• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation des ressources Patch Manager et de la conformité en utilisant la console
Pour utiliser Patch Manager un outil AWS Systems Manager, effectuez les tâches suivantes. Ces tâches sont décrites plus en détail dans cette section.
1. Vérifiez que la ligne de base de correctifs AWS prédéfinie pour chaque type de système d'exploitation que vous utilisez répond à vos besoins. Si ce n'est pas le cas, créez un référentiel de correctifs qui définit un ensemble de correctifs standard pour ce type de nœud géré, et définissez-le comme référentiel par défaut.
1. Organisez les nœuds gérés en groupes de correctifs à l'aide de balises Amazon Elastic Compute Cloud (Amazon EC2) (facultatif, mais recommandé).
1. Effectuez l’une des actions suivantes :
+ (Recommandé) Configurez une politique de correctifs dans Quick Setup, un outil de Systems Manager qui vous permet d’installer les correctifs manquants selon une planification pour l’ensemble d’une organisation, un sous-ensemble d’unités organisationnelles ou un seul Compte AWS. Pour de plus amples informations, veuillez consulter [Configurer les applications de correctifs pour les instances d’une organisation à l’aide d’une politique de correctif Quick Setup](quick-setup-patch-manager.md).
+ Créez une fenêtre de maintenance qui utilise le document Systems Manager (document SSM) `AWS-RunPatchBaseline` dans un type de tâche Run Command. Pour de plus amples informations, veuillez consulter [Tutoriel : créer une fenêtre de maintenance pour l’application de correctifs à l’aide de la console](maintenance-window-tutorial-patching.md).
+ Exécutez `AWS-RunPatchBaseline` manuellement dans une opération Run Command. Pour de plus amples informations, veuillez consulter [Exécution des commande à partir de la console](running-commands-console.md).
+ Appliquez manuellement des correctifs aux nœuds à la demande à l'aide de la fonctionnalité **Patch now** (Appliquer les correctifs maintenant). Pour de plus amples informations, veuillez consulter [Application de correctifs sur les nœuds gérés à la demande](patch-manager-patch-now-on-demand.md).
1. Surveillez l'application des correctifs pour vérifier la conformité et enquêter sur les défaillances.
**Topics**
+ [Création d'une politique de correctif](patch-manager-create-a-patch-policy.md)
+ [Affichage des résumés du tableau de bord des correctifs](patch-manager-view-dashboard-summaries.md)
+ [Utilisation des rapports de conformité des correctifs](patch-manager-compliance-reports.md)
+ [Application de correctifs sur les nœuds gérés à la demande](patch-manager-patch-now-on-demand.md)
+ [Utilisation des référentiels de correctifs](patch-manager-create-a-patch-baseline.md)
+ [Affichage des correctifs disponibles](patch-manager-view-available-patches.md)
+ [Création et gestion de groupes de correctifs](patch-manager-tag-a-patch-group.md)
+ [Intégration Patch Manager avec AWS Security Hub CSPM](patch-manager-security-hub-integration.md)
# Création d'une politique de correctif
Une politique de correctifs est une configuration que vous définissez à l’aide de Quick Setup, un outil d’ AWS Systems Manager. Les politiques de correctif fournissent un contrôle plus étendu et plus centralisé de vos opérations d'application de correctifs qu'avec les autres méthodes. Une politique de correctifs définit la planification et le référentiel à utiliser lors de l'application automatique de correctifs à vos nœuds et applications.
Pour plus d’informations, consultez les rubriques suivantes :
+ [Configurations de la politique de correctifs dans Quick Setup](patch-manager-policies.md)
+ [Configurer les applications de correctifs pour les instances d’une organisation à l’aide d’une politique de correctif Quick Setup](quick-setup-patch-manager.md)
# Affichage des résumés du tableau de bord des correctifs
L’onglet **Tableau de bord** dans Patch Manager affiche une vue récapitulative consolidée de vos opérations d’application de correctifs, dans la console. Patch Manager est un outil d’ AWS Systems Manager. L'onglet **Dashboard (Tableau de bord)** vous permet de visualiser les éléments suivants :
+ Un instantané du nombre de nœuds gérés qui sont conformes et non conformes aux règles d'application de correctifs.
+ Un instantané de l'ancienneté des résultats de conformité de vos nœuds gérés en matière de correctifs.
+ Un décompte lié du nombre de nœuds gérés non conformes pour chacun des motifs courants de non-conformité.
+ Une liste liée des opérations d'application de correctifs les plus récentes.
+ Une liste liée des tâches récurrentes d'application de correctifs qui ont été configurées.
**Pour afficher les résumés du tableau de bord des correctifs**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Patch Manager**.
1. Sélectionnez l'onglet **Dashboard (Tableau de bord)**.
1. Faites défiler jusqu'à la section contenant les données récapitulatives à afficher :
+ **Gestion des instances Amazon EC2**
+ **Résumé de conformité**
+ **Nombre de cas de non-conformité**
+ **Rapports de conformité**
+ **Opérations non basées sur des politiques de correctif**
+ **Tâches récurrentes non basées sur des politiques de correctif**
# Utilisation des rapports de conformité des correctifs
Les informations contenues dans les rubriques suivantes vous aideront à générer et à utiliser les rapports de conformité des correctifs dans Patch Manager, un outil d’ AWS Systems Manager.
Les informations des rubriques suivantes s'appliquent, quels que soient la méthode ou le type de configuration que vous utilisez pour vos opérations d'application de correctifs :
+ Une politique de correctifs configurée dans Quick Setup
+ Une option de gestion des hôtes configurée dans Quick Setup
+ Une fenêtre de maintenance pour exécuter un correctif `Scan` ou une tâche `Install`
+ Une opération **Patch now** (Appliquer les correctifs maintenant) à la demande
**Important**
Les rapports de conformité des correctifs sont des point-in-time instantanés générés uniquement par des opérations de correction réussies. Chaque rapport contient une heure de capture qui indique le moment où le statut de conformité a été calculé.
Si vous avez mis en place plusieurs types d'opérations pour analyser la conformité de vos instances aux correctifs, veuillez noter que chaque analyse remplace les données de conformité aux correctifs des analyses précédentes. Par conséquent, vous pourriez obtenir des résultats inattendus en ce qui concerne vos données de conformité aux correctifs. Pour de plus amples informations, veuillez consulter [Identification de l'exécution qui a créé les données de conformité des correctifs](patch-manager-compliance-data-overwrites.md).
Pour vérifier quel référentiel de correctifs a été utilisé pour générer les dernières informations de conformité, accédez à l'onglet **Rapports de conformité** dans Patch Manager, localisez la ligne correspondant au nœud géré qui vous intéresse, puis choisissez l'ID de référentiel dans la colonne **ID de référentiel utilisé**.
**Topics**
+ [Affichage des résultats de la conformité des correctifs](patch-manager-view-compliance-results.md)
+ [Génération de rapports de conformité des correctifs .csv](patch-manager-store-compliance-results-in-s3.md)
+ [Correction des nœuds gérés non conformes avec Patch Manager](patch-manager-noncompliant-nodes.md)
+ [Identification de l'exécution qui a créé les données de conformité des correctifs](patch-manager-compliance-data-overwrites.md)
# Affichage des résultats de la conformité des correctifs
Utilisez ces procédures pour afficher les informations de conformité des correctifs sur vos nœuds gérés.
Cette procédure s'applique aux opérations d'application de correctifs qui utilisent le document `AWS-RunPatchBaseline`. Pour obtenir des informations sur l'affichage des informations de conformité des correctifs pour les opérations d'application de correctifs qui utilisent le document `AWS-RunPatchBaselineAssociation`, veuillez consulter [Identification des nœuds gérés non conformes](patch-manager-find-noncompliant-nodes.md).
**Note**
Les opérations de numérisation des correctifs pour le `AWS-RunPatchBaselineAssociation` document Quick Setup et son Explorer utilisation. Quick Setupet Explorer sont tous deux des outils AWS Systems Manager.
**Identification de la solution de correctif pour un problème CVE spécifique (Linux)**
Pour de nombreux systèmes d'exploitation Linux, les résultats de conformité des correctifs indiquent quels problèmes signalés sur un bulletin Common Vulnerabilities and Exposure (CVE) sont résolus par quels correctifs. Ces informations peuvent vous aider à déterminer à quel point il est urgent d'installer un correctif manquant ou défaillant.
Les détails CVE sont inclus pour les versions prises en charge des types de système d'exploitation suivants :
+ AlmaLinux
+ Amazon Linux 2
+ Amazon Linux 2023
+ Oracle Linux
+ Red Hat Enterprise Linux (RHEL)
+ Rocky Linux
**Note**
Par défaut, CentOS Stream ne fournit pas d’informations CVE sur les mises à jour. Vous pouvez toutefois autoriser cette prise en charge en utilisant des référentiels tiers tels que le référentiel EPEL (Extra Packages for Enterprise Linux) publié par Fedora. Pour obtenir des informations, veuillez consulter [EPEL](https://fedoraproject.org/wiki/EPEL) sur le Wiki Fedora.
Actuellement, les valeurs d’ID CVE ne sont signalées que pour les correctifs dont le statut est `Missing` ou `Failed`.
Vous pouvez également ajouter CVE IDs à vos listes de correctifs approuvés ou rejetés dans vos lignes de base de correctifs, selon la situation et vos objectifs en matière de correctifs.
Pour obtenir des informations sur l'utilisation des listes de correctifs approuvés et de correctifs rejetés, veuillez consulter les rubriques suivantes :
+ [Utilisation des référentiels de correctifs personnalisés](patch-manager-manage-patch-baselines.md)
+ [Formats de noms de package pour les listes de correctifs approuvés et rejetés](patch-manager-approved-rejected-package-name-formats.md)
+ [Fonctionnement des règles de référence de correctif sur les systèmes basés sur Linux](patch-manager-linux-rules.md)
+ [Installation des correctifs](patch-manager-installing-patches.md)
**Note**
Dans certains cas, Microsoft publie des correctifs pour des applications qui ne précisent pas de date et d’heure de mise à jour. La date et l'heure `01/01/1970` sont alors fournies par défaut.
## Affichage des résultats de conformité de l’application de correctifs
Utilisez les procédures suivantes pour afficher les données de conformité dans la console AWS Systems Manager .
**Note**
Pour obtenir des informations sur la génération de rapports de conformité des correctifs qui sont téléchargés dans un compartiment Amazon Simple Storage Service (Amazon S3), veuillez consulter [Génération de rapports de conformité des correctifs .csv](patch-manager-store-compliance-results-in-s3.md).
**Pour afficher les résultats de conformité des correctifs**
1. Effectuez l'une des actions suivantes :
**Option 1** (recommandée) : naviguez à partir de Patch Manager, un outil d’ AWS Systems Manager :
+ Dans le panneau de navigation, sélectionnez **Patch Manager**.
+ Sélectionnez l'onglet **Compliance reporting (Rapports de conformité)**.
+ Dans la zone **Détails de l’application de correctifs sur le nœud**, sélectionnez l’ID du nœud géré pour lequel vous voulez examiner les résultats de conformité des correctifs. Nœuds qui sont `stopped` ou ne `terminated` seront pas affichés ici.
+ Dans la zone **Détails**, dans la liste **Propriétés**, sélectionnez **Correctifs**.
**Option 2** : naviguez à partir de Compliance, un outil d’ AWS Systems Manager :
+ Dans le panneau de navigation, sélectionnez **Compliance (Conformité)**.
+ Pour **Récapitulatif des ressources de conformité**, sélectionnez un nombre dans la colonne réservée aux types de ressources d'application de correctifs à consulter, tels que **Ressources non conformes**.
+ Ci-dessous, dans la liste **Ressources**, sélectionnez l’ID du nœud géré pour lequel vous voulez examiner les résultats de la conformité des correctifs.
+ Dans la zone **Détails**, dans la liste **Propriétés**, sélectionnez **Correctifs**.
**Option 3** : naviguez à partir de Fleet Manager, un outil d’ AWS Systems Manager :
+ Dans le panneau de navigation, sélectionnez **Fleet Manager**.
+ Dans la zone **Instances gérées**, sélectionnez l’ID du nœud géré pour lequel vous voulez examiner les résultats de conformité des correctifs.
+ Dans la zone **Détails**, dans la liste **Propriétés**, sélectionnez **Correctifs**.
1. (Facultatif) Dans la zone Rechercher (![\[The Search icon\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/search-icon.png)), sélectionnez parmi les filtres disponibles.
Par exemple, pour Red Hat Enterprise Linux (RHEL), sélectionnez l'un des éléments suivants :
+ Nom
+ Classification
+ State
+ Sévérité
Pour Windows Server, sélectionnez parmi les options suivantes :
+ Ko
+ Classification
+ State
+ Sévérité
1. Sélectionnez l'une des valeurs disponibles pour le type de filtre choisi. Par exemple, si vous avez choisi **État**, choisissez désormais un état de conformité tel que **InstalledPendingReboot****Échec** ou **Manquant**.
**Note**
Actuellement, les valeurs d’ID CVE ne sont signalées que pour les correctifs dont le statut est `Missing` ou `Failed`.
1. En fonction de l'état de conformité du nœud géré, vous pouvez choisir l'action à entreprendre pour remédier aux nœuds non conformes.
Par exemple, vous pouvez choisir d'appliquer immédiatement des correctifs à vos nœuds gérés non conformes. Pour obtenir des informations sur l'application de correctifs sur les nœuds gérés à la demande, consultez [Application de correctifs sur les nœuds gérés à la demande](patch-manager-patch-now-on-demand.md).
Pour plus d'informations sur les états de conformité des correctifs, consultez [Valeurs de l’état de conformité des correctifs](patch-manager-compliance-states.md).
# Génération de rapports de conformité des correctifs .csv
Vous pouvez utiliser la AWS Systems Manager console pour générer des rapports de conformité des correctifs qui sont enregistrés sous forme de fichier .csv dans un bucket Amazon Simple Storage Service (Amazon S3) de votre choix. Vous pouvez générer un rapport à la demande unique ou planifier la génération automatique des rapports.
Les rapports peuvent être générés pour un seul nœud géré ou pour tous les nœuds gérés de votre choix Compte AWS et Région AWS. Pour un seul nœud, un rapport contient des informations complètes, notamment les correctifs liés à IDs la non-conformité d'un nœud. Un rapport portant sur tous les nœuds gérés, quant à lui, ne contient que des informations sommaires ainsi que le nombre de correctifs liés aux nœuds non conformes.
Une fois le rapport généré, vous pouvez utiliser un outil tel qu'Amazon Quick pour importer et analyser les données. Quick est un service de business intelligence (BI) que vous pouvez utiliser pour explorer et interpréter des informations dans un environnement visuel interactif. Pour plus d'informations, consultez le [guide d'utilisation rapide d'Amazon](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html).
**Note**
Lorsque vous créez un référentiel de correctifs personnalisé, vous pouvez spécifier un niveau de sévérité de conformité pour les correctifs approuvés par ce référentiel de correctifs, tel que `Critical` ou `High`. Si l'état des correctifs d'un correctif approuvé est indiqué `Missing`, le niveau de sévérité de conformité global indiqué pour le référentiel de correctifs est le niveau de sévérité que vous avez spécifié.
Vous pouvez aussi spécifier une rubrique Amazon Simple Notification Service (Amazon SNS) à utiliser pour envoyer des notifications lorsqu'un rapport est généré.
**Rôles de service pour la génération de rapports de conformité des correctifs**
La première fois que vous générez un rapport, Systems Manager crée un rôle responsable Automation nommé `AWS-SystemsManager-PatchSummaryExportRole` à utiliser pour le processus d'exportation vers S3.
**Note**
Si vous exportez des données de conformité vers un compartiment S3 chiffré, vous devez mettre à jour la politique de AWS KMS clé associée afin de fournir les autorisations nécessaires pour`AWS-SystemsManager-PatchSummaryExportRole`. Par exemple, ajoutez une autorisation similaire à celle-ci à la AWS KMS politique de votre compartiment S3 :
```
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "role-arn"
}
```
*role-arn*Remplacez-le par le Amazon Resource Name (ARN) du fichier créé dans votre compte, au format`arn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole`.
Pour plus d’informations, consultez [Politiques de clé dans AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dans le *Guide du développeur AWS Key Management Service *.
