Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Travailler avec Patch Manager ressources utilisant le AWS CLI
La section inclut des exemples de commandes AWS Command Line Interface (AWS CLI) que vous pouvez utiliser pour effectuer des tâches de configuration pour Patch Manager, une capacité de AWS Systems Manager.
Pour une illustration de l'utilisation du correctif pour appliquer des correctifs AWS CLI à un environnement de serveur à l'aide d'une ligne de base de correctifs personnalisée, consultezTutoriel : appliquer un correctif à un environnement de serveur à l'aide du AWS CLI.
Pour plus d'informations sur l'utilisation AWS Systems Manager des tâches AWS CLI for, consultez la AWS Systems Manager section du manuel de référence des AWS CLI commandes.
Rubriques
AWS CLI commandes pour les lignes de base des correctifs
Exemples de commandes pour les référentiels de correctifs
- Créer un référentiel de correctifs
- Création d'un référentiel de correctifs avec des référentiels personnalisés pour les différentes versions du système d'exploitation
- Mettre à jour un référentiel de correctifs
- Renommer un référentiel de correctifs
- Supprimer un référentiel de correctifs
- Afficher toutes les références de correctifs
- Répertorier toutes les AWS lignes de base de correctifs fournies
- Répertorier mes références de correctifs
- Afficher un référentiel de correctifs
- Obtenir le référentiel de correctifs par défaut
- Définir un référentiel de correctifs personnalisée comme valeur par défaut
- Réinitialisation d'une ligne de base de AWS correctifs par défaut
- Baliser un référentiel de correctifs
- Répertorier les balises d'un référentiel de correctifs
- Supprimer une balise d'un référentiel de correctifs
Créer un référentiel de correctifs
La commande suivante crée une ligne de base de correctifs qui approuve toutes les mises à jour de sécurité critiques et importantes pour Windows Server 2012 R2 5 jours après leur sortie. Des correctifs ont également été spécifiés pour les listes de correctifs approuvés et rejetés. En outre, le référentiel de correctifs a été balisée pour indiquer qu'elle est destinée à un environnement de production.
Le système retourne des informations telles que les suivantes.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Création d'un référentiel de correctifs avec des référentiels personnalisés pour les différentes versions du système d'exploitation
S'applique uniquement aux nœuds gérés Linux. La commande suivante montre comment spécifier le référentiel de correctifs à utiliser pour une version spécifique du système d'exploitation Amazon Linux. Cet exemple utilise un référentiel source autorisé par défaut sur Amazon Linux 2017.09, mais peut être adapté à un autre référentiel source configuré pour un nœud géré.
Note
Pour mieux illustrer cette commande plus complexe, nous utilisons l'--cli-input-jsonoption avec des options supplémentaires stockées dans un JSON fichier externe.
-
Créez un JSON fichier avec un nom similaire
my-patch-repository.jsonet ajoutez-y le contenu suivant.{ "Description": "My patch repository for Amazon Linux 2017.09", "Name": "Amazon-Linux-2017.09", "OperatingSystem": "AMAZON_LINUX", "ApprovalRules": { "PatchRules": [ { "ApproveAfterDays": 7, "EnableNonSecurity": true, "PatchFilterGroup": { "PatchFilters": [ { "Key": "SEVERITY", "Values": [ "Important", "Critical" ] }, { "Key": "CLASSIFICATION", "Values": [ "Security", "Bugfix" ] }, { "Key": "PRODUCT", "Values": [ "AmazonLinux2017.09" ] } ] } } ] }, "Sources": [ { "Name": "My-AL2017.09", "Products": [ "AmazonLinux2017.09" ], "Configuration": "[amzn-main] \nname=amzn-main-Base\nmirrorlist=http://repo./$awsregion./$awsdomain//$releasever/main/mirror.list //nmirrorlist_expire=300//nmetadata_expire=300 \npriority=10 \nfailovermethod=priority \nfastestmirror_enabled=0 \ngpgcheck=1 \ngpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-ga \nenabled=1 \nretries=3 \ntimeout=5\nreport_instanceid=yes" } ] } -
Dans le répertoire où vous avez enregistré le fichier, exécutez la commande suivante.
aws ssm create-patch-baseline --cli-input-json file://my-patch-repository.jsonLe système retourne des informations telles que les suivantes.
{ "BaselineId": "pb-0c10e65780EXAMPLE" }
Mettre à jour un référentiel de correctifs
La commande suivante ajoute deux correctifs comme refusés et un correctif comme approuvé à un référentiel de correctifs existante.
