• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Bekerja dengan Patch Manager sumber daya dan kepatuhan menggunakan konsol
<a name="patch-manager-console"></a>

Untuk menggunakanPatch Manager, alat di AWS Systems Manager, selesaikan tugas-tugas berikut. Tugas-tugas ini diterangkan dengan lebih detail dalam bagian ini.

1. Verifikasi bahwa baseline patch yang AWS telah ditentukan untuk setiap jenis sistem operasi yang Anda gunakan memenuhi kebutuhan Anda. Jika tidak, buat baseline patch yang mendefinisikan kumpulan patch standar untuk tipe node terkelola itu dan tetapkan sebagai default.

1. Atur node terkelola ke dalam grup tambalan menggunakan tag Amazon Elastic Compute Cloud (Amazon EC2) (opsional, tetapi disarankan).

1. Lakukan salah satu tindakan berikut:
   + (Disarankan) Konfigurasikan kebijakan tambalan diQuick Setup, alat di Systems Manager, yang memungkinkan Anda menginstal tambalan yang hilang pada jadwal untuk seluruh organisasi, subset unit organisasi, atau satu. Akun AWS Untuk informasi selengkapnya, lihat [Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup](quick-setup-patch-manager.md).
   + Buat jendela pemeliharaan yang menggunakan dokumen Systems Manager (dokumen SSM) `AWS-RunPatchBaseline` dalam tipe Run Command tugas. Untuk informasi selengkapnya, lihat [Tutorial: Buat jendela pemeliharaan untuk menambal menggunakan konsol](maintenance-window-tutorial-patching.md).
   + Jalankan secara manual `AWS-RunPatchBaseline` dalam suatu Run Command operasi. Untuk informasi selengkapnya, lihat [Menjalankan perintah dari konsol](running-commands-console.md).
   + Patch node secara manual sesuai permintaan menggunakan fitur **Patch now**. Untuk informasi selengkapnya, lihat [Menambal node terkelola sesuai permintaan](patch-manager-patch-now-on-demand.md).

1. Pantau patching untuk memverifikasi kepatuhan dan menyelidiki kegagalan.

**Topics**
+ [Membuat kebijakan tambalan](patch-manager-create-a-patch-policy.md)
+ [Melihat ringkasan Patch Dasbor](patch-manager-view-dashboard-summaries.md)
+ [Bekerja dengan laporan kepatuhan tambalan](patch-manager-compliance-reports.md)
+ [Menambal node terkelola sesuai permintaan](patch-manager-patch-now-on-demand.md)
+ [Bekerja dengan baseline patch](patch-manager-create-a-patch-baseline.md)
+ [Melihat metrik yang tersedia](patch-manager-view-available-patches.md)
+ [Membuat dan mengelola grup patch](patch-manager-tag-a-patch-group.md)
+ [Integrasi dengan Patch Manager AWS Security Hub CSPM](patch-manager-security-hub-integration.md)

# Membuat kebijakan tambalan
<a name="patch-manager-create-a-patch-policy"></a>

Kebijakan tambalan adalah konfigurasi yang Anda atur menggunakanQuick Setup, alat di AWS Systems Manager. Kebijakan patch memberikan kontrol yang lebih luas dan lebih terpusat atas operasi patching Anda daripada yang tersedia dengan metode lain untuk mengonfigurasi patching. Kebijakan patch menentukan jadwal dan baseline yang akan digunakan saat menambal node dan aplikasi Anda secara otomatis.

Untuk informasi selengkapnya, lihat topik berikut:
+ [Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md)
+ [Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup](quick-setup-patch-manager.md)

# Melihat ringkasan Patch Dasbor
<a name="patch-manager-view-dashboard-summaries"></a>

Tab **Dasbor** di Patch Manager memberi Anda tampilan ringkasan di konsol yang dapat Anda gunakan untuk memantau operasi penambalan Anda dalam tampilan gabungan. Patch Manageradalah alat di AWS Systems Manager. Pada tab **Dashboard**, Anda dapat melihat yang berikut:
+ Cuplikan tentang berapa banyak node terkelola yang sesuai dan tidak sesuai dengan aturan penambalan.
+ Cuplikan usia hasil kepatuhan patch untuk node terkelola Anda.
+ Hitungan terkait berapa banyak node terkelola yang tidak patuh yang ada untuk masing-masing alasan paling umum untuk ketidakpatuhan.
+ Daftar tertaut dari operasi penambalan terbaru.
+ Daftar tertaut dari tugas patching berulang yang telah disiapkan.

**Untuk melihat ringkasan Patch Dasbor**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Dasbor**.

1. Gulir ke bagian yang berisi data ringkasan yang ingin Anda lihat:
   + **Manajemen instans Amazon EC2**
   + **Ringkasan kepatuhan**
   + **Ketidakpatuhan diperhitungkan**
   + **Laporan kepatuhan**
   + **Operasi berbasis kebijakan non-patch**
   + **Tugas berulang berbasis kebijakan non-patch**

# Bekerja dengan laporan kepatuhan tambalan
<a name="patch-manager-compliance-reports"></a>

Gunakan informasi dalam topik berikut untuk membantu Anda menghasilkan dan bekerja dengan laporan kepatuhan tambalan diPatch Manager, alat di AWS Systems Manager.

Informasi dalam topik berikut berlaku, apa pun metode atau jenis konfigurasi yang Anda gunakan untuk operasi penambalan Anda: 
+ Kebijakan tambalan yang dikonfigurasi di Quick Setup
+ Opsi Manajemen Host yang dikonfigurasi di Quick Setup
+ Jendela pemeliharaan untuk menjalankan tambalan `Scan` atau `Install` tugas
+ **Patch sesuai permintaan sekarang beroperasi**

**penting**  
Laporan kepatuhan tambalan adalah point-in-time snapshot yang dihasilkan hanya oleh operasi penambalan yang berhasil. Setiap laporan berisi waktu pengambilan yang mengidentifikasi kapan status kepatuhan dihitung.  
Jika Anda memiliki beberapa jenis operasi untuk memindai instans Anda untuk kepatuhan patch, perhatikan bahwa setiap pemindaian menimpa data kepatuhan patch dari pemindaian sebelumnya. Akibatnya, Anda mungkin berakhir dengan hasil yang tidak terduga dalam data kepatuhan patch Anda. Untuk informasi selengkapnya, lihat [Mengidentifikasi eksekusi yang membuat data kepatuhan patch](patch-manager-compliance-data-overwrites.md).  
**Untuk memverifikasi baseline patch mana yang digunakan untuk menghasilkan informasi kepatuhan terbaru, buka tab **Pelaporan kepatuhan** diPatch Manager, cari baris untuk node terkelola yang ingin Anda informasikan, lalu pilih ID dasar di kolom ID Baseline yang digunakan.**

**Topics**
+ [Melihat hasil kepatuhan patch](patch-manager-view-compliance-results.md)
+ [Menghasilkan laporan kepatuhan patch .csv](patch-manager-store-compliance-results-in-s3.md)
+ [Memediasi node terkelola yang tidak sesuai dengan Patch Manager](patch-manager-noncompliant-nodes.md)
+ [Mengidentifikasi eksekusi yang membuat data kepatuhan patch](patch-manager-compliance-data-overwrites.md)

# Melihat hasil kepatuhan patch
<a name="patch-manager-view-compliance-results"></a>

Gunakan prosedur ini untuk melihat informasi kepatuhan tambalan tentang node terkelola Anda.

Prosedur ini berlaku untuk operasi patch yang menggunakan dokumen `AWS-RunPatchBaseline`. Untuk informasi tentang melihat informasi kepatuhan patch untuk operasi patch yang menggunakan dokumen `AWS-RunPatchBaselineAssociation`, lihat [Mengidentifikasi node terkelola yang tidak sesuai](patch-manager-find-noncompliant-nodes.md).

**catatan**  
Operasi pemindaian patch untuk Quick Setup dan Explorer menggunakan `AWS-RunPatchBaselineAssociation` dokumen. Quick Setupdan Explorer keduanya merupakan alat di AWS Systems Manager.

**Identifikasi solusi patch untuk masalah CVE tertentu (Linux)**  
Untuk banyak sistem operasi berbasis Linux, hasil kepatuhan patch menunjukkan masalah buletin Common Vulnerabilities and Exposure (CVE) apa yang diselesaikan oleh patch tertentu. Informasi ini dapat membantu Anda menentukan seberapa mendesak Anda perlu menginstal patch yang hilang atau gagal.

Detail CVE disertakan untuk versi yang didukung dari jenis sistem operasi berikut:
+ AlmaLinux
+ Amazon Linux 2
+ Amazon Linux 2023
+ Oracle Linux
+ Red Hat Enterprise Linux (RHEL)
+ Rocky Linux

**catatan**  
Secara default, CentOS Stream tidak memberikan informasi CVE tentang pembaruan. Namun, Anda dapat mengizinkan support ini dengan menggunakan repositori pihak ketiga seperti repositori Extra Packages for Enterprise Linux (EPEL) yang diterbitkan oleh Fedora. Untuk informasi, lihat [EPEL](https://fedoraproject.org/wiki/EPEL) di Fedora Wiki.  
Saat ini, nilai ID CVE dilaporkan hanya untuk tambalan dengan status atau. `Missing` `Failed`

Anda juga dapat menambahkan CVE IDs ke daftar tambalan yang disetujui atau ditolak di garis dasar tambalan Anda, seperti yang diperlukan oleh situasi dan tujuan penambalan Anda.

Untuk informasi tentang bekerja dengan daftar patch yang disetujui dan ditolak, lihat topik berikut:
+ [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md)
+ [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md)
+ [Cara kerja aturan dasar patch pada sistem berbasis Linux](patch-manager-linux-rules.md)
+ [Cara menginstal patch](patch-manager-installing-patches.md)

**catatan**  
Dalam beberapa kasus, Microsoft merilis patch untuk aplikasi yang tidak menentukan tanggal dan waktu yang diperbarui. Dalam kasus ini, tanggal dan waktu yang diperbarui `01/01/1970` disediakan secara default.

## Melihat hasil patching compliance
<a name="viewing-patch-compliance-results-console"></a>

Gunakan prosedur berikut ini untuk melihat hasil kepatuhan patch di konsol AWS Systems Manager . 

**catatan**  
Untuk informasi tentang menghasilkan laporan kepatuhan patch yang diunduh ke bucket Amazon Simple Storage Service (Amazon S3), lihat [Menghasilkan laporan kepatuhan patch .csv](patch-manager-store-compliance-results-in-s3.md).

**Untuk melihat hasil kepatuhan patch**

1. Lakukan salah satu hal berikut ini.

   **Opsi 1** (disarankan) - Navigasi dariPatch Manager, alat di AWS Systems Manager:
   + Di panel navigasi, pilih **Patch Manager**.
   + Pilih tab **Pelaporan kepatuhan**.
   + Di area **detail penambalan Node**, pilih ID node dari node terkelola yang ingin Anda tinjau hasil kepatuhan tambalan. Node yang sedang `stopped` atau tidak `terminated` akan ditampilkan di sini.
   + Di area **Detail**, dalam daftar **Properti**, pilih **Patch**.

   **Opsi 2** — Navigasi dari Kepatuhan, alat di AWS Systems Manager:
   + Di panel navigasi, pilih **Kepatuhan**.
   + Untuk **Ringkasan sumber daya kepatuhan**, pilih nomor di kolom untuk jenis sumber daya patch yang ingin Anda tinjau, seperti **Sumber daya yang tidak patuh**.
   + Di bawah ini, dalam daftar **Sumber Daya**, pilih ID node terkelola yang ingin Anda tinjau hasil kepatuhan tambalan.
   + Di area **Detail**, dalam daftar **Properti**, pilih **Patch**.

   **Opsi 3** - Navigasi dariFleet Manager, alat masuk AWS Systems Manager.
   + Di panel navigasi, pilih **Fleet Manager**.
   + Di area **Instans terkelola**, pilih ID node terkelola yang ingin Anda tinjau hasil kepatuhan tambalan.
   + Di area **Detail**, dalam daftar **Properti**, pilih **Patch**.

1. (Opsional) Di kotak pencarian (![\[The Search icon\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/search-icon.png)), pilih dari filter yang tersedia.

   Sebagai contoh, untuk Red Hat Enterprise Linux (RHEL), pilih dari yang berikut ini:
   + Nama
   + Klasifikasi
   + Keadaan
   + Kepelikan

    Untuk Windows Server, pilih dari yang berikut ini:
   + KB
   + Klasifikasi
   + Keadaan
   + Kepelikan

1. Pilih salah satu nilai yang tersedia untuk jenis filter yang Anda pilih. Misalnya, jika Anda memilih **Negara**, sekarang pilih status kepatuhan seperti **InstalledPendingReboot**, **Gagal** atau **Hilang**.
**catatan**  
Saat ini, nilai ID CVE dilaporkan hanya untuk tambalan dengan status atau. `Missing` `Failed`

1. Bergantung pada status kepatuhan node terkelola, Anda dapat memilih tindakan apa yang harus diambil untuk memperbaiki node yang tidak patuh.

   Misalnya, Anda dapat memilih untuk segera menambal node terkelola yang tidak sesuai. Untuk informasi tentang menambal node terkelola sesuai permintaan, lihat[Menambal node terkelola sesuai permintaan](patch-manager-patch-now-on-demand.md).

   Untuk informasi tentang nilai keadaan kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).