La première fois que vous générez un rapport selon un calendrier, Systems Manager crée un autre rôle de service nommé`AWS-EventBridge-Start-SSMAutomationRole`, ainsi que le rôle de service `AWS-SystemsManager-PatchSummaryExportRole` (s'il n'est pas déjà créé) à utiliser pour le processus d'exportation. `AWS-EventBridge-Start-SSMAutomationRole`permet EventBridge à Amazon de démarrer une automatisation à l'aide du runbook [AWS- ExportPatchReportTo S3](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).
Nous vous déconseillons de tenter de modifier ces politiques et ces rôles. Cela pourrait entraîner l'échec de la génération de rapports de conformité des correctifs. Pour de plus amples informations, veuillez consulter [Résolution des problèmes liés à la génération de rapports de conformité des correctifs](#patch-compliance-reports-troubleshooting).
**Topics**
+ [Qu'est-ce qu'un rapport de conformité des correctifs généré ?](#patch-compliance-reports-to-s3-examples)
+ [Génération de rapports de conformité des correctifs pour un nœud géré individuel](#patch-compliance-reports-to-s3-one-instance)
+ [Génération de rapports de conformité des correctifs pour tous les nœuds gérés](#patch-compliance-reports-to-s3-all-instances)
+ [Affichage de l'historique de génération de rapports de conformité des correctifs](#patch-compliance-reporting-history)
+ [Affichage des calendriers de rapports de conformité des correctifs](#patch-compliance-reporting-schedules)
+ [Résolution des problèmes liés à la génération de rapports de conformité des correctifs](#patch-compliance-reports-troubleshooting)
## Qu'est-ce qu'un rapport de conformité des correctifs généré ?
Cette rubrique fournit des informations sur les types de contenu inclus dans les rapports de conformité des correctifs qui sont générés et téléchargés dans un compartiment S3 spécifié.
### Format de rapport pour un nœud géré individuel
Un rapport généré pour un nœud géré individuel fournit à la fois des informations sommaires et détaillées.
[Télécharger un exemple de rapport (pour un nœud individuel)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-single-instance-patch-compliance-report.zip)
Les informations sommaires fournies pour un nœud géré individuel sont les suivantes :
+ Index
+ ID d’instance
+ Instance name
+ Adresse IP d'instance
+ Nom de la plateforme
+ Version de la plateforme
+ Version de l’SSM Agent
+ Référentiel de correctifs
+ Groupe de correctifs
+ Statut de conformité
+ Sévérité de conformité
+ Nombre de correctifs de sévérité critique non conformes
+ Nombre de correctifs de sévérité élevée non conformes
+ Nombre de correctifs de sévérité moyenne non conformes
+ Nombre de correctifs de sévérité faible non conformes
+ Nombre de correctifs de sévérité informationnelle non conformes
+ Nombre de correctifs de sévérité non spécifiée non conformes
Les informations détaillées fournies pour un nœud géré individuel sont les suivantes :
+ Index
+ ID d’instance
+ Instance name
+ Nom du correctif
+ ID/Patch ID KB
+ État du correctif
+ Heure du dernier rapport
+ Niveau de conformité
+ Sévérité du correctif
+ Classification des correctifs
+ ID CVE
+ Référentiel de correctifs
+ URL des journaux
+ Adresse IP d'instance
+ Nom de la plateforme
+ Version de la plateforme
+ Version de l’SSM Agent
**Note**
Lorsque vous créez un référentiel de correctifs personnalisé, vous pouvez spécifier un niveau de sévérité de conformité pour les correctifs approuvés par ce référentiel de correctifs, tel que `Critical` ou `High`. Si l'état des correctifs d'un correctif approuvé est indiqué `Missing`, le niveau de sévérité de conformité global indiqué pour le référentiel de correctifs est le niveau de sévérité que vous avez spécifié.
### Format de rapport pour tous les nœuds gérés
Un rapport généré pour tous les nœuds gérés ne fournit que des informations sommaires.
[Télécharger un exemple de rapport (pour tous les nœuds gérés)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-all-instances-patch-compliance-report.zip)
Les informations sommaires fournies pour tous les nœuds gérés sont les suivantes :
+ Index
+ ID d’instance
+ Instance name
+ Adresse IP d'instance
+ Nom de la plateforme
+ Version de la plateforme
+ Version de l’SSM Agent
+ Référentiel de correctifs
+ Groupe de correctifs
+ Statut de conformité
+ Sévérité de conformité
+ Nombre de correctifs de sévérité critique non conformes
+ Nombre de correctifs de sévérité élevée non conformes
+ Nombre de correctifs de sévérité moyenne non conformes
+ Nombre de correctifs de sévérité faible non conformes
+ Nombre de correctifs de sévérité informationnelle non conformes
+ Nombre de correctifs de sévérité non spécifiée non conformes
## Génération de rapports de conformité des correctifs pour un nœud géré individuel
Procédez comme suit pour générer un rapport sommaire sur les correctifs relatifs à un nœud géré individuel dans votre Compte AWS. Le rapport relatif à un seul nœud géré fournit des informations détaillées sur chaque correctif non conforme, notamment les noms des correctifs et IDs.
**Pour générer des rapports de conformité des correctifs pour un nœud géré individuel**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Patch Manager**.
1. Sélectionnez l'onglet **Compliance reporting (Rapports de conformité)**.
1. Cliquez sur le bouton correspondant à la ligne du nœud géré pour lequel vous souhaitez générer un rapport, puis sélectionnez **View detail (Afficher les détails)**.
1. Dans la section **Patch summary (Récapitulatif des correctifs)**, sélectionnez **Export to S3 (Exporter vers S3)**.
1. Pour **Nom du rapport**, saisissez un nom qui vous aidera à identifier le rapport ultérieurement.
1. Pour **Fréquence de génération de rapports**, sélectionnez l'une des options suivantes :
+ **À la demande** : pour créer un rapport unique. Passez à l'étape 9.
+ **Planifiée** : spécifie une planification récurrente pour la génération automatique de rapports. Passez à l'étape 8.
1. Pour **Type de programme**, spécifiez une expression rate, par exemple tous les 3 jours, ou fournissez une expression cron pour définir la fréquence du rapport.
Pour plus d'informations sur les expressions cron, consultez [Référence : Expressions Cron et Rate pour Systems Manager](reference-cron-and-rate-expressions.md).
1. Pour **Nom du compartiment**, sélectionnez le nom du compartiment S3 dans lequel vous voulez stocker les fichiers de rapport .csv.
**Important**
Si vous travaillez dans un Région AWS compartiment lancé après le 20 mars 2019, vous devez sélectionner un compartiment S3 dans cette même région. Les régions lancées après cette date ont été désactivées par défaut. Pour plus d'informations et une liste de ces régions, veuillez consulter la rubrique [Activation d'une région](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) dans la *Référence générale d'Amazon Web Services*.
1. (Facultatif) Pour envoyer des notifications lorsque le rapport est généré, développez la section **SNS topic (Rubrique SNS)**, puis sélectionnez une rubrique Amazon SNS existante dans **SNS topic Amazon Resource Name (ARN) (Amazon Resource Name (ARN) de rubrique SNS)**.
1. Sélectionnez **Submit (Envoyer)**.
Pour obtenir des informations sur l'affichage d'un historique des rapports générés, veuillez consulter [Affichage de l'historique de génération de rapports de conformité des correctifs](#patch-compliance-reporting-history).
Pour obtenir des informations sur l'affichage des détails relatifs aux calendriers de génération de rapports que vous avez créés, veuillez consulter [Affichage des calendriers de rapports de conformité des correctifs](#patch-compliance-reporting-schedules).
## Génération de rapports de conformité des correctifs pour tous les nœuds gérés
Procédez comme suit pour générer un rapport sommaire sur les correctifs relatifs à tous les nœuds gérés de votre Compte AWS. Le rapport portant sur tous les nœuds gérés désigne les nœuds qui ne sont pas conformes et le nombre de correctifs non conformes. Il ne fournit pas les noms ou autres identifiants des correctifs. Pour plus de détails, vous pouvez générer un rapport de conformité des correctifs portant sur un nœud géré individuel. Pour plus d'informations, consultez [Génération de rapports de conformité des correctifs pour un nœud géré individuel](#patch-compliance-reports-to-s3-one-instance) plus haut dans cette rubrique.
**Pour générer des rapports de conformité des correctifs pour tous les nœuds gérés**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Patch Manager**.
1. Sélectionnez l'onglet **Compliance reporting (Rapports de conformité)**.
1. Sélectionnez **Exporter vers S3**. (Évitez de sélectionner un ID de nœud en premier).
1. Pour **Nom du rapport**, saisissez un nom qui vous aidera à identifier le rapport ultérieurement.
1. Pour **Fréquence de génération de rapports**, sélectionnez l'une des options suivantes :
+ **À la demande** : pour créer un rapport unique. Passez à l'étape 8.
+ **Planifiée** : spécifie une planification récurrente pour la génération automatique de rapports. Passez à l'étape 7.
1. Pour **Type de programme**, spécifiez une expression rate, par exemple tous les 3 jours, ou fournissez une expression cron pour définir la fréquence du rapport.
Pour plus d'informations sur les expressions cron, consultez [Référence : Expressions Cron et Rate pour Systems Manager](reference-cron-and-rate-expressions.md).
1. Pour **Nom du compartiment**, sélectionnez le nom du compartiment S3 dans lequel vous voulez stocker les fichiers de rapport .csv.
**Important**
Si vous travaillez dans un Région AWS compartiment lancé après le 20 mars 2019, vous devez sélectionner un compartiment S3 dans cette même région. Les régions lancées après cette date ont été désactivées par défaut. Pour plus d'informations et une liste de ces régions, veuillez consulter la rubrique [Activation d'une région](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) dans la *Référence générale d'Amazon Web Services*.
1. (Facultatif) Pour envoyer des notifications lorsque le rapport est généré, développez la section **SNS topic (Rubrique SNS)**, puis sélectionnez une rubrique Amazon SNS existante dans **SNS topic Amazon Resource Name (ARN) (Amazon Resource Name (ARN) de rubrique SNS)**.
1. Sélectionnez **Submit (Envoyer)**.
Pour obtenir des informations sur l'affichage d'un historique des rapports générés, veuillez consulter [Affichage de l'historique de génération de rapports de conformité des correctifs](#patch-compliance-reporting-history).
Pour obtenir des informations sur l'affichage des détails relatifs aux calendriers de génération de rapports que vous avez créés, veuillez consulter [Affichage des calendriers de rapports de conformité des correctifs](#patch-compliance-reporting-schedules).
## Affichage de l'historique de génération de rapports de conformité des correctifs
Utilisez les informations de cette rubrique pour vous aider à consulter les détails des rapports de conformité des correctifs générés dans votre Compte AWS.
**Pour afficher l'historique de génération de rapports de conformité des correctifs**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Patch Manager**.
1. Sélectionnez l'onglet **Compliance reporting (Rapports de conformité)**.
1. Sélectionnez **Afficher toutes les exportations vers S3**, puis sélectionnez l'onglet **Historique des exportations**.
## Affichage des calendriers de rapports de conformité des correctifs
Utilisez les informations de cette rubrique pour vous aider à consulter les détails des calendriers de rapports de conformité des correctifs créés dans votre Compte AWS.
**Pour afficher l'historique de génération de rapports de conformité des correctifs**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Patch Manager**.
1. Sélectionnez l'onglet **Compliance reporting (Rapports de conformité)**.
1. Sélectionnez **View all S3 exports (Afficher toutes les exportations S3)**, puis l'onglet **Report schedule rules (Règles de planification de rapport)**.
## Résolution des problèmes liés à la génération de rapports de conformité des correctifs
Utilisez les informations suivantes pour résoudre les problèmes liés à la génération de rapports de conformité des correctifs dans Patch Manager, un outil d’ AWS Systems Manager.
**Topics**
+ [Un message signale que la politique `AWS-SystemsManager-PatchManagerExportRolePolicy` est corrompue](#patch-compliance-reports-troubleshooting-1)
+ [La suppression des politiques ou des rôles de conformité des correctifs empêche la génération correcte des rapports planifiés.](#patch-compliance-reports-troubleshooting-2)
### Un message signale que la politique `AWS-SystemsManager-PatchManagerExportRolePolicy` est corrompue
**Problème** : vous recevez un message d'erreur semblable au suivant, indiquant que la valeur `AWS-SystemsManager-PatchManagerExportRolePolicy` est corrompue :
```
An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any
role that uses it, then try again. Systems Manager recreates the roles and policies
you have deleted.
```
+ **Solution** : utilisez la Patch Manager console ou supprimez AWS CLI les rôles et politiques concernés avant de générer un nouveau rapport de conformité des correctifs.
**Pour supprimer la politique corrompue à l'aide de la console**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Effectuez l’une des actions suivantes :
**Rapports à la demande** : si le problème s'est produit lors de la génération d'un rapport à la demande ponctuel, dans le panneau de navigation de gauche, sélectionnez **Politiques**, recherchez `AWS-SystemsManager-PatchManagerExportRolePolicy`, puis supprimez la politique. Ensuite, sélectionnez **Rôles**, recherchez `AWS-SystemsManager-PatchSummaryExportRole`, puis supprimez le rôle.
**Rapports planifiés** : si le problème s'est produit lors de la génération d'un rapport planifié, dans le panneau de navigation de gauche, sélectionnez **Politiques**, recherchez `AWS-EventBridge-Start-SSMAutomationRolePolicy` et `AWS-SystemsManager-PatchManagerExportRolePolicy` une par une, et supprimez chaque politique. Ensuite, sélectionnez **Rôles**, recherchez `AWS-EventBridge-Start-SSMAutomationRole` et `AWS-SystemsManager-PatchSummaryExportRole` un par un, et supprimez chaque rôle.
**Pour supprimer la politique corrompue à l'aide du AWS CLI**
Remplacez le *placeholder values* par votre identifiant de compte.
+ Si le problème s'est produit lors de la génération d'un rapport unique à la demande, exécutez les commandes suivantes :
```
aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
```
```
aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
```
Si le problème s'est produit lors de la génération d'un rapport selon une planification, exécutez les commandes suivantes :
```
aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
```
```
aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
```
```
aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
```
```
aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
```
Après avoir effectué l'une des deux procédures, suivez les étapes pour générer ou planifier un nouveau rapport de conformité des correctifs.
### La suppression des politiques ou des rôles de conformité des correctifs empêche la génération correcte des rapports planifiés.
**Problème** : la première fois que vous générez un rapport, Systems Manager crée un rôle de service et une politique à utiliser pour le processus d'exportation (`AWS-SystemsManager-PatchSummaryExportRole` et `AWS-SystemsManager-PatchManagerExportRolePolicy`). La première fois que vous générez un rapport planifié, Systems Manager crée un autre rôle de service et une autre politique (`AWS-EventBridge-Start-SSMAutomationRole` et `AWS-EventBridge-Start-SSMAutomationRolePolicy`). Ils permettent EventBridge à Amazon de démarrer une automatisation à l'aide du runbook [AWS- ExportPatchReportTo S3](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).
Si vous supprimez l'une de ces politiques ou l'un de ces rôles, les connexions entre votre calendrier et votre compartiment S3 spécifié et la rubrique Amazon SNS peuvent être perdues.
+ **Solution** : pour contourner ce problème, nous vous recommandons de supprimer le calendrier précédent et de créer un calendrier pour remplacer celui qui présentait des problèmes.
# Correction des nœuds gérés non conformes avec Patch Manager
Les rubriques de cette section expliquent comment identifier les nœuds gérés qui ne sont pas conformes en matière de correctifs, et comment les mettre en conformité.
**Topics**
+ [Identification des nœuds gérés non conformes](patch-manager-find-noncompliant-nodes.md)
+ [Valeurs de l’état de conformité des correctifs](patch-manager-compliance-states.md)
+ [Application de correctifs sur des nœuds gérés non conformes](patch-manager-compliance-remediation.md)
# Identification des nœuds gérés non conformes
Out-of-compliance les nœuds gérés sont identifiés lorsque l'un des deux AWS Systems Manager documents (documents SSM) est exécuté. Ces documents SSM font référence au référentiel de correctifs correspondant à chaque nœud géré dans l’outil Patch Manager d’ AWS Systems Manager. Ils évaluent ensuite l'état des correctifs du nœud géré, puis mettent les résultats de conformité à votre disposition.
Deux documents SSM sont utilisés pour identifier ou mettre à jour les nœuds gérés non conformes : `AWS-RunPatchBaseline` et `AWS-RunPatchBaselineAssociation`. Chacun d'entre eux est utilisé par différents processus, et leurs résultats de conformité sont disponibles via différents canaux. Le tableau suivant décrit les différences entre ces documents.