Note
Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter Formats de nom de package pour les listes de correctifs approuvés et rejetés.
Le système retourne des informations telles que les suivantes.
{ "BaselineId":"pb-0c10e65780EXAMPLE", "Name":"Windows-Server-2012R2", "RejectedPatches":[ "KB2032276", "MS10-048" ], "GlobalFilters":{ "PatchFilters":[ ] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1481001494.035, "CreatedDate":1480997823.81, "ApprovedPatches":[ "KB2124261" ], "Description":"Windows Server 2012 R2, Important and Critical security updates" }
Renommer un référentiel de correctifs
Le système retourne des informations telles que les suivantes.
{ "BaselineId":"pb-0c10e65780EXAMPLE", "Name":"Windows-Server-2012-R2-Important-and-Critical-Security-Updates", "RejectedPatches":[ "KB2032276", "MS10-048" ], "GlobalFilters":{ "PatchFilters":[ ] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1481001795.287, "CreatedDate":1480997823.81, "ApprovedPatches":[ "KB2124261" ], "Description":"Windows Server 2012 R2, Important and Critical security updates" }
Supprimer un référentiel de correctifs
aws ssm delete-patch-baseline --baseline-id "pb-0c10e65780EXAMPLE"
Le système retourne des informations telles que les suivantes.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Afficher toutes les références de correctifs
aws ssm describe-patch-baselines
Le système retourne des informations telles que les suivantes.
{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" }, { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE" } ] }
Voici une autre commande qui répertorie toutes les référentiels de correctifs dans une Région AWS.
Le système retourne des informations telles que les suivantes.
{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" }, { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE" } ] }
Répertorier toutes les AWS lignes de base de correctifs fournies
Le système retourne des informations telles que les suivantes.
{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" } ] }
Répertorier mes références de correctifs
Le système retourne des informations telles que les suivantes.
{ "BaselineIdentities":[ { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE" } ] }
Afficher un référentiel de correctifs
aws ssm get-patch-baseline --baseline-id pb-0c10e65780EXAMPLE
Note
Pour les lignes de base de correctifs personnalisées, vous pouvez spécifier l'ID de référence du correctif ou le nom complet de la ressource Amazon (ARN). Pour une ligne de base de correctifs AWS fournie, vous devez spécifier la version complèteARN. Par exemple, arn:aws:ssm:us-east-2:075727635805:patchbaseline/pb-0c10e65780EXAMPLE.
Le système retourne des informations telles que les suivantes.
{ "BaselineId":"pb-0c10e65780EXAMPLE", "Name":"Windows-Server-2012R2", "PatchGroups":[ "Web Servers" ], "RejectedPatches":[ ], "GlobalFilters":{ "PatchFilters":[ ] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1480997823.81, "CreatedDate":1480997823.81, "ApprovedPatches":[ ], "Description":"Windows Server 2012 R2, Important and Critical security updates" }
Obtenir le référentiel de correctifs par défaut
aws ssm get-default-patch-baseline --region us-east-2
Le système retourne des informations telles que les suivantes.
{
"BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
Définir un référentiel de correctifs personnalisée comme valeur par défaut
Le système retourne des informations telles que les suivantes.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Réinitialisation d'une ligne de base de AWS correctifs par défaut
Le système retourne des informations telles que les suivantes.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Baliser un référentiel de correctifs
Répertorier les balises d'un référentiel de correctifs
Supprimer une balise d'un référentiel de correctifs
AWS CLI commandes pour les groupes de correctifs
Exemples de commandes pour les groupes de correctifs
- Créer un groupe de correctifs
- Enregistrer un groupe de correctifs « Serveurs web » avec un référentiel de correctifs
- Enregistrez un groupe de correctifs « Backend » avec la ligne de base de correctifs AWS fournie
- Afficher les enregistrements du groupe de correctifs
- Annuler l'enregistrement d'un groupe de correctifs à partir d'un référentiel de correctifs
Créer un groupe de correctifs
Pour faciliter l'organisation des opérations d'application de correctifs, nous vous recommandons d'ajouter des nœuds gérés à des groupes de correctifs à l'aide de balises. Les groupes de correctifs nécessitent l'utilisation de la clé de balise Patch Group ou PatchGroup. Si vous avez autorisé les balises dans les métadonnées de l'EC2instance, vous devez les utiliser PatchGroup (sans espace). Vous pouvez spécifier n'importe quelle valeur de balise, mais la clé de balise doit être Patch Group ou PatchGroup. Pour de plus amples informations sur les groupes de correctifs, consultez Groupes de correctifs.