# Menghasilkan laporan kepatuhan patch .csv
<a name="patch-manager-store-compliance-results-in-s3"></a>

Anda dapat menggunakan AWS Systems Manager konsol untuk menghasilkan laporan kepatuhan patch yang disimpan sebagai file.csv ke bucket Amazon Simple Storage Service (Amazon S3) pilihan Anda. Anda dapat membuat laporan sesuai permintaan tunggal atau menentukan jadwal untuk menghasilkan laporan secara otomatis. 

Laporan dapat dibuat untuk satu node terkelola atau untuk semua node terkelola di yang Anda pilih Akun AWS dan Wilayah AWS. Untuk satu node, laporan berisi detail komprehensif, termasuk IDs tambalan yang terkait dengan node yang tidak sesuai. Untuk laporan tentang semua node terkelola, hanya informasi ringkasan dan jumlah patch node yang tidak sesuai yang disediakan.

Setelah laporan dibuat, Anda dapat menggunakan alat seperti Amazon Quick untuk mengimpor dan menganalisis data. Quick adalah layanan intelijen bisnis (BI) yang dapat Anda gunakan untuk mengeksplorasi dan menafsirkan informasi dalam lingkungan visual yang interaktif. Untuk informasi selengkapnya, lihat [Panduan Pengguna Cepat Amazon](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html).

**catatan**  
Saat membuat baseline patch kustom, Anda dapat menentukan tingkat keparahan kepatuhan untuk tambalan yang disetujui oleh baseline patch tersebut, seperti atau. `Critical` `High` Jika status tambalan dari tambalan yang disetujui dilaporkan sebagai`Missing`, maka tingkat keparahan kepatuhan keseluruhan baseline patch yang dilaporkan adalah tingkat keparahan yang Anda tentukan.

Anda juga dapat menentukan topik Amazon Simple Notification Service (Amazon SNS) yang digunakan untuk mengirim notifikasi ketika laporan dibuat.

**Peran layanan untuk membuat laporan kepatuhan patch**  
Saat pertama kali membuat laporan, Systems Manager membuat peran Automation asumsi bernama `AWS-SystemsManager-PatchSummaryExportRole` untuk digunakan untuk proses ekspor ke S3.

**catatan**  
Jika Anda mengekspor data kepatuhan ke bucket S3 terenkripsi, Anda harus memperbarui kebijakan AWS KMS kunci terkait untuk memberikan izin yang diperlukan. `AWS-SystemsManager-PatchSummaryExportRole` Misalnya, tambahkan izin yang serupa dengan ini ke AWS KMS kebijakan bucket S3 Anda:  

```
{
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "role-arn"
}
```
Ganti *role-arn* dengan Nama Sumber Daya Amazon (ARN) yang dibuat di akun Anda, dalam format. `arn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole`  
Untuk informasi selengkapnya, lihat [Kebijakan kunci di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) di *Panduan Developer AWS Key Management Service *.

Pertama kali Anda membuat laporan pada jadwal, Systems Manager membuat peran layanan lain bernama`AWS-EventBridge-Start-SSMAutomationRole`, bersama dengan peran layanan `AWS-SystemsManager-PatchSummaryExportRole` (jika belum dibuat) untuk digunakan untuk proses ekspor. `AWS-EventBridge-Start-SSMAutomationRole`memungkinkan Amazon EventBridge untuk memulai otomatisasi menggunakan runbook [AWS- ExportPatchReportTo S3](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).

Kami merekomendasikan agar tidak mencoba mengubah kebijakan dan peran ini. Melakukan hal itu dapat menyebabkan pembuatan laporan kepatuhan patch gagal. Untuk informasi selengkapnya, lihat [Memecahkan masalah pembuatan laporan kepatuhan patch](#patch-compliance-reports-troubleshooting).

**Topics**
+ [Apa yang ada dalam laporan kepatuhan patch yang dibuat?](#patch-compliance-reports-to-s3-examples)
+ [Membuat laporan kepatuhan tambalan untuk satu node terkelola](#patch-compliance-reports-to-s3-one-instance)
+ [Membuat laporan kepatuhan tambalan untuk semua node terkelola](#patch-compliance-reports-to-s3-all-instances)
+ [Melihat riwayat pelaporan kepatuhan patch](#patch-compliance-reporting-history)
+ [Melihat jadwal pelaporan kepatuhan patch](#patch-compliance-reporting-schedules)
+ [Memecahkan masalah pembuatan laporan kepatuhan patch](#patch-compliance-reports-troubleshooting)

## Apa yang ada dalam laporan kepatuhan patch yang dibuat?
<a name="patch-compliance-reports-to-s3-examples"></a>

Topik ini menyediakan informasi tentang jenis konten yang disertakan dalam laporan kepatuhan patch yang dihasilkan dan diunduh ke bucket S3 tertentu.

### Format laporan untuk satu node terkelola
<a name="patch-compliance-reports-to-s3-examples-single-instance"></a>

Laporan yang dihasilkan untuk satu node terkelola memberikan ringkasan dan informasi rinci.

[Unduh laporan sampel (simpul tunggal)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-single-instance-patch-compliance-report.zip)

Informasi ringkasan untuk satu node terkelola mencakup yang berikut:
+ Indeks
+ ID instans
+ Nama instans
+ IP instans
+ Nama platform
+ Versi Platform
+ Versi SSM Agent
+ Dasar patch
+ Grup patch
+ Status kepatuhan
+ Kepelikan kepatuhan
+ Jumlah patch dengan kepelikan Kritis yang tidak patuh
+ Jumlah patch dengan kepelikan Tinggi yang tidak patuh
+ Jumlah patch dengan kepelikan Medium yang tidak patuh
+ Jumlah patch dengan kepelikan Rendah yang tidak patuh
+ Jumlah patch dengan kepelikan Informasional yang tidak patuh
+ Jumlah patch dengan kepelikan Tidak Ditentukan yang tidak patuh

Informasi terperinci untuk satu node terkelola mencakup yang berikut:
+ Indeks
+ ID instans
+ Nama instans
+ Nama patch
+  ID/Patch ID KB
+ Keadaan patch
+ Waktu laporan terakhir
+ Tingkat kepatuhan
+ Kepelikan patch
+ Klasifikasi patch
+ ID CVE
+ Dasar patch
+ URL Log
+ IP instans
+ Nama platform
+ Versi Platform
+ Versi SSM Agent

**catatan**  
Saat membuat baseline patch kustom, Anda dapat menentukan tingkat keparahan kepatuhan untuk tambalan yang disetujui oleh baseline patch tersebut, seperti atau. `Critical` `High` Jika status tambalan dari tambalan yang disetujui dilaporkan sebagai`Missing`, maka tingkat keparahan kepatuhan keseluruhan baseline patch yang dilaporkan adalah tingkat keparahan yang Anda tentukan.

### Format laporan untuk semua node terkelola
<a name="patch-compliance-reports-to-s3-examples-all-instances"></a>

Laporan yang dibuat untuk semua node terkelola hanya menyediakan informasi ringkasan.

[Unduh contoh laporan (semua node terkelola)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-all-instances-patch-compliance-report.zip)

Informasi ringkasan untuk semua node terkelola mencakup yang berikut:
+ Indeks
+ ID instans
+ Nama instans
+ IP instans
+ Nama platform
+ Versi Platform
+ Versi SSM Agent
+ Dasar patch
+ Grup patch
+ Status kepatuhan
+ Kepelikan kepatuhan
+ Jumlah patch dengan kepelikan Kritis yang tidak patuh
+ Jumlah patch dengan kepelikan Tinggi yang tidak patuh
+ Jumlah patch dengan kepelikan Medium yang tidak patuh
+ Jumlah patch dengan kepelikan Rendah yang tidak patuh
+ Jumlah patch dengan kepelikan Informasional yang tidak patuh
+ Jumlah patch dengan kepelikan Tidak Ditentukan yang tidak patuh

## Membuat laporan kepatuhan tambalan untuk satu node terkelola
<a name="patch-compliance-reports-to-s3-one-instance"></a>

Gunakan prosedur berikut untuk menghasilkan laporan ringkasan tambalan untuk satu node terkelola di Anda Akun AWS. Laporan untuk satu node terkelola memberikan detail tentang setiap tambalan yang tidak sesuai, termasuk nama tambalan dan IDs. 

**Untuk menghasilkan laporan kepatuhan tambalan untuk satu node terkelola**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Pelaporan kepatuhan**.

1. Pilih tombol untuk baris node terkelola yang ingin Anda hasilkan laporannya, lalu pilih **Lihat detail**.

1. Di bagian **Ringkasan tambalan**, pilih **Ekspor ke S3**.

1. Untuk **Nama laporan**, masukkan nama untuk membantu Anda mengidentifikasi laporan nanti.

1. Untuk **Frekuensi pelaporan**, pilih salah satu hal berikut:
   + **Sesuai permintaan** — Buat laporan satu kali. Lewati ke Langkah 9.
   + **Sesuai jadwal** — Tentukan jadwal berulang untuk membuat laporan secara otomatis. Lanjutkan ke Langkah 8.

1. Untuk **Jenis jadwal**, tentukan ekspresi rate, seperti setiap 3 hari, atau berikan ekspresi cron untuk mengatur frekuensi laporan.

   Untuk informasi tentang ekspresi cron, lihat [Referensi: Ekspresi cron dan rate untuk Systems Manager](reference-cron-and-rate-expressions.md).

1. Untuk **Nama bucket**, pilih nama bucket S3 tempat Anda ingin menyimpan file laporan .csv.
**penting**  
Jika Anda bekerja di sebuah Wilayah AWS yang diluncurkan setelah 20 Maret 2019, Anda harus memilih bucket S3 di Wilayah yang sama. Region yang diluncurkan setelah tanggal tersebut dimatikan secara default. Untuk informasi selengkapnya dan daftar Wilayah ini, lihat [Mengaktifkan Wilayah](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) di. *Referensi Umum Amazon Web Services*

1. (Opsional) Untuk mengirim pemberitahuan saat laporan dibuat, keluarkan bagian **topik SNS, lalu pilih topik** Amazon SNS yang ada dari **topik SNS Nama Sumber Daya Amazon** (ARN).

1. Pilih **Kirim**.

Untuk informasi tentang melihat riwayat laporan yang dibuat, lihat [Melihat riwayat pelaporan kepatuhan patch](#patch-compliance-reporting-history).

Untuk informasi tentang melihat detail jadwal pelaporan yang telah Anda buat, lihat [Melihat jadwal pelaporan kepatuhan patch](#patch-compliance-reporting-schedules).

## Membuat laporan kepatuhan tambalan untuk semua node terkelola
<a name="patch-compliance-reports-to-s3-all-instances"></a>

Gunakan prosedur berikut untuk menghasilkan laporan ringkasan tambalan untuk semua node terkelola di Anda Akun AWS. Laporan untuk semua node terkelola menunjukkan node mana yang tidak sesuai dan jumlah tambalan yang tidak sesuai. Ini tidak memberikan nama atau pengidentifikasi lain dari patch. Untuk detail tambahan ini, Anda dapat membuat laporan kepatuhan patch untuk satu node terkelola. Untuk informasi, lihat [Membuat laporan kepatuhan tambalan untuk satu node terkelola](#patch-compliance-reports-to-s3-one-instance) sebelumnya dalam topik ini. 

**Untuk menghasilkan laporan kepatuhan tambalan untuk semua node terkelola**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Pelaporan kepatuhan**.

1. Pilih **Ekspor ke S3**. (Jangan pilih ID node terlebih dahulu.)

1. Untuk **Nama laporan**, masukkan nama untuk membantu Anda mengidentifikasi laporan nanti.

1. Untuk **Frekuensi pelaporan**, pilih salah satu hal berikut:
   + **Sesuai permintaan** — Buat laporan satu kali. Lewati ke Langkah 8.
   + **Sesuai jadwal** — Tentukan jadwal berulang untuk membuat laporan secara otomatis. Lanjutkan ke Langkah 7.

1. Untuk **Jenis jadwal**, tentukan ekspresi rate, seperti setiap 3 hari, atau berikan ekspresi cron untuk mengatur frekuensi laporan.

   Untuk informasi tentang ekspresi cron, lihat [Referensi: Ekspresi cron dan rate untuk Systems Manager](reference-cron-and-rate-expressions.md).

1. Untuk **Nama bucket**, pilih nama bucket S3 tempat Anda ingin menyimpan file laporan .csv.
**penting**  
Jika Anda bekerja di sebuah Wilayah AWS yang diluncurkan setelah 20 Maret 2019, Anda harus memilih bucket S3 di Wilayah yang sama. Region yang diluncurkan setelah tanggal tersebut dimatikan secara default. Untuk informasi selengkapnya dan daftar Wilayah ini, lihat [Mengaktifkan Wilayah](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) di. *Referensi Umum Amazon Web Services*

1. (Opsional) Untuk mengirim pemberitahuan saat laporan dibuat, keluarkan bagian **topik SNS, lalu pilih topik** Amazon SNS yang ada dari **topik SNS Nama Sumber Daya Amazon** (ARN).

1. Pilih **Kirim**.

Untuk informasi tentang melihat riwayat laporan yang dibuat, lihat [Melihat riwayat pelaporan kepatuhan patch](#patch-compliance-reporting-history).

