear una nueva que reemplace a la que presentaba problemas.

# Corrección de los nodos gestionados no conformes con Patch Manager
<a name="patch-manager-noncompliant-nodes"></a>

Los temas incluidos en esta sección ofrecen información general sobre cómo identificar los nodos administrados que no están conformes con la aplicación de revisiones y cómo lograr esa conformidad.

**Topics**
+ [Identificación de nodos administrados no conformes](patch-manager-find-noncompliant-nodes.md)
+ [Valores de estado de conformidad de las revisiones](patch-manager-compliance-states.md)
+ [Revisiones en nodos administrados que no están en conformidad](patch-manager-compliance-remediation.md)

# Identificación de nodos administrados no conformes
<a name="patch-manager-find-noncompliant-nodes"></a>

Los nodos administrados que no están en conformidad se identifican en el momento en que se ejecuta cualquiera de los dos documentos de AWS Systems Manager (documentos de SSM). Estos documentos de SSM hacen referencia a la línea de base de revisiones adecuada para cada nodo administrado en Patch Manager, una herramienta de AWS Systems Manager. A continuación, se evalúa el estado de la revisión del nodo administrado y se ponen a disposición los resultados de conformidad.

Hay dos documentos de SSM que se utilizan para identificar o actualizar los nodos administrados no conformes: `AWS-RunPatchBaseline` y `AWS-RunPatchBaselineAssociation`. Cada una de ellas se utiliza en diferentes procesos, y sus resultados de conformidad se encuentran disponibles en distintos canales. En la siguiente tabla se exponen las diferencias entre estos documentos.

**nota**  
Se pueden enviar los datos de conformidad de revisiones de Patch Manager a AWS Security Hub CSPM. Security Hub CSPM ofrece una visión completa de las alertas de seguridad de alta prioridad y el estado de conformidad. También monitorea el estado de aplicación de revisiones de la flota. Para obtener más información, consulte [Integración de Patch Manager con AWS Security Hub CSPM](patch-manager-security-hub-integration.md). 


|  | `AWS-RunPatchBaseline` | `AWS-RunPatchBaselineAssociation` | 
| --- | --- | --- | 
| Procesos que utilizan el documento |  **Revisión bajo demanda:** puede analizar o aplicar revisiones a nodos administrados bajo demanda mediante la opción **Patch now** (Aplicar revisión ahora). Para obtener más información, consulte [Aplicación de revisiones a nodos administrados bajo demanda](patch-manager-patch-now-on-demand.md). **Políticas de revisiones de Quick Setup de Systems Manager**: puede crear una configuración de revisiones en Quick Setup, una herramienta de AWS Systems Manager, que pueda buscar o instalar las revisiones que faltan según programaciones independientes para toda una organización, un subconjunto de unidades organizativas o una sola Cuenta de AWS. Para obtener más información, consulte [Cómo configurar las revisiones para las instancias de una organización mediante una política de parches Quick Setup](quick-setup-patch-manager.md). **Ejecución de un comando**: puede ejecutar `AWS-RunPatchBaseline` manualmente en una operación en Run Command, una herramienta de AWS Systems Manager. Para obtener más información, consulte [Ejecución de comandos desde la consola](running-commands-console.md). **Periodo de mantenimiento**: puede crear un periodo de mantenimiento que utilice el documento de SSM `AWS-RunPatchBaseline` en un tipo de tarea de Run Command. Para obtener más información, consulte [Tutorial: creación de un periodo de mantenimiento para la aplicación de revisiones mediante la consola](maintenance-window-tutorial-patching.md).  |  **Administración de host de Quick Setup de Systems Manager**: puede habilitar una opción de configuración de administración de host en Quick Setup para analizar diariamente sus instancias administradas con el fin de comprobar la conformidad de las revisiones. Para obtener más información, consulte [Instalar la administración de host de Amazon EC2 mediante Quick Setup](quick-setup-host-management.md). **[Explorer](Explorer.md) de Systems Manager**: cuando permite Explorer, una herramienta de AWS Systems Manager, esta analiza periódicamente sus instancias administradas con el fin de comprobar la conformidad con las revisiones e informa los resultados en el panel de Explorer.  | 
| Formato de los datos de los resultados obtenidos en el análisis de revisiones |  Una vez que se ejecuta `AWS-RunPatchBaseline`, Patch Manager envía un objeto `AWS:PatchSummary` a Inventario, una herramienta de AWS Systems Manager. Este informe se genera únicamente si las operaciones de aplicación de revisiones se realizan correctamente e incluye un tiempo de captura que identifica cuándo se calculó el estado de conformidad.  |  Una vez que se ejecuta `AWS-RunPatchBaselineAssociation`, Patch Manager envía un objeto `AWS:ComplianceItem` a Systems Manager Inventory.  | 
| Visualización de informes de conformidad de revisiones en la consola |  Puede visualizar la información de conformidad de las revisiones para los procesos que utilizan `AWS-RunPatchBaseline` en [Conformidad de configuración de Systems Manager](systems-manager-compliance.md) y [Trabajo con nodos administrados](fleet-manager-managed-nodes.md). Para obtener más información, consulte [Ver resultados de conformidad de parches](patch-manager-view-compliance-results.md).  |  Si utiliza Quick Setup para analizar sus instancias administradas para comprobar la conformidad con las revisiones, podrá consultar el informe de conformidad en [Systems Manager Fleet Manager](fleet-manager.md). En la consola Fleet Manager, elija el ID de nodo del nodo administrado. En el menú **General**, seleccione **Cumplimiento de la configuración**. Si utiliza Explorer para analizar sus instancias administradas para comprobar la conformidad con las revisiones, podrá consultar el informe de conformidad tanto en Explorer como en [Systems Manager OpsCenter](OpsCenter.md).  | 
| Comandos de la AWS CLI para visualizar los resultados de conformidad de revisiones |  Para los procesos que utilizan `AWS-RunPatchBaseline`, puede usar los siguientes comandos de la AWS CLI para obtener información de resumen acerca de las revisiones en un nodo administrado. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html)  |  Para los procesos que utilizan `AWS-RunPatchBaselineAssociation`, puede usar el siguiente comando de la AWS CLI para obtener información de resumen acerca de las revisiones en una instancia. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html)  | 
| Operaciones de aplicación de revisiones |  Para los procesos que utilizan `AWS-RunPatchBaseline`, se especifica si se desea que la operación ejecute únicamente una operación `Scan` o una operación `Scan and install`. Si el objetivo es identificar los nodos administrados no conformes en lugar de corregirlos, ejecute únicamente una operación `Scan`.  | Los procesos Quick Setup y Explorer, que utilizan AWS-RunPatchBaselineAssociation, ejecutan únicamente una operación Scan. | 
| Más información |  [Documento de comandos SSM para aplicar revisiones: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md)  |  [Documento de comandos SSM para aplicar revisiones: `AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md)  | 

Para obtener información acerca de los distintos estados de conformidad de las revisiones que se podrían notificar, consulte [Valores de estado de conformidad de las revisiones](patch-manager-compliance-states.md)

Para obtener información acerca de cómo corregir los nodos administrados que no están en conformidad con las revisiones, consulte [Revisiones en nodos administrados que no están en conformidad](patch-manager-compliance-remediation.md).

# Valores de estado de conformidad de las revisiones
<a name="patch-manager-compliance-states"></a>

La información sobre las revisiones de un nodo administrado incluye un informe sobre el estado de cada revisión individual.

**sugerencia**  
Si desea asignar un estado de conformidad de revisiones específico a un nodo administrado, puede utilizar el comando de la AWS Command Line Interface (AWS CLI) [https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html) o la operación de la API [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html). La asignación del estado de conformidad no se admite en la consola.

Utilice la información que aparece en las siguientes tablas para que pueda identificar el motivo por el cual un nodo administrado podría no estar en conformidad con las revisiones.

## Valores de conformidad de revisiones para Debian Server y Ubuntu Server
<a name="patch-compliance-values-ubuntu"></a>

En el caso de Debian Server y Ubuntu Server, las reglas para la clasificación de los paquetes en los diferentes estados de conformidad se describen en la siguiente tabla.

**nota**  
Tenga en cuenta lo siguiente al evaluar los valores de estado `INSTALLED`, `INSTALLED_OTHER`, y `MISSING`: Si no selecciona la casilla **Incluir actualizaciones no relacionadas con la seguridad** al crear o actualizar una línea de base de revisiones, las versiones candidatas a parches se limitan a los parches en los siguientes repositorios:   
Ubuntu Server 16.04 LTS: `xenial-security`
Ubuntu Server 18.04 LTS: `bionic-security`
Ubuntu Server 20.04 LTS: `focal-security`
Ubuntu Server 22.04 LTS (`jammy-security`)
Ubuntu Server 24.04 LTS (`noble-security`)
Ubuntu Server 25.04 (`plucky-security`)
`debian-security` (Debian Server)
Si selecciona la casilla **Include nonsecurity updates** (Incluir actualizaciones no relacionadas con la seguridad), también se tendrán en cuenta los parches de otros repositorios.


| Estado del parche | Descripción | Compliance status (Estado de conformidad) | 
| --- | --- | --- | 
|  **`INSTALLED`**  |  La revisión aparece en la base de referencia de revisiones y se instala en el nodo administrado. Podría haberse instalado de forma manual por un usuario o de forma automática por Patch Manager cuando se ejecutó el documento `AWS-RunPatchBaseline` en el nodo administrado.  | Conforme | 
|  **`INSTALLED_OTHER`**  |  La revisión no se incluye en la base de referencia ni se encuentra aprobada por ella, pero se instala en el nodo administrado. Es posible que el parche se haya instalado manualmente, que el paquete sea una dependencia necesaria de otro parche aprobado o que se haya incluido en una operación InstallOverrideList. Si no especifica `Block` como acción de **parches rechazados**, los parches `INSTALLED_OTHER` también incluyen los parches instalados pero que han sido rechazados.   | Conforme | 
|  **`INSTALLED_PENDING_REBOOT`**  |  `INSTALLED_PENDING_REBOOT` puede significar cualquiera de las siguientes posibilidades: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/patch-manager-compliance-states.html) En ninguno de los dos casos significa que una revisión con este estado *requiera* un reinicio, solo que el nodo no se ha reiniciado desde que se instaló el parche.  | No conforme | 
|  **`INSTALLED_REJECTED`**  |  La revisión está instalada en el nodo administrado, pero se especifica en una lista de **revisiones rechazadas**. Normalmente esto significa que el parche se instaló antes de que se añadiera a una lista de parches rechazados.  | No conforme | 
|  **`MISSING`**  |  La revisión está aprobada en la base de referencia, pero no se ha instalado en el nodo administrado. Si configura la tarea de documento `AWS-RunPatchBaseline` para analizar (en vez de instalar), el sistema informa este estado para los parches que se encontraron durante el análisis, pero que no se han instalado.  | No conforme | 
|  **`FAILED`**  |  El parche está aprobado en la base de referencia, pero no se ha podido instalar. Para resolver esta situación, revise la salida del comando para buscar información que pueda ayudarle a comprender el problema.  | No conforme | 

## Valores de conformidad de parches para otros sistemas operativos
<a name="patch-compliance-values"></a>

Para todos los sistemas operativos además de Debian Server y Ubuntu Server, las reglas para la clasificación de los paquetes en los diferentes estados de conformidad se describen en la siguiente tabla. 