Après avoir regroupé vos nœuds gérés à l'aide de balises, vous devez ajouter la valeur du groupe de correctifs à un référentiel de correctifs. En enregistrant le groupe de correctifs auprès d'un référentiel de correctifs, vous veillez à ce que les correctifs appropriés soient installés lors de l'opération d'application des correctifs.
Tâche 1 : ajouter des EC2 instances à un groupe de correctifs à l'aide de balises
Note
Lorsque vous utilisez la console Amazon Elastic Compute Cloud (AmazonEC2) AWS CLI, il est possible d'appliquer Key = Patch Group des Key = PatchGroup balises à des instances qui ne sont pas encore configurées pour être utilisées avec Systems Manager. Si une EC2 instance que vous vous attendez à voir dans Patch Manager n'est pas répertorié après l'application de la Key = PatchGroup balise Patch Group ou, consultez Résolution des problèmes de disponibilité des nœuds gérés les conseils de résolution des problèmes.
Exécutez la commande suivante pour ajouter la PatchGroup balise à une EC2 instance.
aws ec2 create-tags --resources"i-1234567890abcdef0"--tags "Key=PatchGroup,Value=GroupValue"
Tâche 2 : Ajout de nœuds gérés à un groupe de correctifs à l'aide de balises
Exécutez la commande suivante pour ajouter la balise PatchGroup à un nœud géré.
Tâche 3 : Ajout d'un groupe de correctifs à un référentiel de correctifs
Exécutez la commande suivante pour associer une valeur de balise PatchGroup au référentiel de correctifs spécifiée.
Le système retourne des informations telles que les suivantes.
{
"PatchGroup": "Development",
"BaselineId": "pb-0c10e65780EXAMPLE"
}
Enregistrer un groupe de correctifs « Serveurs web » avec un référentiel de correctifs
Le système retourne des informations telles que les suivantes.
{
"PatchGroup":"Web Servers",
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Enregistrez un groupe de correctifs « Backend » avec la ligne de base de correctifs AWS fournie
Le système retourne des informations telles que les suivantes.
{
"PatchGroup":"Backend",
"BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
Afficher les enregistrements du groupe de correctifs
aws ssm describe-patch-groups --region us-east-2
Le système retourne des informations telles que les suivantes.
{ "PatchGroupPatchBaselineMappings":[ { "PatchGroup":"Backend", "BaselineIdentity":{ "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":false, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" } }, { "PatchGroup":"Web Servers", "BaselineIdentity":{ "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":true, "BaselineDescription":"Windows Server 2012 R2, Important and Critical updates", "BaselineId":"pb-0c10e65780EXAMPLE" } } ] }
Annuler l'enregistrement d'un groupe de correctifs à partir d'un référentiel de correctifs
Le système retourne des informations telles que les suivantes.
{
"PatchGroup":"Production",
"BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
AWS CLI commandes pour afficher les résumés et les détails des correctifs
Exemples de commandes pour afficher les résumés et les détails des correctifs
- Obtenir tous les correctifs définis par un référentiel de correctifs
- Obtenez tous les correctifs pour AmazonLinux 2018.03 dont la classification SECURITY et le niveau de gravité sont Critical
- Obtenez tous les patchs pour Windows Server 2012 qui ont une MSRC sévérité de Critical
- Obtenir tous les correctifs disponibles
- Obtenir le résumé de l'état des correctifs par nœud géré
- Obtenir les informations de conformité des correctifs pour un nœud géré
- Afficher les résultats de conformité de l'application de correctifs (AWS CLI)
Obtenir tous les correctifs définis par un référentiel de correctifs
Note
Cette commande est prise en charge pour Windows Server lignes de base de correctifs uniquement.
Le système retourne des informations telles que les suivantes.