Untuk informasi tentang melihat detail jadwal pelaporan yang telah Anda buat, lihat [Melihat jadwal pelaporan kepatuhan patch](#patch-compliance-reporting-schedules).

## Melihat riwayat pelaporan kepatuhan patch
<a name="patch-compliance-reporting-history"></a>

Gunakan informasi dalam topik ini untuk membantu Anda melihat detail tentang laporan kepatuhan tambalan yang dihasilkan di Anda Akun AWS.

**Untuk melihat riwayat pelaporan kepatuhan patch**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Pelaporan kepatuhan**.

1. Pilih **Lihat semua ekspor S3**, lalu pilih tab **Riwayat ekspor**.

## Melihat jadwal pelaporan kepatuhan patch
<a name="patch-compliance-reporting-schedules"></a>

Gunakan informasi dalam topik ini untuk membantu Anda melihat detail tentang jadwal pelaporan kepatuhan tambalan yang dibuat di situs Anda Akun AWS.

**Untuk melihat riwayat pelaporan kepatuhan patch**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Pelaporan kepatuhan**.

1. Pilih **Lihat semua ekspor S3**, lalu pilih tab **Aturan jadwal laporan**.

## Memecahkan masalah pembuatan laporan kepatuhan patch
<a name="patch-compliance-reports-troubleshooting"></a>

Gunakan informasi berikut untuk membantu Anda memecahkan masalah dengan menghasilkan pembuatan laporan kepatuhan tambalan diPatch Manager, alat di. AWS Systems Manager

**Topics**
+ [Pesan melaporkan bahwa kebijakan `AWS-SystemsManager-PatchManagerExportRolePolicy` rusak](#patch-compliance-reports-troubleshooting-1)
+ [Setelah menghapus kebijakan atau peran kepatuhan patch, laporan terjadwal tidak berhasil dibuat](#patch-compliance-reports-troubleshooting-2)

### Pesan melaporkan bahwa kebijakan `AWS-SystemsManager-PatchManagerExportRolePolicy` rusak
<a name="patch-compliance-reports-troubleshooting-1"></a>

**Masalah**: Anda menerima pesan kesalahan yang serupa dengan berikut ini, menunjukkan `AWS-SystemsManager-PatchManagerExportRolePolicy` rusak:

```
An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.
```
+ **Solusi**: Gunakan Patch Manager konsol atau AWS CLI untuk menghapus peran dan kebijakan yang terpengaruh sebelum membuat laporan kepatuhan patch baru.

**Untuk menghapus kebijakan korup menggunakan konsol**

  1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

  1. Lakukan salah satu tindakan berikut:

     **Laporan sesuai permintaan** — Jika masalah terjadi saat membuat laporan sesuai permintaan satu kali, di navigasi sebelah kiri, pilih **Kebijakan**, cari `AWS-SystemsManager-PatchManagerExportRolePolicy`, lalu hapus kebijakan tersebut. Selanjutnya, pilih **Peran**, cari `AWS-SystemsManager-PatchSummaryExportRole`, lalu hapus peran tersebut.

     **Laporan terjadwal** — Jika masalah terjadi saat membuat laporan sesuai jadwal, di navigasi kiri, pilih **Kebijakan**, cari satu per satu`AWS-SystemsManager-PatchManagerExportRolePolicy`, `AWS-EventBridge-Start-SSMAutomationRolePolicy` dan hapus setiap kebijakan. Selanjutnya, pilih **Peran**, cari satu per satu untuk `AWS-EventBridge-Start-SSMAutomationRole` dan `AWS-SystemsManager-PatchSummaryExportRole`, dan hapus masing-masing peran.

**Untuk menghapus kebijakan korup menggunakan AWS CLI**

  Ganti *placeholder values* dengan ID akun Anda.
  + Jika masalah terjadi saat membuat laporan on-demand satu kali, jalankan perintah berikut:

    ```
    aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
    ```

    ```
    aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
    ```

    Jika masalah terjadi saat membuat laporan pada jadwal, jalankan perintah berikut:

    ```
    aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
    ```

    ```
    aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
    ```

    ```
    aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
    ```

    ```
    aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
    ```

  Setelah menyelesaikan salah satu prosedur, ikuti langkah-langkah untuk membuat atau menjadwalkan laporan kepatuhan patch baru.

### Setelah menghapus kebijakan atau peran kepatuhan patch, laporan terjadwal tidak berhasil dibuat
<a name="patch-compliance-reports-troubleshooting-2"></a>

**Masalah**: Pertama kali Anda membuat laporan, Systems Manager membuat peran layanan dan kebijakan untuk digunakan untuk proses ekspor (`AWS-SystemsManager-PatchSummaryExportRole` dan `AWS-SystemsManager-PatchManagerExportRolePolicy`). Pertama kali Anda membuat laporan terjadwal, Systems Manager membuat peran layanan lain dan kebijakan (`AWS-EventBridge-Start-SSMAutomationRole` dan `AWS-EventBridge-Start-SSMAutomationRolePolicy`). Ini memungkinkan Amazon EventBridge memulai otomatisasi menggunakan runbook [AWS- ExportPatchReportTo S3](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).

Jika Anda menghapus salah satu kebijakan atau peran ini, hubungan antara jadwal Anda dan bucket S3 yang ditentukan dan topik Amazon SNS mungkin hilang. 
+ **Solusi**: Untuk mengatasi masalah ini, kami merekomendasikan untuk menghapus jadwal sebelumnya dan membuat jadwal baru untuk menggantikan jadwal yang mengalami masalah.

# Memediasi node terkelola yang tidak sesuai dengan Patch Manager
<a name="patch-manager-noncompliant-nodes"></a>

Topik di bagian ini memberikan ikhtisar tentang cara mengidentifikasi node terkelola yang tidak sesuai dengan patch dan bagaimana membawa node ke dalam kepatuhan.

**Topics**
+ [Mengidentifikasi node terkelola yang tidak sesuai](patch-manager-find-noncompliant-nodes.md)
+ [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md)
+ [Menambal node terkelola yang tidak sesuai](patch-manager-compliance-remediation.md)

# Mengidentifikasi node terkelola yang tidak sesuai
<a name="patch-manager-find-noncompliant-nodes"></a>

Out-of-compliance node terkelola diidentifikasi ketika salah satu dari dua AWS Systems Manager dokumen (dokumen SSM) dijalankan. Dokumen SSM ini mereferensikan baseline patch yang sesuai untuk setiap node terkelola diPatch Manager, sebuah alat di. AWS Systems Manager Mereka kemudian mengevaluasi status patch dari node terkelola dan kemudian membuat hasil kepatuhan tersedia untuk Anda.

Ada dua dokumen SSM yang digunakan untuk mengidentifikasi atau memperbarui node terkelola yang tidak sesuai: dan. `AWS-RunPatchBaseline` `AWS-RunPatchBaselineAssociation` Masing-masing digunakan oleh proses yang berbeda, dan hasil kepatuhan mereka tersedia melalui saluran yang berbeda. Tabel berikut ini menguraikan perbedaan antara dokumen-dokumen ini.

**catatan**  
Data kepatuhan tambalan dari Patch Manager dapat dikirim ke AWS Security Hub CSPM. Security Hub CSPM memberi Anda pandangan komprehensif tentang peringatan keamanan prioritas tinggi dan status kepatuhan Anda. Hub juga memantau status patching armada Anda. Untuk informasi selengkapnya, lihat [Integrasi dengan Patch Manager AWS Security Hub CSPM](patch-manager-security-hub-integration.md). 


|  | `AWS-RunPatchBaseline` | `AWS-RunPatchBaselineAssociation` | 
| --- | --- | --- | 
| Proses yang menggunakan dokumen |  **Patch on demand** - Anda dapat memindai atau menambal node yang dikelola sesuai permintaan menggunakan opsi **Patch now**. Untuk informasi, lihat [Menambal node terkelola sesuai permintaan](patch-manager-patch-now-on-demand.md). **Kebijakan Quick Setup patch Systems Manager** — Anda dapat membuat konfigurasi tambalanQuick Setup, alat di AWS Systems Manager, yang dapat memindai atau menginstal tambalan yang hilang pada jadwal terpisah untuk seluruh organisasi, subset unit organisasi, atau satu. Akun AWS Untuk informasi, lihat [Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup](quick-setup-patch-manager.md). **Jalankan perintah** - Anda dapat menjalankan `AWS-RunPatchBaseline` secara manual dalam operasi diRun Command, alat di AWS Systems Manager. Untuk informasi, lihat [Menjalankan perintah dari konsol](running-commands-console.md). **Jendela pemeliharaan** - Anda dapat membuat jendela pemeliharaan yang menggunakan dokumen SSM `AWS-RunPatchBaseline` dalam tipe Run Command tugas. Untuk informasi, lihat [Tutorial: Buat jendela pemeliharaan untuk menambal menggunakan konsol](maintenance-window-tutorial-patching.md).  |  **Manajemen Quick Setup Host Systems Manager** — Anda dapat mengaktifkan opsi konfigurasi Manajemen Host Quick Setup untuk memindai instans terkelola untuk kepatuhan patch setiap hari. Untuk informasi, lihat [Siapkan manajemen host Amazon EC2 menggunakan Quick Setup](quick-setup-host-management.md). **Systems Manager [Explorer](Explorer.md)**— Bila Anda mengizinkanExplorer, alat masuk AWS Systems Manager, alat ini secara teratur memindai instans terkelola Anda untuk kepatuhan tambalan dan hasil laporan di dasbor. Explorer  | 
| Format data hasil pemindaian patch |  Setelah `AWS-RunPatchBaseline` berjalan, Patch Manager mengirim `AWS:PatchSummary` objek ke Inventory, alat di AWS Systems Manager. Laporan ini dihasilkan hanya oleh operasi penambalan yang berhasil dan mencakup waktu pengambilan yang mengidentifikasi kapan status kepatuhan dihitung.  |  Setelah `AWS-RunPatchBaselineAssociation` berjalan, Patch Manager mengirimkan `AWS:ComplianceItem` objek ke Systems Manager Inventory.  | 
| Melihat laporan kepatuhan patch di konsol |  Anda dapat melihat informasi kepatuhan patch untuk proses yang menggunakan `AWS-RunPatchBaseline` dalam [Kepatuhan Konfigurasi Systems Manager](systems-manager-compliance.md) dan [Bekerja dengan node terkelola](fleet-manager-managed-nodes.md). Untuk informasi selengkapnya, lihat [Melihat hasil kepatuhan patch](patch-manager-view-compliance-results.md).  |  Jika digunakan Quick Setup untuk memindai instans terkelola untuk kepatuhan tambalan, Anda dapat melihat laporan kepatuhan di [Systems Manager Fleet Manager](fleet-manager.md). Di Fleet Manager konsol, pilih ID node dari node terkelola Anda. Di menu **Umum**, pilih **Kepatuhan konfigurasi**. Jika digunakan Explorer untuk memindai instans terkelola untuk kepatuhan tambalan, Anda dapat melihat laporan kepatuhan di keduanya Explorer dan [Systems Manager OpsCenter](OpsCenter.md).  | 
| AWS CLI perintah untuk melihat hasil kepatuhan patch |  Untuk proses yang digunakan`AWS-RunPatchBaseline`, Anda dapat menggunakan AWS CLI perintah berikut untuk melihat informasi ringkasan tentang tambalan pada node terkelola. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html)  |  Untuk proses yang digunakan`AWS-RunPatchBaselineAssociation`, Anda dapat menggunakan AWS CLI perintah berikut untuk melihat informasi ringkasan tentang tambalan pada sebuah instance. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html)  | 
| Operasi patching |  Untuk proses yang menggunakan `AWS-RunPatchBaseline`, Anda menentukan apakah Anda ingin operasi untuk menjalankan operasi `Scan` saja, atau operasi `Scan and install`. Jika tujuan Anda adalah mengidentifikasi node terkelola yang tidak sesuai dan tidak memperbaikinya, jalankan hanya operasi. `Scan`  | Quick Setupdan Explorer proses, yang menggunakanAWS-RunPatchBaselineAssociation, hanya menjalankan Scan operasi. | 
| Info selengkapnya |  [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md)  |  [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md)  | 

Untuk informasi tentang berbagai keadaan kepatuhan patch yang mungkin Anda lihat dilaporkan, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md)

Untuk informasi tentang remediasi node terkelola yang tidak sesuai dengan patch, lihat[Menambal node terkelola yang tidak sesuai](patch-manager-compliance-remediation.md).

# Nilai status kepatuhan tambalan
<a name="patch-manager-compliance-states"></a>

Informasi tentang patch untuk node terkelola mencakup laporan status, atau status, dari setiap patch individu.

**Tip**  
Jika Anda ingin menetapkan status kepatuhan patch tertentu ke node terkelola, Anda dapat menggunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html) AWS Command Line Interface (AWS CLI) atau operasi [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html)API. Penetapan keadaan kepatuhan tidak di-support di konsol.

Gunakan informasi dalam tabel berikut untuk membantu Anda mengidentifikasi mengapa node terkelola mungkin tidak sesuai dengan patch.

## Nilai kepatuhan tambalan untuk Debian Server dan Ubuntu Server
<a name="patch-compliance-values-ubuntu"></a>

Untuk Debian Server danUbuntu Server, aturan untuk klasifikasi paket ke dalam negara kepatuhan yang berbeda dijelaskan dalam tabel berikut.