|  Estado del parche | Descripción | Valor de conformidad | 
| --- | --- | --- | 
|  **`INSTALLED`**  |  La revisión aparece en la base de referencia de revisiones y se instala en el nodo administrado. Podría haberse instalado de forma manual por un usuario o de forma automática por Patch Manager cuando se ejecutó el documento `AWS-RunPatchBaseline` en el nodo.  | Conforme | 
|  **`INSTALLED_OTHER`**1  |  La revisión no está en la base de referencia, pero se ha instalado en el nodo administrado. Existen dos razones posibles para ello: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/patch-manager-compliance-states.html)  | Conforme | 
|  **`INSTALLED_REJECTED`**  |  La revisión está instalada en el nodo administrado, pero se especifica en una lista de revisiones rechazadas. Normalmente esto significa que el parche se instaló antes de que se añadiera a una lista de parches rechazados.  | No conforme | 
|  **`INSTALLED_PENDING_REBOOT`**  |  `INSTALLED_PENDING_REBOOT` puede significar cualquiera de las siguientes posibilidades: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/patch-manager-compliance-states.html) En ninguno de los dos casos significa que una revisión con este estado *requiera* un reinicio, solo que el nodo no se ha reiniciado desde que se instaló el parche.  | No conforme | 
|  **`MISSING`**  |  La revisión está aprobada en la base de referencia, pero no se ha instalado en el nodo administrado. Si configura la tarea de documento `AWS-RunPatchBaseline` para analizar (en vez de instalar), el sistema informa este estado para los parches que se encontraron durante el análisis, pero que no se han instalado.  | No conforme | 
|  **`FAILED`**  |  El parche está aprobado en la base de referencia, pero no se ha podido instalar. Para resolver esta situación, revise la salida del comando para buscar información que pueda ayudarle a comprender el problema.  | No conforme | 
|  **`NOT_APPLICABLE`**1  |  *Este estado de cumplimiento solo se notifica en los sistemas operativos de Windows Server.* La revisión está aprobada en la base de referencia, pero el servicio o la característica que usa la revisión no se ha instalado en el nodo administrado. Por ejemplo, una revisión de un servicio de servidor web como Internet Information Services (IIS) mostrará `NOT_APPLICABLE` si se ha aprobado en la base de referencia, pero el servicio web no se ha instalado en el nodo administrado. También se puede marcar un parche `NOT_APPLICABLE` si se ha reemplazado por una actualización posterior. Esto significa que la actualización posterior está instalada y la actualización `NOT_APPLICABLE` ya no es necesaria.  | No aplicable | 
| AVAILABLE\$1SECURITY\$1UPDATES |  *Este estado de cumplimiento solo se notifica en los sistemas operativos de Windows Server.* La revisión de actualización de seguridad disponible que no esté aprobada por la línea de base de revisiones puede tener un valor de conformidad `Compliant` o `Non-Compliant`, tal como se define en una línea de base de revisiones personalizada. Al crear o actualizar una línea de base de revisiones, usted elige el estado que desee asignar a las revisiones de seguridad que están disponibles pero no aprobadas porque no cumplen con los criterios de instalación especificados en la línea de base de revisiones. Por ejemplo, las revisiones de seguridad que desee instalar se pueden omitir si ha especificado un periodo prolongado de espera después del lanzamiento de la revisión antes de la instalación. Si se publica una actualización de la revisión durante el periodo de espera especificado, el periodo de espera para instalar la revisión vuelve a comenzar. Si el periodo de espera es demasiado extenso, es posible que se lancen varias versiones de la revisión, pero nunca se instalen. En cuanto a los recuentos resumidos de revisiones, cuando una revisión se notifica como `AvailableSecurityUpdate`, siempre se incluirá en `AvailableSecurityUpdateCount`. Si la línea de base está configurada para indicar estas revisiones como `NonCompliant`, también se incluye en `SecurityNonCompliantCount`. Si la línea de base está configurada para indicar estas revisiones como `Compliant`, no se incluyen en `SecurityNonCompliantCount`. Estas revisiones siempre se notifican con una gravedad no especificada y nunca se incluyen en el `CriticalNonCompliantCount`.  |  Conforme o No conforme, según la opción seleccionada para las actualizaciones de seguridad disponibles.  Si utiliza la consola para crear o actualizar una línea de base de revisiones, especifique esta opción en el campo **Estado de cumplimiento de las actualizaciones de seguridad disponibles**. Si utiliza la AWS CLI para ejecutar el comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html) o [https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html), especifique esta opción en el parámetro `available-security-updates-compliance-status`.   | 

¹ Para revisiones con el estado `INSTALLED_OTHER` y `NOT_APPLICABLE`, Patch Manager omite algunos datos de los resultados de la consulta en función del comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html), como los valores de `Classification` y `Severity`. Esto se hace para ayudar a evitar que se supere el límite de datos en los nodos individuales de Inventario, una herramienta de AWS Systems Manager. Para ver todos los detalles de la revisión, puede utilizar el comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html). 

# Revisiones en nodos administrados que no están en conformidad
<a name="patch-manager-compliance-remediation"></a>

Muchas de las mismas herramientas y procesos de AWS Systems Manager que puede utilizar para verificar la conformidad de los nodos administrados con las revisiones sirven para lograr que los nodos cumplan las reglas de las revisiones que se les aplican actualmente. Para que los nodos administrados estén en conformidad con la revisión, Patch Manager, una herramienta de AWS Systems Manager, debe ejecutar una operación `Scan and install`. (Si el objetivo es solo identificar los nodos administrados que no están en conformidad en vez de corregirlos, ejecute una operación `Scan` en su lugar. Para obtener más información, consulte [Identificación de nodos administrados no conformes](patch-manager-find-noncompliant-nodes.md)).

**Instalar revisiones con Systems Manager**  
Puede elegir entre varias herramientas para realizar una operación `Scan and install`:
+ (Recomendado) Configure una política de revisiones en Quick Setup, una herramienta de Systems Manager, que le permita instalar revisiones faltantes en una programación para una organización completa, un subconjunto de unidades organizacionales o una sola Cuenta de AWS. Para obtener más información, consulte [Cómo configurar las revisiones para las instancias de una organización mediante una política de parches Quick Setup](quick-setup-patch-manager.md).
+ Cree un periodo de mantenimiento que utilice el documento de Systems Manager (documento de SSM) `AWS-RunPatchBaseline` en un tipo de tarea de Run Command. Para obtener más información, consulte [Tutorial: creación de un periodo de mantenimiento para la aplicación de revisiones mediante la consola](maintenance-window-tutorial-patching.md).
+ Ejecute manualmente `AWS-RunPatchBaseline` en una operación Run Command. Para obtener más información, consulte [Ejecución de comandos desde la consola](running-commands-console.md).
+ Instale las revisiones bajo demanda con la opción **Patch now** (Aplicar revisión ahora). Para obtener más información, consulte [Aplicación de revisiones a nodos administrados bajo demanda](patch-manager-patch-now-on-demand.md).

# Identificación de la ejecución que creó los datos de conformidad de la revisión
<a name="patch-manager-compliance-data-overwrites"></a>

Los datos de conformidad de las revisiones representan una instantánea puntual de la última operación de aplicación de revisiones exitosa. Cada informe de conformidad incluye un identificador de ejecución y un tiempo de captura que ayudan a identificar qué operación creó los datos de conformidad y cuándo se generaron.

Si tiene varios tipos de operaciones implementadas para analizar las instancias para comprobar la conformidad de revisiones, cada análisis sobrescribe los datos de conformidad de revisiones de los análisis anteriores. Como consecuencia, es posible que obtenga resultados inesperados en los datos de cumplimiento de sus revisiones.

Por ejemplo, supongamos que crea una política de revisiones que analiza la conformidad de las revisiones todos los días a las 2:00 h, hora local. Esa política utiliza una línea de base de revisiones que se centra en las revisiones con una gravedad marcada como `Critical`, `Important`, y `Moderate`. Esta línea de base de revisiones también especifica algunas revisiones que se rechazaron de forma específica. 

Supongamos también que ya configuró un periodo de mantenimiento para analizar el mismo conjunto de nodos administrados todos los días a las 4 h, hora local, que no elimina ni desactiva. La tarea de ese periodo de mantenimiento utiliza una línea de base de revisiones diferente, una que se enfoca solo en las revisiones con una gravedad `Critical` y no excluye ninguna revisión específica. 

Cuando el periodo de mantenimiento realiza este segundo análisis, los datos de conformidad de las revisiones del primer análisis se eliminan y se reemplazan por los del segundo análisis. 

Por lo tanto, recomendamos encarecidamente usar solo un método automatizado para analizar e instalar en sus operaciones de aplicación de revisiones. Si está configurando políticas de revisiones, debe eliminar o desactivar otros métodos de análisis para comprobar el cumplimiento de revisiones. Para obtener más información, consulte los temas siguientes: 
+ Para eliminar una tarea de operación de aplicación de revisiones de un periodo de mantenimiento: [Actualizar o eliminar tareas de un periodo de mantenimiento mediante la consola](sysman-maintenance-update.md#sysman-maintenance-update-tasks) 
+ Para eliminar una asociación de State Manager: [Eliminación de una asociación](systems-manager-state-manager-delete-association.md).

Para desactivar los análisis diarios de cumplimiento de revisiones en una configuración de administración de host, haga lo siguiente en Quick Setup:

1. En el panel de navegación, elija **Quick Setup**.

1. Seleccione la configuración de administración de host para actualizar.

1. Elija **Actions (Acciones) y Edit configuration (Editar la configuración)**.

1. Desactive la casilla **Scan instances for missing patches daily** (Analizar diariamente las instancias en busca de revisiones que falten).

1. Elija **Actualizar**.

**nota**  
El uso de la opción **Patch now** (Aplicar revisión ahora) para analizar un nodo administrado para comprobar la conformidad también da como resultado una sobrescritura de los datos de conformidad de las revisiones. 

# Aplicación de revisiones a nodos administrados bajo demanda
<a name="patch-manager-patch-now-on-demand"></a>

Puede ejecutar las operaciones de aplicación de revisiones bajo demanda desde la consola de Systems Manager mediante la opción **Aplicar el parche ahora** en Patch Manager, una herramienta de AWS Systems Manager. De este modo, no tendrá que crear una programación para actualizar el estado de conformidad de los nodos administrados o para instalar revisiones en los nodos no conformes. Tampoco es necesario cambiar la consola de Systems Manager entre Patch Manager y Maintenance Windows, una herramienta de AWS Systems Manager, para configurar o modificar un periodo de aplicación de revisiones programado.

**Patch now** (Aplicar revisión ahora) resulta de gran utilidad cuando se deben aplicar actualizaciones de día cero o instalar otras revisiones críticas en los nodos administrados lo antes posible.

**nota**  
Se admite la aplicación de revisiones bajo demanda para un solo par de Cuenta de AWS-Región de AWS a la vez. No se puede usar con operaciones de revisiones basadas en *políticas de revisiones*. Recomendamos utilizar políticas de revisiones para mantener todos los nodos administrados en conformidad. Para obtener más información sobre el uso de las políticas de revisiones, consulte [Configuraciones de políticas de revisiones en Quick Setup](patch-manager-policies.md).

**Topics**
+ [Funcionamiento de “Patch now” (Aplicar revisión ahora)](#patch-on-demand-how-it-works)
+ [Ejecución de “Patch now” (Aplicar revisión ahora)](#run-patch-now)

## Funcionamiento de “Patch now” (Aplicar revisión ahora)
<a name="patch-on-demand-how-it-works"></a>

Para ejecutar **Patch now** (Aplicar revisión ahora), solo tiene que especificar dos ajustes necesarios:
+ Si se analizan solo las revisiones faltantes o si se analizan *e* instalan las revisiones en los nodos administrados
+ En qué nodos administrados se ejecuta la operación

Cuando la operación **Patch now** (Aplicar revisión ahora) se ejecuta, determina qué línea de base de revisiones se va a utilizar de la misma manera que se selecciona una para otras operaciones de revisiones. Si un nodo administrado está asociado a un grupo de revisiones, se utiliza la base de referencia de revisiones especificada para ese grupo. Si el nodo administrado no está asociado a un grupo de revisiones, la operación utiliza la base de referencia de revisiones que está configurada actualmente como predeterminada para el tipo de sistema operativo del nodo administrado. Puede tratarse de una base de referencia predefinida o de la base de referencia personalizada que haya definido como predeterminada. Para obtener más información acerca de la selección de línea de base de revisiones, consulte [Grupos de revisiones](patch-manager-patch-groups.md). 

Las opciones que se pueden especificar para **Patch now** (Aplicar revisión ahora) incluyen elegir cuándo reiniciar los nodos administrados después de la aplicación de revisiones, o si corresponde hacerlo, especificar un bucket de Amazon Simple Storage Service (Amazon S3) para almacenar los datos de registro de esa operación de aplicación de revisiones y ejecutar documentos de Systems Manager (documentos de SSM) como enlaces de ciclo de vida durante la aplicación de revisiones.

### Umbrales de concurrencia y error para ‘Patch now’
<a name="patch-on-demand-concurrency"></a>

Para las operaciones de **Patch now** (Aplicar revisión ahora), las opciones de umbral de concurrencia y de error se gestionan mediante Patch Manager. No es necesario especificar en cuántos nodos administrados se aplicará la revisión a la vez ni cuántos errores se permiten antes de que la operación no funcione. Patch Manager aplica las configuraciones de simultaneidad y límites de errores descritas en las siguientes tablas cuando se aplica una revisión bajo demanda.