**Note**
Les données de conformité des correctifs Patch Manager peuvent être envoyées à AWS Security Hub CSPM. Security Hub CSPM vous donne une vue complète de vos alertes de sécurité prioritaires et de l'état de conformité. Il surveille également le statut d'application des correctifs de votre flotte. Pour de plus amples informations, veuillez consulter [Intégration Patch Manager avec AWS Security Hub CSPM](patch-manager-security-hub-integration.md).
| | `AWS-RunPatchBaseline` | `AWS-RunPatchBaselineAssociation` |
| --- | --- | --- |
| Processus qui utilisent le document | **Correctifs à la demande** : vous pouvez analyser les nœuds gérés ou y appliquer des correctifs à la demande à l'aide de l'option **Patch now (Appliquer les correctifs maintenant)**. Pour plus d'informations, consultez [Application de correctifs sur les nœuds gérés à la demande](patch-manager-patch-now-on-demand.md). **Politiques de correctif Quick Setup de Systems Manager** : vous pouvez créer une configuration d’application de correctifs dans Quick Setup, un outil d’ AWS Systems Manager, capable de rechercher ou d’installer les correctifs manquants selon des planifications distinctes pour l’ensemble d’une organisation, un sous-ensemble d’unités organisationnelles ou un seul Compte AWS. Pour plus d'informations, consultez [Configurer les applications de correctifs pour les instances d’une organisation à l’aide d’une politique de correctif Quick Setup](quick-setup-patch-manager.md). **Exécution d’une commande** : vous pouvez exécuter `AWS-RunPatchBaseline` manuellement dans une opération dans Run Command, un outil d’ AWS Systems Manager. Pour plus d'informations, consultez [Exécution des commande à partir de la console](running-commands-console.md). **Fenêtre de maintenance** : vous pouvez créer une fenêtre de maintenance qui utilise le document SSM `AWS-RunPatchBaseline` dans un type de tâche Run Command. Pour plus d'informations, consultez [Tutoriel : créer une fenêtre de maintenance pour l’application de correctifs à l’aide de la console](maintenance-window-tutorial-patching.md). | **Gestion des hôtes Quick Setup de Systems Manager** : vous pouvez activer une option de configuration de gestion des hôtes dans Quick Setup de sorte à analyser quotidiennement la conformité aux correctifs de vos instances gérées. Pour plus d'informations, consultez [Configurer la gestion des hôtes Amazon EC2 à l’aide d’Quick Setup](quick-setup-host-management.md). **Systems Manager [Explorer](Explorer.md)**: lorsque vous l'autorisezExplorer, un outil analyse régulièrement vos instances gérées pour vérifier la conformité des correctifs et affiche les résultats dans le Explorer tableau de bord. AWS Systems Manager |
| Format des données de résultat de l'analyse des correctifs | Une fois que `AWS-RunPatchBaseline` s’exécute, Patch Manager envoie un objet `AWS:PatchSummary` à Inventory, un outil d’ AWS Systems Manager. Ce rapport est généré uniquement par des opérations de correction réussies et inclut une heure de capture identifiant le moment où le statut de conformité a été calculé. | Une fois que `AWS-RunPatchBaselineAssociation` s'exécute, Patch Manager envoie un objet `AWS:ComplianceItem` à Systems Manager Inventory. |
| Affichage des rapports de conformité actuelle dans la console | Vous pouvez afficher des informations de conformité des correctifs pour les processus qui utilisent `AWS-RunPatchBaseline` dans [Conformité de la configuration Systems Manager](systems-manager-compliance.md) et [Utilisation des nœuds gérés](fleet-manager-managed-nodes.md). Pour de plus amples informations, veuillez consulter [Affichage des résultats de la conformité des correctifs](patch-manager-view-compliance-results.md). | Si vous utilisez Quick Setup pour analyser vos instances gérées pour la conformité des correctifs, vous pouvez voir le rapport de conformité dans [Systems Manager Fleet Manager](fleet-manager.md). Dans la console Fleet Manager, sélectionnez l’ID de nœud de votre nœud géré. Dans le menu **Général**, sélectionnez **Conformité de la configuration**. Si vous utilisez Explorer pour analyser vos instances gérées pour la conformité des correctifs, vous pouvez voir le rapport de conformité dans Explorer et [Systems Manager OpsCenter](OpsCenter.md). |
| AWS CLI commandes pour afficher les résultats de conformité des correctifs | Pour les processus qui l'utilisent`AWS-RunPatchBaseline`, vous pouvez utiliser les AWS CLI commandes suivantes pour afficher des informations récapitulatives sur les correctifs sur un nœud géré. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html) | Pour les processus qui l'utilisent`AWS-RunPatchBaselineAssociation`, vous pouvez utiliser la AWS CLI commande suivante pour afficher des informations récapitulatives sur les correctifs d'une instance. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html) |
| Opérations d'application de correctifs | Pour les processus qui utilisent `AWS-RunPatchBaseline`, vous spécifiez si l'opération doit exécuter une opération `Scan` uniquement ou une opération `Scan and install`. Si votre objectif est d'identifier les nœuds gérés non conformes, et non de les corriger, contentez-vous d'exécuter une opération `Scan`. | Les processus Quick Setup et Explorer, qui utilisent AWS-RunPatchBaselineAssociation, exécutent uniquement une opération Scan. |
| Plus d’informations | [Document de commande SSM pour l’application de correctifs : `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md) | [Document de commande SSM pour l’application de correctifs : `AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md) |
Pour obtenir des informations sur les différents états de conformité des correctifs qui peuvent être signalés, veuillez consulter [Valeurs de l’état de conformité des correctifs](patch-manager-compliance-states.md)
Pour obtenir des informations sur la résolution des problèmes de non-conformité des nœuds gérés, consultez [Application de correctifs sur des nœuds gérés non conformes](patch-manager-compliance-remediation.md).
# Valeurs de l’état de conformité des correctifs
Les informations relatives aux correctifs d'un nœud géré incluent un rapport sur l'état ou le statut de chaque correctif.
**Astuce**
Si vous souhaitez attribuer un état de conformité des correctifs spécifique à un nœud géré, vous pouvez utiliser la commande [https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html) AWS Command Line Interface (AWS CLI) ou l'opération [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html)API. L'attribution d'un état de conformité n'est pas prise en charge dans la console.
Utilisez les informations figurant dans les tableaux suivants pour identifier les raisons pour lesquelles une nœud géré peut ne pas être conforme en matière de correctifs.
## Valeurs de conformité des correctifs pour Debian Server et Ubuntu Server
Pour Debian Server et Ubuntu Server, les règles de classification des packages dans les différents états de conformité sont décrites dans le tableau suivant.
**Note**
Gardez les points suivants à l’esprit lorsque vous évaluez les valeurs de statut `INSTALLED`, `INSTALLED_OTHER`, et `MISSING` : si vous ne cochez pas la case **Inclusion de mises à jour non liées à la sécurité** lors de la création ou de la mise à jour d’un référentiel de correctifs, les versions des correctifs candidats sont limitées aux correctifs des référentiels suivants : .
Ubuntu Server 16.04 LTS : `xenial-security`
Ubuntu Server 18.04 LTS : `bionic-security`
Ubuntu Server 20.04 LTS : `focal-security`
Ubuntu Server 22.04 LTS (`jammy-security`)
Ubuntu Server24,04 LTS () `noble-security`
Ubuntu Server 25.04 (`plucky-security`)
`debian-security` (Debian Server)
Si vous cochez la case **Inclure les mises à jour non liées à la sécurité**, les correctifs provenant d'autres référentiels sont également pris en compte.
| État du correctif | Description | Statut de conformité |
| --- | --- | --- |
| **`INSTALLED`** | Le correctif est répertorié dans le référentiel de correctifs et est installé sur le nœud géré. Il a pu être installé manuellement par une personne ou automatiquement par Patch Manager lors de l'exécution du document `AWS-RunPatchBaseline` sur le nœud géré. | Conforme |
| **`INSTALLED_OTHER`** | Le correctif n'est pas inclus dans le référentiel ou n'est pas approuvé par le référentiel, mais il est installé sur le nœud géré. Le correctif a peut-être été installé manuellement, le package peut être une dépendance obligatoire d'un autre correctif approuvé ou le correctif peut avoir été inclus dans une InstallOverrideList opération. Si vous ne spécifiez pas `Block` comme l'action **Correctifs rejetés**, `INSTALLED_OTHER`inclut également les correctifs installés mais rejetés. | Conforme |
| **`INSTALLED_PENDING_REBOOT`** | `INSTALLED_PENDING_REBOOT` peut signifier une des deux choses suivantes : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/patch-manager-compliance-states.html) Dans les deux cas, cela ne signifie pas qu’un correctif ayant ce statut *nécessite* un redémarrage, mais seulement que le nœud n’a pas été redémarré depuis l’installation du correctif. | Non-Compliant (Non conforme) |
| **`INSTALLED_REJECTED`** | Le correctif est installé sur le nœud géré, mais il figure dans une liste **Rejected patches (Correctifs rejetés)**. Cela signifie généralement que le correctif a été installé avant d'être ajouté à la liste des correctifs rejetés. | Non-Compliant (Non conforme) |
| **`MISSING`** | Le correctif est approuvé dans le référentiel, mais il n'est pas installé sur le nœud géré. Si vous configurez la tâche de document `AWS-RunPatchBaseline` pour l'analyse (au lieu de l'installation), le système signale ce statut pour les correctifs qui ont été détectés lors de l'analyse, mais qui n'ont pas été installés. | Non-Compliant (Non conforme) |
| **`FAILED`** | Le correctif est approuvé dans la référence, mais il n'a pas pu être installé. Pour résoudre ce problème, passez en revue la sortie de commande afin d'accéder à des informations supplémentaires susceptibles de vous aider à comprendre ce qui se passe. | Non-Compliant (Non conforme) |
## Valeurs de conformité des correctifs pour les autres systèmes d'exploitation
Pour tous les systèmes d'exploitation autres que Debian Server et Ubuntu Server, les règles de classification des packages dans les différents états de conformité sont décrites dans le tableau suivant.
| État du correctif | Description | Valeur de conformité |
| --- | --- | --- |
| **`INSTALLED`** | Le correctif est répertorié dans le référentiel de correctifs et est installé sur le nœud géré. Il a pu être installé manuellement par une personne ou automatiquement par Patch Manager lors de l'exécution du document `AWS-RunPatchBaseline` sur le nœud. | Conforme |
| **`INSTALLED_OTHER`**¹ | Le correctif ne figure pas dans le référentiel, mais il est installé sur le nœud géré. Il y a deux raisons possibles à cela : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/patch-manager-compliance-states.html) | Conforme |
| **`INSTALLED_REJECTED`** | Le correctif est installé sur le nœud géré, mais il figure dans une liste Rejected patches (Correctifs rejetés). Cela signifie généralement que le correctif a été installé avant d'être ajouté à la liste des correctifs rejetés. | Non-Compliant (Non conforme) |
| **`INSTALLED_PENDING_REBOOT`** | `INSTALLED_PENDING_REBOOT` peut signifier une des deux choses suivantes : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/patch-manager-compliance-states.html) Dans les deux cas, cela ne signifie pas qu’un correctif ayant ce statut *nécessite* un redémarrage, mais seulement que le nœud n’a pas été redémarré depuis l’installation du correctif. | Non-Compliant (Non conforme) |
| **`MISSING`** | Le correctif est approuvé dans le référentiel, mais il n'est pas installé sur le nœud géré. Si vous configurez la tâche de document `AWS-RunPatchBaseline` pour l'analyse (au lieu de l'installation), le système signale ce statut pour les correctifs qui ont été détectés lors de l'analyse, mais qui n'ont pas été installés. | Non-Compliant (Non conforme) |
| **`FAILED`** | Le correctif est approuvé dans la référence, mais il n'a pas pu être installé. Pour résoudre ce problème, passez en revue la sortie de commande afin d'accéder à des informations supplémentaires susceptibles de vous aider à comprendre ce qui se passe. | Non-Compliant (Non conforme) |
| **`NOT_APPLICABLE`**¹ | *Ce statut de conformité est uniquement signalé sur les systèmes d’exploitation Windows Server.* Le correctif est approuvé dans le référentiel, mais le service ou la fonction qui l'utilise n'est pas installé sur le nœud géré. Par exemple, un correctif relatif à un service de serveur web tel qu'Internet Information Services (IIS) indique `NOT_APPLICABLE` s'il a été approuvé dans le référentiel, alors que le service web n'est pas installé sur le nœud géré. Un patch peut également être marqué `NOT_APPLICABLE` s'il a été remplacé par une mise à jour ultérieure. Cela signifie que la mise à jour ultérieure est installée et que la `NOT_APPLICABLE` mise à jour n'est plus requise. | Non applicable |
| AVAILABLE\$1SECURITY\$1UPDATES | *Ce statut de conformité est uniquement signalé sur les systèmes d’exploitation Windows Server.* Un correctif de mise à jour de sécurité disponible qui n’est pas approuvé par le référentiel de correctifs peut avoir une valeur de conformité de `Compliant` ou `Non-Compliant`, comme défini dans un référentiel de correctifs personnalisé. Lorsque vous créez ou mettez à jour un référentiel de correctifs, vous choisissez le statut que vous souhaitez attribuer aux correctifs de sécurité disponibles mais non approuvés car ils ne répondent pas aux critères d’installation spécifiés dans le référentiel de correctifs. Par exemple, les correctifs de sécurité que vous souhaitez installer peuvent être ignorés si vous avez spécifié une longue période d’attente après la publication d’un correctif avant l’installation. Si une mise à jour du correctif est publiée pendant la période d’attente que vous avez spécifiée, la période d’attente pour l’installation du correctif recommence. Si le délai d’attente est trop long, plusieurs versions du correctif peuvent être publiées mais ne jamais être installées. Pour le décompte récapitulatif des correctifs, lorsqu’un correctif est signalé comme `AvailableSecurityUpdate`, il est toujours inclus dans `AvailableSecurityUpdateCount`. Si le référentiel est configuré pour signaler ces correctifs comme `NonCompliant`, il est également inclus dans `SecurityNonCompliantCount`. Si le référentiel est configuré pour signaler ces correctifs comme `Compliant`, il n’est pas inclus dans `SecurityNonCompliantCount`. Ces correctifs sont toujours signalés avec une gravité non spécifiée et ne sont jamais inclus dans `CriticalNonCompliantCount`. | Conforme ou Non conforme, selon l’option sélectionnée pour les mises à jour de sécurité disponibles. En utilisant la console pour créer ou mettre à jour un référentiel de correctifs, vous spécifiez cette option dans le champ **Statut de conformité des mises à jour de sécurité disponibles**. AWS CLI À l'aide de la [https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html)commande pour exécuter [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html)ou, vous spécifiez cette option dans le `available-security-updates-compliance-status` paramètre. |
¹ Pour les correctifs avec l’état `INSTALLED_OTHER` et `NOT_APPLICABLE`, Patch Manager omet certaines données dans les résultats des requêtes basées sur la commande [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html), comme les valeurs pour `Classification` et `Severity`. Cela permet d’éviter de dépasser la limite de données pour les nœuds individuels dans l’iventaire, un outil d’ AWS Systems Manager. Pour voir tous les détails des correctifs, vous pouvez utiliser la commande [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html).
# Application de correctifs sur des nœuds gérés non conformes
La plupart des AWS Systems Manager outils et processus que vous pouvez utiliser pour vérifier la conformité des nœuds gérés peuvent être utilisés pour mettre les nœuds en conformité avec les règles de correctifs qui leur sont actuellement applicables. Pour que les nœuds gérés soient conformes aux correctifsPatch Manager, un outil doit exécuter une `Scan and install` opération. AWS Systems Manager(Si votre objectif est uniquement d'identifier les nœuds gérés non conformes, et non de les corriger, contentez-vous d'exécuter une opération `Scan`. Pour plus d'informations, veuillez consulter la rubrique [Identification des nœuds gérés non conformes](patch-manager-find-noncompliant-nodes.md).)
**Installer des correctifs en utilisant Systems Manager**
Vous pouvez choisir parmi plusieurs outils pour exécuter une opération `Scan and install`.
+ (Recommandé) Configurez une politique de correctifs dans Quick Setup, un outil de Systems Manager qui vous permet d’installer les correctifs manquants selon une planification pour l’ensemble d’une organisation, un sous-ensemble d’unités organisationnelles ou un seul Compte AWS. Pour de plus amples informations, veuillez consulter [Configurer les applications de correctifs pour les instances d’une organisation à l’aide d’une politique de correctif Quick Setup](quick-setup-patch-manager.md).