**catatan**  
Ingatlah hal berikut saat mengevaluasi`INSTALLED`,`INSTALLED_OTHER`, dan nilai `MISSING` status: Jika Anda tidak memilih kotak centang **Sertakan pembaruan nonkeamanan** saat membuat atau memperbarui baseline tambalan, versi kandidat tambalan terbatas pada tambalan di repositori berikut:.   
Ubuntu Server16.04 LTS: `xenial-security`
Ubuntu Server18.04 LTS: `bionic-security`
Ubuntu Server20.04 LTS: `focal-security`
Ubuntu Server22,04 LTS () `jammy-security`
Ubuntu Server24.04 LTS () `noble-security`
Ubuntu Server25.04 () `plucky-security`
`debian-security` (Debian Server)
Jika Anda memilih kotak centang **Sertakan pembaruan non-keamanan**, patch dari repositori lain turut dipertimbangkan.


| Keadaan patch | Deskripsi | Status kepatuhan | 
| --- | --- | --- | 
|  **`INSTALLED`**  |  Patch terdaftar di baseline patch dan diinstal pada node terkelola. Itu bisa diinstal baik secara manual oleh individu atau secara otomatis Patch Manager ketika `AWS-RunPatchBaseline` dokumen dijalankan pada node yang dikelola.  | Patuh | 
|  **`INSTALLED_OTHER`**  |  Patch tidak disertakan dalam baseline atau tidak disetujui oleh baseline tetapi diinstal pada node terkelola. Patch mungkin telah diinstal secara manual, paket bisa menjadi ketergantungan yang diperlukan dari patch lain yang disetujui, atau patch mungkin telah disertakan dalam InstallOverrideList operasi. Jika Anda tidak menentukan `Block` sebagai tindakan **Patch ditolak**, patch `INSTALLED_OTHER` juga mencakup patch yang terinstal tetapi ditolak.   | Patuh | 
|  **`INSTALLED_PENDING_REBOOT`**  |  `INSTALLED_PENDING_REBOOT`dapat berarti salah satu dari dua hal: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-compliance-states.html) Dalam kedua kasus itu tidak berarti bahwa tambalan dengan status ini *memerlukan* reboot, hanya saja node belum di-boot ulang sejak tambalan diinstal.  | Tidak Patuh | 
|  **`INSTALLED_REJECTED`**  |  Patch diinstal pada node terkelola tetapi ditentukan dalam daftar **tambalan Ditolak**. Ini biasanya berarti patch telah diinstal sebelum ditambahkan ke daftar patch yang ditolak.  | Tidak Patuh | 
|  **`MISSING`**  |  Patch disetujui di baseline, tetapi tidak diinstal pada node terkelola. Jika Anda mengonfigurasi tugas dokumen `AWS-RunPatchBaseline` untuk memindai (bukan menginstal), sistem melaporkan status ini untuk patch yang diletakkan selama pemindaian tetapi belum diinstal.  | Tidak Patuh | 
|  **`FAILED`**  |  patch disetujui dalam baseline, tapi tidak dapat diinstal. Untuk memecahkan masalah situasi ini, tinjau output perintah untuk informasi yang mungkin membantu Anda memahami masalah.  | Tidak Patuh | 

## Nilai kepatuhan patch untuk sistem operasi lain
<a name="patch-compliance-values"></a>

Untuk semua sistem operasi selain Debian Server danUbuntu Server, aturan untuk klasifikasi paket ke dalam status kepatuhan yang berbeda dijelaskan dalam tabel berikut. 


|  Keadaan patch | Deskripsi | Nilai kepatuhan | 
| --- | --- | --- | 
|  **`INSTALLED`**  |  Patch terdaftar di baseline patch dan diinstal pada node terkelola. Itu bisa diinstal baik secara manual oleh individu atau secara otomatis Patch Manager ketika `AWS-RunPatchBaseline` dokumen dijalankan pada node.  | Patuh | 
|  **`INSTALLED_OTHER`**¹  |  Patch tidak ada di baseline, tetapi diinstal pada node terkelola. Ada dua kemungkinan alasan untuk ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-compliance-states.html)  | Patuh | 
|  **`INSTALLED_REJECTED`**  |  Patch diinstal pada node terkelola tetapi ditentukan dalam daftar tambalan yang ditolak. Ini biasanya berarti patch telah diinstal sebelum ditambahkan ke daftar patch yang ditolak.  | Tidak Patuh | 
|  **`INSTALLED_PENDING_REBOOT`**  |  `INSTALLED_PENDING_REBOOT`dapat berarti salah satu dari dua hal: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-compliance-states.html) Dalam kedua kasus itu tidak berarti bahwa tambalan dengan status ini *memerlukan* reboot, hanya saja node belum di-boot ulang sejak tambalan diinstal.  | Tidak Patuh | 
|  **`MISSING`**  |  Patch disetujui di baseline, tetapi tidak diinstal pada node terkelola. Jika Anda mengonfigurasi tugas dokumen `AWS-RunPatchBaseline` untuk memindai (bukan menginstal), sistem melaporkan status ini untuk patch yang diletakkan selama pemindaian tetapi belum diinstal.  | Tidak Patuh | 
|  **`FAILED`**  |  patch disetujui dalam baseline, tapi tidak dapat diinstal. Untuk memecahkan masalah situasi ini, tinjau output perintah untuk informasi yang mungkin membantu Anda memahami masalah.  | Tidak Patuh | 
|  **`NOT_APPLICABLE`**¹  |  *Status kepatuhan ini dilaporkan hanya untuk sistem Windows Server operasi.* Patch disetujui di baseline, tetapi layanan atau fitur yang menggunakan tambalan tidak diinstal pada node terkelola. Misalnya, patch untuk layanan server web seperti Internet Information Services (IIS) akan menunjukkan `NOT_APPLICABLE` apakah itu disetujui di baseline, tetapi layanan web tidak diinstal pada node terkelola. Sebuah patch juga dapat ditandai `NOT_APPLICABLE` jika telah digantikan oleh pembaruan berikutnya. Ini berarti bahwa pembaruan yang setelahnya diinstal dan pembaruan `NOT_APPLICABLE` tidak lagi diperlukan.  | Tidak berlaku | 
| AVAILABLE\$1SECURITY\$1UPDATES |  *Status kepatuhan ini dilaporkan hanya untuk sistem Windows Server operasi.* Patch pembaruan keamanan yang tersedia yang tidak disetujui oleh baseline patch dapat memiliki nilai kepatuhan `Compliant` atau`Non-Compliant`, seperti yang didefinisikan dalam baseline patch kustom. Saat Anda membuat atau memperbarui baseline patch, Anda memilih status yang ingin Anda tetapkan ke patch keamanan yang tersedia tetapi tidak disetujui karena tidak memenuhi kriteria instalasi yang ditentukan dalam baseline patch. Misalnya, patch keamanan yang mungkin ingin Anda instal dapat dilewati jika Anda telah menentukan jangka waktu yang lama untuk menunggu setelah patch dirilis sebelum instalasi. Jika pembaruan pada tambalan dirilis selama masa tunggu yang Anda tentukan, masa tunggu untuk menginstal tambalan dimulai lagi. Jika masa tunggu terlalu lama, beberapa versi patch dapat dirilis tetapi tidak pernah diinstal. Untuk hitungan ringkasan tambalan, ketika tambalan dilaporkan sebagai`AvailableSecurityUpdate`, itu akan selalu disertakan. `AvailableSecurityUpdateCount` Jika baseline dikonfigurasi untuk melaporkan patch ini sebagai`NonCompliant`, itu juga termasuk dalam. `SecurityNonCompliantCount` Jika baseline dikonfigurasi untuk melaporkan patch ini sebagai`Compliant`, mereka tidak termasuk dalam. `SecurityNonCompliantCount` Tambalan ini selalu dilaporkan dengan tingkat keparahan yang tidak ditentukan dan tidak pernah disertakan dalam. `CriticalNonCompliantCount`  |  Compliant atau Non-Compliant, tergantung pada opsi yang dipilih untuk pembaruan keamanan yang tersedia.  Menggunakan konsol untuk membuat atau memperbarui garis dasar tambalan, Anda menentukan opsi ini di bidang **Status kepatuhan pembaruan keamanan yang tersedia**. Menggunakan AWS CLI untuk menjalankan [https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html)perintah [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html)or, Anda menentukan opsi ini dalam `available-security-updates-compliance-status` parameter.   | 

¹ Untuk tambalan dengan status `INSTALLED_OTHER` dan`NOT_APPLICABLE`, Patch Manager menghilangkan beberapa data dari hasil kueri berdasarkan [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html)perintah, seperti nilai untuk `Classification` dan. `Severity` Hal ini dilakukan untuk membantu mencegah melebihi batas data untuk node individu di Inventory, alat di AWS Systems Manager. Untuk melihat semua detail tambalan, Anda dapat menggunakan [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html)perintah. 

# Menambal node terkelola yang tidak sesuai
<a name="patch-manager-compliance-remediation"></a>

Banyak AWS Systems Manager alat dan proses yang sama yang dapat Anda gunakan untuk memeriksa node terkelola untuk kepatuhan patch dapat digunakan untuk membuat node sesuai dengan aturan tambalan yang saat ini berlaku untuk mereka. Untuk membawa node terkelola ke dalam kepatuhan patchPatch Manager,, alat di AWS Systems Manager, harus menjalankan `Scan and install` operasi. (Jika tujuan Anda hanya untuk mengidentifikasi node terkelola yang tidak sesuai dan tidak memperbaikinya, jalankan operasi sebagai `Scan` gantinya. Untuk informasi lebih lanjut, lihat[Mengidentifikasi node terkelola yang tidak sesuai](patch-manager-find-noncompliant-nodes.md).)

**Instal patch menggunakan Systems Manager**  
Anda dapat memilih dari beberapa alat untuk menjalankan operasi `Scan and install`:
+ (Disarankan) Konfigurasikan kebijakan tambalan diQuick Setup, alat di Systems Manager, yang memungkinkan Anda menginstal tambalan yang hilang pada jadwal untuk seluruh organisasi, subset unit organisasi, atau satu. Akun AWS Untuk informasi selengkapnya, lihat [Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup](quick-setup-patch-manager.md).
+ Buat jendela pemeliharaan yang menggunakan dokumen Systems Manager (dokumen SSM) `AWS-RunPatchBaseline` dalam tipe Run Command tugas. Untuk informasi, lihat [Tutorial: Buat jendela pemeliharaan untuk menambal menggunakan konsol](maintenance-window-tutorial-patching.md).
+ Jalankan secara manual `AWS-RunPatchBaseline` dalam suatu Run Command operasi. Untuk informasi, lihat [Menjalankan perintah dari konsol](running-commands-console.md).
+ Instal patch sesuai permintaan menggunakan opsi **Patch sekarang**. Untuk informasi, lihat [Menambal node terkelola sesuai permintaan](patch-manager-patch-now-on-demand.md).

# Mengidentifikasi eksekusi yang membuat data kepatuhan patch
<a name="patch-manager-compliance-data-overwrites"></a>

Data kepatuhan tambalan mewakili point-in-time snapshot dari operasi patching terbaru yang berhasil. Setiap laporan kepatuhan mencakup ID eksekusi dan waktu pengambilan yang membantu Anda mengidentifikasi operasi mana yang membuat data kepatuhan dan kapan dibuat.

Jika Anda memiliki beberapa jenis operasi untuk memindai instans Anda untuk kepatuhan patch, setiap pemindaian menimpa data kepatuhan patch dari pemindaian sebelumnya. Akibatnya, Anda mungkin berakhir dengan hasil yang tidak terduga dalam data kepatuhan patch Anda.

Misalnya, Anda membuat kebijakan tambalan yang memindai kepatuhan patch setiap hari pada pukul 2 pagi waktu setempat. Kebijakan tambalan itu menggunakan garis dasar tambalan yang menargetkan tambalan dengan tingkat keparahan yang ditandai sebagai`Critical`,, `Important` dan. `Moderate` Garis dasar tambalan ini juga menentukan beberapa tambalan yang ditolak secara khusus. 

Juga misalkan Anda sudah memiliki jendela pemeliharaan yang disiapkan untuk memindai kumpulan node terkelola yang sama setiap hari pada pukul 4 pagi waktu setempat, yang tidak Anda hapus atau nonaktifkan. Tugas jendela pemeliharaan itu menggunakan baseline tambalan yang berbeda, tugas yang hanya menargetkan tambalan dengan `Critical` tingkat keparahan dan tidak mengecualikan tambalan tertentu. 

Ketika pemindaian kedua ini dilakukan oleh jendela pemeliharaan, data kepatuhan patch dari pemindaian pertama dihapus dan diganti dengan kepatuhan patch dari pemindaian kedua. 

Oleh karena itu, kami sangat menyarankan hanya menggunakan satu metode otomatis untuk memindai dan menginstal dalam operasi penambalan Anda. Jika Anda menyiapkan kebijakan tambalan, Anda harus menghapus atau menonaktifkan metode pemindaian lain untuk kepatuhan tambalan. Untuk informasi selengkapnya, lihat topik berikut: 
+ Untuk menghapus tugas operasi tambalan dari jendela pemeliharaan - [Memperbarui atau membatalkan pendaftaran tugas jendela pemeliharaan menggunakan konsol](sysman-maintenance-update.md#sysman-maintenance-update-tasks) 
+ Untuk menghapus State Manager asosiasi —[Menghapus asosiasi](systems-manager-state-manager-delete-association.md).