**importante**  
Los siguientes umbrales se aplican únicamente a las operaciones `Scan and install`. En el caso de las operaciones `Scan`, Patch Manager intenta analizar hasta 1000 nodos simultáneamente y continúa el análisis hasta que haya detectado un máximo de 1000 errores.


**Simultaneidad: operaciones de instalación**  

| Número total de nodos administrados en la operación **Patch now** (Aplicar revisión ahora) | Número de nodos administrados analizados o con revisiones a la vez | 
| --- | --- | 
| Menos de 25 | 1 | 
| 25-100 | 5% | 
| 101 a 1000 | 8 % | 
| Más de 1000 | 10% | 


**Umbral de error: operaciones de instalación**  

| Número total de nodos administrados en la operación **Patch now** (Aplicar revisión ahora) | Número de errores permitidos antes de que la operación no funcione | 
| --- | --- | 
| Menos de 25 | 1 | 
| 25-100 | 5 | 
| 101 a 1000 | 10 | 
| Más de 1000 | 10 | 

### Uso de los enlaces de ciclo de vida ‘Patch now’
<a name="patch-on-demand-hooks"></a>

**Patch now** (Aplicar revisión ahora) le proporciona la capacidad de ejecutar documentos de comando de SSM como enlaces de ciclo de vida durante una operación de revisióno de `Install`. Puede utilizar estos enlaces para tareas tales como apagar aplicaciones antes de aplicar revisiones o ejecutar comprobaciones de estado en las aplicaciones después de aplicar revisiones o después de un reinicio. 

Para obtener más información acerca del uso de enlaces de ciclo de vida, consulte [Documento de comandos SSM para aplicar revisiones: `AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md).

En la siguiente tabla se indican los enlaces de ciclo de vida disponibles para cada uno de las tres opciones de reinicio **Patch now** (Aplicar revisión ahora), además de los usos de muestra para cada enlace.


**Enlaces de ciclo de vida y usos de muestra**  

| Opción de reinicio | Enlace: antes de la instalación | Enlace: después de la instalación | Enlace: en la salida | Enlace: después del reinicio programado | 
| --- | --- | --- | --- | --- | 
| Reboot if needed (Reiniciar si es necesario |  Ejecute un documento SSM antes de que comience la revisióno. Ejemplo de uso: Cierre las aplicaciones de forma segura antes de que comience el proceso de revisiones.   |  Ejecute un documento SSM al final de la operación de aplicación de revisiones y antes del reinicio del nodo administrado. Ejemplo de uso: Ejecute operaciones como la instalación de aplicaciones de terceros antes de un posible reinicio.  |  Ejecute un documento de SSM después de que finalice la operación de revisión y se hayan reiniciado las instancias. Ejemplo de uso: Asegúrese de que las aplicaciones se ejecuten según lo esperado tras la aplicación de revisiones.  | No disponible | 
| Do not reboot my instances (No reiniciar mis instancias | Igual que lo mencionado anteriormente. |  Ejecute un documento de SSM al final de la operación de revisióno. Ejemplo de uso: Asegúrese de que las aplicaciones se ejecuten según lo esperado tras la aplicación de revisiones.  |  *No disponible*   |  *No disponible*   | 
| Schedule a reboot time (Programar una hora de reinicio | Igual que lo mencionado anteriormente. | Igual que para Do not reboot my instances (No reiniciar mis instancias) | No disponible |  Ejecute un documento de SSM inmediatamente después de que finalice el reinicio programado. Ejemplo de uso: Asegúrese de que las aplicaciones se ejecuten según lo esperado después del reinicio.  | 

## Ejecución de “Patch now” (Aplicar revisión ahora)
<a name="run-patch-now"></a>

Utilice el siguiente procedimiento para aplicar revisiones a los nodos administrados bajo demanda.

**Para ejecutar “Patch now” (Aplicar revisión ahora)**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Patch Manager**.

1. Elija **Patch now** (Aplicar revisión ahora).

1. En **Patching operation** (Operación de aplicación de revisiones), elija una de las siguientes opciones:
   + **Scan** (Analizar): Patch Manager busca las revisiones que faltan en los nodos administrados, pero no las instala. Puede ver los resultados en el panel **Compliance** o en otras herramientas que utilice para la visualización de la conformidad de las revisiones.
   + **Scan and install** (Analizar e instalar): Patch Manager busca las revisiones faltantes en los nodos administrados y las instala.

1. Utilice este paso solo si eligió la opción **Scan and install** (Analizar e instalar) en el paso anterior. En **Reboot** (Reinicio), elija una de las siguientes opciones:
   + **Reboot if needed** (Reiniciar si es necesario): luego de la instalación, Patch Manager reinicia los nodos administrados solo si es necesario para completar la instalación de una revisión.
   + **Don't reboot my instances** (No reiniciar las instancias): luego de la instalación, Patch Manager no reinicia los nodos administrados. Puede reiniciar los nodos administrados de forma manual en el momento que desee o administrar los reinicios fuera de Patch Manager.
   + **Schedule a reboot time** (Programar una hora de reinicio): especifique la fecha, la hora y la zona horaria UTC para que Patch Manager reinicie los nodos administrados. Después de ejecutar la operación **Patch now** (Aplicar revisión ahora), el reinicio programado aparece como asociación en State Manager con el nombre `AWS-PatchRebootAssociation`.
**importante**  
Si cancela la operación principal de aplicación de revisiones una vez iniciada, la asociación `AWS-PatchRebootAssociation` de State Manager NO se cancela automáticamente. Para evitar reinicios inesperados, debe eliminar `AWS-PatchRebootAssociation` manualmente desde State Manager si ya no desea que se produzca el reinicio programado. Si no lo hace, podrían producirse reinicios imprevistos del sistema, lo que podría afectar las cargas de trabajo de producción. Puede encontrar esta asociación en la consola de Systems Manager, en **State Manager** > **Asociaciones**.

1. En **Instances to patch** (Instancias a las que se aplicarán revisiones), elija una de las siguientes opciones:
   + **Patch all instances** (Aplicar revisiones a todas las instancias): Patch Manager ejecuta la operación especificada en todos los nodos administrados en su Cuenta de AWS en la Región de AWS actual.
   + **Patch only the target instances I specify** (Aplicar revisiones solo a las instancias de destino especificadas): debe especificar los nodos administrados a los que se aplican revisiones en el siguiente paso.

1. Utilice este paso solo si elige **Patch only the target instances I specify** (Aplicar revisiones solo a las instancias de destino especificadas) en el paso anterior. En la sección **Target selection** (Selección de destinos), identifique los nodos en los que desea ejecutar esta operación, especifique las etiquetas, seleccione los nodos manualmente o especifique un grupo de recursos.
**nota**  
Si un nodo administrado que espera ver no aparece en la lista, consulte [Solución de problemas de disponibilidad de nodos administrados](fleet-manager-troubleshooting-managed-nodes.md) para obtener consejos de solución de problemas.  
Si elige como destino un grupo de recursos, tenga en cuenta que estos grupos que se basan en una pila de AWS CloudFormation aún deben etiquetarse con la etiqueta `aws:cloudformation:stack-id` predeterminada. Si se ha eliminado, es posible que Patch Manager no pueda determinar cuáles son los nodos administrados que pertenecen al grupo de recursos.

1. (Opcional) En **Patching log storage** (Almacenamiento de registros de aplicación de revisiones), si desea crear y guardar registros de esta operación de aplicación de revisiones, seleccione el bucket de S3 para almacenar los registros.
**nota**  
Los permisos de S3 que conceden la capacidad de escribir datos en un bucket de S3 son los del perfil de instancia (para instancias de EC2) o rol de servicio de IAM (máquinas activadas de manera híbrida) asignados a la instancia, no los del usuario de IAM que realiza esta tarea. Para obtener más información, consulte [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md) o [Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube](hybrid-multicloud-service-role.md). Además, si el bucket de S3 especificado se encuentra en una Cuenta de AWS diferente, asegúrese de que el perfil de instancias o el rol de servicio de IAM asociado al nodo administrado tenga los permisos necesarios para escribir en ese bucket.

1. Si desea ejecutar documentos de SSM como enlaces de ciclo de vida durante puntos específicos de la operación de aplicación de revisiones, haga lo siguiente:
   + Elija **Use lifecycle hooks** (Usar enlaces de ciclo de vida).
   + En cada enlace disponible, seleccione el documento de SSM a ejecutar en el punto especificado de la operación:
     + Antes de la instalación
     + Después de la instalación
     + A la salida
     + Después del reinicio programado
**nota**  
El documento predeterminado, `AWS-Noop`, no ejecuta operaciones.

1. Elija **Patch now** (Aplicar revisión ahora).

   Se abre la página **Association execution summary** (Resumen de la ejecución de la asociación). (La opción “Aplicar el parche ahora” utiliza asociaciones en State Manager, una herramienta de AWS Systems Manager, para sus operaciones). En el área **Operation summary** (Resumen de la operación), puede monitorear el estado del análisis o la aplicación de revisiones en los nodos administrados que especificó.

# Trabajo con línea de base de revisiones
<a name="patch-manager-create-a-patch-baseline"></a>

Una línea de base de revisiones en Patch Manager, una herramienta de AWS Systems Manager, define qué revisiones se aprueban para la instalación en los nodos administrados. Puede especificar revisiones aprobadas o rechazadas de forma de uno en uno. También puede crear reglas de aprobación automática para especificar que determinados tipos de actualizaciones (por ejemplo, las actualizaciones críticas) se deben aprobar automáticamente. La lista de rechazados anula las reglas y la lista de aprobados. Para utilizar una lista de revisiones aprobadas para instalar paquetes específicos, primero elimine las reglas de aprobación automática. Si identifica explícitamente una revisión como rechazada, no se aprobará ni instalará, aunque concuerde con todos los criterios de una regla de aprobación automática. Además, una revisión solo se instala en un nodo administrado si se aplica al software de este, aunque haya sido aprobada para el nodo administrado.

**Topics**
+ [Visualización de bases de referencia de parches predefinidas de AWS](patch-manager-view-predefined-patch-baselines.md)
+ [Uso de bases de referencia de parches personalizadas](patch-manager-manage-patch-baselines.md)
+ [Configuración de una línea de base de revisiones existente como valor predeterminado](patch-manager-default-patch-baseline.md)

**Más información**  
+ [líneas de base de revisiones](patch-manager-patch-baselines.md)

# Visualización de bases de referencia de parches predefinidas de AWS
<a name="patch-manager-view-predefined-patch-baselines"></a>

Patch Manager, una herramienta de AWS Systems Manager, cuenta con una línea de base de revisiones predefinida para todos los sistemas operativos compatibles con Patch Manager. Puede utilizar estas bases de referencia de parches (no puede personalizarlas) o puede crear una. El siguiente procedimiento describe cómo ver una base de referencia de parches predefinida para comprobar si cumple sus necesidades. Para obtener más información sobre las bases de referencia de parches, consulte [Líneas de base de revisiones personalizadas y predefinidas](patch-manager-predefined-and-custom-patch-baselines.md).

**Para ver bases de referencia de parches predefinidas de AWS**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Patch Manager**.

1. En la lista de bases de referencia de parches, seleccione el ID de base de referencia de una de las bases de referencia de parches predefinida.

   -o bien-

   Si va a acceder a Patch Manager por primera vez en la Región de AWS actual, elija **Comenzar con una descripción general**, elija la pestaña **Líneas de base de revisiones**, y luego, elija el ID de la línea de base de una de las líneas de base de revisiones predefinidas.
**nota**  
Para Windows Server, se proporcionan tres líneas de base de revisiones predefinidas. Las líneas de base de revisiones `AWS-DefaultPatchBaseline` y `AWS-WindowsPredefinedPatchBaseline-OS` solo admiten actualizaciones del sistema operativo en el propio sistema operativo Windows. `AWS-DefaultPatchBaseline` se utiliza como base de referencia de revisiones predeterminada para los nodos administrados de Windows Server, a menos que se especifique una base de referencia distinta. Los ajustes de configuración en estas dos líneas de base de revisiones son los mismos. El más nuevo de los dos, `AWS-WindowsPredefinedPatchBaseline-OS`, se creó para que se diferenciara de la tercera línea de base de revisiones predefinida para Windows Server. Esa base de referencia de parches, `AWS-WindowsPredefinedPatchBaseline-OS-Applications`, puede utilizarse para aplicar parches al sistema operativo Windows Server y a las aplicaciones compatibles publicadas por Microsoft.  
Para obtener más información, consulte [Configuración de una línea de base de revisiones existente como valor predeterminado](patch-manager-default-patch-baseline.md).