{ "NextToken":"--token string truncated--", "EffectivePatches":[ { "PatchStatus":{ "ApprovalDate":1384711200.0, "DeploymentStatus":"APPROVED" }, "Patch":{ "ContentUrl":"https://support.microsoft.com/en-us/kb/2876331", "ProductFamily":"Windows", "Product":"WindowsServer2012R2", "Vendor":"Microsoft", "Description":"A security issue has been identified in a Microsoft software product that could affect your system. You can help protect your system by installing this update from Microsoft. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2012 R2 Preview (KB2876331)", "ReleaseDate":1384279200.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2876331", "MsrcNumber":"MS13-089", "Id":"e74ccc76-85f0-4881-a738-59e9fc9a336d" } }, { "PatchStatus":{ "ApprovalDate":1428858000.0, "DeploymentStatus":"APPROVED" }, "Patch":{ "ContentUrl":"https://support.microsoft.com/en-us/kb/2919355", "ProductFamily":"Windows", "Product":"WindowsServer2012R2", "Vendor":"Microsoft", "Description":"Windows Server 2012 R2 Update is a cumulative set of security updates, critical updates and updates. You must install Windows Server 2012 R2 Update to ensure that your computer can continue to receive future Windows Updates, including security updates. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article for more information. After you install this item, you may have to restart your computer.", "Classification":"SecurityUpdates", "Title":"Windows Server 2012 R2 Update (KB2919355)", "ReleaseDate":1428426000.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2919355", "MsrcNumber":"MS14-018", "Id":"8452bac0-bf53-4fbd-915d-499de08c338b" } } ---output truncated---
Obtenez tous les correctifs pour AmazonLinux 2018.03 dont la classification SECURITY et le niveau de gravité sont Critical
Le système retourne des informations telles que les suivantes.
{ "Patches": [ { "AdvisoryIds": ["ALAS-2011-1"], "BugzillaIds": [ "1234567" ], "Classification": "SECURITY", "CVEIds": [ "CVE-2011-3192"], "Name": "zziplib", "Epoch": "0", "Version": "2.71", "Release": "1.3.amzn1", "Arch": "i686", "Product": "AmazonLinux2018.03", "ReleaseDate": 1590519815, "Severity": "CRITICAL" } ] } ---output truncated---
Obtenez tous les patchs pour Windows Server 2012 qui ont une MSRC sévérité de Critical
Le système retourne des informations telles que les suivantes.
{ "Patches":[ { "ContentUrl":"https://support.microsoft.com/en-us/kb/2727528", "ProductFamily":"Windows", "Product":"WindowsServer2012", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2012 (KB2727528)", "ReleaseDate":1352829600.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2727528", "MsrcNumber":"MS12-072", "Id":"1eb507be-2040-4eeb-803d-abc55700b715" }, { "ContentUrl":"https://support.microsoft.com/en-us/kb/2729462", "ProductFamily":"Windows", "Product":"WindowsServer2012", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Microsoft .NET Framework 3.5 on Windows 8 and Windows Server 2012 for x64-based Systems (KB2729462)", "ReleaseDate":1352829600.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2729462", "MsrcNumber":"MS12-074", "Id":"af873760-c97c-4088-ab7e-5219e120eab4" } ---output truncated---
Obtenir tous les correctifs disponibles
aws ssm describe-available-patches --region us-east-2
Le système retourne des informations telles que les suivantes.
{ "NextToken":"--token string truncated--", "Patches":[ { "ContentUrl":"https://support.microsoft.com/en-us/kb/2032276", "ProductFamily":"Windows", "Product":"WindowsServer2008R2", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2008 R2 x64 Edition (KB2032276)", "ReleaseDate":1279040400.0, "MsrcClassification":"Important", "Language":"All", "KbNumber":"KB2032276", "MsrcNumber":"MS10-043", "Id":"8692029b-a3a2-4a87-a73b-8ea881b4b4d6" }, { "ContentUrl":"https://support.microsoft.com/en-us/kb/2124261", "ProductFamily":"Windows", "Product":"Windows7", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows 7 (KB2124261)", "ReleaseDate":1284483600.0, "MsrcClassification":"Important", "Language":"All", "KbNumber":"KB2124261", "MsrcNumber":"MS10-065", "Id":"12ef1bed-0dd2-4633-b3ac-60888aa8ba33" } ---output truncated---
Obtenir le résumé de l'état des correctifs par nœud géré
Le résumé par nœud géré indique le nombre de correctifs dans les états suivants par nœud : « », NotApplicable « Manquant », « Échec », « » et InstalledOther « Installé ».
Le système retourne des informations telles que les suivantes.