Untuk menonaktifkan pemindaian kepatuhan patch harian dalam konfigurasi Manajemen Host, lakukan hal berikut di: Quick Setup

1. Di panel navigasi, pilih **Quick Setup**.

1. Pilih konfigurasi Manajemen Host untuk diperbarui.

1. Pilih **Tindakan, Edit konfigurasi**.

1. Kosongkan kotak centang **instance Pindai untuk patch yang hilang setiap hari**.

1. Pilih **Perbarui**.

**catatan**  
Menggunakan opsi **Patch now** untuk memindai node terkelola untuk kepatuhan juga menghasilkan penimpaan data kepatuhan patch. 

# Menambal node terkelola sesuai permintaan
<a name="patch-manager-patch-now-on-demand"></a>

Menggunakan opsi **Patch now** diPatch Manager, alat di AWS Systems Manager, Anda dapat menjalankan operasi patching sesuai permintaan dari konsol Systems Manager. Ini berarti Anda tidak perlu membuat jadwal untuk memperbarui status kepatuhan node terkelola Anda atau untuk menginstal tambalan pada node yang tidak sesuai. Anda juga tidak perlu mengganti konsol Systems Manager antara Patch Manager danMaintenance Windows, alat di AWS Systems Manager, untuk mengatur atau memodifikasi jendela patching terjadwal.

**Patch sekarang** sangat berguna ketika Anda harus menerapkan pembaruan zero-day atau menginstal patch penting lainnya pada node terkelola Anda sesegera mungkin.

**catatan**  
Penambalan sesuai permintaan didukung untuk satu Akun AWSWilayah AWS pasangan sekaligus. Itu tidak dapat digunakan dengan operasi penambalan yang didasarkan pada *kebijakan tambalan*. Sebaiknya gunakan kebijakan tambalan untuk menjaga agar semua node terkelola tetap sesuai. Untuk informasi selengkapnya tentang bekerja dengan kebijakan tambalan, lihat[Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md).

**Topics**
+ [Cara kerja 'Patch sekarang'](#patch-on-demand-how-it-works)
+ [Menjalankan 'Patch sekarang'](#run-patch-now)

## Cara kerja 'Patch sekarang'
<a name="patch-on-demand-how-it-works"></a>

Untuk menjalankan **Patch sekarang**, Anda hanya menentukan dua pengaturan yang diperlukan:
+ Apakah akan memindai patch yang hilang saja, atau untuk memindai *dan* menginstal tambalan pada node terkelola Anda
+ Yang mengelola node untuk menjalankan operasi pada

Ketika operasi **Patch sekarang** berjalan, ini menentukan baseline patch mana yang akan digunakan dengan cara yang sama yang dipilih untuk operasi patching lainnya. Jika node terkelola dikaitkan dengan grup tambalan, baseline patch yang ditentukan untuk grup tersebut akan digunakan. Jika node terkelola tidak terkait dengan grup patch, operasi menggunakan baseline patch yang saat ini ditetapkan sebagai default untuk jenis sistem operasi dari node terkelola. Ini bisa berupa baseline yang telah ditentukan sebelumnya, atau baseline kustom yang telah Anda tetapkan sebagai default. Untuk informasi lebih lanjut tentang pemilihan dasar tambalan, lihat. [Grup tambalan](patch-manager-patch-groups.md) 

Opsi yang dapat Anda tentukan untuk **Patch sekarang** termasuk memilih kapan, atau apakah, untuk me-reboot node terkelola setelah menambal, menentukan bucket Amazon Simple Storage Service (Amazon S3) untuk menyimpan data log untuk operasi penambalan, dan menjalankan dokumen Systems Manager (dokumen SSM) sebagai kait siklus hidup selama penambalan.

### Ambang batas konkurensi dan kesalahan untuk 'Patch sekarang'
<a name="patch-on-demand-concurrency"></a>

Untuk operasi **Patch now**, opsi konkurensi dan ambang kesalahan ditangani oleh. Patch Manager Anda tidak perlu menentukan berapa banyak node terkelola untuk ditambal sekaligus, atau berapa banyak kesalahan yang diizinkan sebelum operasi gagal. Patch Managermenerapkan pengaturan ambang konkurensi dan kesalahan yang dijelaskan dalam tabel berikut saat Anda menambal sesuai permintaan.

**penting**  
Ambang batas berikut hanya berlaku untuk `Scan and install` operasi. Untuk `Scan` operasi, Patch Manager mencoba memindai hingga 1.000 node secara bersamaan, dan lanjutkan pemindaian hingga mengalami hingga 1.000 kesalahan.


**Konkurensi: Instal operasi**  

| Jumlah total node terkelola dalam operasi **Patch sekarang** | Jumlah node terkelola yang dipindai atau ditambal pada suatu waktu | 
| --- | --- | 
| Kurang dari 25 | 1 | 
| 25-100 | 5% | 
| 101 hingga 1.000 | 8% | 
| Lebih dari 1.000 | 10% | 


**Ambang kesalahan: Instal operasi**  

| Jumlah total node terkelola dalam operasi **Patch sekarang** | Jumlah kesalahan yang diizinkan sebelum operasi gagal | 
| --- | --- | 
| Kurang dari 25 | 1 | 
| 25-100 | 5 | 
| 101 hingga 1.000 | 10 | 
| Lebih dari 1.000 | 10 | 

### Menggunakan kait siklus hidup 'Patch sekarang'
<a name="patch-on-demand-hooks"></a>

**Patch sekarang** memberi Anda kemampuan untuk menjalankan dokumen Perintah SSM sebagai kait siklus hidup selama operasi penambalan. `Install` Anda dapat menggunakan kait ini untuk tugas-tugas seperti mematikan aplikasi sebelum menambal atau menjalankan pemeriksaan kesehatan pada aplikasi Anda setelah menambal atau setelah reboot. 

Untuk informasi selengkapnya tentang penggunaan kait siklus hidup, lihat. [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md)

Tabel berikut mencantumkan kait siklus hidup yang tersedia untuk masing-masing dari tiga opsi **Patch now** reboot, selain penggunaan sampel untuk setiap hook.


**Kait siklus hidup dan penggunaan sampel**  

| Opsi reboot | Hook: Sebelum instalasi | Hook: Setelah instalasi | Hook: Saat keluar | Hook: Setelah dijadwalkan reboot | 
| --- | --- | --- | --- | --- | 
| Reboot jika diperlukan |  Jalankan dokumen SSM sebelum penambalan dimulai. Contoh penggunaan: Matikan aplikasi dengan aman sebelum proses patching dimulai.   |  Jalankan dokumen SSM di akhir operasi patching dan sebelum reboot node terkelola. Contoh penggunaan: Jalankan operasi seperti menginstal aplikasi pihak ketiga sebelum reboot potensial.  |  Jalankan dokumen SSM setelah operasi patching selesai dan instance di-reboot. Contoh penggunaan: Pastikan aplikasi berjalan seperti yang diharapkan setelah patch.  | Tidak tersedia | 
| Jangan reboot instance saya | Sama seperti di atas. |  Jalankan dokumen SSM di akhir operasi patching. Contoh penggunaan: Pastikan aplikasi berjalan seperti yang diharapkan setelah patch.  |  *Tidak tersedia*   |  *Tidak tersedia*   | 
| Jadwalkan waktu reboot | Sama seperti di atas. | Sama seperti untuk Jangan reboot instance saya. | Tidak tersedia |  Jalankan dokumen SSM segera setelah reboot terjadwal selesai. Contoh penggunaan: Pastikan aplikasi berjalan seperti yang diharapkan setelah reboot.  | 

## Menjalankan 'Patch sekarang'
<a name="run-patch-now"></a>

Gunakan prosedur berikut untuk menambal node terkelola Anda sesuai permintaan.

**Untuk menjalankan 'Patch sekarang'**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih **Patch sekarang**.

1. Untuk **Operasi patching**, pilih salah satu hal berikut:
   + **Pindai**: Patch Manager menemukan tambalan mana yang hilang dari node terkelola Anda tetapi tidak menginstalnya. Anda dapat melihat hasil di dasbor **Kepatuhan** atau alat lain yang Anda gunakan untuk melihat kepatuhan patch.
   + **Pindai dan instal**: Patch Manager menemukan tambalan mana yang hilang dari node terkelola Anda dan menginstalnya.

1. Gunakan langkah ini hanya jika Anda memilih **Pindai dan instal** pada langkah sebelumnya. Untuk **Opsi reboot**, pilih salah satu hal berikut:
   + **Reboot jika diperlukan**: Setelah instalasi, Patch Manager reboot node terkelola hanya jika diperlukan untuk menyelesaikan instalasi patch.
   + **Jangan reboot instance saya**: Setelah instalasi, Patch Manager tidak me-reboot node yang dikelola. Anda dapat me-reboot node secara manual ketika Anda memilih atau mengelola reboot di luar. Patch Manager
   + **Jadwalkan waktu reboot**: Tentukan tanggal, waktu, dan zona waktu UTC Patch Manager untuk me-reboot node terkelola Anda. Setelah Anda menjalankan operasi **Patch now**, reboot terjadwal terdaftar sebagai asosiasi State Manager dengan nama`AWS-PatchRebootAssociation`.
**penting**  
Jika Anda membatalkan operasi penambalan utama setelah dimulai, `AWS-PatchRebootAssociation` asosiasi di State Manager TIDAK dibatalkan secara otomatis. Untuk mencegah reboot yang tidak terduga, Anda harus menghapus `AWS-PatchRebootAssociation` secara manual State Manager jika Anda tidak lagi ingin reboot terjadwal terjadi. Kegagalan untuk melakukannya dapat mengakibatkan reboot sistem yang tidak direncanakan yang dapat memengaruhi beban kerja produksi. Anda dapat menemukan asosiasi ini di konsol Systems Manager di bawah **State Manager**> **Associations**.

1. Untuk **Instans untuk di-patch**, pilih salah satu hal berikut:
   + **Patch semua instance**: Patch Manager menjalankan operasi yang ditentukan pada semua node terkelola Akun AWS di Anda saat ini Wilayah AWS.
   + **Hanya menambal instance target yang saya tentukan**: Anda menentukan node terkelola mana yang akan ditargetkan pada langkah berikutnya.

1. Gunakan langkah ini hanya jika Anda memilih **Patch instans target yang saya tentukan saja** di langkah sebelumnya. Di bagian **Pemilihan target**, identifikasi node tempat Anda ingin menjalankan operasi ini dengan menentukan tag, memilih node secara manual, atau menentukan grup sumber daya.
**catatan**  
Jika node terkelola yang Anda harapkan tidak terdaftar, lihat [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md) untuk tips pemecahan masalah.  
Jika Anda memilih untuk menargetkan grup sumber daya, perhatikan bahwa grup sumber daya yang didasarkan pada AWS CloudFormation tumpukan harus tetap ditandai dengan `aws:cloudformation:stack-id` tag default. Jika telah dihapus, Patch Manager mungkin tidak dapat menentukan node terkelola mana yang termasuk dalam grup sumber daya.

1. (Opsional) Untuk **Penyimpanan log patching**, jika Anda ingin membuat dan menyimpan log dari operasi patching ini, pilih bucket S3 untuk menyimpan log.
**catatan**  
Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin profil instans (untuk instans EC2) atau peran layanan IAM (mesin yang diaktifkan hibrida) yang ditetapkan ke instance, bukan milik pengguna IAM yang melakukan tugas ini. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md) atau [Membuat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud](hybrid-multicloud-service-role.md). Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, pastikan bahwa profil instance atau peran layanan IAM yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

1. (Opsional) Jika Anda ingin menjalankan dokumen SSM sebagai kait siklus hidup selama titik tertentu dari operasi patching, lakukan hal berikut:
   + Pilih **Gunakan kait siklus hidup**.
   + Untuk setiap kait yang tersedia, pilih dokumen SSM untuk dijalankan pada titik operasi yang ditentukan:
     + Sebelum instalasi
     + Setelah instalasi
     + Saat keluar
     + Setelah reboot terjadwal
**catatan**  
Dokumen default, `AWS-Noop`, tidak menjalankan operasi apa pun.

1. Pilih **Patch sekarang**.

   Halaman **Ringkasan eksekusi asosiasi** terbuka. (Patch sekarang menggunakan asosiasi diState Manager, alat di AWS Systems Manager, untuk operasinya.) Di area **ringkasan Operasi**, Anda dapat memantau status pemindaian atau penambalan pada node terkelola yang Anda tentukan.

# Bekerja dengan baseline patch
<a name="patch-manager-create-a-patch-baseline"></a>

Sebuah patch baseline inPatch Manager, alat di AWS Systems Manager, mendefinisikan patch mana yang disetujui untuk instalasi pada node terkelola Anda. Anda dapat menentukan patch yang disetujui atau ditolak satu per satu. Anda juga dapat membuat aturan persetujuan otomatis untuk menentukan bahwa jenis pembaruan tertentu (misalnya, pembaruan penting) harus disetujui secara otomatis. Daftar yang ditolak menggantikan aturan dan daftar persetujuan. Untuk menggunakan daftar patch yang disetujui untuk menginstal paket tertentu, pertama-tama Anda menghapus semua aturan persetujuan otomatis. Jika Anda secara eksplisit mengidentifikasi patch sebagai ditolak, patch tidak akan disetujui atau diinstal, bahkan jika cocok dengan semua kriteria dalam aturan persetujuan otomatis. Juga, tambalan diinstal pada node terkelola hanya jika itu berlaku untuk perangkat lunak pada node, bahkan jika patch tersebut telah disetujui untuk node terkelola.