1. Elija la sección **Reglas de aprobación** y revise la configuración de la línea de base de revisiones.

1. Si la configuración es aceptable para los nodos administrados, puede pasar directamente al procedimiento [Creación y administración de grupos de revisiones](patch-manager-tag-a-patch-group.md). 

   -o bien-

   Para crear su propia base de referencia de parches predeterminada, continúe con el tema [Uso de bases de referencia de parches personalizadas](patch-manager-manage-patch-baselines.md).

# Uso de bases de referencia de parches personalizadas
<a name="patch-manager-manage-patch-baselines"></a>

Patch Manager, una herramienta de AWS Systems Manager, cuenta con una línea de base de revisiones predefinida para todos los sistemas operativos compatibles con Patch Manager. Puede utilizar estas bases de referencia de parches (no puede personalizarlas) o puede crear una. 

En los siguientes procedimientos se describe cómo crear, actualizar y eliminar su propia base de referencia de parches personalizada. Para obtener más información sobre las bases de referencia de parches, consulte [Líneas de base de revisiones personalizadas y predefinidas](patch-manager-predefined-and-custom-patch-baselines.md).

**Topics**
+ [Creación de una línea de base de revisiones personalizada para Linux](patch-manager-create-a-patch-baseline-for-linux.md)
+ [Cómo crear una línea de base de revisiones personalizada para macOS](patch-manager-create-a-patch-baseline-for-macos.md)
+ [Cómo crear una línea de base de revisiones personalizada para Windows Server](patch-manager-create-a-patch-baseline-for-windows.md)
+ [Actualización o eliminación de una línea de base de revisiones personalizada](patch-manager-update-or-delete-a-patch-baseline.md)

# Creación de una línea de base de revisiones personalizada para Linux
<a name="patch-manager-create-a-patch-baseline-for-linux"></a>

Utilice el siguiente procedimiento para crear una línea de base de revisiones personalizada para nodos administrados de Linux en Patch Manager, una herramienta de AWS Systems Manager. 

Para obtener información sobre la creación de una base de referencia de revisiones para nodos administrados macOS, consulte [Cómo crear una línea de base de revisiones personalizada para macOS](patch-manager-create-a-patch-baseline-for-macos.md). Para obtener información sobre la creación de una base de referencia de revisiones para nodos administrados de Windows, consulte [Cómo crear una línea de base de revisiones personalizada para Windows Server](patch-manager-create-a-patch-baseline-for-windows.md).

**Para crear una base de referencia de revisiones personalizada para nodos administrados de Linux**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Patch Manager**.

1. Seleccione la pestaña **Bases de referencia de parches**, y luego **Crear una base de referencia de parches**.

   -o bien-

   Si va a acceder a Patch Manager por primera vez en la Región de AWS actual, seleccione **Comience por la información general**, luego la pestaña **Bases de referencia de parches** y, por último, **Crear una base de referencia de parches**.

1. En **Nombre**, escriba un nombre para la nueva línea de base de revisiones; por ejemplo, `MyRHELPatchBaseline`.

1. (Opcional) En **Description (Descripción)**, escriba una descripción para esta línea de base de revisiones.

1. En **Operating system (Sistema operativo)** elija un sistema operativo; por ejemplo, `Red Hat Enterprise Linux`.

1. Si desea empezar a utilizar esta línea de base de revisiones de forma predeterminada para el sistema operativo seleccionado tan pronto como la haya creado, active la casilla de verificación situada junto a **Set this patch baseline as the default patch baseline for *operating system name* instances (Establecer esta línea de base de revisiones como la línea de base de revisiones para las instancias de [nombre del sistema operativo])**.
**nota**  
Esta opción solo está disponible si accedió a Patch Manager por primera vez antes de las [políticas de parches](patch-manager-policies.md) publicadas el 22 de diciembre de 2022.  
Para obtener información sobre la configuración de una línea de base de revisiones existente como la opción predeterminada, consulte [Configuración de una línea de base de revisiones existente como valor predeterminado](patch-manager-default-patch-baseline.md).

1. En la sección **Approval Rules for operating-systems (Reglas de aprobación para sistemas operativos)**, use los campos para crear una o varias reglas de aprobación automática.
   + **Productos**: versión de los sistemas operativos a la que se aplica la regla de aprobación; por ejemplo, `RedhatEnterpriseLinux7.4`. La selección predeterminada es `All`.
   + **Clasificación**: el tipo de revisiones a los que se aplica la regla de aprobación; como `Security` o `Enhancement`. La selección predeterminada es `All`. 
**sugerencia**  
Puede configurar una línea de base de revisiones para controlar si se instalan actualizaciones de versiones secundarias para Linux, como RHEL 7.8. Patch Manager puede instalar automáticamente actualizaciones de versiones secundarias siempre que la actualización esté disponible en el repositorio adecuado.  
Para los sistemas operativos Linux, las actualizaciones de versiones secundarias no se clasifican de forma consistente. Pueden clasificarse como correcciones de errores o actualizaciones de seguridad, o no clasificarse, incluso dentro de la misma versión del kernel. A continuación se muestran algunas opciones para controlar si una línea de base de revisiones las instala.   
**Opción 1**: la regla de aprobación más amplia para garantizar que se instalen actualizaciones de versiones secundarias cuando estén disponibles es especificar **Clasificación** como `All` (\$1) y elegir la opción **Incluir las actualizaciones que no sean de seguridad**.
**Opción 2**: para asegurarse de que se instalan revisiones para una versión del sistema operativo, puede utilizar un comodín (\$1) para especificar el formato del kernel en la sección **Excepciones de revisiones** de la base de referencia. Por ejemplo, el formato del kernel para RHEL 7.\$1 es `kernel-3.10.0-*.el7.x86_64`.  
Ingrese `kernel-3.10.0-*.el7.x86_64` en la lista **Approved patches** (Revisiones aprobadas) de la base de referencia de revisiones para asegurarse de que todas las revisiones, incluidas las actualizaciones de versiones secundarias, se aplican a los nodos administrados de RHEL 7.\$1. (Si conoce el nombre exacto del paquete de una revisión de versión secundaria, puede escribirlo en su lugar).
**Opción 3**: puede tener el máximo control sobre qué revisiones se aplican a los nodos administrados, incluidas las actualizaciones de versiones secundarias, mediante el parámetro [InstallOverrideList](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-installoverridelist) del documento `AWS-RunPatchBaseline`. Para obtener más información, consulte [Documento de comandos SSM para aplicar revisiones: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).
   + **Severity (Gravedad)**: el valor de gravedad de las revisiones a los que se aplica la regla; como `Critical`. La selección predeterminada es `All`. 
   + **Auto-approval (Aprobación automática)**: método para seleccionar revisiones para su aprobación automática.
**nota**  
Debido a que no es posible determinar de forma fiable las fechas de lanzamiento de los paquetes de actualización para Ubuntu Server, las opciones de aprobación automática no son compatibles con este sistema operativo.
     + **Approve patches after a specified number of days** (Aprobar las revisiones después de una cantidad determinada de días): la cantidad de días que Patch Manager debe esperar después de lanzar o actualizar por última vez una revisión y antes de que se apruebe automáticamente. Puede ingresar cualquier número entero entre cero (0) y 360. En la mayoría de los casos, se recomienda no esperar más de 100 días.
     + **Approve patches released up to a specific date** (Aprobar las revisiones publicadas hasta una fecha específica): la fecha de lanzamiento de la revisión para la que Patch Manager aplica automáticamente todas las revisiones publicadas o actualizadas en esa fecha o con anterioridad a ella. Por ejemplo, si especifica el 7 de julio de 2023, no se instalarán automáticamente las revisiones publicadas o actualizadas a partir del 8 de julio de 2023.
   + (Opcional). **Informes de conformidad**: el nivel de gravedad que desea asignar a las revisiones aprobadas por la línea de base, como `Critical` o `High`.
**nota**  
Si especifica un nivel de notificación de conformidad y se informa el estado de cualquier revisión aprobada como `Missing`, la gravedad de la conformidad general notificada por la línea de base de revisiones será el nivel de gravedad que especificó.
   + **Include non-security updates (Incluir actualizaciones que no son de seguridad)**: seleccione esta casilla de verificación para instalar las revisiones del sistema operativo Linux que no son de seguridad y que están disponibles en el repositorio de origen, además de las revisiones relacionados con la seguridad. 

   Para obtener más información sobre cómo trabajar con reglas de aprobación en una línea de base de revisiones personalizada, consulte [Líneas de base personalizadas](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).

1. Si desea aprobar alguna revisión de forma explícita además de los que cumplan las reglas de aprobación, haga lo siguiente en la sección **Patch exceptions (Excepciones de revisiones)**:
   + En **Approved patches (revisiones aprobados)** escriba una lista separada por comas de las revisiones que desea aprobar.

     Para obtener información acerca de los formatos aceptados para las Listas de revisiones aprobados y rechazados, consulte [Formatos de nombre de paquete para listas de revisiones aprobadas y rechazadas](patch-manager-approved-rejected-package-name-formats.md).
   + (Opcional). En **Approved patches compliance level (Nivel de conformidad de revisiones aprobados)**, asigne un nivel de conformidad a las revisiones de la lista.
   + Si alguna de las revisiones aprobadas que ha especificado no está relacionada con la seguridad, seleccione la casilla de verificación **Incluir actualizaciones no relacionadas con la seguridad** para que se instalen también estas revisiones en su sistema operativo Linux.

1. Si desea rechazar alguna revisión de forma explícita que cumpla las reglas de aprobación, haga lo siguiente en la sección **Patch exceptions (Excepciones de revisiones)**:
   + En **Rejected patches (revisiones rechazados)** escriba una lista separada por comas de las revisiones que desea rechazar.

     Para obtener información acerca de los formatos aceptados para las Listas de revisiones aprobados y rechazados, consulte [Formatos de nombre de paquete para listas de revisiones aprobadas y rechazadas](patch-manager-approved-rejected-package-name-formats.md).
   + En **Rejected patches action** (Acción de revisiones rechazados), seleccione la acción que Patch Manager realizará en las revisiones de la lista **Rejected patches** (revisiones rechazados).
     + **Allow as dependency** (Permitir como dependencia): un paquete en la lista **Rejected patches** (revisiones rechazados) solo se instala si es una dependencia de otro paquete. Se considera conforme con la línea de base de revisiones y su estado se registra como *InstalledOther*. Esta es la opción predeterminada si no se especifica ninguna opción.
     + **Bloquear**: Patch Manager no instala, bajo ninguna circunstancia, los paquetes de la lista **Parches rechazados** y los paquetes que los incluyen como dependencias. Si un paquete se instaló antes de agregarlo a la lista **Parches rechazados**, o si luego se instala por fuera de Patch Manager, se considera no conforme con la línea de base de revisiones y su estado se reporta como *InstalledRejected*.
**nota**  
Patch Manager busca las dependencias de las revisiones de forma recursiva.

1. (Opcional) Si desea especificar repositorios de revisiones alternativos para diferentes versiones de un sistema operativo, como *AmazonLinux2016.03* y *AmazonLinux2017.09*, haga lo siguiente para cada producto en la sección **Patch sources (Orígenes de revisiones)**:
   + En **Name (Nombre)**, escriba un nombre que le ayude a identificar la configuración de origen.
   + En **Product (Producto)**, seleccione la versión de los sistemas operativos a los que va dirigido el repositorio de origen de revisiones, por ejemplo `RedhatEnterpriseLinux7.4`.
   + En **Configuración**, ingrese el valor de la configuración del repositorio que desea utilizar en el formato apropiado:

------
#### [  Example for yum repositories  ]

     ```
     [main]
     name=MyCustomRepository
     baseurl=https://my-custom-repository
     enabled=1
     ```

**sugerencia**  
Para obtener información sobre otras opciones disponibles para la configuración del repositorio yum, consulte [dnf.conf(5)](https://man7.org/linux/man-pages/man5/dnf.conf.5.html).