{ "InstancePatchStates":[ { "InstanceId": "i-08ee91c0b17045407", "PatchGroup": "", "BaselineId": "pb-0c10e65780EXAMPLE", "SnapshotId": "6d03d6c5-f79d-41d0-8d0e-00a9aEXAMPLE", "InstalledCount": 50, "InstalledOtherCount": 353, "InstalledPendingRebootCount": 0, "InstalledRejectedCount": 0, "MissingCount": 0, "FailedCount": 0, "UnreportedNotApplicableCount": -1, "NotApplicableCount": 671, "OperationStartTime": "2020-01-24T12:37:56-08:00", "OperationEndTime": "2020-01-24T12:37:59-08:00", "Operation": "Scan", "RebootOption": "NoReboot" }, { "InstanceId": "i-09a618aec652973a9", "PatchGroup": "", "BaselineId": "pb-0c10e65780EXAMPLE", "SnapshotId": "c7e0441b-1eae-411b-8aa7-973e6EXAMPLE", "InstalledCount": 36, "InstalledOtherCount": 396, "InstalledPendingRebootCount": 0, "InstalledRejectedCount": 0, "MissingCount": 3, "FailedCount": 0, "UnreportedNotApplicableCount": -1, "NotApplicableCount": 420, "OperationStartTime": "2020-01-24T12:37:34-08:00", "OperationEndTime": "2020-01-24T12:37:37-08:00", "Operation": "Scan", "RebootOption": "NoReboot" } ---output truncated---
Obtenir les informations de conformité des correctifs pour un nœud géré
aws ssm describe-instance-patches --instance-id i-08ee91c0b17045407
Le système retourne des informations telles que les suivantes.
{ "NextToken":"--token string truncated--", "Patches":[ { "Title": "bind-libs.x86_64:32:9.8.2-0.68.rc1.60.amzn1", "KBId": "bind-libs.x86_64", "Classification": "Security", "Severity": "Important", "State": "Installed", "InstalledTime": "2019-08-26T11:05:24-07:00" }, { "Title": "bind-utils.x86_64:32:9.8.2-0.68.rc1.60.amzn1", "KBId": "bind-utils.x86_64", "Classification": "Security", "Severity": "Important", "State": "Installed", "InstalledTime": "2019-08-26T11:05:32-07:00" }, { "Title": "dhclient.x86_64:12:4.1.1-53.P1.28.amzn1", "KBId": "dhclient.x86_64", "Classification": "Security", "Severity": "Important", "State": "Installed", "InstalledTime": "2019-08-26T11:05:31-07:00" }, ---output truncated---
Afficher les résultats de conformité de l'application de correctifs (AWS CLI)
Pour afficher les résultats de conformité des correctifs pour un nœud géré individuel
Exécutez la commande suivante dans le AWS Command Line Interface (AWS CLI) pour afficher les résultats de conformité des correctifs pour un seul nœud géré.
aws ssm describe-instance-patch-states --instance-idinstance-id
Remplacez instance-id avec l'ID du nœud géré pour lequel vous souhaitez afficher les résultats, au format i-02573cafcfEXAMPLE oumi-0282f7c436EXAMPLE.
Les systèmes renvoient des informations telles que les suivantes.
{ "InstancePatchStates": [ { "InstanceId": "i-02573cafcfEXAMPLE", "PatchGroup": "mypatchgroup", "BaselineId": "pb-0c10e65780EXAMPLE", "SnapshotId": "a3f5ff34-9bc4-4d2c-a665-4d1c1EXAMPLE", "CriticalNonCompliantCount": 2, "SecurityNonCompliantCount": 2, "OtherNonCompliantCount": 1, "InstalledCount": 123, "InstalledOtherCount": 334, "InstalledPendingRebootCount": 0, "InstalledRejectedCount": 0, "MissingCount": 1, "FailedCount": 2, "UnreportedNotApplicableCount": 11, "NotApplicableCount": 2063, "OperationStartTime": "2021-05-03T11:00:56-07:00", "OperationEndTime": "2021-05-03T11:01:09-07:00", "Operation": "Scan", "LastNoRebootInstallOperationTime": "2020-06-14T12:17:41-07:00", "RebootOption": "RebootIfNeeded" } ] }
Pour afficher un résumé du nombre de correctifs pour toutes les EC2 instances d'une région
La commande describe-instance-patch-states prend en charge la récupération des résultats pour une seule instance gérée à la fois. Cependant, l'utilisation d'un script personnalisé avec la commande describe-instance-patch-states vous permet de générer un rapport plus granulaire.