**Topics**
+ [Melihat AWS baseline patch yang telah ditentukan](patch-manager-view-predefined-patch-baselines.md)
+ [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md)
+ [Mengatur dasar patch yang ada sebagai default](patch-manager-default-patch-baseline.md)

**Info lebih lanjut**  
+ [Garis dasar patch](patch-manager-patch-baselines.md)

# Melihat AWS baseline patch yang telah ditentukan
<a name="patch-manager-view-predefined-patch-baselines"></a>

Patch Manager, alat di AWS Systems Manager, termasuk baseline patch yang telah ditentukan untuk setiap sistem operasi yang didukung oleh. Patch Manager Anda dapat menggunakan dasar patch ini (Anda tidak dapat menyesuaikannya), atau Anda dapat membuat milik Anda sendiri. Prosedur berikut ini menjelaskan cara melihat dasar patch yang telah ditetapkan untuk melihat apakah memenuhi kebutuhan Anda. Untuk mempelajari selengkapnya tentang dasar patch, lihat [Garis dasar patch yang telah ditentukan dan kustom](patch-manager-predefined-and-custom-patch-baselines.md).

**Untuk melihat garis dasar AWS tambalan yang telah ditentukan**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Dalam daftar dasar patch, pilih ID baseline dari salah satu dasar patch yang telah ditetapkan.

   -atau-

   Jika Anda mengakses Patch Manager untuk pertama kalinya saat ini Wilayah AWS, pilih **Mulai dengan ikhtisar**, pilih tab **Garis dasar Patch, lalu pilih ID dasar** dari salah satu garis dasar tambalan yang telah ditentukan.
**catatan**  
Untuk Windows Server, disediakan tiga dasar patch yang telah ditetapkan. Garis dasar patch `AWS-DefaultPatchBaseline` dan hanya `AWS-WindowsPredefinedPatchBaseline-OS` mendukung pembaruan sistem operasi pada sistem operasi Windows itu sendiri. `AWS-DefaultPatchBaseline`digunakan sebagai baseline patch default untuk node Windows Server terkelola kecuali Anda menentukan baseline patch yang berbeda. Pengaturan konfigurasi di dua dasar patch ini sama. Yang lebih baru dari keduanya, `AWS-WindowsPredefinedPatchBaseline-OS`, dibuat untuk membedakannya dari dasar patch ketiga yang telah ditetapkan untuk Windows Server. Dasar patch tersebut, `AWS-WindowsPredefinedPatchBaseline-OS-Applications`, dapat digunakan untuk menerapkan patch ke ke sistem operasi Windows Server dan aplikasi yang didukung yang dirilis oleh Microsoft.  
Untuk informasi selengkapnya, lihat [Mengatur dasar patch yang ada sebagai default](patch-manager-default-patch-baseline.md).

1. Di bagian **Aturan persetujuan**, tinjau konfigurasi baseline patch.

1. Jika konfigurasi dapat diterima untuk node terkelola Anda, Anda dapat langsung melanjutkan ke prosedur[Membuat dan mengelola grup patch](patch-manager-tag-a-patch-group.md). 

   -atau-

   Untuk membuat dasar patch default Anda sendiri, lanjutkan ke topik [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md).

# Bekerja dengan dasar patch kustom
<a name="patch-manager-manage-patch-baselines"></a>

Patch Manager, alat di AWS Systems Manager, termasuk baseline patch yang telah ditentukan untuk setiap sistem operasi yang didukung oleh. Patch Manager Anda dapat menggunakan dasar patch ini (Anda tidak dapat menyesuaikannya), atau Anda dapat membuat milik Anda sendiri. 

Prosedur berikut ini menjelaskan cara membuat, memperbarui, dan menghapus dasar patch kustom Anda sendiri. Untuk mempelajari selengkapnya tentang dasar patch, lihat [Garis dasar patch yang telah ditentukan dan kustom](patch-manager-predefined-and-custom-patch-baselines.md).

**Topics**
+ [Membuat baseline patch khusus untuk Linux](patch-manager-create-a-patch-baseline-for-linux.md)
+ [Membuat baseline patch khusus untuk macOS](patch-manager-create-a-patch-baseline-for-macos.md)
+ [Membuat baseline patch khusus untuk Windows Server](patch-manager-create-a-patch-baseline-for-windows.md)
+ [Memperbarui atau menghapus baseline patch kustom](patch-manager-update-or-delete-a-patch-baseline.md)

# Membuat baseline patch khusus untuk Linux
<a name="patch-manager-create-a-patch-baseline-for-linux"></a>

Gunakan prosedur berikut untuk membuat baseline patch khusus untuk node yang dikelola Linux diPatch Manager, alat di. AWS Systems Manager

Untuk informasi tentang membuat baseline patch untuk node macOS terkelola, lihat. [Membuat baseline patch khusus untuk macOS](patch-manager-create-a-patch-baseline-for-macos.md) Untuk informasi tentang membuat baseline patch untuk node terkelola Windows, lihat. [Membuat baseline patch khusus untuk Windows Server](patch-manager-create-a-patch-baseline-for-windows.md)

**Untuk membuat baseline patch khusus untuk node yang dikelola Linux**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Patch baseline**, lalu pilih **Create patch** baseline.

   -atau-

   Jika Anda mengakses Patch Manager untuk pertama kalinya saat ini Wilayah AWS, pilih **Mulai dengan ikhtisar**, pilih tab **Garis dasar Patch, lalu pilih **Buat** baseline** patch.

1. Untuk **Nama**, masukkan nama untuk dasar patch baru Anda, misalnya, `MyRHELPatchBaseline`.

1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk dasar patch ini.

1. Untuk **Sistem operasi**, pilih suatu sistem operasi, misalnya, `Red Hat Enterprise Linux`.

1. Jika Anda ingin mulai menggunakan baseline patch ini sebagai default untuk sistem operasi yang dipilih segera setelah Anda membuatnya, centang kotak di sebelah **Setel baseline patch ini sebagai baseline patch default** untuk instance. *operating system name*
**catatan**  
Opsi ini hanya tersedia jika Anda pertama kali mengakses Patch Manager sebelum [kebijakan tambalan](patch-manager-policies.md) dirilis pada 22 Desember 2022.  
Untuk informasi tentang mengatur dasar patch yang ada sebagai default, lihat [Mengatur dasar patch yang ada sebagai default](patch-manager-default-patch-baseline.md).

1. Di bagian **Aturan persetujuan untuk sistem operasi**, gunakan bidang tersebut untuk membuat satu atau lebih aturan persetujuan otomatis.
   + **Produk**: Versi sistem operasi yang berlaku untuk aturan persetujuan, seperti`RedhatEnterpriseLinux7.4`. Pilihan default adalah `All`.
   + **Klasifikasi**: Jenis patch yang diberlakukan aturan persetujuan, seperti `Security` atau `Enhancement`. Pilihan default adalah `All`. 
**Tip**  
Anda dapat mengonfigurasi baseline patch untuk mengontrol apakah upgrade versi minor untuk Linux diinstal, seperti 7.8. RHEL Upgrade versi minor dapat diinstal secara otomatis dengan Patch Manager asalkan pembaruan tersedia di repositori yang sesuai.  
Untuk sistem operasi Linux, pemutakhiran versi minor tidak diklasifikasikan secara konsisten. Mereka dapat diklasifikasikan sebagai perbaikan bug atau pembaruan keamanan, atau tidak diklasifikasikan, bahkan dalam versi kernel yang sama. Berikut ini adalah beberapa pilihan untuk mengendalikan apakah dasar patch menginstalnya.   
**Opsi 1**: Aturan persetujuan terluas untuk memastikan pemutakhiran versi minor diinstal ketika tersedia adalah dengan menentukan **Klasifikasi** sebagai `All` (\$1) dan pilih opsi **Sertakan pembaruan non-keamanan**.
**Opsi 2**: Untuk memastikan patch untuk versi sistem operasi diinstal, Anda dapat menggunakan wildcard (\$1) untuk menentukan format kernel di bagian **Pengecualian patch** dari baseline. Sebagai contoh, format kernel untuk RHEL 7.\$1 adalah `kernel-3.10.0-*.el7.x86_64`.  
Masukkan `kernel-3.10.0-*.el7.x86_64` daftar **Patch yang disetujui** di baseline patch Anda untuk memastikan semua tambalan, termasuk peningkatan versi minor, diterapkan ke node terkelola 7.\$1 Anda. RHEL (Jika Anda tahu persis nama paket dari patch versi minor, Anda dapat memasukkan itu sebagai gantinya.)
**Opsi 3**: Anda dapat memiliki kontrol paling besar atas tambalan mana yang diterapkan ke node terkelola Anda, termasuk peningkatan versi minor, dengan menggunakan [InstallOverrideList](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-installoverridelist)parameter dalam dokumen. `AWS-RunPatchBaseline` Untuk informasi selengkapnya, lihat [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).
   + **Kepelikan**: Nilai kepelikan patch yang diberlakukan aturan, seperti `Critical`. Pilihan default adalah `All`. 
   + **Persetujuan otomatis**: Metode untuk memilih patch untuk persetujuan otomatis.
**catatan**  
Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalUbuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.
     + **Menyetujui patch setelah beberapa hari tertentu**: Jumlah hari Patch Manager untuk menunggu setelah patch dirilis atau terakhir diperbarui sebelum patch secara otomatis disetujui. Anda dapat memasukkan bilangan bulat apa saja dari nol (0) sampai 360. Untuk sebagian besar skenario, kami merekomendasikan untuk menunggu tidak lebih dari 100 hari.
     + **Menyetujui patch yang dirilis hingga tanggal tertentu: Tanggal** rilis patch yang Patch Manager secara otomatis menerapkan semua patch yang dirilis atau diperbarui pada atau sebelum tanggal tersebut. Misalnya, jika Anda menentukan 7 Juli 2023, tidak ada tambalan yang dirilis atau terakhir diperbarui pada atau setelah 8 Juli 2023, yang diinstal secara otomatis.
   + (Opsional) **Pelaporan kepatuhan**: Tingkat keparahan yang ingin Anda tetapkan ke tambalan yang disetujui oleh baseline, seperti atau. `Critical` `High`
**catatan**  
Jika Anda menentukan tingkat pelaporan kepatuhan dan status patch dari setiap patch yang disetujui dilaporkan sebagai`Missing`, maka tingkat keparahan kepatuhan yang dilaporkan secara keseluruhan baseline patch adalah tingkat keparahan yang Anda tentukan.
   + **Sertakan pembaruan non-keamanan**: Pilih kotak centang untuk menginstal patch sistem operasi Linux non-keamanan yang tersedia di repositori sumber, selain patch terkait keamanan. 

   Untuk informasi selengkapnya tentang bekerja dengan aturan persetujuan di dasar patch kustom, lihat [Garis dasar kustom](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).

1. Jika Anda ingin secara eksplisit menyetujui patch lain selain yang memenuhi aturan persetujuan Anda, lakukan hal berikut di bagian **Pengecualian patch**:
   + Untuk **Patch yang disetujui**, masukkan daftar patch yang dipisahkan koma yang ingin Anda setujui.

     Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
   + (Opsional) Untuk **Tingkat kepatuhan patch yang disetujui**, tetapkan tingkat kepatuhan pada patch dalam daftar.
   + Jika ada patch yang disetujui yang Anda tentukan tidak terkait dengan keamanan, pilih kotak centang **Sertakan pembaruan non-keamanan** untuk tambalan ini yang akan diinstal pada sistem operasi Linux Anda juga.

1. Jika Anda ingin secara eksplisit menolak patch lain selain yang memenuhi aturan persetujuan Anda, lakukan hal berikut di bagian **Pengecualian patch**:
   + Untuk **Patch yang ditolak**, masukkan daftar patch yang dipisahkan koma yang ingin Anda tolak.

     Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
   + Untuk **tindakan tambalan Ditolak**, pilih tindakan yang akan diambil pada tambalan yang disertakan dalam daftar tambalan **Ditolak**. Patch Manager
     + **Diizinkan sebagai dependensi**: Sebuah paket di daftar **Patch yang ditolak** diinstal hanya jika merupakan dependensi dari paket lain. Ini dianggap sesuai dengan baseline patch dan statusnya dilaporkan sebagai. *InstalledOther* Ini adalah tindakan default jika tidak ada pilihan yang ditentukan.
     + **Blokir**: Paket dalam daftar **tambalan Ditolak**, dan paket yang menyertakannya sebagai dependensi, tidak diinstal dalam Patch Manager keadaan apa pun. Jika sebuah paket diinstal sebelum ditambahkan ke daftar **tambalan Ditolak**, atau diinstal di luar Patch Manager sesudahnya, paket tersebut dianggap tidak sesuai dengan garis dasar tambalan dan statusnya dilaporkan sebagai. *InstalledRejected*
**catatan**  
Patch Managermencari dependensi tambalan secara rekursif.