------
#### [  Examples for Servidor Ubuntu and Servidor Debian ]

      `deb http://security.ubuntu.com/ubuntu jammy main` 

      `deb https://site.example.com/debian distribution component1 component2 component3` 

     La información del repositorio para los repositorios de Ubuntu Server debe especificarse en una sola línea. Para obtener más ejemplos e información, consulte [jammy (5) sources.list.5.gz](https://manpages.ubuntu.com/manpages/jammy/man5/sources.list.5.html) en el sitio web *Manuales del servidor Ubuntu* y [sources.list format](https://wiki.debian.org/SourcesList#sources.list_format) en la *wiki de Debian*.

------

     Elija **Add another source** (Añadir otro origen) para especificar un repositorio de origen para cada versión adicional del sistema operativo, hasta un máximo de 20.

     Para obtener más información sobre los repositorios de origen de revisiones alternativos, consulte [Cómo especificar un repositorio de origen de parches alternativo (Linux)](patch-manager-alternative-source-repository.md).

1. (Opcional) En **Manage tags (Administrar etiquetas)**, aplique uno o varios pares de claves nombre/valor al a la línea de base de revisiones.

   Las etiquetas son metadatos opcionales que usted asigna a un recurso. Las etiquetas permiten clasificar los recursos de diversas maneras, por ejemplo, según la finalidad, el propietario o el entorno. Por ejemplo, es posible que desee etiquetar una línea de base de revisiones para identificar el nivel de seguridad de revisiones que especifica, la familia de sistemas operativos a la que se aplica y el tipo de entorno. En este caso, puede especificar etiquetas similares a los siguientes pares de claves nombre-valor:
   + `Key=PatchSeverity,Value=Critical`
   + `Key=OS,Value=RHEL`
   + `Key=Environment,Value=Production`

1. Elija **Create patch baseline** (Crear base de referencia de revisiones).

# Cómo crear una línea de base de revisiones personalizada para macOS
<a name="patch-manager-create-a-patch-baseline-for-macos"></a>

Utilice el siguiente procedimiento para crear una línea de base de revisiones personalizada para nodos administrados de macOS en Patch Manager, una herramienta de AWS Systems Manager. 

Para obtener información sobre la creación de una base de referencia de revisiones para nodos administrados Windows Server, consulte [Cómo crear una línea de base de revisiones personalizada para Windows Server](patch-manager-create-a-patch-baseline-for-windows.md). Para obtener información sobre la creación de una base de referencia de revisiones para nodos administrados de Linux, consulte [Creación de una línea de base de revisiones personalizada para Linux](patch-manager-create-a-patch-baseline-for-linux.md). 

**nota**  
macOS no se admite en todas las Regiones de AWS. Para obtener más información sobre la compatibilidad de Amazon EC2 con macOS, consulte [Instancias de Mac de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html) en la *Guía del usuario de Amazon EC2*.

**Cómo crear una base de referencia de revisiones personalizada para nodos administrados de macOS**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Patch Manager**.

1. Seleccione la pestaña **Bases de referencia de parches**, y luego **Crear una base de referencia de parches**.

   -o bien-

   Si va a acceder a Patch Manager por primera vez en la Región de AWS actual, seleccione **Comience por la información general**, luego la pestaña **Bases de referencia de parches** y, por último, **Crear una base de referencia de parches**.

1. En **Nombre**, escriba un nombre para la nueva línea de base de revisiones; por ejemplo, `MymacOSPatchBaseline`.

1. (Opcional) En **Description (Descripción)**, escriba una descripción para esta línea de base de revisiones.

1. En **Operating system (Sistema operativo)**, elija macOS.

1. Si desea empezar a utilizar esta base de referencia de parches de forma predeterminada para macOS tan pronto como la haya creado, tilde la casilla de verificación situada junto a **Set this patch baseline as the default patch baseline for macOS instances** (Establezca esta base de referencia de parches como la predeterminada para las instancias de macOS).
**nota**  
Esta opción solo está disponible si accedió a Patch Manager por primera vez antes de las [políticas de parches](patch-manager-policies.md) publicadas el 22 de diciembre de 2022.  
Para obtener información sobre la configuración de una línea de base de revisiones existente como la opción predeterminada, consulte [Configuración de una línea de base de revisiones existente como valor predeterminado](patch-manager-default-patch-baseline.md).

1. En la sección **Approval Rules for operating-systems (Reglas de aprobación para sistemas operativos)**, use los campos para crear una o varias reglas de aprobación automática.
   + **Productos**: versión de los sistemas operativos a la que se aplica la regla de aprobación; por ejemplo, `BigSur11.3.1` o `Ventura13.7`. La selección predeterminada es `All`.
   + **Classification** (Clasificación): el administrador o los administradores de paquetes a los que desea aplicar los paquetes durante el proceso de aplicación de parches. Puede elegir entre las siguientes opciones:
     + softwareupdate
     + installer (instalador)
     + brew
     + brew cask

     La selección predeterminada es `All`. 
   + (Opcional). **Informes de conformidad**: el nivel de gravedad que desea asignar a las revisiones aprobadas por la línea de base, como `Critical` o `High`.
**nota**  
Si especifica un nivel de notificación de conformidad y se informa el estado de cualquier revisión aprobada como `Missing`, la gravedad de la conformidad general notificada por la línea de base de revisiones será el nivel de gravedad que especificó.

   Para obtener más información sobre cómo trabajar con reglas de aprobación en una línea de base de revisiones personalizada, consulte [Líneas de base personalizadas](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).

1. Si desea aprobar alguna revisión de forma explícita además de los que cumplan las reglas de aprobación, haga lo siguiente en la sección **Patch exceptions (Excepciones de revisiones)**:
   + En **Approved patches (revisiones aprobados)** escriba una lista separada por comas de las revisiones que desea aprobar.

     Para obtener información acerca de los formatos aceptados para las Listas de revisiones aprobados y rechazados, consulte [Formatos de nombre de paquete para listas de revisiones aprobadas y rechazadas](patch-manager-approved-rejected-package-name-formats.md).
   + (Opcional). En **Approved patches compliance level (Nivel de conformidad de revisiones aprobados)**, asigne un nivel de conformidad a las revisiones de la lista.

1. Si desea rechazar alguna revisión de forma explícita que cumpla las reglas de aprobación, haga lo siguiente en la sección **Patch exceptions (Excepciones de revisiones)**:
   + En **Rejected patches (revisiones rechazados)** escriba una lista separada por comas de las revisiones que desea rechazar.

     Para obtener información acerca de los formatos aceptados para las Listas de revisiones aprobados y rechazados, consulte [Formatos de nombre de paquete para listas de revisiones aprobadas y rechazadas](patch-manager-approved-rejected-package-name-formats.md).
   + En **Rejected patches action** (Acción de revisiones rechazados), seleccione la acción que Patch Manager realizará en las revisiones de la lista **Rejected patches** (revisiones rechazados).
     + **Allow as dependency** (Permitir como dependencia): un paquete en la lista **Rejected patches** (revisiones rechazados) solo se instala si es una dependencia de otro paquete. Se considera conforme con la línea de base de revisiones y su estado se registra como *InstalledOther*. Esta es la opción predeterminada si no se especifica ninguna opción.
     + **Bloquear**: Patch Manager no instala, bajo ninguna circunstancia, los paquetes de la lista **Parches rechazados** y los paquetes que los incluyen como dependencias. Si un paquete se instaló antes de agregarlo a la lista **Parches rechazados**, o si luego se instala por fuera de Patch Manager, se considera no conforme con la línea de base de revisiones y su estado se reporta como *InstalledRejected*.

1. (Opcional) En **Manage tags (Administrar etiquetas)**, aplique uno o varios pares de claves nombre/valor al a la línea de base de revisiones.

   Las etiquetas son metadatos opcionales que usted asigna a un recurso. Las etiquetas permiten clasificar los recursos de diversas maneras, por ejemplo, según la finalidad, el propietario o el entorno. Por ejemplo, es posible que desee etiquetar una base de referencia de parches para identificar el nivel de gravedad de parches que especifica, el administrador de paquetes al que se aplica y el tipo de entorno. En este caso, puede especificar etiquetas similares a los siguientes pares de claves nombre-valor:
   + `Key=PatchSeverity,Value=Critical`
   + `Key=PackageManager,Value=softwareupdate`
   + `Key=Environment,Value=Production`

1. Elija **Create patch baseline** (Crear base de referencia de revisiones).

# Cómo crear una línea de base de revisiones personalizada para Windows Server
<a name="patch-manager-create-a-patch-baseline-for-windows"></a>

Utilice el siguiente procedimiento para crear una línea de base de revisiones personalizada para nodos administrados de Windows en Patch Manager, una herramienta de AWS Systems Manager. 

Para obtener información sobre la creación de una base de referencia de revisiones para nodos administrados de Linux, consulte [Creación de una línea de base de revisiones personalizada para Linux](patch-manager-create-a-patch-baseline-for-linux.md). Para obtener información sobre la creación de una línea de base de revisiones para nodos administrados macOS, consulte [Cómo crear una línea de base de revisiones personalizada para macOS](patch-manager-create-a-patch-baseline-for-macos.md).

Para obtener un ejemplo de creación de una línea de base de revisiones limitada para instalar únicamente Service Packs de Windows, consulte [Tutorial: creación de una línea de base de revisiones para instalar Service Packs de Windows mediante la consola](patch-manager-windows-service-pack-patch-baseline-tutorial.md).

**Cómo crear una línea de base de revisiones personalizada (Windows)**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Patch Manager**.

1. Seleccione la pestaña **Bases de referencia de parches**, y luego **Crear una base de referencia de parches**. 

   -o bien-

   Si va a acceder a Patch Manager por primera vez en la Región de AWS actual, seleccione **Comience por la información general**, luego la pestaña **Bases de referencia de parches** y, por último, **Crear una base de referencia de parches**.

1. En **Nombre**, escriba un nombre para la nueva línea de base de revisiones; por ejemplo, `MyWindowsPatchBaseline`.

1. (Opcional) En **Description (Descripción)**, escriba una descripción para esta línea de base de revisiones.

1. En **Operating system (Sistema operativo)**, elija `Windows`.

1. En **Estado de cumplimiento de las actualizaciones de seguridad disponibles**, elija el estado que desee asignar a las revisiones de seguridad que están disponibles pero no aprobadas, porque no cumplen con los criterios de instalación especificados en la línea de base de revisiones: **No conforme** o **Conforme**.

   Situación de ejemplo: las revisiones de seguridad que desee instalar se pueden omitir si ha especificado un periodo prolongado de espera después del lanzamiento de la revisión antes de la instalación. Si se publica una actualización de la revisión durante el periodo de espera especificado, el periodo de espera para instalar la revisión vuelve a comenzar. Si el periodo de espera es demasiado extenso, es posible que se lancen varias versiones de la revisión, pero nunca se instalen.

1. Si desea comenzar a utilizar esta línea de base de revisiones de forma predeterminada para Windows tan pronto como la cree, seleccione **Set this patch baseline as the default patch baseline for Windows Server instances (Establecer esta línea de base de revisiones como la línea de base de revisiones predeterminada para las instancias de Windows Server)**.
**nota**  
Esta opción solo está disponible si accedió a Patch Manager por primera vez antes de las [políticas de parches](patch-manager-policies.md) publicadas el 22 de diciembre de 2022.  
Para obtener información sobre la configuración de una línea de base de revisiones existente como la opción predeterminada, consulte [Configuración de una línea de base de revisiones existente como valor predeterminado](patch-manager-default-patch-baseline.md).

1. En la sección **Approval Rules for operating systems (Reglas de aprobación para sistemas operativos)**, use los campos para crear una o varias reglas de aprobación automática.
   + **Productos**: versión de los sistemas operativos a la que se aplica la regla de aprobación; por ejemplo, `WindowsServer2012`. La selección predeterminada es `All`.
   + **Clasificación**: el tipo de revisiones a los que se aplica la regla de aprobación; como `CriticalUpdates`, `Drivers` y `Tools`. La selección predeterminada es `All`. 
**sugerencia**  
Puede incluir instalaciones de Service Packs de Windows en las reglas de aprobación incluyendo `ServicePacks` o eligiendo `All` en la lista **Clasificación**. Para ver un ejemplo, consulta [Tutorial: creación de una línea de base de revisiones para instalar Service Packs de Windows mediante la consola](patch-manager-windows-service-pack-patch-baseline-tutorial.md).
   + **Severity (Gravedad)**: el valor de gravedad de las revisiones a los que se aplica la regla; como `Critical`. La selección predeterminada es `All`. 
   + **Auto-approval (Aprobación automática)**: método para seleccionar revisiones para su aprobación automática.
     + **Approve patches after a specified number of days** (Aprobar las revisiones después de una cantidad determinada de días): la cantidad de días que Patch Manager debe esperar después de que se lance o actualice una revisión y antes de que se apruebe automáticamente. Puede ingresar cualquier número entero entre cero (0) y 360. En la mayoría de los casos, se recomienda no esperar más de 100 días.
     + **Approve patches released up to a specific date** (Aprobar las revisiones publicadas hasta una fecha específica): la fecha de lanzamiento de la revisión para la que Patch Manager aplica automáticamente todas las revisiones publicadas o actualizadas en esa fecha o con anterioridad a ella. Por ejemplo, si especifica el 7 de julio de 2023, no se instalarán automáticamente las revisiones publicadas o actualizadas a partir del 8 de julio de 2023.
   + (Opcional). **Compliance reporting** (Informes de conformidad): el nivel de gravedad que desea asignar a las revisiones aprobadas por la base de referencia, como `High`.
**nota**  
Si especifica un nivel de notificación de conformidad y se informa el estado de cualquier revisión aprobada como `Missing`, la gravedad de la conformidad general notificada por la línea de base de revisiones será el nivel de gravedad que especificó.