+ Créez une fenêtre de maintenance qui utilise le document Systems Manager (document SSM) `AWS-RunPatchBaseline` dans un type de tâche Run Command. Pour plus d'informations, consultez [Tutoriel : créer une fenêtre de maintenance pour l’application de correctifs à l’aide de la console](maintenance-window-tutorial-patching.md).
+ Exécutez `AWS-RunPatchBaseline` manuellement dans une opération Run Command. Pour plus d'informations, consultez [Exécution des commande à partir de la console](running-commands-console.md).
+ Installez des correctifs à la demande en utilisant l'option **Corriger maintenant**. Pour plus d'informations, consultez [Application de correctifs sur les nœuds gérés à la demande](patch-manager-patch-now-on-demand.md).
# Identification de l'exécution qui a créé les données de conformité des correctifs
Les données de conformité des correctifs représentent un point-in-time instantané de la dernière opération de correction réussie. Chaque rapport de conformité inclut à la fois un identifiant d'exécution et une heure de capture qui vous aident à identifier l'opération qui a créé les données de conformité et à quel moment elles ont été générées.
Si vous avez mis en place plusieurs types d'opérations pour analyser la conformité de vos instances aux correctifs, chaque analyse remplace les données de conformité aux correctifs des analyses précédentes. Par conséquent, vous pourriez obtenir des résultats inattendus en ce qui concerne vos données de conformité aux correctifs.
Supposons, par exemple, que vous créiez une politique de correctifs qui analyse la conformité aux correctifs chaque jour à 2 h 00, heure locale. Cette politique de correctifs utilise un référentiel de correctifs qui cible les correctifs dont la sévérité est définie sur `Critical`, `Important` et `Moderate`. Ce référentiel de correctifs indique également quelques correctifs spécifiquement rejetés.
Supposons également qu'une fenêtre de maintenance ait déjà été configurée pour analyser le même ensemble de nœuds gérés chaque jour à 4 h 00, heure locale, que vous ne supprimez ni ne désactivez. La tâche de cette fenêtre de maintenance utilise un référentiel de correctifs différent, qui cible uniquement les correctifs dont la sévérité est `Critical` et n'exclut aucun correctif spécifique.
Lorsque cette seconde analyse est effectuée par la fenêtre de maintenance, les données de conformité aux correctifs de la première analyse sont supprimées et remplacées par les données de conformité aux correctifs issues de la seconde analyse.
Par conséquent, nous vous recommandons vivement de n'utiliser qu'une seule méthode automatisée pour analyser et installer vos opérations d'application de correctifs. Si vous configurez des politiques de correctif, vous devez supprimer ou désactiver les autres méthodes d'analyse de la conformité aux correctifs. Pour plus d'informations, consultez les rubriques suivantes :
+ Pour supprimer une tâche d'application de correctifs d'une fenêtre de maintenance : [Mise à jour ou désenregistrement de tâches de fenêtre de maintenance à l’aide de la console](sysman-maintenance-update.md#sysman-maintenance-update-tasks)
+ Pour supprimer une association State Manager : [Suppression d'associations](systems-manager-state-manager-delete-association.md).
Pour désactiver les analyses quotidiennes de conformité aux correctifs dans une configuration de gestion des hôtes, procédez comme suit dans Quick Setup :
1. Dans le panneau de navigation, sélectionnez **Quick Setup**.
1. Sélectionnez la configuration de gestion des hôtes à mettre à jour.
1. Choisissez **Actions, Edit configuration** (Actions, Modifier la configuration).
1. Décochez la case **Scan instances for missing patches daily** (Analyser quotidiennement les instances pour les correctifs manquants).
1. Choisissez **Mettre à jour**.
**Note**
L'utilisation de l'option **Patch now** (Appliquer les correctifs maintenant) pour analyser la conformité d'un nœud géré entraîne également le remplacement des données de conformité aux correctifs.
# Application de correctifs sur les nœuds gérés à la demande
L’utilisation de l’option **Corriger maintenant** dans Patch Manager, un outil d’ AWS Systems Manager, vous permet d’exécuter des opérations d’application de correctifs à la demande depuis la console Systems Manager. Cela signifie que vous n'avez pas à créer de calendrier pour mettre à jour le statut de conformité de vos nœuds gérés ou pour installer des correctifs sur les nœuds non conformes. Vous n'avez pas non plus besoin de basculer la console Systems Manager entre Patch Manager etMaintenance Windows, un outil AWS Systems Manager, pour configurer ou modifier une fenêtre d'application de correctifs planifiée.
L'option **Patch now (Appliquer les correctifs maintenant)** est particulièrement utile lorsque vous devez appliquer des mises à jour « zéro jour » ou installer d'autres correctifs critiques sur vos nœuds gérés dans les plus brefs délais.
**Note**
L'application de correctifs à la demande est prise en charge pour une seule Compte AWSRégion AWS paire à la fois. Elle ne peut pas être utilisée avec des opérations d'application de correctifs basées sur des *politiques de correctif*. Nous vous recommandons d'utiliser des politiques de correctif pour garantir la conformité de tous vos nœuds gérés. Pour plus d'informations sur l'utilisation des politiques de correctifs, consultez la rubrique [Configurations de la politique de correctifs dans Quick Setup](patch-manager-policies.md).
**Topics**
+ [Fonctionnement de l'option « Corriger maintenant »](#patch-on-demand-how-it-works)
+ [Exécution de l'option « Corriger maintenant »](#run-patch-now)
## Fonctionnement de l'option « Corriger maintenant »
Pour exécuter l'option **Corriger maintenant**, vous devez spécifier deux paramètres obligatoires seulement :
+ La simple recherche des correctifs manquants, ou l'analyse *et* l'installation des correctifs sur vos nœuds gérés
+ Les nœuds gérés sur lesquels exécuter l'opération
Lorsque l'opération **Patch now (Appliquer les correctifs maintenant)** s'exécute, elle détermine le référentiel de correctifs à utiliser, comme pour les autres opérations d'application de correctifs. Si un nœud géré est associé à un groupe de correctifs, le référentiel de correctifs spécifié pour ce groupe est utilisé. Si le nœud géré n'est associé à aucun groupe de correctifs, l'opération utilise le référentiel de correctifs défini par défaut pour le type de système d'exploitation du nœud géré. Il peut s'agir d'un référentiel prédéfini ou du référentiel personnalisé que vous avez défini par défaut. Pour plus d'informations sur la sélection du référentiel de correctifs, consultez [Groupes de correctifs](patch-manager-patch-groups.md).
Parmi les options que vous pouvez spécifier pour l'opération **Patch now (Appliquer les correctifs maintenant)** figurent le choix du moment, ou de l'opportunité, de redémarrer les nœuds gérés après l'application de correctifs, la spécification d'un compartiment Amazon Simple Storage Service (Amazon S3) pour stocker les données de journal de l'opération d'application de correctifs, et l'exécution de documents Systems Manager (documents SSM) en tant que hooks de cycle de vie pendant l'application des correctifs.
### Seuils de simultanéité et d'erreur pour l'option « Corriger maintenant »
Pour les opérations **Corriger maintenant**, les options de simultanéité et de seuil d'erreur sont gérées par Patch Manager. Il n'est pas nécessaire de spécifier le nombre de nœuds gérés à corriger simultanément, ni le nombre d'erreurs autorisées avant que l'opération échoue. Patch Manager applique les paramètres de simultanéité et de seuil d'erreur décrits dans les tableaux suivants lorsque vous appliquez des correctifs à la demande.
**Important**
Les seuils suivants s'appliquent aux opérations `Scan and install` uniquement. Pour les opérations `Scan`, Patch Manager tente d'analyser jusqu'à 1 000 nœuds simultanément et de poursuivre l'analyse jusqu'à ce qu'il ait rencontré jusqu'à 1 000 erreurs.
**Concurrences : opérations d'installation**
| Nombre total de nœuds gérés associés à l'opération **Patch now (Appliquer les correctifs maintenant)** | Nombre de nœuds gérés analysés ou corrigés simultanément |
| --- | --- |
| Moins de 25 | 1 |
| 25-100 | 5 % |
| 101 à 1 000 | 8 % |
| Plus de 1 000 | 10 % |
**Seuil d'erreur : opérations d'installation**
| Nombre total de nœuds gérés associés à l'opération **Patch now (Appliquer les correctifs maintenant)** | Nombre d'erreurs autorisées avant que l'opération échoue |
| --- | --- |
| Moins de 25 | 1 |
| 25-100 | 5 |
| 101 à 1 000 | 10 |
| Plus de 1 000 | 10 |
### Utilisation des hooks de cycle de vie « Corriger maintenant »
L'opération **Corriger maintenant** vous permet d'exécuter des documents SSM Command en tant que hooks de cycle de vie durant une opération d'application de correctifs `Install`. Vous pouvez utiliser ces hooks pour des tâches telles que l'arrêt des applications avant l'application de correctifs ou l'exécution de surveillances de l'état de vos applications après l'application de correctifs ou après un redémarrage.
Pour plus d'informations sur l'utilisation des hooks de cycle de vie, consultez [Document de commande SSM pour l’application de correctifs : `AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md).
Le tableau suivant répertorie les hooks de cycle de vie disponibles pour chacun des trois options **Corriger maintenant**, ainsi que des exemples d'utilisation pour chaque hook.
**Hooks de cycle de vie et exemples d'utilisation**
| Option de redémarrage | Hook : avant l'installation | Hook : après l'installation | Hook : à la sortie | Hook : après le redémarrage planifié |
| --- | --- | --- | --- | --- |
| Redémarrer si nécessaire | Exécutez un document SSM avant le début de l'application des correctifs. Exemple d'utilisation : arrêtez les applications en toute sécurité avant le début du processus d'application des correctifs. | Exécutez un document SSM à la fin de l'opération d'application des correctifs et avant le redémarrage du nœud géré. Exemple d'utilisation : exécutez des opérations telles que l'installation d'applications tierces avant un redémarrage potentiel. | Exécutez un document SSM une fois l'opération de correctif terminée et les instances redémarrées. Exemple d'utilisation : vérifiez que les applications s'exécutent comme prévu après l'application des correctifs. | Non disponible |
| Ne pas redémarrer mes instances | Idem ci-dessus. | Exécutez un document SSM à la fin de l'opération d'application des correctifs. Exemple d'utilisation : vérifiez que les applications s'exécutent comme prévu après l'application des correctifs. | *Non disponible* | *Non disponible* |
| Planifier une heure de redémarrage | Idem ci-dessus. | Identique à Ne pas redémarrer mes instances. | Non disponible | Exécutez un document SSM immédiatement après la fin d'un redémarrage planifié. Exemple d'utilisation : vérifiez que les applications s'exécutent comme prévu après le redémarrage. |
## Exécution de l'option « Corriger maintenant »
Procédez comme suit pour appliquer des correctifs à la demande à vos nœuds gérés.
**Pour exécuter l'option « Corriger maintenant »**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Patch Manager**.
1. Sélectionnez **Corriger maintenant**.
1. Pour **Opération d'application des correctifs**, sélectionnez l'une des options suivantes :
+ **Scan (Analyser)** : Patch Manager recherche les correctifs manquants sur vos nœuds gérés, mais ne les installe pas. Vous pouvez afficher les résultats dans le tableau de bord **Compliance** ou dans les autres outils que vous utilisez pour afficher la conformité des correctifs.
+ **Scan and install (Analyser et installer)** : Patch Manager recherche les correctifs manquants sur vos nœuds gérés et les installe.
1. Effectuez cette étape uniquement si vous avez choisi **Analyser et installer** à l'étape précédente. Pour **Reboot option (Option de redémarrage)**, sélectionnez l'une des options suivantes :
+ **Reboot if needed (Redémarrer si nécessaire)** : après l'installation, Patch Manager ne redémarre les nœuds gérés que si cela est nécessaire pour finaliser l'installation des correctifs.
+ **Don't reboot my instances (Ne pas redémarrer mes instances)** : après l'installation, Patch Manager ne redémarre pas les nœuds gérés. Vous pouvez redémarrer les nœuds manuellement lorsque vous sélectionnez ou gérez les redémarrages en dehors de Patch Manager.
+ **Schedule a reboot time (Planifier une heure de redémarrage)** : spécifiez la date, l'heure et le fuseau horaire UTC auxquels vous souhaitez que Patch Manager redémarre vos nœuds gérés. Après avoir exécuté l'option **Corriger maintenant**, le redémarrage planifié est répertorié comme une association dans State Manager sous le nom `AWS-PatchRebootAssociation`.
**Important**
Si vous annulez l'opération de correction principale après son démarrage, l'`AWS-PatchRebootAssociation`association n'State Managerest PAS automatiquement annulée. Pour éviter les redémarrages inattendus, vous devez supprimer manuellement `AWS-PatchRebootAssociation` de State Manager si vous ne souhaitez plus que le redémarrage planifié ait lieu. Le non-respect de cette consigne peut entraîner des redémarrages imprévus du système susceptibles d'avoir un impact sur les charges de travail de production. Vous trouverez cette association dans la console Systems Manager sous **State Manager**> **Associations**.
1. Pour **Instances to patch (Instances à corriger)**, sélectionnez l'une des options suivantes :
+ **Corrigez toutes les instances** : Patch Manager exécute actuellement l'opération spécifiée sur tous les nœuds gérés Compte AWS de votre instance Région AWS.
+ **Patch only the target instances I specify (N'appliquer les correctifs que sur les instances cibles que je spécifie)** : vous spécifiez les nœuds gérés à cibler à l'étape suivante.
1. Utilisez cette étape uniquement si vous avez choisi **Corriger seulement les instances cibles que je spécifie** à l'étape précédente. Dans la section **Target selection (Sélection de la cible)**, identifiez les nœuds sur lesquels vous souhaitez exécuter cette opération en spécifiant des balises, en sélectionnant les nœuds manuellement ou en spécifiant un groupe de ressources.
**Note**
Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez [Résolution des problèmes de disponibilité des nœuds gérés](fleet-manager-troubleshooting-managed-nodes.md) pour obtenir des conseils de dépannage.
Si vous choisissez de cibler un groupe de ressources, notez que les groupes de ressources basés sur une AWS CloudFormation pile doivent toujours être étiquetés avec la `aws:cloudformation:stack-id` balise par défaut. Si elle a été supprimée, cela peut empêcher Patch Manager de déterminer quels nœuds gérés appartiennent au groupe de ressources.
1. (Facultatif) Pour **Stockage des journaux d'application des correctifs**, si vous voulez créer et enregistrer des journaux à partir de cette opération d'application de correctifs, sélectionnez le compartiment S3 dans lequel les journaux seront stockés.
**Note**
Les autorisations S3 qui accordent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance (pour les instances EC2) ou de la fonction du service IAM (pour les machines activées par un système hybride) attribués à l'instance, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, veuillez consulter les rubriques [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md) ou [Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud](hybrid-multicloud-service-role.md). En outre, si le compartiment S3 spécifié se trouve dans un autre compartiment Compte AWS, assurez-vous que le profil d'instance ou le rôle de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.
1. (Facultatif) Pour exécuter des documents SSM en tant que hooks de cycle de vie au niveau de points spécifiques de l'opération d'application de correctifs, procédez comme suit :
+ Sélectionnez **Utiliser des hooks de cycle de vie**.
+ Pour chaque hook disponible, sélectionnez le document SSM à exécuter au point spécifié de l'opération :
+ Avant l'installation
+ Après l'installation
+ À la sortie
+ Après le redémarrage planifié
**Note**
Le document par défaut, `AWS-Noop`, n'exécute aucune opération.
1. Sélectionnez **Corriger maintenant**.
La page **Association execution summary (Résumé d'exécution de l'association)** s'ouvre. (L’option Corriger maintenant utilise alors des associations dans State Manager, un outil d’ AWS Systems Manager, pour ses opérations.) Dans la zone **Operation summary (Résumé de l'opération)**, vous pouvez surveiller le statut de l'analyse ou de l'application des correctifs sur les nœuds gérés que vous avez spécifiés.
# Utilisation des référentiels de correctifs
Un référentiel de correctifs de l’outil Patch Manager d’ AWS Systems Manager définit les correctifs qui peuvent être installés sur vos nœuds gérés. Vous pouvez spécifier un par un les correctifs approuvés ou rejetés. Vous pouvez également utiliser les règles d'approbation automatique pour spécifier que certains types de mises à jour (par exemple, les mises à jour critiques) doivent être approuvés automatiquement. La liste des mises à jour rejetées remplace à la fois les règles et la liste des mises à jour approuvées. Pour utiliser une liste de correctifs approuvés pour installer des packages spécifiques, commencez par supprimer toutes les règles d'approbation automatique. Si vous avez identifié explicitement un correctif en tant que rejeté, il ne sera ni approuvé, ni installé, même s'il correspond à tous les critères d'une règle d'approbation automatique. De la même façon, un correctif n'est installé sur un nœud géré qu'à condition qu'il soit compatible avec le logiciel du nœud, même si le correctif a par ailleurs été approuvé pour le nœud géré.