Par exemple, si l'outil de filtrage jqInstalledPendingReboot
aws ssm describe-instance-patch-states \ --instance-ids $(aws ec2 describe-instances --regionregion| jq '.Reservations[].Instances[] | .InstanceId' | tr '\n|"' ' ') \ --output text --query 'InstancePatchStates[*].{Instance:InstanceId, InstalledPendingRebootCount:InstalledPendingRebootCount}'
region représente l'identifiant d'une région Région AWS
prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour une liste des produits pris en charge region valeurs, voir la colonne Region dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.
Par exemple :
aws ssm describe-instance-patch-states \ --instance-ids $(aws ec2 describe-instances --region us-east-2 | jq '.Reservations[].Instances[] | .InstanceId' | tr '\n|"' ' ') \ --output text --query 'InstancePatchStates[*].{Instance:InstanceId, InstalledPendingRebootCount:InstalledPendingRebootCount}'
Le système retourne des informations telles que les suivantes.
1 i-02573cafcfEXAMPLE 0 i-0471e04240EXAMPLE 3 i-07782c72faEXAMPLE 6 i-083b678d37EXAMPLE 0 i-03a530a2d4EXAMPLE 1 i-01f68df0d0EXAMPLE 0 i-0a39c0f214EXAMPLE 7 i-0903a5101eEXAMPLE 7 i-03823c2fedEXAMPLE
Outre InstalledPendingRebootCount, la liste des types de nombres interrogeables comprend les éléments suivants :
-
CriticalNonCompliantCount -
SecurityNonCompliantCount -
OtherNonCompliantCount -
UnreportedNotApplicableCount -
InstalledPendingRebootCount -
FailedCount -
NotApplicableCount -
InstalledRejectedCount -
InstalledOtherCount -
MissingCount -
InstalledCount
AWS CLI commandes pour scanner et appliquer des correctifs aux nœuds gérés
Après avoir exécuté les commandes suivantes pour analyser la conformité des correctifs ou installer des correctifs, vous pouvez utiliser les commandes de la section AWS CLI commandes pour afficher les résumés et les détails des correctifs pour afficher des informations sur le statut et la conformité des correctifs.
Exemples de commandes
Analyser les nœuds gérés pour vérifier la conformité des correctifs (AWS CLI)
Pour analyser les nœuds gérés afin de vérifier la conformité des correctifs
Exécutez la commande suivante.
Le système retourne des informations telles que les suivantes.
{ "Command": { "CommandId": "a04ed06c-8545-40f4-87c2-a0babEXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621974475.267, "Parameters": { "Operation": [ "Scan" ] }, "InstanceIds": [], "Targets": [ { "Key": "InstanceIds", "Values": [ "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" ] } ], "RequestedDateTime": 1621952275.267, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
Pour analyser les nœuds gérés et vérifier la conformité des correctifs par balise de groupe de correctifs
Exécutez la commande suivante.
Le système retourne des informations telles que les suivantes.
{ "Command": { "CommandId": "87a448ee-8adc-44e0-b4d1-6b429EXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621974983.128, "Parameters": { "Operation": [ "Scan" ] }, "InstanceIds": [], "Targets": [ { "Key": "tag:PatchGroup", "Values": [ "Web servers" ] } ], "RequestedDateTime": 1621952783.128, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
Installer des correctifs sur les nœuds gérés (AWS CLI)
Pour installer des correctifs sur des nœuds gérés spécifiques
Exécutez la commande suivante.
Note
Si nécessaire, les nœuds gérés cibles redémarrent pour finaliser l'installation des correctifs. Pour de plus amples informations, veuillez consulter SSMDocument de commande pour l'application de correctifs : AWS-RunPatchBaseline.
Le système retourne des informations telles que les suivantes.
{ "Command": { "CommandId": "5f403234-38c4-439f-a570-93623EXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621975301.791, "Parameters": { "Operation": [ "Install" ] }, "InstanceIds": [], "Targets": [ { "Key": "InstanceIds", "Values": [ "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" ] } ], "RequestedDateTime": 1621953101.791, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
Pour installer des correctifs sur des nœuds gérés appartenant à un groupe de correctifs spécifique
Exécutez la commande suivante.
Le système retourne des informations telles que les suivantes.
{ "Command": { "CommandId": "fa44b086-7d36-4ad5-ac8d-627ecEXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621975407.865, "Parameters": { "Operation": [ "Install" ] }, "InstanceIds": [], "Targets": [ { "Key": "tag:PatchGroup", "Values": [ "Web servers" ] } ], "RequestedDateTime": 1621953207.865, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