1. (Opcional) En la sección **Approval rules for applications** (Reglas de aprobación para aplicaciones) use los campos para crear una o más reglas de aprobación automática.
**nota**  
En lugar de especificar reglas de aprobación, puede especificar Listas de revisiones aprobados y rechazados como excepciones de revisiones. Consulte los pasos 10 y 11. 
   + **Product family (Familia de productos)**: la familia de productos de Microsoft generales para la que desea especificar una regla, como, por ejemplo, `Office` o `Exchange Server`.
   + **Productos**: versión de la aplicación a la que se aplica la regla de aprobación; por ejemplo, `Office 2016` o `Active Directory Rights Management Services Client 2.0 2016`. La selección predeterminada es `All`.
   + **Classification (Clasificación)**: el tipo de revisiones a los que se aplica la regla de aprobación; como `CriticalUpdates`. La selección predeterminada es `All`. 
   + **Severity (Gravedad)**: el valor de gravedad de las revisiones a los que se aplica la regla, como `Critical`. La selección predeterminada es `All`. 
   + **Auto-approval (Aprobación automática)**: método para seleccionar revisiones para su aprobación automática.
     + **Approve patches after a specified number of days** (Aprobar las revisiones después de una cantidad determinada de días): la cantidad de días que Patch Manager debe esperar después de que se lance o actualice una revisión y antes de que se apruebe automáticamente. Puede ingresar cualquier número entero entre cero (0) y 360. En la mayoría de los casos, se recomienda no esperar más de 100 días.
     + **Approve patches released up to a specific date** (Aprobar las revisiones publicadas hasta una fecha específica): la fecha de lanzamiento de la revisión para la que Patch Manager aplica automáticamente todas las revisiones publicadas o actualizadas en esa fecha o con anterioridad a ella. Por ejemplo, si especifica el 7 de julio de 2023, no se instalarán automáticamente las revisiones publicadas o actualizadas a partir del 8 de julio de 2023.
   + (Opcional). **Informes de conformidad**: el nivel de gravedad que desea asignar a las revisiones aprobadas por la línea de base, como `Critical` o `High`.
**nota**  
Si especifica un nivel de notificación de conformidad y se informa el estado de cualquier revisión aprobada como `Missing`, la gravedad de la conformidad general notificada por la línea de base de revisiones será el nivel de gravedad que especificó.

1. (Opcional) Si desea aprobar explícitamente las revisiones en lugar de dejar que estos se seleccionen conforme a las reglas de aprobación, haga lo siguiente en la sección **Patch exceptions** (Excepciones de revisiones):
   + En **Approved patches (revisiones aprobados)** escriba una lista separada por comas de las revisiones que desea aprobar.

     Para obtener información acerca de los formatos aceptados para las Listas de revisiones aprobados y rechazados, consulte [Formatos de nombre de paquete para listas de revisiones aprobadas y rechazadas](patch-manager-approved-rejected-package-name-formats.md).
   + (Opcional). En **Approved patches compliance level (Nivel de conformidad de revisiones aprobados)**, asigne un nivel de conformidad a las revisiones de la lista.

1. Si desea rechazar alguna revisión de forma explícita que cumpla las reglas de aprobación, haga lo siguiente en la sección **Patch exceptions (Excepciones de revisiones)**:
   + En **Rejected patches (revisiones rechazados)** escriba una lista separada por comas de las revisiones que desea rechazar.

     Para obtener información acerca de los formatos aceptados para las Listas de revisiones aprobados y rechazados, consulte [Formatos de nombre de paquete para listas de revisiones aprobadas y rechazadas](patch-manager-approved-rejected-package-name-formats.md).
   + En **Rejected patches action** (Acción de revisiones rechazados), seleccione la acción que Patch Manager realizará en las revisiones de la lista **Rejected patches** (revisiones rechazados).
     + **Permitir como dependencia**: Windows Server no admite el concepto de dependencias de paquetes. Si un paquete está en la lista de **revisiones rechazadas** y ya está instalada en el nodo, su estado se indica como `INSTALLED_OTHER`. Se omite cualquier paquete que aún no esté instalado en el nodo. 
     + **Bloquear**: Patch Manager no instala los paquetes de la lista de **revisiones rechazadas** bajo ninguna circunstancia. Si un paquete se instaló antes de agregarlo a la lista **Versiones rechazadas**, o si luego se instala por fuera de Patch Manager, se considera no conforme con la línea de base de revisiones y su estado se reporta como `INSTALLED_REJECTED`.

     Para obtener más información sobre las acciones de los paquetes rechazados, consulte las [opciones de la lista de revisiones rechazadas en las líneas de base de revisiones personalizadas](patch-manager-windows-and-linux-differences.md#rejected-patches-diff). 

1. (Opcional) En **Manage tags (Administrar etiquetas)**, aplique uno o varios pares de claves nombre/valor al a la línea de base de revisiones.

   Las etiquetas son metadatos opcionales que usted asigna a un recurso. Las etiquetas permiten clasificar los recursos de diversas maneras, por ejemplo, según la finalidad, el propietario o el entorno. Por ejemplo, es posible que desee etiquetar una línea de base de revisiones para identificar el nivel de seguridad de revisiones que especifica, la familia de sistemas operativos a la que se aplica y el tipo de entorno. En este caso, puede especificar etiquetas similares a los siguientes pares de claves nombre-valor:
   + `Key=PatchSeverity,Value=Critical`
   + `Key=OS,Value=RHEL`
   + `Key=Environment,Value=Production`

1. Elija **Create patch baseline** (Crear base de referencia de revisiones).

# Actualización o eliminación de una línea de base de revisiones personalizada
<a name="patch-manager-update-or-delete-a-patch-baseline"></a>

Puede actualizar o eliminar una línea de base de revisiones personalizada que haya creado en Patch Manager, una herramienta de AWS Systems Manager. Al actualizar una línea de base de revisiones, puede cambiar su nombre o descripción, sus reglas de aprobación y sus excepciones para revisiones aprobadas y rechazadas. También puede actualizar las etiquetas que se aplican a la línea de base de revisiones. No se puede cambiar el tipo de sistema operativo para el que se ha creado una línea de base de revisiones y no puede realizar cambios en una línea de base de revisiones predefinida que AWS proporciona.

## Actualización o eliminación de una línea de base de revisiones
<a name="sysman-maintenance-update-mw"></a>

Siga estos pasos para actualizar o eliminar una línea de base de revisiones.

**importante**  
 Tenga cuidado al eliminar una línea de base de revisiones personalizada que pueda utilizar una configuración de política de revisiones en Quick Setup.  
Si utiliza una [configuración de política de revisiones](patch-manager-policies.md) en Quick Setup, las actualizaciones que realice en las líneas de base de revisiones personalizadas se sincronizan con Quick Setup cada hora.   
Si se elimina una línea de base de revisiones personalizada a la que se hacía referencia en una política de revisiones, aparece un banner en la página **Configuration details** (Detalles de configuración) de Quick Setup correspondiente a la política de revisiones. El banner le informa que la política de revisiones hace referencia a una línea de base de revisiones que ya no existe y que las operaciones de aplicación de revisiones posteriores fallarán. En este caso, vuelva a la página **Configurations** (Configuraciones) de Quick Setup, seleccione la configuración de Patch Manager y elija **Actions** (Acciones), **Edit configuration** (Editar configuración). El nombre de la línea de base de revisiones eliminado aparece resaltado y debe seleccionar una nueva línea de base de revisiones para el sistema operativo afectado.

**Para actualizar o eliminar una línea de base de revisiones**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Patch Manager**.

1. Elija la línea de base de revisiones que desea actualizar o eliminar y, a continuación, lleve a cabo alguna de las siguientes operaciones:
   + Para eliminar la línea de base de revisiones de su Cuenta de AWS, elija **Delete** (Eliminar). El sistema le pedirá que confirme sus acciones. 
   + Para cambiar el nombre o la descripción de la línea de base de revisiones, las reglas de aprobación o las excepciones de revisiones, elija **Edit (Editar)**. En la página **Edit patch baseline** (Editar línea de base de revisiones), cambie los valores y las opciones que desee y, a continuación, elija **Save changes (Guardar cambios)**. 
   + Para añadir, cambiar o eliminar etiquetas aplicadas a la línea de base de revisiones, elija la pestaña **Tags** (Etiquetas) y, a continuación, elija **Edit tags (Editar etiquetas)**. En la página **Edit patch baseline tags** (Editar etiquetas de línea de base de revisiones), lleve a cabo actualizaciones de las etiquetas de la línea de base de revisiones y, a continuación, elija **Save changes** (Guardar cambios). 

   Para obtener más información acerca de las opciones de configuración que puede realizar, consulte [Uso de bases de referencia de parches personalizadas](patch-manager-manage-patch-baselines.md).

# Configuración de una línea de base de revisiones existente como valor predeterminado
<a name="patch-manager-default-patch-baseline"></a>

**importante**  
Las selecciones de línea de base de revisiones predeterminadas que realice aquí no se aplicarán a las operaciones de aplicación de revisiones basadas en una política de revisiones. Las políticas de revisiones utilizan sus propias especificaciones de línea de base de revisiones. Para obtener más información sobre las políticas de revisiones, consulte [Configuraciones de políticas de revisiones en Quick Setup](patch-manager-policies.md).

Cuando se crea una línea de base de revisiones personalizada en Patch Manager, una herramienta de AWS Systems Manager, puede establecer la base de referencia como valor predeterminado para el tipo de sistema operativo asociado tan pronto como la crea. Para obtener más información, consulte [Uso de bases de referencia de parches personalizadas](patch-manager-manage-patch-baselines.md).

También puede definir una línea de base de revisiones ya existente de como valor predeterminado para un tipo de sistema operativo.

**nota**  
Los pasos que siga dependerán de si accedió por primera vez a Patch Manager antes o después del lanzamiento de las políticas de revisiones el 22 de diciembre de 2022. Si utilizó Patch Manager antes de esa fecha, puede utilizar el procedimiento de la consola. De lo contrario, utilice el procedimiento de AWS CLI. El menú **Acciones** al que se hace referencia en el procedimiento de la consola no se muestra en las regiones en las que Patch Manager no se utilizaba antes de la publicación de las políticas de revisiones.

**Para definir una línea de base de revisiones como la opción predeterminada**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Patch Manager**.

1. Elija la pestaña **Patch baselines** (Bases de referencia de parches).

1. En la lista de bases de referencia de parches, elija el botón de una base de referencia de parches que no esté definida actualmente como la predeterminada para un tipo de sistema operativo.

   La columna **Default baseline** (Base de referencia de revisiones predeterminada) indica qué líneas de base de revisiones están actualmente definidas como los valores predeterminados.

1. En el menú **Actions (Acciones)**, elija **Set default patch baseline (Definir línea de base de revisiones predeterminada)**.
**importante**  
El menú **Acciones** no está disponible si no trabajó con Patch Manager en la Cuenta de AWS y la región actuales antes del 22 de diciembre de 2022. Para obtener más información, consulte la **Nota** que aparece anteriormente en este tema.

1. En el cuadro de diálogo de confirmación, elija **Set default (Definir valor predeterminado)**.

**Para definir una línea de base de revisiones como la opción predeterminada (AWS CLI)**

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-baselines.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-baselines.html) para ver una lista de las líneas de base de revisiones disponibles y sus ID y nombres de recursos de Amazon (ARN).