**Topics**
+ [Affichage des lignes de base de correctifs AWS prédéfinies](patch-manager-view-predefined-patch-baselines.md)
+ [Utilisation des référentiels de correctifs personnalisés](patch-manager-manage-patch-baselines.md)
+ [Définition d'un référentiel de correctifs existante en tant que valeur par défaut](patch-manager-default-patch-baseline.md)
**Plus d'informations**
+ [Références de correctifs](patch-manager-patch-baselines.md)
# Affichage des lignes de base de correctifs AWS prédéfinies
Patch Manager, un outil dans AWS Systems Manager, inclut une ligne de base de correctifs prédéfinie pour chaque système d'exploitation pris en charge parPatch Manager. Vous pouvez soit utiliser ces références de correctifs (impossibles à personnaliser), soit en créer. La procédure suivante décrit comment afficher un référentiel de correctifs prédéfinie afin de voir si elle répond à vos besoins. Pour en savoir plus sur les références de correctifs, consultez [Référentiels de correctifs prédéfinis et personnalisés](patch-manager-predefined-and-custom-patch-baselines.md).
**Pour afficher les lignes de base de correctifs AWS prédéfinies**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Patch Manager**.
1. Dans la liste des références de correctifs, sélectionnez l'ID de l'une des références de correctifs prédéfinies.
-ou-
Si vous accédez à Patch Manager pour la première fois dans l' Région AWS actuelle, choisissez **Commencer par une présentation**, sélectionnez l'onglet **Référentiels de correctifs**, puis choisissez l'ID de référentiel de l'un des référentiels de correctifs prédéfinis.
**Note**
Pour Windows Server, trois référentiels de correctifs prédéfinis sont fournis. Les référentiels de correctifs `AWS-DefaultPatchBaseline` et `AWS-WindowsPredefinedPatchBaseline-OS` prennent uniquement en charge les mises à jour du système d'exploitation Windows. `AWS-DefaultPatchBaseline` est utilisé comme référentiel de correctifs par défaut pour les nœuds gérés Windows Server, sauf si vous en spécifiez un autre. Ces deux référentiels de correctifs ont des paramètres de configuration identiques. Le plus récent des deux, `AWS-WindowsPredefinedPatchBaseline-OS`, a été créé pour le différencier du troisième référentiel de correctifs prédéfini pour Windows Server. Ce référentiel de correctifs, `AWS-WindowsPredefinedPatchBaseline-OS-Applications`, peut être utilisé pour appliquer des correctifs à la fois au système d'exploitation Windows Server et aux applications prises en charge publiées par Microsoft.
Pour de plus amples informations, veuillez consulter [Définition d'un référentiel de correctifs existante en tant que valeur par défaut](patch-manager-default-patch-baseline.md).
1. Dans la section **Règles d'approbation**, consultez la configuration des référentiels de correctifs.
1. Si la configuration est acceptable pour vos nœud gérés, vous pouvez passer à la procédure [Création et gestion de groupes de correctifs](patch-manager-tag-a-patch-group.md).
-ou-
Pour créer votre propre référentiel de correctifs par défaut, passez à la rubrique [Utilisation des référentiels de correctifs personnalisés](patch-manager-manage-patch-baselines.md).
# Utilisation des référentiels de correctifs personnalisés
Patch Manager, un outil dans AWS Systems Manager, inclut une ligne de base de correctifs prédéfinie pour chaque système d'exploitation pris en charge parPatch Manager. Vous pouvez soit utiliser ces références de correctifs (impossibles à personnaliser), soit en créer.
Les procédures suivantes décrivent comment créer, mettre à jour et supprimer votre propre référentiel de correctifs personnalisé. Pour en savoir plus sur les références de correctifs, consultez [Référentiels de correctifs prédéfinis et personnalisés](patch-manager-predefined-and-custom-patch-baselines.md).
**Topics**
+ [Création d’un référentiel de correctifs personnalisé pour Linux](patch-manager-create-a-patch-baseline-for-linux.md)
+ [Création d’un référentiel de correctifs personnalisé pour macOS](patch-manager-create-a-patch-baseline-for-macos.md)
+ [Création d’un référentiel de correctifs personnalisé pour Windows Server](patch-manager-create-a-patch-baseline-for-windows.md)
+ [Mise à jour ou suppression d’un référentiel de correctifs personnalisé](patch-manager-update-or-delete-a-patch-baseline.md)
# Création d’un référentiel de correctifs personnalisé pour Linux
Suivez la procédure ci-dessous afin de créer un référentiel de correctifs personnalisé pour les nœuds gérés Linux dans l’outil Patch Manager d’ AWS Systems Manager.
Pour plus d'informations sur la création d'un référentiel de correctifs pour les nœuds gérés macOS, consultez [Création d’un référentiel de correctifs personnalisé pour macOS](patch-manager-create-a-patch-baseline-for-macos.md). Pour plus d'informations sur la création d'un référentiel de correctifs pour les nœuds gérés Windows, consultez [Création d’un référentiel de correctifs personnalisé pour Windows Server](patch-manager-create-a-patch-baseline-for-windows.md).
**Pour créer un référentiel de correctifs personnalisé pour les nœuds gérés Linux**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Patch Manager**.
1. Choisissez l'onglet **Référentiels de correctifs**, puis choisissez **Créer un référentiel de correctifs**.
-ou-
Si vous accédez à Patch Manager pour la première fois dans la Région AWS actuelle, choisissez **Commencer par une présentation**, sélectionnez l'onglet **Référentiels de correctifs**, puis choisissez **Créer un référentiel de correctifs**.
1. Pour **Nom**, entrez un nom pour votre nouvelle référentiel de correctifs, par exemple : `MyRHELPatchBaseline`.
1. (Facultatif) Pour **Description**, saisissez une description pour cette référence de correctif.
1. Pour **Operating system (Système d'exploitation)**, sélectionnez un système d'exploitation, par exemple, `Red Hat Enterprise Linux`.
1. Si vous souhaitez commencer à utiliser cette ligne de base de correctifs par défaut pour le système d'exploitation sélectionné dès sa création, cochez la case à côté de **Définir cette ligne de base de correctifs comme ligne de base de correctifs par défaut pour les *operating system name* instances**.
**Note**
Cette option n'est disponible que si vous avez accédé à Patch Manager pour la première fois avant la publication des [politiques de correctifs](patch-manager-policies.md) le 22 décembre 2022.
Pour de plus amples informations, sur la définition d'un référentiel de correctifs existante en tant que référence par défaut, veuillez consulter [Définition d'un référentiel de correctifs existante en tant que valeur par défaut](patch-manager-default-patch-baseline.md).
1. Dans la section **Règles d'approbation pour les systèmes d'exploitation)**, utilisez les champs pour créer une ou plusieurs règles d'approbation automatique.
+ **Produits** : version des systèmes d'exploitation à laquelle s'applique la règle d'approbation, par exemple `RedhatEnterpriseLinux7.4`. La sélection par défaut est `All`.
+ **Classification** : type de correctifs auquel s'applique la règle d'approbation, par exemple `Security` ou `Enhancement`. La sélection par défaut est `All`.
**Astuce**
Vous pouvez configurer un référentiel de correctifs pour contrôler si des mises à niveau mineures pour Linux sont installées, par exemple RHEL 7.8. Les mises à niveau mineures de version peuvent être installées automatiquement par Patch Manager, à condition que la mise à jour soit disponible dans le référentiel approprié.
Pour les systèmes d'exploitation Linux, les mises à niveau de versions mineures ne sont pas classées de manière cohérente. Elles peuvent être classées comme correctifs de bogues ou mises à jour de sécurité, ou non classés, même dans la même version du noyau. Voici quelques options pour vérifier si un référentiel de correctifs les installe.
**Option 1** : La règle d'approbation la plus large pour s'assurer que des mises à niveau mineures sont installées lorsqu'elles sont disponibles consiste à définir la valeur de **Classification** sur `All` (\$1) et à choisir l'option **Inclusion de mises à jour non liées à la sécurité**.
**Option 2** : Pour vous assurer que les correctifs d'une version d'un système d'exploitation sont installés, vous pouvez utiliser un caractère générique (\$1) pour spécifier son format de noyau dans la section des **Exceptions de correctif** de la référence. Par exemple, le format du noyau pour RHEL 7.\$1 est `kernel-3.10.0-*.el7.x86_64`.
Saisissez `kernel-3.10.0-*.el7.x86_64` dans la liste **Approved patches (Correctifs approuvés)** de votre référentiel de correctifs pour vous assurer que tous les correctifs, y compris les mises à niveau de versions mineures, sont appliqués à vos nœuds gérés RHEL 7.\$1. (Si vous connaissez le nom exact du package d'un correctif de version mineur, saisissez-le à la place de cette valeur.)
**Option 3** : vous pouvez avoir le plus de contrôle sur les correctifs appliqués à vos nœuds gérés, y compris les mises à niveau de versions mineures, en utilisant le [InstallOverrideList](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-installoverridelist)paramètre indiqué dans le `AWS-RunPatchBaseline` document. Pour de plus amples informations, veuillez consulter [Document de commande SSM pour l’application de correctifs : `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).
+ **Severity (Sévérité)** : valeur de sévérité des correctifs à laquelle la règle va s'appliquer, par exemple `Critical`. La sélection par défaut est `All`.
+ **Approbation automatique** : méthode de sélection des patchs pour approbation automatique.
**Note**
Comme il n'est pas possible de déterminer de manière fiable les dates de publication des packages de mise à jour pour Ubuntu Server, les options d'approbation automatique ne sont pas prises en charge pour ce système d'exploitation.
+ **Approuvez les correctifs après un nombre de jours spécifié** : pendant lesquels Patch Manager doit attendre la publication ou la dernière mise à jour d'un correctif avant son approbation automatique. Vous pouvez entrer tout nombre entier situé entre zéro (0) et 360. Nous vous recommandons, en règle générale, de ne pas attendre plus de 100 jours.
+ **L'approbation des correctifs publiés jusqu'à une date spécifique**: date de publication des correctifs pour laquelle Patch Manager applique automatiquement tous les correctifs publiés à cette date ou avant cette date. Par exemple, si vous spécifiez le 7 juillet 2023, aucun correctif publié ou mis à jour le 8 juillet 2023 ou après ne sera installé automatiquement.
+ (Facultatif) **Rapport de conformité** : niveau de sévérité que vous voulez affecter aux correctifs approuvés par la référence, tel que `Critical` ou `High`.
**Note**
Si vous spécifiez un niveau de rapport de conformité et que l'état des correctifs d'un correctif approuvé est indiqué `Missing`, le niveau de sévérité de conformité global indiqué pour le référentiel de correctifs est le niveau de sévérité que vous avez spécifié.
+ **Include non-security updates (Inclure les mises à jour non liées à la sécurité)** : cochez cette case pour installer les correctifs non liés à la sécurité pour le système d'exploitation Linux disponibles dans le référentiel source, en plus des correctifs de sécurité.
Pour en savoir plus sur l'utilisation des règles d'approbation dans un référentiel de correctifs personnalisée, consultez [Références personnalisées](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).
1. Si vous souhaitez explicitement approuver des correctifs en plus de ceux conformes à vos règles d'approbation, procédez comme suit dans la section **Patch exceptions (Exceptions de correctifs)** :
+ Pour **Approved patches (Correctifs approuvés)**, entrez une liste séparée par des virgules des correctifs à approuver.
Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter [Formats de noms de package pour les listes de correctifs approuvés et rejetés](patch-manager-approved-rejected-package-name-formats.md).
+ (Facultatif) Pour **Approved patches compliance level (Niveau de conformité des correctifs approuvés)**, affectez un niveau de conformité aux correctifs figurant dans la liste.
+ Si des correctifs approuvés que vous spécifiez ne sont pas liés à la sécurité, cochez la case **Inclusion de mises à jour non liées à la sécurité** pour que ces correctifs soient également installés sur votre système d’exploitation Linux.
1. Si vous souhaitez rejeter explicitement des correctifs conformes par ailleurs à vos règles d'approbation, procédez comme suit dans la section **Patch exceptions (Exceptions de correctifs)** :
+ Pour **Rejected patches (Correctifs rejetés)**, entrez une liste séparée par des virgules des correctifs à rejeter.
Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter [Formats de noms de package pour les listes de correctifs approuvés et rejetés](patch-manager-approved-rejected-package-name-formats.md).
+ Pour **Rejected patches action (Action pour les correctifs rejetés)**, sélectionnez l'action que Patch Manager doit effectuer sur les correctifs inclus dans la liste **Rejected patches (Correctifs rejetés)**.
+ **Allow as dependency (Autoriser en tant que dépendance)** : un package de la liste **Rejected patches (Correctifs rejetés)** est installé uniquement s'il constitue une dépendance d'un autre package. Il est considéré comme conforme à la ligne de base du correctif et son état est indiqué sous la forme *InstalledOther*. Il s'agit de l'action par défaut si aucune option n'est spécifiée.
+ **Bloquer** : les packages de la liste **Correctifs rejetés**, ainsi que les packages qui les incluent en tant que dépendances, ne sont pas installés par Patch Manager, quelles que soient les circonstances. Si un package a été installé avant d’être ajouté à la liste des **correctifs rejetés**, ou s’il est installé en dehors de Patch Manager par la suite, il est considéré comme non conforme au référentiel de correctifs et son statut est signalé comme *InstalledRejected*.
**Note**
Patch Manager recherche les dépendances des correctifs de manière récursive.
1. **(Facultatif) Si vous souhaitez spécifier des référentiels de correctifs alternatifs pour différentes versions d'un système d'exploitation, telles que *AmazonLinux2016.03 et *AmazonLinux2017.09**, procédez comme suit pour chaque produit dans la section Sources des correctifs :**
+ Dans **Name (Nom)**, entrez un nom qui vous aidera à identifier la configuration de la source.
+ Dans **Product (Produit)**, sélectionnez la version des systèmes d'exploitation à laquelle est destiné le référentiel source de correctifs, comme `RedhatEnterpriseLinux7.4`.
+ Dans **Configuration**, saisissez la valeur de la configuration du référentiel à utiliser dans le format approprié :
------
#### [ Example for yum repositories ]
```
[main]
name=MyCustomRepository
baseurl=https://my-custom-repository
enabled=1
```
**Astuce**
Pour plus d'informations sur les autres options disponibles pour la configuration de votre référentiel yum, reportez-vous à la section [dnf.conf(5)](https://man7.org/linux/man-pages/man5/dnf.conf.5.html).
------
#### [ Examples for Ubuntu Server and Debian Server ]
`deb http://security.ubuntu.com/ubuntu jammy main`
`deb https://site.example.com/debian distribution component1 component2 component3`
Les informations de référentiel pour les référentiels Ubuntu Server doivent être spécifiées sur une seule ligne. Pour plus d’exemples et d’informations, consultez [jammy (5) sources.list.5.gz](https://manpages.ubuntu.com/manpages/jammy/man5/sources.list.5.html) sur le site Web des *manuels du serveur Ubuntu* et [sources.list format](https://wiki.debian.org/SourcesList#sources.list_format) sur le *Wiki Debian*.
------
Sélectionnez **Add another source** (Ajouter une autre source) pour spécifier un référentiel source pour chaque version supplémentaire du système d'exploitation, jusqu'à un maximum de 20.
Pour en savoir plus sur les autres référentiels source de correctifs, consultez [Spécification d'un autre référentiel source de correctifs (Linux)](patch-manager-alternative-source-repository.md).
1. (Facultatif) Pour **Gérer les balises**, appliquez une ou plusieurs name/value paires de clés de balise à la ligne de base du correctif.