1. **(Opsional) Jika Anda ingin menentukan repositori patch alternatif untuk versi sistem operasi yang berbeda, seperti *AmazonLinux2016.03 dan *AmazonLinux2017.09**, lakukan hal berikut untuk setiap produk di bagian Sumber Patch:**
   + Di **Nama**, masukkan nama untuk membantu Anda mengidentifikasi konfigurasi sumber.
   + Di **Produk**, pilih versi sistem operasi yang digunakan untuk repositori sumber patch, seperti `RedhatEnterpriseLinux7.4`.
   + Dalam **Konfigurasi**, masukkan nilai konfigurasi repositori untuk digunakan dalam format yang sesuai:

------
#### [  Example for yum repositories  ]

     ```
     [main]
     name=MyCustomRepository
     baseurl=https://my-custom-repository
     enabled=1
     ```

**Tip**  
Untuk informasi tentang opsi lain yang tersedia untuk konfigurasi repositori yum Anda, lihat [dnf.conf (5)](https://man7.org/linux/man-pages/man5/dnf.conf.5.html).

------
#### [  Examples for Ubuntu Server and Debian Server ]

      `deb http://security.ubuntu.com/ubuntu jammy main` 

      `deb https://site.example.com/debian distribution component1 component2 component3` 

     Informasi repo untuk Ubuntu Server repositori harus ditentukan dalam satu baris. [https://wiki.debian.org/SourcesList#sources.list_format](https://wiki.debian.org/SourcesList#sources.list_format)

------

     Pilih **Tambah sumber lain** untuk menentukan repositori sumber untuk setiap versi sistem operasi tambahan, hingga maksimum 20.

     Untuk informasi selengkapnya tentang repositori patch sumber alternatif, lihat [Cara menentukan repositori sumber patch alternatif (Linux)](patch-manager-alternative-source-repository.md).

1. (Opsional) Untuk **Kelola tag**, terapkan satu atau beberapa name/value pasangan kunci tag ke baseline patch.

   Tanda adalah metadata opsional yang Anda tetapkan ke sumber daya. Tag memungkinkan Anda untuk mengkategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Sebagai contoh, Anda mungkin ingin menandai dasar patch untuk mengidentifikasi tingkat kepelikan patch yang ditentukannya, keluarga sistem operasi tempat patch diterapkan, dan jenis lingkungan. Dalam hal ini, Anda dapat menentukan tag yang mirip dengan name/value pasangan kunci berikut:
   + `Key=PatchSeverity,Value=Critical`
   + `Key=OS,Value=RHEL`
   + `Key=Environment,Value=Production`

1. Pilih **Buat dasar patch**.

# Membuat baseline patch khusus untuk macOS
<a name="patch-manager-create-a-patch-baseline-for-macos"></a>

Gunakan prosedur berikut untuk membuat baseline patch khusus untuk node macOS terkelola diPatch Manager, alat di. AWS Systems Manager

Untuk informasi tentang membuat baseline patch untuk node Windows Server terkelola, lihat. [Membuat baseline patch khusus untuk Windows Server](patch-manager-create-a-patch-baseline-for-windows.md) Untuk informasi tentang membuat baseline patch untuk node terkelola Linux, lihat. [Membuat baseline patch khusus untuk Linux](patch-manager-create-a-patch-baseline-for-linux.md) 

**catatan**  
macOStidak didukung sama sekali Wilayah AWS. Untuk informasi selengkapnya tentang dukungan Amazon EC2macOS, lihat instans [Amazon EC2 Mac](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html) di Panduan Pengguna Amazon *EC2*.

**Untuk membuat baseline patch kustom untuk macOS node terkelola**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Patch baseline**, lalu pilih **Create patch** baseline.

   -atau-

   Jika Anda mengakses Patch Manager untuk pertama kalinya saat ini Wilayah AWS, pilih **Mulai dengan ikhtisar**, pilih tab **Garis dasar Patch, lalu pilih **Buat** baseline** patch.

1. Untuk **Nama**, masukkan nama untuk dasar patch baru Anda, misalnya, `MymacOSPatchBaseline`.

1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk dasar patch ini.

1. Untuk **Sistem operasi**, pilih macOS.

1. Jika Anda ingin mulai menggunakan dasar patch ini sebagai default untuk macOS segera setelah Anda membuatnya, centang kotak di sebelah **Atur dasar patch ini sebagai dasar patch default untuk instans macOS**.
**catatan**  
Opsi ini hanya tersedia jika Anda pertama kali mengakses Patch Manager sebelum [kebijakan tambalan](patch-manager-policies.md) dirilis pada 22 Desember 2022.  
Untuk informasi tentang mengatur dasar patch yang ada sebagai default, lihat [Mengatur dasar patch yang ada sebagai default](patch-manager-default-patch-baseline.md).

1. Di bagian **Aturan persetujuan untuk sistem operasi**, gunakan bidang tersebut untuk membuat satu atau lebih aturan persetujuan otomatis.
   + **Produk**: Versi sistem operasi yang berlaku untuk aturan persetujuan, seperti `BigSur11.3.1` atau`Ventura13.7`. Pilihan default adalah `All`.
   + **Klasifikasi**: Pengelola paket atau beberapa pengelola paket yang Anda ingin terapkan paket selama proses patching. Anda memilih dari yang berikut ini:
     + softwareupdate
     + installer
     + brew
     + brew cask

     Pilihan default adalah `All`. 
   + (Opsional) **Pelaporan kepatuhan**: Tingkat keparahan yang ingin Anda tetapkan ke tambalan yang disetujui oleh baseline, seperti atau. `Critical` `High`
**catatan**  
Jika Anda menentukan tingkat pelaporan kepatuhan dan status patch dari setiap patch yang disetujui dilaporkan sebagai`Missing`, maka tingkat keparahan kepatuhan yang dilaporkan secara keseluruhan baseline patch adalah tingkat keparahan yang Anda tentukan.

   Untuk informasi selengkapnya tentang bekerja dengan aturan persetujuan di dasar patch kustom, lihat [Garis dasar kustom](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).

1. Jika Anda ingin secara eksplisit menyetujui patch lain selain yang memenuhi aturan persetujuan Anda, lakukan hal berikut di bagian **Pengecualian patch**:
   + Untuk **Patch yang disetujui**, masukkan daftar patch yang dipisahkan koma yang ingin Anda setujui.

     Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
   + (Opsional) Untuk **Tingkat kepatuhan patch yang disetujui**, tetapkan tingkat kepatuhan pada patch dalam daftar.

1. Jika Anda ingin secara eksplisit menolak patch lain selain yang memenuhi aturan persetujuan Anda, lakukan hal berikut di bagian **Pengecualian patch**:
   + Untuk **Patch yang ditolak**, masukkan daftar patch yang dipisahkan koma yang ingin Anda tolak.

     Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
   + Untuk **tindakan tambalan Ditolak**, pilih tindakan yang akan diambil pada tambalan yang disertakan dalam daftar tambalan **Ditolak**. Patch Manager
     + **Diizinkan sebagai dependensi**: Sebuah paket di daftar **Patch yang ditolak** diinstal hanya jika merupakan dependensi dari paket lain. Ini dianggap sesuai dengan baseline patch dan statusnya dilaporkan sebagai. *InstalledOther* Ini adalah tindakan default jika tidak ada pilihan yang ditentukan.
     + **Blokir**: Paket dalam daftar **tambalan Ditolak**, dan paket yang menyertakannya sebagai dependensi, tidak diinstal dalam Patch Manager keadaan apa pun. Jika sebuah paket diinstal sebelum ditambahkan ke daftar **tambalan Ditolak**, atau diinstal di luar Patch Manager sesudahnya, paket tersebut dianggap tidak sesuai dengan garis dasar tambalan dan statusnya dilaporkan sebagai. *InstalledRejected*

1. (Opsional) Untuk **Kelola tag**, terapkan satu atau beberapa name/value pasangan kunci tag ke baseline patch.

   Tanda adalah metadata opsional yang Anda tetapkan ke sumber daya. Tag memungkinkan Anda untuk mengkategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Sebagai contoh, Anda mungkin ingin menandai dasar patch untuk mengidentifikasi tingkat kepelikan patch yang ditentukannya, pengelola paket tempat patch diterapkan, dan jenis lingkungan. Dalam hal ini, Anda dapat menentukan tag yang mirip dengan name/value pasangan kunci berikut:
   + `Key=PatchSeverity,Value=Critical`
   + `Key=PackageManager,Value=softwareupdate`
   + `Key=Environment,Value=Production`

1. Pilih **Buat dasar patch**.

# Membuat baseline patch khusus untuk Windows Server
<a name="patch-manager-create-a-patch-baseline-for-windows"></a>

Gunakan prosedur berikut untuk membuat baseline patch khusus untuk node yang dikelola Windows diPatch Manager, alat di. AWS Systems Manager

Untuk informasi tentang membuat baseline patch untuk node terkelola Linux, lihat. [Membuat baseline patch khusus untuk Linux](patch-manager-create-a-patch-baseline-for-linux.md) Untuk informasi tentang membuat baseline patch untuk node macOS terkelola, lihat. [Membuat baseline patch khusus untuk macOS](patch-manager-create-a-patch-baseline-for-macos.md)

Untuk contoh membuat dasar patch yang terbatas untuk menginstal Windows Service Pack saja, lihat [Tutorial: Buat baseline patch untuk menginstal Paket Layanan Windows menggunakan konsol](patch-manager-windows-service-pack-patch-baseline-tutorial.md).

**Untuk membuat dasar patch kustom (Windows)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Patch baseline**, lalu pilih **Create patch** baseline. 

   -atau-

   Jika Anda mengakses Patch Manager untuk pertama kalinya saat ini Wilayah AWS, pilih **Mulai dengan ikhtisar**, pilih tab **Garis dasar Patch, lalu pilih **Buat** baseline** patch.

1. Untuk **Nama**, masukkan nama untuk dasar patch baru Anda, misalnya, `MyWindowsPatchBaseline`.

1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk dasar patch ini.

1. Untuk **Sistem operasi**, pilih `Windows`.

1. ****Untuk **status kepatuhan pembaruan keamanan yang tersedia**, pilih status yang ingin Anda tetapkan ke patch keamanan yang tersedia tetapi tidak disetujui karena tidak memenuhi kriteria penginstalan yang ditentukan dalam baseline patch, Non-Compliant atau Compliant.****

   Contoh skenario: Patch keamanan yang mungkin ingin Anda instal dapat dilewati jika Anda telah menentukan jangka waktu yang lama untuk menunggu setelah patch dirilis sebelum instalasi. Jika pembaruan tambalan dirilis selama masa tunggu yang Anda tentukan, masa tunggu untuk menginstal tambalan dimulai lagi. Jika masa tunggu terlalu lama, beberapa versi patch dapat dirilis tetapi tidak pernah diinstal.

1. Jika Anda ingin mulai menggunakan dasar patch ini sebagai default untuk Windows segera setelah Anda membuatnya, pilih **Atur dasar patch ini sebagai dasar patch default untuk instans Windows Server**.
**catatan**  
Opsi ini hanya tersedia jika Anda pertama kali mengakses Patch Manager sebelum [kebijakan tambalan](patch-manager-policies.md) dirilis pada 22 Desember 2022.  
Untuk informasi tentang mengatur dasar patch yang ada sebagai default, lihat [Mengatur dasar patch yang ada sebagai default](patch-manager-default-patch-baseline.md).

1. Di bagian **Aturan persetujuan untuk sistem operasi**, gunakan bidang tersebut untuk membuat satu atau lebih aturan persetujuan otomatis.
   + **Produk**: Versi sistem operasi yang berlaku untuk aturan persetujuan, seperti`WindowsServer2012`. Pilihan default adalah `All`.
   + **Klasifikasi**: Jenis patch yang diberlakukan aturan persetujuan, seperti `CriticalUpdates`, `Drivers`, dan `Tools`. Pilihan default adalah `All`. 
**Tip**  
Anda dapat menyertakan instalasi Windows Service Pack dalam aturan persetujuan Anda dengan menyertakan `ServicePacks` atau dengan memilih `All` di daftar **Klasifikasi** Anda. Sebagai contoh, lihat [Tutorial: Buat baseline patch untuk menginstal Paket Layanan Windows menggunakan konsol](patch-manager-windows-service-pack-patch-baseline-tutorial.md).
   + **Kepelikan**: Nilai kepelikan patch yang diberlakukan aturan, seperti `Critical`. Pilihan default adalah `All`. 
   + **Persetujuan otomatis**: Metode untuk memilih patch untuk persetujuan otomatis.
     + **Menyetujui patch setelah beberapa hari tertentu**: Jumlah hari Patch Manager untuk menunggu setelah patch dirilis atau diperbarui sebelum patch secara otomatis disetujui. Anda dapat memasukkan bilangan bulat apa saja dari nol (0) sampai 360. Untuk sebagian besar skenario, kami merekomendasikan untuk menunggu tidak lebih dari 100 hari.
     + **Menyetujui patch yang dirilis hingga tanggal tertentu: Tanggal** rilis patch yang Patch Manager secara otomatis menerapkan semua patch yang dirilis atau diperbarui pada atau sebelum tanggal tersebut. Misalnya, jika Anda menentukan 7 Juli 2023, tidak ada tambalan yang dirilis atau terakhir diperbarui pada atau setelah 8 Juli 2023, yang diinstal secara otomatis.
   + (Opsional) **Laporan kepatuhan**: Tingkat kepelikan yang ingin Anda tetapkan untuk patch yang disetujui oleh baseline, seperti `High`.
**catatan**  
Jika Anda menentukan tingkat pelaporan kepatuhan dan status patch dari setiap patch yang disetujui dilaporkan sebagai`Missing`, maka tingkat keparahan kepatuhan yang dilaporkan secara keseluruhan baseline patch adalah tingkat keparahan yang Anda tentukan.