   ```
   aws ssm describe-patch-baselines
   ```

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-default-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-default-patch-baseline.html) para establecer una línea de base como predeterminada para el sistema operativo al que está asociada. Reemplace *baseline-id-or-ARN* con el ID de la línea de base de revisiones personalizada o la línea de base de preferencia que se utilizará. 

------
#### [ Linux & macOS ]

   ```
   aws ssm register-default-patch-baseline \
       --baseline-id baseline-id-or-ARN
   ```

   A continuación, se muestra un ejemplo de configuración de una línea de base personalizada como predeterminada.

   ```
   aws ssm register-default-patch-baseline \
       --baseline-id pb-abc123cf9bEXAMPLE
   ```

   A continuación, se muestra un ejemplo de configuración de una línea de base de preferencia administrada por AWS como predeterminada.

   ```
   aws ssm register-default-patch-baseline \
       --baseline-id arn:aws:ssm:us-east-2:733109147000:patchbaseline/pb-0574b43a65ea646e
   ```

------
#### [ Windows Server ]

   ```
   aws ssm register-default-patch-baseline ^
       --baseline-id baseline-id-or-ARN
   ```

   A continuación, se muestra un ejemplo de configuración de una línea de base personalizada como predeterminada.

   ```
   aws ssm register-default-patch-baseline ^
       --baseline-id pb-abc123cf9bEXAMPLE
   ```

   A continuación, se muestra un ejemplo de configuración de una línea de base de preferencia administrada por AWS como predeterminada.

   ```
   aws ssm register-default-patch-baseline ^
       --baseline-id arn:aws:ssm:us-east-2:733109147000:patchbaseline/pb-071da192df1226b63
   ```

------

# Visualización de parches disponibles
<a name="patch-manager-view-available-patches"></a>

Patch Manager, una herramienta de AWS Systems Manager, permite que vea todos los parches disponibles para un sistema operativo especificado y, de manera opcional, una versión específica de este.

**sugerencia**  
Para generar una lista de revisiones disponibles y guardarlos en un archivo, puede utilizar el comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html) y especificar su [salida](https://docs.aws.amazon.com/cli/latest/reference/ssm/cli-usage-output.html) preferida.

**Para ver los parches disponibles**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Patch Manager**.

1. Elija la pestaña **Patches** (Parches).

   -o bien-

   Si va a acceder a Patch Manager por primera vez en la Región de AWS actual, seleccione **Comience por la información general**, y luego la pestaña **Parches**.
**nota**  
Para Windows Server, la pestaña **Revisiones** muestra las actualizaciones que están disponibles en el Servicio de actualizaciones de Windows Server (WSUS).

1. En **Operating system** (Sistema operativo), elija el sistema operativo para el que desea ver los parches disponibles, como `Windows` o `Amazon Linux`.

1. (Opcional) En **Product** (Producto), elija una versión del sistema operativo, como `WindowsServer2019` o `AmazonLinux2018.03`.

1. (Opcional) Para agregar o eliminar columnas de información para sus resultados, elija el botón de configuración (![\[The icon to view configuration settings.\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/configure-button.png)) en la parte superior derecha de la lista **Patches** (Parches). (De forma predeterminada, la pestaña **Patches** (Parches) muestra columnas solo para algunos de los metadatos de parches disponibles).

   Para obtener información acerca de los tipos de metadatos que puede agregar a la vista, consulte [Parche](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_Patch.html) en la *Referencia de la API de AWS Systems Manager*.

# Creación y administración de grupos de revisiones
<a name="patch-manager-tag-a-patch-group"></a>

Si *no* utiliza políticas de revisiones en las operaciones, puede utilizar las acciones de aplicación de revisiones mediante el uso de etiquetas para agregar nodos administrados a grupos de revisiones.

**nota**  
Los grupos de revisiones no se usan en operaciones de aplicación de revisiones basadas en *políticas de revisiones*. Para obtener información sobre el uso de las políticas de revisiones, consulte [Configuraciones de políticas de revisiones en Quick Setup](patch-manager-policies.md).  
La consola no admite la funcionalidad de grupos de parches para pares de cuentas y regiones que no usaban grupos de parches antes de que se publicara la compatibilidad con las políticas de parches el 22 de diciembre de 2022. La funcionalidad de grupos de parches sigue estando disponible en los pares de cuentas y regiones que empezaron a usar grupos de parches antes de esta fecha.

Para utilizar etiquetas en las operaciones de aplicación de revisiones, debe aplicar la clave de etiqueta `Patch Group` o `PatchGroup` a los nodos administrados. También debe especificar el nombre que quiere dar al grupo de revisiones como el valor de la etiqueta. Puede especificar cualquier valor de etiqueta, pero la clave de etiqueta debe ser `Patch Group` o `PatchGroup`.

Tiene que usar `PatchGroup` (sin espacio), si ha [permitido las etiquetas en los metadatos de las instancias de EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS). 

Después de agrupar los nodos administrados mediante etiquetas, tiene que agregar el valor de grupo de revisiones a una base de referencia de revisiones. Al registrar el grupo de revisiones en una línea de base de revisiones, se asegura de que se instalen las revisiones correctas durante la operación de aplicación de revisiones. Para obtener más información acerca de los grupos de revisiones, consulte [Grupos de revisiones](patch-manager-patch-groups.md).

Complete las tareas de este tema para preparar los nodos administrados para la aplicación de revisiones mediante etiquetas con los nodos y la línea de base de revisiones. La tarea 1 solo es necesaria si está implementando revisiones a las instancias de Amazon EC2. La tarea 2 solo es necesaria si va a aplicar revisiones a instancias que no son de EC2 en un entorno [híbrido y multinube](operating-systems-and-machine-types.md#supported-machine-types). La tarea 3 es necesaria para todos los nodos administrados.

**sugerencia**  
Además, puede agregar etiquetas a nodos administrados mediante el AWS CLI comando `[https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)` de la o la operación de API de Systems Manager ssm-agent-minimum-s3-permissions-required`[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)`.

**Topics**
+ [Tarea 1: añadir instancias EC2 a un grupo de parches mediante etiquetas](#sysman-patch-group-tagging-ec2)
+ [Tarea 2: agregar nodos administrados a un grupo de revisiones mediante etiquetas](#sysman-patch-group-tagging-managed)
+ [Tarea 3: añadir un grupo de revisiones a una línea de base de revisiones](#sysman-patch-group-patchbaseline)

## Tarea 1: añadir instancias EC2 a un grupo de parches mediante etiquetas
<a name="sysman-patch-group-tagging-ec2"></a>

Puede agregar etiquetas a instancias de EC2 administradas mediante la consola de Amazon EC2 o la línea de comandos de Systems Manager. Esta tarea solo es necesaria si está aplicando revisiones a las instancias de Amazon EC2.

**importante**  
Puede aplicar la etiqueta `Patch Group` (con un espacio) a una instancia de Amazon EC2 si la opción **Allow tags in instance metadata** (Permitir etiquetas en los metadatos de la instancia) no puede estar habilitada en la instancia. Al permitir etiquetas en los metadatos de la instancia, se impide que los nombres de las claves de las etiquetas contengan espacios. Si tiene [etiquetas permitidas en metadatos de instancias de EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), debe usar la clave de etiqueta `PatchGroup` (sin espacio).

**Opción 1: agregar instancias de EC2 administradas a un grupo de revisiones (consola de Systems Manager)**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Fleet Manager**.

1. En la lista **Nodos administrados**, elija el ID de una instancia de EC2 administrada que desee configurar para la aplicación de revisiones. Los ID de nodo de las instancias de EC2 comienzan con `i-`.
**nota**  
Cuando se utiliza la consola de Amazon EC2 y la AWS CLI, es posible aplicar etiquetas `Key = Patch Group` o `Key = PatchGroup` a instancias que aún no están configuradas para utilizarlas con Systems Manager.  
Si un nodo administrado que espera ver no aparece en la lista, consulte [Solución de problemas de disponibilidad de nodos administrados](fleet-manager-troubleshooting-managed-nodes.md) para obtener consejos de solución de problemas.

1. Seleccione la pestaña **Etiquetas** y, luego, elija **Editar**.

1. En la columna izquierda, ingrese **Patch Group** o **PatchGroup**. Si ha [permitido las etiquetas en los metadatos de las instancias de EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), debe usar `PatchGroup` (sin espacio).

1. En la columna de la derecha, ingrese un valor de etiqueta que lo identifique como nombre para este grupo de revisiones.

1. Seleccione **Save**.

1. Repita este procedimiento para agregar otras instancias de EC2 en el mismo grupo de revisiones.

**Opción 2: agregar instancias de EC2 a un grupo de revisiones (consola de Amazon EC2)**

1. Abra la [consola de Amazon EC2](https://console.aws.amazon.com/ec2/) y, a continuación, elija **Instances** (Instancias) en el panel de navegación. 

1. En la lista de instancias, elija la que desea configurar para la aplicación de revisiones.

1. En el menú **Acciones**, elija **Configuración de instancia**, **Administrar etiquetas**.

1. Elija **Añadir nueva etiqueta**.

1. En **Key** (Clave), ingrese **Patch Group** o **PatchGroup**. Si ha [permitido las etiquetas en los metadatos de las instancias de EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), debe usar `PatchGroup` (sin espacio).

1. Para **Valor**, escriba un valor que sirva como nombre para este grupo de revisiones.

1. Seleccione **Save**.

1. Repita este procedimiento para añadir otras instancias en el mismo grupo de revisiones.

## Tarea 2: agregar nodos administrados a un grupo de revisiones mediante etiquetas
<a name="sysman-patch-group-tagging-managed"></a>

Siga los pasos de este tema para añadir etiquetas a los dispositivos principales AWS IoT Greengrass y a los nodos administrados activados de manera híbrida (mi-\$1) que no son de EC2. Esta tarea solo es necesaria si va a aplicar revisiones a instancias que no son de EC2 en un entorno híbrido y multinube.

**nota**  
No puede agregar etiquetas para los nodos administrados que no son de EC2 mediante la consola de Amazon EC2.

**Para agregar nodos administrados que no son de EC2 a un grupo de revisiones (consola de Systems Manager)**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Fleet Manager**.

1. En la lista de **Nodos administrados**, elija el nombre del nodo administrado que desea configurar para aplicar revisiones.
**nota**  
Si un nodo administrado que espera ver no aparece en la lista, consulte [Solución de problemas de disponibilidad de nodos administrados](fleet-manager-troubleshooting-managed-nodes.md) para obtener consejos de solución de problemas.

1. Seleccione la pestaña **Etiquetas** y, luego, elija **Editar**.

1. En la columna izquierda, ingrese **Patch Group** o **PatchGroup**. Si ha [permitido las etiquetas en los metadatos de las instancias de EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), debe usar `PatchGroup` (sin espacio).

1. En la columna de la derecha, ingrese un valor de etiqueta que lo identifique como nombre para este grupo de revisiones.

1. Seleccione **Save**.

1. Repita este procedimiento para agregar otros nodos administrados en el mismo grupo de revisiones.

## Tarea 3: añadir un grupo de revisiones a una línea de base de revisiones
<a name="sysman-patch-group-patchbaseline"></a>

Para asociar una base de referencia de revisiones específica a los nodos administrados, tiene que agregar el valor del grupo de revisiones a la base de referencia de revisiones. Al registrar el grupo de revisiones con una línea de base de revisiones, se asegura de que se instalen las revisiones correctos durante la operación de aplicación de revisiones. Esta tarea es necesaria si va a aplicar revisiones a instancias de EC2, a nodos administrados que no son de EC2 o a ambos.

Para obtener más información acerca de los grupos de revisiones, consulte [Grupos de revisiones](patch-manager-patch-groups.md).

**nota**  
Los pasos que siga dependerán de si accedió por primera vez a Patch Manager antes o después del lanzamiento de las [políticas de revisiones](patch-manager-policies.md) el 22 de diciembre de 2022.

**Para añadir un grupo de revisiones a una línea de base de revisiones (consola de Systems Manager)**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Patch Manager**.

1. Si accede a Patch Manager por primera vez en la Región de AWS actual y se abre la página de inicio de Patch Manager, elija **Comenzar con una descripción general**.

1. Elija la pestaña **Líneas de base de revisiones** y, luego, en la lista **Líneas de base de revisiones**, elija la línea de base de revisiones que desea configurar para su grupo de revisiones.