Les balises sont des métadonnées facultatives que vous affectez à une ressource. Les balises vous permettent de classer une ressource de différentes façons, par exemple, par objectif, par propriétaire ou par environnement. Par exemple, vous pouvez baliser un référentiel de correctifs pour identifier le niveau de sévérité de correctifs qu'elle spécifie, la famille de systèmes d'exploitation à laquelle elle s'applique et le type d'environnement. Dans ce cas, vous pouvez spécifier des balises similaires aux name/value paires de clés suivantes :
+ `Key=PatchSeverity,Value=Critical`
+ `Key=OS,Value=RHEL`
+ `Key=Environment,Value=Production`
1. Sélectionnez **Créer un référentiel de correctif**.
# Création d’un référentiel de correctifs personnalisé pour macOS
Suivez la procédure ci-dessous afin de créer un référentiel de correctifs personnalisé pour les nœuds gérés macOS dans Patch Manager, un outil d’ AWS Systems Manager.
Pour plus d'informations sur la création d'un référentiel de correctifs pour les nœuds gérés Windows Server, consultez [Création d’un référentiel de correctifs personnalisé pour Windows Server](patch-manager-create-a-patch-baseline-for-windows.md). Pour plus d'informations sur la création d'un référentiel de correctifs pour les nœuds gérés Linux, consultez [Création d’un référentiel de correctifs personnalisé pour Linux](patch-manager-create-a-patch-baseline-for-linux.md).
**Note**
macOSn'est pas pris en charge dans tous les cas Régions AWS. Pour plus d’informations sur la prise en charge d’Amazon EC2 pour macOS, consultez [Instances Amazon EC2 Mac](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html) dans le *Guide de l’utilisateur Amazon EC2*.
**Pour créer un référentiel de correctifs personnalisé pour les nœuds gérés macOS**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Patch Manager**.
1. Choisissez l'onglet **Référentiels de correctifs**, puis choisissez **Créer un référentiel de correctifs**.
-ou-
Si vous accédez à Patch Manager pour la première fois dans la Région AWS actuelle, choisissez **Commencer par une présentation**, sélectionnez l'onglet **Référentiels de correctifs**, puis choisissez **Créer un référentiel de correctifs**.
1. Pour **Nom**, entrez un nom pour votre nouvelle référentiel de correctifs, par exemple : `MymacOSPatchBaseline`.
1. (Facultatif) Pour **Description**, saisissez une description pour cette référence de correctif.
1. Pour **Système d'exploitation**, sélectionnez macOS.
1. Si vous souhaitez commencer à utiliser ce référentiel de correctifs comme référence par défaut pour macOS dès sa création, cochez la case **Set this patch baseline as the default patch baseline for macOS instances (Définir cette référence comme référentiel de correctifs par défaut pour les instances du nom du système d'exploitation)**.
**Note**
Cette option n'est disponible que si vous avez accédé à Patch Manager pour la première fois avant la publication des [politiques de correctifs](patch-manager-policies.md) le 22 décembre 2022.
Pour de plus amples informations, sur la définition d'un référentiel de correctifs existante en tant que référence par défaut, veuillez consulter [Définition d'un référentiel de correctifs existante en tant que valeur par défaut](patch-manager-default-patch-baseline.md).
1. Dans la section **Règles d'approbation pour les systèmes d'exploitation)**, utilisez les champs pour créer une ou plusieurs règles d'approbation automatique.
+ **Produits** : version des systèmes d'exploitation à laquelle s'applique la règle d'approbation, par exemple `BigSur11.3.1` ou `Ventura13.7`. La sélection par défaut est `All`.
+ **Classification** : le ou les gestionnaires de packages dont vous voulez qu'ils appliquent des packages durant le processus d'application de correctifs. Sélectionnez parmi les éléments suivants :
+ softwareupdate
+ installer (programme d'installation)
+ brew
+ brew cask
La sélection par défaut est `All`.
+ (Facultatif) **Rapport de conformité** : niveau de sévérité que vous voulez affecter aux correctifs approuvés par la référence, tel que `Critical` ou `High`.
**Note**
Si vous spécifiez un niveau de rapport de conformité et que l'état des correctifs d'un correctif approuvé est indiqué `Missing`, le niveau de sévérité de conformité global indiqué pour le référentiel de correctifs est le niveau de sévérité que vous avez spécifié.
Pour en savoir plus sur l'utilisation des règles d'approbation dans un référentiel de correctifs personnalisée, consultez [Références personnalisées](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).
1. Si vous souhaitez explicitement approuver des correctifs en plus de ceux conformes à vos règles d'approbation, procédez comme suit dans la section **Patch exceptions (Exceptions de correctifs)** :
+ Pour **Approved patches (Correctifs approuvés)**, entrez une liste séparée par des virgules des correctifs à approuver.
Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter [Formats de noms de package pour les listes de correctifs approuvés et rejetés](patch-manager-approved-rejected-package-name-formats.md).
+ (Facultatif) Pour **Approved patches compliance level (Niveau de conformité des correctifs approuvés)**, affectez un niveau de conformité aux correctifs figurant dans la liste.
1. Si vous souhaitez rejeter explicitement des correctifs conformes par ailleurs à vos règles d'approbation, procédez comme suit dans la section **Patch exceptions (Exceptions de correctifs)** :
+ Pour **Rejected patches (Correctifs rejetés)**, entrez une liste séparée par des virgules des correctifs à rejeter.
Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter [Formats de noms de package pour les listes de correctifs approuvés et rejetés](patch-manager-approved-rejected-package-name-formats.md).
+ Pour **Rejected patches action (Action pour les correctifs rejetés)**, sélectionnez l'action que Patch Manager doit effectuer sur les correctifs inclus dans la liste **Rejected patches (Correctifs rejetés)**.
+ **Allow as dependency (Autoriser en tant que dépendance)** : un package de la liste **Rejected patches (Correctifs rejetés)** est installé uniquement s'il constitue une dépendance d'un autre package. Il est considéré comme conforme à la ligne de base du correctif et son état est indiqué sous la forme *InstalledOther*. Il s'agit de l'action par défaut si aucune option n'est spécifiée.
+ **Bloquer** : les packages de la liste **Correctifs rejetés**, ainsi que les packages qui les incluent en tant que dépendances, ne sont pas installés par Patch Manager, quelles que soient les circonstances. Si un package a été installé avant d’être ajouté à la liste des **correctifs rejetés**, ou s’il est installé en dehors de Patch Manager par la suite, il est considéré comme non conforme au référentiel de correctifs et son statut est signalé comme *InstalledRejected*.
1. (Facultatif) Pour **Gérer les balises**, appliquez une ou plusieurs name/value paires de clés de balise à la ligne de base du correctif.
Les balises sont des métadonnées facultatives que vous affectez à une ressource. Les balises vous permettent de classer une ressource de différentes façons, par exemple, par objectif, par propriétaire ou par environnement. Par exemple, vous pouvez baliser un référentiel de correctifs pour identifier le niveau de sévérité de correctifs qu'elle spécifie, le gestionnaire de packages auquel elle s'applique et le type d'environnement. Dans ce cas, vous pouvez spécifier des balises similaires aux name/value paires de clés suivantes :
+ `Key=PatchSeverity,Value=Critical`
+ `Key=PackageManager,Value=softwareupdate`
+ `Key=Environment,Value=Production`
1. Sélectionnez **Créer un référentiel de correctif**.
# Création d’un référentiel de correctifs personnalisé pour Windows Server
Suivez la procédure ci-dessous afin de créer un référentiel de correctifs personnalisé pour les nœuds gérés dans Patch Manager, un outil d’ AWS Systems Manager.
Pour plus d'informations sur la création d'un référentiel de correctifs pour les nœuds gérés Linux, consultez [Création d’un référentiel de correctifs personnalisé pour Linux](patch-manager-create-a-patch-baseline-for-linux.md). Pour plus d’informations sur la création d’un référentiel de correctifs pour les nœuds gérés macOS, consultez [Création d’un référentiel de correctifs personnalisé pour macOS](patch-manager-create-a-patch-baseline-for-macos.md).
Pour obtenir un exemple de création d'un référentiel de correctifs limitée à l'installation des Service Packs Windows uniquement, veuillez consulter [Tutoriel : créer un référentiel de correctifs pour l’installation des Service Packs Windows à l’aide de la console](patch-manager-windows-service-pack-patch-baseline-tutorial.md).
**Pour créer un référentiel de correctifs personnalisée (Windows)**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Patch Manager**.
1. Choisissez l'onglet **Référentiels de correctifs**, puis choisissez **Créer un référentiel de correctifs**.
-ou-
Si vous accédez à Patch Manager pour la première fois dans la Région AWS actuelle, choisissez **Commencer par une présentation**, sélectionnez l'onglet **Référentiels de correctifs**, puis choisissez **Créer un référentiel de correctifs**.
1. Pour **Nom**, entrez un nom pour votre nouvelle référentiel de correctifs, par exemple : `MyWindowsPatchBaseline`.
1. (Facultatif) Pour **Description**, saisissez une description pour cette référence de correctif.
1. Pour **Système d'exploitation**, sélectionnez `Windows`.
1. Pour **Statut de conformité des mises à jour de sécurité disponibles**, choisissez le statut que vous souhaitez attribuer aux correctifs de sécurité disponibles mais non approuvés car ils ne répondent pas aux critères d’installation spécifiés dans le référentiel de correctifs, **Non conforme** ou **Conforme**.
Exemple de scénario : les correctifs de sécurité que vous souhaitez installer peuvent être ignorés si vous avez spécifié une longue période d’attente après la publication d’un correctif avant l’installation. Si une mise à jour du correctif est publiée pendant la période d’attente que vous avez spécifiée, la période d’attente pour l’installation du correctif recommence. Si le délai d’attente est trop long, plusieurs versions du correctif peuvent être publiées mais ne jamais être installées.
1. Si vous souhaitez commencer à utiliser cette référence de correctif comme valeur par défaut pour Windows dès sa création, sélectionnez **Définir cette référence de correctif comme référence par défaut pour les instances Windows Server**.
**Note**
Cette option n'est disponible que si vous avez accédé à Patch Manager pour la première fois avant la publication des [politiques de correctifs](patch-manager-policies.md) le 22 décembre 2022.
Pour de plus amples informations, sur la définition d'un référentiel de correctifs existante en tant que référence par défaut, veuillez consulter [Définition d'un référentiel de correctifs existante en tant que valeur par défaut](patch-manager-default-patch-baseline.md).
1. Dans la section **Règles d'approbation pour les systèmes d'exploitation)**, utilisez les champs pour créer une ou plusieurs règles d'approbation automatique.
+ **Produits** : version des systèmes d'exploitation à laquelle s'applique la règle d'approbation, par exemple `WindowsServer2012`. La sélection par défaut est `All`.
+ **Classification** : type de correctifs auquel s'applique la règle d'approbation, par exemple `CriticalUpdates`, `Drivers` et `Tools`. La sélection par défaut est `All`.
**Astuce**
Vous pouvez inclure des installations de Service Packs Windows dans vos règles d'approbation en incluant `ServicePacks` ou en choisissant `All` dans votre liste **Classification**. Pour obtenir un exemple, consultez [Tutoriel : créer un référentiel de correctifs pour l’installation des Service Packs Windows à l’aide de la console](patch-manager-windows-service-pack-patch-baseline-tutorial.md).
+ **Severity (Sévérité)** : valeur de sévérité des correctifs à laquelle la règle va s'appliquer, par exemple `Critical`. La sélection par défaut est `All`.
+ **Approbation automatique** : méthode de sélection des patchs pour approbation automatique.
+ **Approuver les correctifs après un nombre de jours spécifié** : pendant lesquels Patch Manager doit attendre après la publication ou la mise à jour d'un correctif avant son approbation automatique. Vous pouvez entrer tout nombre entier situé entre zéro (0) et 360. Nous vous recommandons, en règle générale, de ne pas attendre plus de 100 jours.
+ **L'approbation des correctifs publiés jusqu'à une date spécifique**: date de publication des correctifs pour laquelle Patch Manager applique automatiquement tous les correctifs publiés à cette date ou avant cette date. Par exemple, si vous spécifiez le 7 juillet 2023, aucun correctif publié ou mis à jour le 8 juillet 2023 ou après ne sera installé automatiquement.
+ (Facultatif) **Compliance reporting (Rapport de conformité)** : niveau de sévérité que vous voulez affecter aux correctifs approuvés par la référence, tel que `High`.
**Note**
Si vous spécifiez un niveau de rapport de conformité et que l'état des correctifs d'un correctif approuvé est indiqué `Missing`, le niveau de sévérité de conformité global indiqué pour le référentiel de correctifs est le niveau de sévérité que vous avez spécifié.
1. (Facultatif) Dans la section **Approval rules for applications (Règles d'approbation pour les applications Microsoft)**, utilisez les champs pour créer une ou plusieurs règles d'approbation automatique.
**Note**
Au lieu de spécifier des règles d'approbation, vous pouvez spécifier des listes de correctifs approuvés et de correctifs rejetés en tant qu'exceptions de correctifs. Voir les étapes 10 et 11.
+ **Product family (Famille de produits)** : famille de produits Microsoft générale pour laquelle vous souhaitez spécifier une règle, par exemple `Office` ou `Exchange Server`.
+ **Produits** : version de l'application à laquelle s'applique la règle d'approbation, par exemple `Office 2016` ou `Active Directory Rights Management Services Client 2.0 2016`. La sélection par défaut est `All`.
+ **Classification** : type de correctifs auquel s'applique la règle d'approbation, par exemple `CriticalUpdates`. La sélection par défaut est `All`.
+ **Severity (Sévérité)** : valeur de sévérité des correctifs à laquelle la règle s'applique, par exemple `Critical`. La sélection par défaut est `All`.
+ **Approbation automatique** : méthode de sélection des patchs pour approbation automatique.
+ **Approuver les correctifs après un nombre de jours spécifié** : pendant lesquels Patch Manager doit attendre après la publication ou la mise à jour d'un correctif avant son approbation automatique. Vous pouvez entrer tout nombre entier situé entre zéro (0) et 360. Nous vous recommandons, en règle générale, de ne pas attendre plus de 100 jours.
+ **L'approbation des correctifs publiés jusqu'à une date spécifique**: date de publication des correctifs pour laquelle Patch Manager applique automatiquement tous les correctifs publiés à cette date ou avant cette date. Par exemple, si vous spécifiez le 7 juillet 2023, aucun correctif publié ou mis à jour le 8 juillet 2023 ou après ne sera installé automatiquement.
+ (Facultatif) **Rapport de conformité** : niveau de sévérité que vous voulez affecter aux correctifs approuvés par la référence, tel que `Critical` ou `High`.
**Note**
Si vous spécifiez un niveau de rapport de conformité et que l'état des correctifs d'un correctif approuvé est indiqué `Missing`, le niveau de sévérité de conformité global indiqué pour le référentiel de correctifs est le niveau de sévérité que vous avez spécifié.
1. (Facultatif) Si, au lieu que des correctifs soient sélectionnés selon les règles d'approbation, vous voulez les approuver explicitement, procédez comme suit dans la section **Exceptions de correctifs** :
+ Pour **Approved patches (Correctifs approuvés)**, entrez une liste séparée par des virgules des correctifs à approuver.
Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter [Formats de noms de package pour les listes de correctifs approuvés et rejetés](patch-manager-approved-rejected-package-name-formats.md).
+ (Facultatif) Pour **Approved patches compliance level (Niveau de conformité des correctifs approuvés)**, affectez un niveau de conformité aux correctifs figurant dans la liste.
1. Si vous souhaitez rejeter explicitement des correctifs conformes par ailleurs à vos règles d'approbation, procédez comme suit dans la section **Patch exceptions (Exceptions de correctifs)** :
+ Pour **Rejected patches (Correctifs rejetés)**, entrez une liste séparée par des virgules des correctifs à rejeter.
Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter [Formats de noms de package pour les listes de correctifs approuvés et rejetés](patch-manager-approved-rejected-package-name-formats.md).
+ Pour **Rejected patches action (Action pour les correctifs rejetés)**, sélectionnez l'action que Patch Manager doit effectuer sur les correctifs inclus dans la liste **Rejected patches (Correctifs rejetés)**.
+ **Autoriser en tant que dépendance** : Windows Server ne prend pas en charge le concept de dépendances de package. Si un package figurant dans la liste des **correctifs rejetés** et déjà installé sur le nœud, son statut est signalé comme `INSTALLED_OTHER`. Tout package qui n’est pas déjà installé sur le nœud est ignoré.
+ **Bloquer** : les packages de la liste des **correctifs rejetés** ne sont en aucun cas installés par Patch Manager. Si un package a été installé avant d’être ajouté à la liste des **correctifs rejetés**, ou s’il est installé en dehors de Patch Manager par la suite, il est considéré comme non conforme au référentiel de correctifs et son statut est signalé comme `INSTALLED_REJECTED`.