   Si no accedió por primera vez a Patch Manager hasta después de la publicación de las políticas de revisiones, debe elegir una línea de base personalizada que haya creado.

1. Si la página de detalles del **ID de línea base** incluye un menú **Acciones**, haga lo siguiente: 
   + Elija **Actions (Acciones)** y luego **Modify patch groups (Modificar grupos de revisiones)**.
   + Ingrese el *valor* de la etiqueta que ha agregado a los nodos administrados en [Tarea 2: agregar nodos administrados a un grupo de revisiones mediante etiquetas](#sysman-patch-group-tagging-managed) y, a continuación, elija **Agregar**.

   Si la página de detalles del **ID de línea de base** *no* incluye un menú **Acciones**, los grupos de revisiones no se pueden configurar en la consola. En cambio, puede seguir uno de los procedimientos a continuación:
   + (Recomendado) Configure una política de revisiones en Quick Setup, una herramienta de AWS Systems Manager, para asignar una línea de base de revisiones a una o más instancias de EC2.

     Para obtener más información, consulte [Uso de políticas de revisiones de Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) y [Automatizar la implementación de revisiones en toda la organización mediante una política de revisiones de Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-patch-manager.html).
   + Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-patch-baseline-for-patch-group.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-patch-baseline-for-patch-group.html) en AWS Command Line Interface (AWS CLI) para configurar un grupo de revisiones.

# Integración de Patch Manager con AWS Security Hub CSPM
<a name="patch-manager-security-hub-integration"></a>

[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) proporciona una visión completa de su estado de seguridad en AWS. Security Hub CSPM recopila datos de seguridad de todas las Cuentas de AWS, los Servicios de AWS y los productos de socios terceros compatibles. Security Hub CSPM le permite comprobar su entorno con los estándares y las prácticas recomendadas del sector de la seguridad. Security Hub CSPM lo ayuda a analizar sus tendencias de seguridad y a identificar los problemas de seguridad de mayor prioridad.

Gracias a la integración entre Patch Manager, una herramienta de AWS Systems Manager, y Security Hub CSPM, puede enviar los resultados sobre los nodos no conformes de Patch Manager a Security Hub CSPM. Un resultado consiste en el registro observable de una comprobación de seguridad o de una detección relacionada con la seguridad. Después, Security Hub CSPM puede incluir esos resultados relacionados con revisiones en su análisis sobre la posición de seguridad.

La información en los siguientes temas se aplica independientemente del método o el tipo de configuración que utilice para las operaciones de aplicación de revisiones:
+ Una política de revisiones configurada en Quick Setup
+ Una opción de administración de host configurada en Quick Setup
+ Una ventana de mantenimiento para ejecutar una revisión `Scan` o una tarea `Install`
+ Una operación **Patch Now** (Aplicar revisión ahora) bajo demanda

**Contents**
+ [Cómo Patch Manager envía resultados al CSPM de Security Hub](#securityhub-integration-sending-findings)
  + [Tipos de resultados que envía Patch Manager](#securityhub-integration-finding-types)
  + [Latencia para el envío de resultados](#securityhub-integration-finding-latency)
  + [Reintento cuando Security Hub CSPM no está disponible](#securityhub-integration-retry-send)
  + [Visualización de resultados de en el CSPM de Security Hub](#securityhub-integration-view-findings)
+ [Resultado típico de Patch Manager](#securityhub-integration-finding-example)
+ [Activación y configuración de la integración](#securityhub-integration-enable)
+ [Cómo dejar de enviar resultados](#securityhub-integration-disable)

## Cómo Patch Manager envía resultados al CSPM de Security Hub
<a name="securityhub-integration-sending-findings"></a>

En el CSPM de Security Hub, se realiza seguimiento de los problemas de seguridad como resultados. Algunos resultados provienen de problemas detectados por otros Servicios de AWS o por socios terceros. El CSPM de Security Hub también cuenta con un conjunto de reglas que utiliza para detectar problemas de seguridad y generar resultados.

 Patch Manager es una de las herramientas de Systems Manager que envía los resultados a Security Hub CSPM. Después de llevar a cabo una operación de aplicación de revisiones mediante la ejecución de un documento de SSM (`AWS-RunPatchBaseline`, `AWS-RunPatchBaselineAssociation` o `AWS-RunPatchBaselineWithHooks`), la información de revisión se envía a Inventario o Cumplimiento, herramientas de AWS Systems Manager, o ambas. Después de que Inventory, Compliance o ambos hayan recibido los datos, Patch Manager recibe una notificación. A continuación, Patch Manager evalúa los datos para comprobar la precisión, el formato y la conformidad. Si se cumplen todas las condiciones, Patch Manager reenvía los datos a Security Hub CSPM.

El CSPM de Security Hub proporciona herramientas para administrar resultados procedentes de todos estos orígenes. Puede ver y filtrar listas de resultados y ver los detalles de una búsqueda. Para obtener más información, consulte [Visualización de resultados](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html) en la *Guía del usuario de AWS Security Hub*. También puede realizar un seguimiento del estado de una investigación de un resultado. Para obtener más información, consulte [Adopción de medidas en función de los resultados](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-taking-action.html) en la *Guía del usuario de AWS Security Hub*.

Todos los resultados en Security Hub CSPM usan un formato JSON estándar llamado Formato AWS Security Finding (ASFF). El ASFF incluye detalles sobre el origen del problema, los recursos afectados y el estado actual del resultado. Para obtener más información, consulte [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.htm) en la *Guía del usuario de AWS Security Hub*.

### Tipos de resultados que envía Patch Manager
<a name="securityhub-integration-finding-types"></a>

Patch Manager envía los resultados a Security Hub CSPM mediante [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html). En ASFF, el campo `Types` proporciona el tipo de resultado. Los resultados de Patch Manager tienen el siguiente valor para `Types`:
+ Verificaciones de software y configuración/Administración de revisiones

 Patch Manager envía una búsqueda por nodo administrado no conforme. El resultado se notifica con el tipo de recurso de [https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance) para que los resultados puedan relacionarse con otras integraciones de Security Hub CSPM que notifican tipos de recursos de `AwsEc2Instance`. Patch Manager solo envía un resultado a Security Hub CSPM si la operación detectó que el nodo administrado no era conforme. El resultado incluye los datos del resumen de revisiones. 

**nota**  
Tras informar de un nodo no conforme a Security Hub CSPM, Patch Manager no envía una actualización a Security Hub CSPM cuando el nodo cumple con las normas. Puede resolver manualmente los resultados en Security Hub CSPM una vez que se hayan aplicado las revisiones necesarias al nodo administrado.

Para obtener más información acerca de las definiciones de conformidad, consulte [Valores de estado de conformidad de las revisiones](patch-manager-compliance-states.md). Para obtener más información acerca de `PatchSummary`, consulte [PatchSummary](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_PatchSummary.html) en la *Referencia de la API de AWS Security Hub*.

### Latencia para el envío de resultados
<a name="securityhub-integration-finding-latency"></a>

Cuando Patch Manager crea un nuevo resultado, por lo general, se envía a Security Hub CSPM en un plazo de entre unos pocos segundos y 2 horas. La velocidad varía en función del tráfico de la Región de AWS que se esté procesando en ese momento.

### Reintento cuando Security Hub CSPM no está disponible
<a name="securityhub-integration-retry-send"></a>

Si hay una interrupción del servicio, se ejecuta una función de AWS Lambda para devolver los mensajes a la cola principal una vez que el servicio vuelve a funcionar. Una vez que los mensajes se encuentran en la cola principal, la acción de reintentar es automática.

Si Security Hub CSPM no está disponible, Patch Manager reintenta enviar los resultados hasta que se reciban.

### Visualización de resultados de en el CSPM de Security Hub
<a name="securityhub-integration-view-findings"></a>

Este procedimiento describe cómo ver en Security Hub CSPM los resultados sobre los nodos administrados de su flota no conformes con las revisiones.

**Revision de los resultados de Security Hub CSPM con el objetivo de comprobar el cumplimiento de las revisiones**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Security Hub CSPM en [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/).

1. En el panel de navegación, seleccione **Findings (Resultados)**.

1. Seleccione la casilla **Agregar filtros** (![\[The Search icon\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/search-icon.png)).

1. En el menú, en **Filtros**, seleccione **Nombre del producto**.

1. En el cuadro de diálogo que se abre, elija **es** en el primer campo y, a continuación, introduzca **Systems Manager Patch Manager** en el segundo campo.

1. Seleccione **Aplicar**.

1. Agregue los filtros adicionales que desee para reducir los resultados.

1. En la lista de resultados, elija el título de un resultado sobre el que desee obtener más información.

   Se abre un panel en la parte derecha de la pantalla con más detalles sobre el recurso, el problema descubierto y una solución recomendada.
**importante**  
En este momento, Security Hub CSPM informa que el tipo de recurso de todos los nodos administrados es `EC2 Instance`. Esto incluye servidores en las instalaciones y las máquinas virtuales (VM) que haya registrado para utilizarlas con Systems Manager.

**Clasificaciones de gravedad**  
La lista de resultados para **Systems Manager Patch Manager**, incluye un informe sobre la gravedad del resultado. Los niveles de **gravedad** incluyen los siguientes, de el más bajo al más alto:
+ **INFORMATIVO**: no se encontró ningún problema.
+ **BAJO**: el problema no requiere solución.
+ **MEDIO**: el problema debe abordarse, pero no es urgente.
+ **ALTO**: el problema debe abordarse con prioridad.
+ **CRÍTICO**: el problema debe solucionarse de inmediato para evitar una escalada.

La gravedad se determina según el paquete de incumplimiento más severo de una instancia. Como puede tener varios líneas de base de revisiones con varios niveles de gravedad, se indica el nivel de severidad más alto de todos los paquetes no conformes. Por ejemplo, supongamos que tiene dos paquetes no conformes en los que la gravedad del paquete A es “crítica” y la del paquete B es “baja”. La gravedad se indicará como “crítica”.

Tenga en cuenta que el campo de gravedad se correlaciona directamente con el campo Patch Manager `Compliance`. Se trata de un campo que puede configurar para asignar a las revisiones individuales que coincidan con la regla. Como este campo `Compliance` está asignado a revisiones individuales, no se refleja en el nivel de resumen de revisiones.

**Contenido relacionado**
+ [Resultados](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) en la *Guía del usuario de AWS Security Hub*
+ [Cumplimiento de las revisiones multicuenta con Patch Manager y Security Hub](https://aws.amazon.com/blogs/mt/multi-account-patch-compliance-with-patch-manager-and-security-hub/) en el blog *de administración y gobernanza de AWS*

## Resultado típico de Patch Manager
<a name="securityhub-integration-finding-example"></a>

Patch Manager envía los resultados a Security Hub CSPM mediante [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).

Aquí hay un ejemplo de un hallazgo típico de Patch Manager.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}
```

## Activación y configuración de la integración
<a name="securityhub-integration-enable"></a>

Para utilizar la integración de Patch Manager a Security Hub CSPM, debe activar Security Hub CSPM. Para obtener información acerca de cómo activar Security Hub CSPM, consulte la [Configuración de Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) en la *Guía del usuario de AWS Security Hub*.

En el siguiente procedimiento, se describe cómo integrar Patch Manager y Security Hub CSPM cuando Security Hub CSPM ya está activo pero la integración de Patch Manager se encuentra desactivada. Solo es necesario completar este procedimiento si la integración se desactivó de forma manual.

**Para agregar Patch Manager a la integración de Security Hub CSPM**

1. En el panel de navegación, elija **Patch Manager**.

1. Elija la pestaña **Settings**.

   -o bien-

   Si va a acceder a Patch Manager por primera vez en la Región de AWS actual, seleccione **Comience por la información general**, y luego la pestaña **Configuración**.

1. En la sección **Export to Security Hub CSPM** (Exportar a Security Hub CSPM), situada a la derecha de **Los resultados de conformidad de revisiones no se exportan a Security Hub CSPM**, elija **Activar**.

## Cómo dejar de enviar resultados
<a name="securityhub-integration-disable"></a>

Para dejar de enviar resultados a Security Hub CSPM, puede utilizar la consola de Security Hub CSPM o la API.

Para obtener más información, consulte los siguientes temas en la *Guía del usuario de AWS Security Hub*:
+ [Disabling and enabling the flow of findings from an integration (console) (Desactivación y habilitación del flujo de resultados desde una integración [consola)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-console)
+ [Desactivación del flujo de resultados desde una integración (API de Security Hub CSPM, AWS CLI)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-disable-api)