Pour plus d’informations sur les actions relatives aux packages rejetés, consultez [Options de la liste des correctifs rejetés dans les référentiels de correctifs personnalisés](patch-manager-windows-and-linux-differences.md#rejected-patches-diff).
1. (Facultatif) Pour **Gérer les balises**, appliquez une ou plusieurs name/value paires de clés de balise à la ligne de base du correctif.
Les balises sont des métadonnées facultatives que vous affectez à une ressource. Les balises vous permettent de classer une ressource de différentes façons, par exemple, par objectif, par propriétaire ou par environnement. Par exemple, vous pouvez baliser un référentiel de correctifs pour identifier le niveau de sévérité de correctifs qu'elle spécifie, la famille de systèmes d'exploitation à laquelle elle s'applique et le type d'environnement. Dans ce cas, vous pouvez spécifier des balises similaires aux name/value paires de clés suivantes :
+ `Key=PatchSeverity,Value=Critical`
+ `Key=OS,Value=RHEL`
+ `Key=Environment,Value=Production`
1. Sélectionnez **Créer un référentiel de correctif**.
# Mise à jour ou suppression d’un référentiel de correctifs personnalisé
Vous pouvez mettre à jour ou supprimer une référence de correctifs personnalisée que vous avez créée dans Patch Manager, un outil d’ AWS Systems Manager. Lorsque vous mettez à jour un référentiel de correctifs, vous pouvez modifier son nom, sa description, ses règles d'approbation et ses exceptions pour les correctifs approuvés et rejetés. Vous pouvez également mettre à jour les balises qui sont appliquées au référentiel de correctifs. Vous ne pouvez pas modifier le type de système d'exploitation pour lequel une ligne de base de correctifs a été créée, ni apporter de modifications à une ligne de base de correctifs prédéfinie fournie par AWS.
## Mise à jour ou suppression d’un référentiel de correctifs
Suivez les étapes ci-dessous pour mettre à jour ou supprimer un référentiel de correctifs.
**Important**
Faites preuve de vigilance lorsque vous supprimez un référentiel de correctifs personnalisé susceptible d'être utilisé par la configuration d'une politique de correctifs dans Quick Setup.
Si vous utilisez une [configuration de politique de correctifs](patch-manager-policies.md) dans Quick Setup, les mises à jour que vous apportez aux référentiels de correctifs personnalisés sont synchronisées avec Quick Setup une fois par heure.
Si un référentiel de correctifs personnalisé référencé dans une politique de correctifs est supprimé, une bannière s'affiche sur la page Quick Setup **Configuration details** (Détails de configuration) de votre politique de correctifs. La bannière vous informe que la politique de correctifs fait référence à un référentiel de correctifs qui n'existe plus et que les opérations d'application de correctifs suivantes échoueront. Dans ce cas, revenez à la page Quick Setup **Configurations**, sélectionnez la configuration Patch Manager, puis choisissez **Actions**, **Edit configuration** (Modifier la configuration). Le nom du référentiel de correctifs supprimé est surligné et vous devez sélectionner un nouveau référentiel de correctifs pour le système d'exploitation concerné.
**Pour mettre à jour ou supprimer un référentiel de correctifs**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Patch Manager**.
1. Sélectionnez le référentiel de correctifs à mettre à jour ou supprimer, puis exécutez l'une des tâches suivantes :
+ Pour supprimer la ligne de base des correctifs de votre Compte AWS ordinateur, choisissez **Supprimer**. Le système vous invite à confirmer vos actions.
+ Pour modifier le nom ou la description d'un référentiel de correctifs, les règles d'approbation ou les exceptions de correctifs, sélectionnez **Modifier**. Sur la page **Modifier le référentiel de correctif**, modifiez les valeurs et options souhaitées, puis sélectionnez **Enregistrer les modifications**.
+ Pour ajouter, modifier ou supprimer des balises appliquées au référentiel de correctifs, sélectionnez l'onglet **Balises**, puis **Modifier les balises**. Sur la page **Edit patch baseline tags (Modifier les balises de référentiel de correctif)**, mettez à jour les balises du référentiel de correctifs, puis sélectionnez **Enregistrer les modifications**.
Pour de plus amples informations sur les choix de configuration que vous pouvez effectuer, veuillez consulter [Utilisation des référentiels de correctifs personnalisés](patch-manager-manage-patch-baselines.md).
# Définition d'un référentiel de correctifs existante en tant que valeur par défaut
**Important**
Les sélections de référentiel de correctifs par défaut que vous effectuez ici ne s'appliquent pas aux opérations d'application de correctifs basées sur une politique de correctifs. Les politiques de correctifs utilisent leurs propres spécifications de référentiel de correctifs. Pour plus d'informations sur les politiques de correctifs, veuillez consulter la rubrique [Configurations de la politique de correctifs dans Quick Setup](patch-manager-policies.md).
Lorsque vous créez un référentiel de correctifs personnalisée dans Patch Manager, un outil d’ AWS Systems Manager, vous pouvez la définir comme référence par défaut pour le type de système d’exploitation associé dès sa création. Pour plus d'informations, consultez [Utilisation des référentiels de correctifs personnalisés](patch-manager-manage-patch-baselines.md).
Vous pouvez également définir un référentiel de correctifs existante en tant que référence par défaut pour un type de système d'exploitation.
**Note**
Les étapes à suivre varient selon si vous avez accédé pour la première fois à Patch Manager avant ou après la publication des politiques de correctifs le 22 décembre 2022. Si vous avez utilisé Patch Manager avant cette date, vous pouvez utiliser la procédure de la console. Dans le cas contraire, suivez la AWS CLI procédure. Le menu **Actions** référencé dans la procédure de la console ne s'affiche pas dans les régions où Patch Manager n'a pas été utilisé avant la publication des politiques de correctifs.
**Pour définir un référentiel de correctifs comme référence par défaut**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Patch Manager**.
1. Sélectionnez l'onglet **Patch baselines (Référentiels de correctifs)**.
1. Dans la liste des références de correctifs, sélectionnez le bouton correspondant à un référentiel de correctifs qui n'est pas actuellement définie comme référence par défaut pour un type de système d'exploitation.
La colonne **Référence par défaut** indique les références qui sont actuellement définies comme références par défaut.
1. Dans le menu **Actions**, sélectionnez **Définir un référentiel de correctif par défaut**.
**Important**
Le menu **Actions** n'est pas disponible si vous n'avez pas travaillé avec Patch Manager la version actuelle Compte AWS et la région avant le 22 décembre 2022. Pour plus d'informations, reportez-vous à la **note** figurant plus haut dans cette rubrique.
1. Dans la boîte de dialogue de confirmation, sélectionnez **Set default (Définir par défaut)**.
**Pour définir un référentiel de correctifs comme référence par défaut (AWS CLI)**
1. Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-baselines.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-baselines.html)commande pour afficher la liste des lignes de base de correctifs disponibles ainsi que leurs noms IDs et ceux d'Amazon Resource (ARNs).
```
aws ssm describe-patch-baselines
```
1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-default-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-default-patch-baseline.html) pour définir un référentiel par défaut pour le système d'exploitation auquel il est associé. *baseline-id-or-ARN*Remplacez-le par l'ID de la ligne de base de correctif personnalisée ou de la ligne de base prédéfinie à utiliser.
------
#### [ Linux & macOS ]
```
aws ssm register-default-patch-baseline \
--baseline-id baseline-id-or-ARN
```
Vous trouverez ci-dessous un exemple de définition d'un référentiel personnalisé comme référentiel par défaut.
```
aws ssm register-default-patch-baseline \
--baseline-id pb-abc123cf9bEXAMPLE
```
Voici un exemple de définition d'une ligne de base prédéfinie gérée par AWS défaut.
```
aws ssm register-default-patch-baseline \
--baseline-id arn:aws:ssm:us-east-2:733109147000:patchbaseline/pb-0574b43a65ea646e
```
------
#### [ Windows Server ]
```
aws ssm register-default-patch-baseline ^
--baseline-id baseline-id-or-ARN
```
Vous trouverez ci-dessous un exemple de définition d'un référentiel personnalisé comme référentiel par défaut.
```
aws ssm register-default-patch-baseline ^
--baseline-id pb-abc123cf9bEXAMPLE
```
Voici un exemple de définition d'une ligne de base prédéfinie gérée par AWS défaut.
```
aws ssm register-default-patch-baseline ^
--baseline-id arn:aws:ssm:us-east-2:733109147000:patchbaseline/pb-071da192df1226b63
```
------
# Affichage des correctifs disponibles
À l'aide Patch Manager d'un outil AWS Systems Manager, vous pouvez afficher tous les correctifs disponibles pour un système d'exploitation spécifique et, éventuellement, une version spécifique du système d'exploitation.
**Astuce**
Pour générer une liste des correctifs disponibles et les enregistrer dans un fichier, vous pouvez utiliser la commande [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html) et spécifier votre [sortie](https://docs.aws.amazon.com/cli/latest/reference/ssm/cli-usage-output.html).
**Pour afficher les correctifs disponibles**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Patch Manager**.
1. Sélectionnez l'onglet **Patches (Correctifs)**.
-ou-
Si vous accédez à Patch Manager pour la première fois dans la Région AWS actuelle, choisissez **Commencer par une présentation**, puis sélectionnez l'onglet **Correctifs**.
**Note**
Pour Windows Server, l'onglet **Correctifs** affiche les mises à jour disponibles auprès de Windows Server Update Service (WSUS).
1. Pour **Système d'exploitation**, sélectionnez le système d'exploitation pour lequel vous voulez afficher les correctifs disponibles, `Windows` ou `Amazon Linux` par exemple.
1. (Facultatif) Pour **Produit**, sélectionnez une version du système d'exploitation, `WindowsServer2019` ou `AmazonLinux2018.03` par exemple.
1. (Facultatif) Pour ajouter ou supprimer des colonnes d'informations pour vos résultats, sélectionnez le bouton (![\[The icon to view configuration settings.\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/configure-button.png)) en haut à droite de la liste **Correctifs**. (Par défaut, l'onglet **Correctifs** affiche des colonnes pour quelques-unes des métadonnées de correctif disponibles seulement.)
Pour obtenir des informations sur les types de métadonnées qui peuvent être ajoutées à votre affichage, veuillez consulter [Correctif](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_Patch.html) dans la *Référence des API AWS Systems Manager *.
# Création et gestion de groupes de correctifs
Si vous n'utilisez *pas* de stratégies de correction dans vos opérations, vous pouvez organiser vos efforts de correction en ajoutant des nœuds gérés à des groupes de correctifs à l'aide de balises.
**Note**
Les groupes de correctifs ne sont pas utilisés dans les opérations d'application de correctifs basées sur des *politiques de correctifs*. Pour obtenir des informations sur l'utilisation des politiques de correctifs, consultez la rubrique [Configurations de la politique de correctifs dans Quick Setup](patch-manager-policies.md).
La fonctionnalité de groupes de correctifs n’est pas prise en charge dans la console pour les paires compte-région qui n’utilisaient pas encore de groupes de correctifs avant le lancement de la prise en charge des politiques de correctifs le 22 décembre 2022. La fonctionnalité de groupes de correctifs est toujours disponible dans les paires compte-région qui ont commencé à utiliser les groupes de correctifs avant cette date.
Pour utiliser les balises dans les opérations de correctif, vous devez appliquer la clé de balise `Patch Group` ou `PatchGroup` à vos nœuds gérés. Vous devez également spécifier le nom que vous voulez donner au groupe de correctifs comme valeur de la balise. Vous pouvez spécifier n'importe quelle valeur de balise, mais la clé de balise doit être `Patch Group` ou `PatchGroup`.
`PatchGroup` (sans espace) est nécessaire si vous avez [autorisé les balises dans les métadonnées d'instance EC2.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS).
Après avoir regroupé vos nœuds gérés à l'aide de balises, vous devez ajouter la valeur du groupe de correctifs à un référentiel de correctifs. En enregistrant le groupe de correctifs auprès d'un référentiel de correctifs, vous veillez à ce que les correctifs appropriés soient installés lors de l'opération d'application des correctifs. Pour de plus amples informations sur les groupes de correctifs, consultez [Groupes de correctifs](patch-manager-patch-groups.md).
Effectuez les tâches de cette rubrique pour préparer vos nœuds gérés à l'application de correctifs à l'aide de balises avec vos nœuds et votre référentiel de correctifs. La tâche 1 n'est requise que si vous corrigez des instances Amazon EC2. La tâche 2 est requise uniquement si vous corrigez des instances non-EC2 dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types). La tâche 3 est requise pour tous les nœuds gérés.
**Astuce**
Vous pouvez également ajouter des balises aux nœuds gérés à l'aide de la AWS CLI commande `[https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)` ou de l'opération ssm-agent-minimum-s `[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)` 3-permissions-required de l'API Systems Manager.
**Topics**
+ [Tâche 1 : Ajout d'instances EC2 à un groupe de correctifs à l'aide de balises](#sysman-patch-group-tagging-ec2)
+ [Tâche 2 : Ajout de nœuds gérés à un groupe de correctifs à l'aide de balises](#sysman-patch-group-tagging-managed)
+ [Tâche 3 : Ajout d'un groupe de correctifs à un référentiel de correctifs](#sysman-patch-group-patchbaseline)
## Tâche 1 : Ajout d'instances EC2 à un groupe de correctifs à l'aide de balises
Vous pouvez ajouter des balises aux instances EC2 à l'aide de la console Systems Manager ou de la console Amazon EC2. Cette tâche n'est requise que si vous corrigez des instances Amazon EC2.
**Important**
Vous ne pouvez pas appliquer la `Patch Group` balise (avec un espace) à une instance Amazon EC2 si l'option ** Autoriser les balises dans les métadonnées d'instance ** est activée sur celle-ci. L'autorisation des identifications dans les métadonnées d'instance empêche les noms de clés d'identification de contenir des espaces. Si vous avez [autorisé les balises dans les métadonnées des instances EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), vous devez utiliser la clé de la balise `PatchGroup` (sans espace).
**Option 1 : pour ajouter des instances EC2 à un groupe de correctifs (console Systems Manager)**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Fleet Manager**.
1. Dans la liste **Nœuds gérés**, sélectionnez l'ID d'une instance EC2 gérée que vous souhaitez configurer pour l'application de correctifs. Les ID de nœud pour les instances EC2 commencent par `i-`.
**Note**
Lorsque vous utilisez la console Amazon EC2 AWS CLI, il est possible d'appliquer des `Key = PatchGroup` balises à `Key = Patch Group` des instances qui ne sont pas encore configurées pour être utilisées avec Systems Manager.
Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez [Résolution des problèmes de disponibilité des nœuds gérés](fleet-manager-troubleshooting-managed-nodes.md) pour obtenir des conseils de dépannage.
1. Choisissez l'onglet **Balises**, puis **Modifier**.
1. Dans la colonne de gauche, saisissez **Patch Group** ou **PatchGroup**. Si vous avez [autorisé les balises dans les métadonnées des instances EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), il est impératif d'utiliser `PatchGroup` (sans espace).
1. Dans la colonne de droite, saisissez une valeur de balise qui servira de nom au groupe de correctifs.
1. Choisissez **Enregistrer**.
1. Répétez cette procédure pour ajouter d'autres instances EC2 au même groupe de correctifs.
**Option 2 : pour ajouter des instances EC2 à un groupe de correctifs (console Amazon EC2)**
1. Ouvrez la [console Amazon EC2](https://console.aws.amazon.com/ec2/), puis sélectionnez **Instances** dans le panneau de navigation.
1. Dans la liste d'instances, sélectionnez une instance que vous souhaitez configurer pour l'application de correctifs.
1. Dans le menu **Actions**, sélectionnez **Paramètres de l'instance**, **Gérer les balises**.
1. Sélectionnez **Ajouter une nouvelle balise**.
1. Pour **Key** (Clé), saisissez **Patch Group** ou **PatchGroup**. Si vous avez [autorisé les balises dans les métadonnées des instances EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), il est impératif d'utiliser `PatchGroup` (sans espace).
1. Pour **Valeur**, entrez une valeur qui servira de nom au groupe de correctifs.
1. Sélectionnez **Enregistrer**.
1. Répétez cette procédure pour ajouter d'autres instances au même groupe de correctifs.
## Tâche 2 : Ajout de nœuds gérés à un groupe de correctifs à l'aide de balises
Suivez les étapes décrites dans cette rubrique pour ajouter des balises aux appareils AWS IoT Greengrass principaux et aux nœuds gérés non activés par un système hybride EC2 (mi-\$1). Cette tâche n'est requise que si vous corrigez des instances non-EC2 dans un environnement hybride et multicloud.
**Note**
Vous ne pouvez pas ajouter de balises sur des nœuds gérés non EC2 via la console Amazon EC2.
**Pour ajouter des nœuds gérés non EC2 à un groupe de correctifs (console Systems Manager)**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Fleet Manager**.
1. Dans la liste **Nœuds gérés**, sélectionnez le nom du nœud géré que vous souhaitez configurer pour l'application de correctifs.
**Note**
Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez [Résolution des problèmes de disponibilité des nœuds gérés](fleet-manager-troubleshooting-managed-nodes.md) pour obtenir des conseils de dépannage.
1. Choisissez l'onglet **Balises**, puis **Modifier**.
1. Dans la colonne de gauche, saisissez **Patch Group** ou **PatchGroup**. Si vous avez [autorisé les balises dans les métadonnées des instances EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), il est impératif d'utiliser `PatchGroup` (sans espace).
1. Dans la colonne de droite, saisissez une valeur de balise qui servira de nom au groupe de correctifs.
1. Sélectionnez **Enregistrer**.
1. Répétez cette procédure pour ajouter d'autres nœuds gérés dans le même groupe de correctifs.
## Tâche 3 : Ajout d'un groupe de correctifs à un référentiel de correctifs
Pour associer un référentiel de correctifs spécifique à vos nœuds gérés, vous devez ajouter la valeur du groupe de correctifs à ce référentiel. En enregistrant le groupe de correctifs auprès d'un référentiel de correctifs, vous veillez à ce que les correctifs appropriés soient installés lors de l'exécution de l'application des correctifs. Cette tâche est requise, que vous corrigiez des instances EC2, des nœuds gérés non EC2 ou les deux.
Pour de plus amples informations sur les groupes de correctifs, consultez [Groupes de correctifs](patch-manager-patch-groups.md).
**Note**
Les étapes à suivre varient selon si vous avez accédé pour la première fois à Patch Manager avant ou après la publication des [stratégies de correctifs](patch-manager-policies.md) le 22 décembre 2022.
**Pour ajouter un groupe de correctifs à un référentiel de correctifs (console Systems Manager)**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Patch Manager**.
1. Si vous accédez à Patch Manager pour la première fois dans l' Région AWS actuelle et que la page de démarrage de Patch Manager s'ouvre, choisissez **Commencer par une présentation**.
1. Sélectionnez l'onglet **Référentiel de correctifs**, puis dans la liste **Référentiel de correctifs**, sélectionnez le nom du référentiel de correctifs que vous souhaitez configurer pour votre groupe de correctifs.
Si vous n'avez accédé pour la première fois à Patch Manager qu'après la publication des stratégies de correctifs, vous devez choisir un référentiel personnalisé que vous avez créé.
1. Si la page de détails **ID de référence** comprend un menu **Actions** procédez comme suit :
+ Sélectionnez **Actions**, puis **Modifier les groupes de correctifs**.
+ Saisissez la *valeur* de balise que vous avez ajoutée à vos nœuds gérés dans [Tâche 2 : Ajout de nœuds gérés à un groupe de correctifs à l'aide de balises](#sysman-patch-group-tagging-managed), puis sélectionnez **Ajouter**.
Si la page de détails **ID de référence** ne comporte *pas* un menu **Actions** les groupes de correctifs ne peuvent pas être configurés dans la console. Au lieu de cela, vous pouvez effectuer l'une des actions suivantes :
+ (Recommandé) Configurez une politique de correctifs dans Quick Setup, un outil d’ AWS Systems Manager, pour mapper un référentiel de correctifs à une ou plusieurs instances EC2.
Pour en savoir plus, consultez les rubriques [Utilisation des politiques de correctifs de Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) et [Automatiser les correctifs à l'échelle de l'organisation à l'aide d'une politique de correctifs de Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-patch-manager.html).
+ Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-patch-baseline-for-patch-group.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-patch-baseline-for-patch-group.html)commande du AWS Command Line Interface (AWS CLI) pour configurer un groupe de correctifs.
# Intégration Patch Manager avec AWS Security Hub CSPM
[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)vous fournit une vue complète de votre état de sécurité dans AWS. Security Hub CSPM collecte des données de sécurité provenant de l'ensemble Comptes AWS des produits partenaires et pris en charge par des tiers. Services AWS Avec Security Hub CSPM, vous pouvez vérifier que votre environnement est conforme aux normes du secteur de la sécurité et aux meilleures pratiques. Security Hub CSPM vous aide à analyser vos tendances en matière de sécurité et à identifier les problèmes de sécurité les plus prioritaires.
En utilisant l'intégration entre Patch Manager Security Hub CSPM et un outil intégré à AWS Systems Manager Security Hub, vous pouvez envoyer des informations concernant des nœuds non conformes à Security Patch Manager Hub CSPM. Vous pouvez observer parmi les résultats l'enregistrement d'une vérification de sécurité ou d'une détection liée à la sécurité. Security Hub CSPM peut ensuite inclure les résultats relatifs aux correctifs dans son analyse de votre posture de sécurité.
Les informations des rubriques suivantes s'appliquent, quels que soient la méthode ou le type de configuration que vous utilisez pour vos opérations d'application de correctifs :
+ Une politique de correctifs configurée dans Quick Setup
+ Une option de gestion des hôtes configurée dans Quick Setup
+ Une fenêtre de maintenance pour exécuter un correctif `Scan` ou une tâche `Install`
+ Une opération **Patch now** (Appliquer les correctifs maintenant) à la demande
**Contents**
+ [Comment Patch Manager envoie des résultats à Security Hub CSPM](#securityhub-integration-sending-findings)
+ [Types de résultats que Patch Manager envoie](#securityhub-integration-finding-types)
+ [Latence pour l'envoi des résultats](#securityhub-integration-finding-latency)
+ [Réessayer lorsque Security Hub CSPM n’est pas disponible](#securityhub-integration-retry-send)
+ [Afficher les résultats dans Security Hub CSPM](#securityhub-integration-view-findings)
+ [Résultats types de Patch Manager](#securityhub-integration-finding-example)
+ [Activation et configuration de l'intégration](#securityhub-integration-enable)
+ [Comment arrêter l'envoi des résultats](#securityhub-integration-disable)
## Comment Patch Manager envoie des résultats à Security Hub CSPM
Dans Security Hub CSPM, les problèmes de sécurité sont suivis en tant que findings (résultats). Certains résultats proviennent de problèmes détectés par d'autres partenaires Services AWS ou par des partenaires tiers. Security Hub CSPM dispose également d'un ensemble de règles qu'il utilise pour détecter les problèmes de sécurité et générer des résultats.
Patch Managerest l'un des outils de Systems Manager qui envoie les résultats au Security Hub CSPM. Après avoir effectué une opération de correction en exécutant un document SSM (`AWS-RunPatchBaseline`,, ou`AWS-RunPatchBaselineWithHooks`)`AWS-RunPatchBaselineAssociation`, les informations d'application des correctifs sont envoyées à Inventory ou Compliance, aux outils, ou aux deux AWS Systems Manager. Après qu'Inventory, Compliance, ou les deux, ont reçu les données, Patch Manager reçoit une notification. Ensuite, Patch Manager évalue l'exactitude, le formatage et la conformité des données. Si toutes les conditions sont remplies, Patch Manager transmet les données à Security Hub CSPM.
Security Hub CSPM fournit des outils permettant de gérer les résultats provenant de toutes ces sources. Vous pouvez afficher et filtrer les listes de résultats et afficher les informations sur un résultat. Pour de plus amples informations, consultez la section [Viewing findings](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html) (Affichage des résultats) dans le *Guide de l'utilisateur AWS Security Hub *. Vous pouvez également suivre le statut d'une analyse dans un résultat. Pour de plus amples informations, veuillez consulter [Prendre des mesure en fonction des résultats](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-taking-action.html) dans le *Guide de l'utilisateur AWS Security Hub *.
Tous les résultats du Security Hub CSPM utilisent un format JSON standard appelé AWS Security Finding Format (ASFF). Le format ASFF comprend des informations sur la source du problème, les ressources affectées et le statut actuel du résultat. Pour de plus amples informations, veuillez consulter [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.htm) dans le *Guide de l'utilisateur AWS Security Hub *.
### Types de résultats que Patch Manager envoie
Patch Managerenvoie les résultats à Security Hub CSPM en utilisant le format [ASFF (AWS Security Finding Format)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html). Dans le format ASFF, le champ `Types` fournit le type de résultat. Les résultats de Patch Manager peuvent avoir la valeur suivante pour `Types` :
+ Checks/Patch Gestion des logiciels et des configurations
Patch Manager envoie un résultat par nœud géré non conforme. La découverte est signalée avec le type de ressource [https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance)afin que les résultats puissent être corrélés avec d'autres intégrations Security Hub CSPM qui signalent des types de ressources. `AwsEc2Instance` Patch Managerne transmet une constatation à Security Hub CSPM que si l'opération a découvert que le nœud géré n'était pas conforme. Le résultat contient les résultats du Résumé des correctifs.
**Note**
Après avoir signalé un nœud non conforme à Security Hub CSPM. Patch Managern'envoie pas de mise à jour au Security Hub CSPM une fois que le nœud est devenu conforme. Vous pouvez résoudre manuellement les résultats dans Security Hub CSPM une fois que les correctifs requis ont été appliqués au nœud géré.
Pour plus d'informations sur les définitions de conformité, consultez [Valeurs de l’état de conformité des correctifs](patch-manager-compliance-states.md). Pour plus d'informations à ce sujet`PatchSummary`, consultez [PatchSummary](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_PatchSummary.html)la *référence de AWS Security Hub l'API*.
### Latence pour l'envoi des résultats
Lors de Patch Manager la création d'un nouveau résultat, il est généralement envoyé au Security Hub CSPM dans un délai de quelques secondes à 2 heures. La vitesse dépend du trafic en cours de traitement dans la Région AWS à ce moment-là.
### Réessayer lorsque Security Hub CSPM n’est pas disponible
En cas de panne de service, une AWS Lambda fonction est exécutée pour remettre les messages dans la file d'attente principale après la réexécution du service. Une fois les messages dans la file d'attente principale, la nouvelle tentative est automatique.
Si Security Hub CSPM n'est pas disponible, Patch Manager réessaie d'envoyer les résultats jusqu'à ce qu'ils soient reçus.
### Afficher les résultats dans Security Hub CSPM
Cette procédure explique comment consulter dans Security Hub CSPM les résultats concernant les nœuds gérés de votre parc qui ne sont pas conformes aux correctifs.
**Pour consulter les résultats du Security Hub CSPM relatifs à la conformité des correctifs**
1. Connectez-vous à la AWS Security Hub CSPM console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/).
1. Dans le volet de navigation, choisissez **Conclusions**.
1. Choisissez la case **Ajouter des filtres** (![\[The Search icon\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/search-icon.png)).
1. Dans le menu, sous **Filtres**, choisissez **Nom du produit**.
1. Dans la boîte de dialogue qui s'ouvre, sélectionnez **est** dans le premier champ, puis saisissez **Systems Manager Patch Manager** dans le deuxième champ.
1. Cliquez sur **Appliquer**.
1. Ajoutez les filtres supplémentaires que vous souhaitez pour affiner vos résultats.
1. Dans la liste des résultats, choisissez le titre d'un résultat sur lequel vous souhaitez obtenir plus d'informations.
Un volet s'ouvre sur le côté droit de l'écran. Il contient plus de détails sur la ressource, le problème découvert et les solutions recommandées.
**Important**
À l'heure actuelle, Security Hub CSPM indique le type de ressource de tous les nœuds gérés sous la forme. `EC2 Instance` Cela inclut les serveurs locaux et les machines virtuelles (VMs) que vous avez enregistrés pour être utilisés avec Systems Manager.
**Classifications de sévérité**
La liste des résultats de **Systems Manager Patch Manager** comprend un rapport sur la sévérité du résultat. Les niveaux de **sévérité** sont les suivants, du plus faible au plus élevé :
+ **INFORMATIF** : aucun problème n'a été détecté.
+ **FAIBLE** : le problème ne nécessite aucune correction.
+ **MOYEN** : le problème doit être traité, mais n'est pas urgent.
+ **ÉLEVÉ** : le problème doit être traité en priorité.
+ **CRITIQUE** : le problème doit être résolu immédiatement pour éviter qu'il ne s'aggrave.
La sévérité est déterminée par le package non conforme le plus sévère d'une instance. Comme vous pouvez disposer de plusieurs référentiels de correctifs avec différents niveaux de sévérité, le niveau de sévérité le plus élevé est indiqué parmi tous les packages non conformes. Supposons, par exemple, que vous ayez deux packages non conformes. Le niveau de sévérité du package A est « critique » et celui du package B est « faible ». La sévérité sera signalée comme étant « critique ».
Veuillez noter que le champ de sévérité est directement corrélé au champ `Compliance` de Patch Manager. Il s'agit d'un champ que vous attribuez aux correctifs individuels qui correspondent à la règle. Ce champ `Compliance` étant affecté à des correctifs individuels, il n'est pas reflété au niveau du résumé des correctifs.
**Contenu connexe**
+ [Résultats](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) du *Guide de l'utilisateur AWS Security Hub *
+ [Conformité aux correctifs multicomptes avec Patch Manager et Security Hub](https://aws.amazon.com/blogs/mt/multi-account-patch-compliance-with-patch-manager-and-security-hub/) sur le *Blog AWS de gestion et gouvernance* (en anglais)
## Résultats types de Patch Manager
Patch Managerenvoie les résultats au Security Hub CSPM en utilisant le format [ASFF (AWS Security Finding Format)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).
Voici un exemple de résultat type de Patch Manager.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
"GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
"AwsAccountId": "111122223333",
"Types": [
"Software & Configuration Checks/Patch Management/Compliance"
],
"CreatedAt": "2021-11-11T22:05:25Z",
"UpdatedAt": "2021-11-11T22:05:25Z",
"Severity": {
"Label": "INFORMATIONAL",
"Normalized": 0
},
"Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
"Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
"Remediation": {
"Recommendation": {
"Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
"Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
}
},
"SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
"ProductFields": {
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
"aws/securityhub/ProductName": "Systems Manager Patch Manager",
"aws/securityhub/CompanyName": "AWS"
},
"Resources": [
{
"Type": "AwsEc2Instance",
"Id": "i-02573cafcfEXAMPLE",
"Partition": "aws",
"Region": "us-east-2"
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"PatchSummary": {
"Id": "pb-0c10e65780EXAMPLE",
"InstalledCount": 45,
"MissingCount": 2,
"FailedCount": 0,
"InstalledOtherCount": 396,
"InstalledRejectedCount": 0,
"InstalledPendingReboot": 0,
"OperationStartTime": "2021-11-11T22:05:06Z",
"OperationEndTime": "2021-11-11T22:05:25Z",
"RebootOption": "NoReboot",
"Operation": "SCAN"
}
}
```
## Activation et configuration de l'intégration
Pour utiliser l'Patch Managerintégration avec Security Hub CSPM, vous devez activer Security Hub CSPM. *Pour plus d'informations sur la façon d'activer Security Hub CSPM, consultez la section [Configuration de Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) dans le guide de l'utilisateur.AWS Security Hub *
La procédure suivante décrit comment intégrer Patch Manager Security Hub CSPM lorsque Security Hub CSPM est déjà actif mais que Patch Manager l'intégration est désactivée. Cette procédure doit être effectuée uniquement si l'intégration a été désactivée manuellement.
**À ajouter Patch Manager à l'intégration de Security Hub CSPM**
1. Dans le panneau de navigation, sélectionnez **Patch Manager**.
1. Sélectionnez l’onglet **Paramètres**.
-ou-
Si vous accédez à Patch Manager pour la première fois dans la Région AWS actuelle, choisissez **Commencer par une présentation**, puis sélectionnez l'onglet **Paramètres**.
1. **Dans la section **Exporter vers Security Hub CSPM**, à droite de « Les **résultats de conformité des correctifs ne sont pas exportés vers Security Hub** », choisissez Enable.**
## Comment arrêter l'envoi des résultats
Pour arrêter l’envoi des résultats à Security Hub CSPM, vous pouvez utiliser la console Security Hub CSPM ou l’API.
Pour plus d'informations, consultez les rubriques suivantes dans le *AWS Security Hub Guide de l'utilisateur* :
+ [Désactivation et activation du flux de résultats d'une intégration (console)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-console)
+ [Désactivation du flux de résultats d'une intégration (API Security Hub CSPM,) AWS CLI](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-disable-api)