1. (Opsional) Di bagian **Aturan persetujuan untuk sistem operasi**, gunakan bidang tersebut untuk membuat satu atau lebih aturan persetujuan otomatis.
**catatan**  
Alih-alih menentukan aturan persetujuan, Anda dapat menentukan daftar patch yang disetujui dan ditolak sebagai pengecualian patch. Lihat langkah 10 dan 11. 
   + **Keluarga produk**: Keluarga produk Microsoft umum yang Anda ingin tentukan aturan, seperti `Office` atau `Exchange Server`.
   + **Produk**: Versi aplikasi yang berlaku untuk aturan persetujuan, seperti `Office 2016` atau`Active Directory Rights Management Services Client 2.0 2016`. Pilihan default adalah `All`.
   + **Klasifikasi**: Jenis patch yang diberlakukan aturan persetujuan, seperti `CriticalUpdates`. Pilihan default adalah `All`. 
   + **Kepelikan**: Nilai kepelikan patch yang diberlakukan aturan, seperti `Critical`. Pilihan default adalah `All`. 
   + **Persetujuan otomatis**: Metode untuk memilih patch untuk persetujuan otomatis.
     + **Menyetujui patch setelah beberapa hari tertentu**: Jumlah hari Patch Manager untuk menunggu setelah patch dirilis atau diperbarui sebelum patch secara otomatis disetujui. Anda dapat memasukkan bilangan bulat apa saja dari nol (0) sampai 360. Untuk sebagian besar skenario, kami merekomendasikan untuk menunggu tidak lebih dari 100 hari.
     + **Menyetujui patch yang dirilis hingga tanggal tertentu: Tanggal** rilis patch yang Patch Manager secara otomatis menerapkan semua patch yang dirilis atau diperbarui pada atau sebelum tanggal tersebut. Misalnya, jika Anda menentukan 7 Juli 2023, tidak ada tambalan yang dirilis atau terakhir diperbarui pada atau setelah 8 Juli 2023, yang diinstal secara otomatis.
   + (Opsional) **Pelaporan kepatuhan**: Tingkat keparahan yang ingin Anda tetapkan ke tambalan yang disetujui oleh baseline, seperti atau. `Critical` `High`
**catatan**  
Jika Anda menentukan tingkat pelaporan kepatuhan dan status patch dari setiap patch yang disetujui dilaporkan sebagai`Missing`, maka tingkat keparahan kepatuhan yang dilaporkan secara keseluruhan baseline patch adalah tingkat keparahan yang Anda tentukan.

1. (Opsional) Jika Anda ingin secara eksplisit menyetujui patch apa saja dan bukan membiarkan patch dipilih sesuai dengan aturan persetujuan, lakukan hal berikut di bagian **Pengecualian patch**:
   + Untuk **Patch yang disetujui**, masukkan daftar patch yang dipisahkan koma yang ingin Anda setujui.

     Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
   + (Opsional) Untuk **Tingkat kepatuhan patch yang disetujui**, tetapkan tingkat kepatuhan pada patch dalam daftar.

1. Jika Anda ingin secara eksplisit menolak patch lain selain yang memenuhi aturan persetujuan Anda, lakukan hal berikut di bagian **Pengecualian patch**:
   + Untuk **Patch yang ditolak**, masukkan daftar patch yang dipisahkan koma yang ingin Anda tolak.

     Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
   + Untuk **tindakan tambalan Ditolak**, pilih tindakan yang akan diambil pada tambalan yang disertakan dalam daftar tambalan **Ditolak**. Patch Manager
     + **Izinkan sebagai ketergantungan**: Windows Server tidak mendukung konsep dependensi paket. Jika sebuah paket dalam daftar **tambalan Ditolak** dan sudah diinstal pada node, statusnya dilaporkan sebagai`INSTALLED_OTHER`. Paket apa pun yang belum diinstal pada node dilewati. 
     + **Blokir**: Paket dalam daftar **tambalan Ditolak** tidak diinstal oleh dalam Patch Manager keadaan apa pun. Jika sebuah paket diinstal sebelum ditambahkan ke daftar **tambalan Ditolak**, atau diinstal di luar Patch Manager sesudahnya, paket tersebut dianggap tidak sesuai dengan garis dasar tambalan dan statusnya dilaporkan sebagai. `INSTALLED_REJECTED`

     Untuk informasi selengkapnya tentang tindakan paket yang ditolak, lihat [Opsi daftar tambalan yang ditolak di garis dasar tambalan kustom](patch-manager-windows-and-linux-differences.md#rejected-patches-diff). 

1. (Opsional) Untuk **Kelola tag**, terapkan satu atau beberapa name/value pasangan kunci tag ke baseline patch.

   Tanda adalah metadata opsional yang Anda tetapkan ke sumber daya. Tag memungkinkan Anda untuk mengkategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Sebagai contoh, Anda mungkin ingin menandai dasar patch untuk mengidentifikasi tingkat kepelikan patch yang ditentukannya, keluarga sistem operasi tempat patch diterapkan, dan jenis lingkungan. Dalam hal ini, Anda dapat menentukan tag yang mirip dengan name/value pasangan kunci berikut:
   + `Key=PatchSeverity,Value=Critical`
   + `Key=OS,Value=RHEL`
   + `Key=Environment,Value=Production`

1. Pilih **Buat dasar patch**.

# Memperbarui atau menghapus baseline patch kustom
<a name="patch-manager-update-or-delete-a-patch-baseline"></a>

Anda dapat memperbarui atau menghapus baseline patch kustom yang telah Anda buatPatch Manager, alat di. AWS Systems Manager Ketika Anda memperbarui dasar patch, Anda dapat mengubah nama atau deskripsi, aturan persetujuan, dan pengecualian untuk patch yang disetujui dan ditolak. Anda juga dapat memperbarui tag yang diterapkan ke dasar patch. Anda tidak dapat mengubah jenis sistem operasi yang telah dibuat untuk baseline patch, dan Anda tidak dapat membuat perubahan pada baseline patch yang telah ditentukan sebelumnya yang disediakan oleh. AWS

## Memperbarui atau menghapus baseline patch
<a name="sysman-maintenance-update-mw"></a>

Ikuti langkah-langkah berikut ini untuk memperbarui atau menghapus dasar patch.

**penting**  
 Berhati-hatilah saat menghapus baseline patch kustom yang mungkin digunakan oleh konfigurasi kebijakan tambalan di. Quick Setup  
Jika Anda menggunakan [konfigurasi kebijakan tambalan](patch-manager-policies.md) diQuick Setup, pembaruan yang Anda buat ke baseline patch kustom disinkronkan dengan Quick Setup satu jam sekali.   
Jika baseline patch kustom yang direferensikan dalam kebijakan tambalan dihapus, spanduk akan ditampilkan di halaman **Detail Quick Setup konfigurasi** untuk kebijakan tambalan Anda. Spanduk memberi tahu Anda bahwa kebijakan tambalan mereferensikan baseline tambalan yang tidak ada lagi, dan operasi penambalan berikutnya akan gagal. Dalam hal ini, kembali ke halaman Quick Setup **Konfigurasi**, pilih Patch Manager konfigurasi, dan pilih **Tindakan**, **Edit konfigurasi**. Nama dasar patch yang dihapus disorot, dan Anda harus memilih baseline patch baru untuk sistem operasi yang terpengaruh.

**Untuk memperbarui atau menghapus baseline patch**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih dasar patch yang ingin Anda perbarui atau hapus, lalu lakukan salah satu hal berikut:
   + **Untuk menghapus baseline patch dari Anda Akun AWS, pilih Hapus.** Sistem meminta Anda untuk mengonfirmasi tindakan Anda. 
   + Untuk membuat perubahan pada nama atau deskripsi, aturan persetujuan, atau pengecualian patch untuk dasar patch tersebut, pilih **Edit**. Pada halaman **Edit dasar patch**, ubah nilai dan pilihan yang Anda inginkan, lalu pilih **Simpan perubahan**. 
   + Untuk menambah, mengubah, atau menghapus tag yang diterapkan ke dasar patch, pilih tab **Tag**, dan kemudian pilih **Edit tag**. Pada halaman **Edit tag dasar patch**, buat pembaruan ke tag dasar patch, lalu pilih **Simpan perubahan**. 

   Untuk informasi tentang pilihan konfigurasi yang dapat Anda buat, lihat [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md).

# Mengatur dasar patch yang ada sebagai default
<a name="patch-manager-default-patch-baseline"></a>

**penting**  
Setiap pilihan dasar tambalan default yang Anda buat di sini tidak berlaku untuk operasi penambalan yang didasarkan pada kebijakan tambalan. Kebijakan patch menggunakan spesifikasi dasar patch mereka sendiri. Untuk informasi selengkapnya tentang kebijakan tambalan, lihat[Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md).

Saat Anda membuat baseline patch kustom diPatch Manager, alat di AWS Systems Manager, Anda dapat mengatur baseline sebagai default untuk jenis sistem operasi terkait segera setelah Anda membuatnya. Untuk informasi, lihat [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md).

Anda juga dapat mengatur dasar patch yang ada sebagai default untuk sebuah jenis sistem operasi.

**catatan**  
Langkah-langkah yang Anda ikuti bergantung pada apakah Anda pertama kali mengakses Patch Manager sebelum atau setelah rilis kebijakan tambalan pada 22 Desember 2022. Jika Anda menggunakan Patch Manager sebelum tanggal itu, Anda dapat menggunakan prosedur konsol. Jika tidak, gunakan AWS CLI prosedurnya. Menu **Tindakan** yang direferensikan dalam prosedur konsol tidak ditampilkan di Wilayah yang Patch Manager tidak digunakan sebelum rilis kebijakan tambalan.

**Untuk mengatur dasar patch yang ada sebagai default**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Dasar patch**.

1. Dalam daftar dasar patch, pilih tombol dasar patch yang saat ini tidak diatur sebagai default untuk suatu jenis sistem operasi.

   Kolom **Baseline default** menunjukkan baseline apa yang saat ini diatur sebagai default.

1. Di menu **Tindakan**, pilih **Atur dasar patch default**.
**penting**  
Menu **Tindakan** tidak tersedia jika Anda tidak bekerja dengan Patch Manager saat ini Akun AWS dan Wilayah sebelum 22 Desember 2022. Lihat **Catatan** sebelumnya dalam topik ini untuk informasi lebih lanjut.

1. Di kotak dialog konfirmasi, pilih **Atur default**.

**Untuk mengatur baseline patch sebagai default ()AWS CLI**

1. Jalankan [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-baselines.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-baselines.html)perintah untuk melihat daftar baseline patch yang tersedia dan mereka dan IDs Amazon Resource Names ()ARNs.

   ```
   aws ssm describe-patch-baselines
   ```

1. Jalankan [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-default-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-default-patch-baseline.html)perintah untuk menetapkan garis dasar sebagai default untuk sistem operasi yang terkait dengannya. Ganti *baseline-id-or-ARN* dengan ID baseline patch kustom atau baseline yang telah ditentukan untuk digunakan. 

------
#### [ Linux & macOS ]

   ```
   aws ssm register-default-patch-baseline \
       --baseline-id baseline-id-or-ARN
   ```

   Berikut ini adalah contoh pengaturan baseline kustom sebagai default.

   ```
   aws ssm register-default-patch-baseline \
       --baseline-id pb-abc123cf9bEXAMPLE
   ```

   Berikut ini adalah contoh pengaturan garis dasar yang telah ditentukan yang dikelola oleh AWS sebagai default.

   ```
   aws ssm register-default-patch-baseline \
       --baseline-id arn:aws:ssm:us-east-2:733109147000:patchbaseline/pb-0574b43a65ea646e
   ```

------
#### [ Windows Server ]

   ```
   aws ssm register-default-patch-baseline ^
       --baseline-id baseline-id-or-ARN
   ```

   Berikut ini adalah contoh pengaturan baseline kustom sebagai default.

   ```
   aws ssm register-default-patch-baseline ^
       --baseline-id pb-abc123cf9bEXAMPLE
   ```

   Berikut ini adalah contoh pengaturan garis dasar yang telah ditentukan yang dikelola oleh AWS sebagai default.

   ```
   aws ssm register-default-patch-baseline ^
       --baseline-id arn:aws:ssm:us-east-2:733109147000:patchbaseline/pb-071da192df1226b63
   ```

------

# Melihat metrik yang tersedia
<a name="patch-manager-view-available-patches"></a>

DenganPatch Manager, alat di AWS Systems Manager, Anda dapat melihat semua tambalan yang tersedia untuk sistem operasi tertentu dan, secara opsional, versi sistem operasi tertentu.

**Tip**  
Untuk menghasilkan daftar tambalan yang tersedia dan menyimpannya ke file, Anda dapat menggunakan [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html)perintah dan menentukan [output](https://docs.aws.amazon.com/cli/latest/reference/ssm/cli-usage-output.html) pilihan Anda.

**Untuk melihat patch yang tersedia**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Patch**.

   -atau-

   Jika Anda mengakses Patch Manager untuk pertama kalinya saat ini Wilayah AWS, pilih **Mulai dengan ikhtisar**, lalu pilih tab **Patch**.
**catatan**  
UntukWindows Server, tab **Patch** menampilkan pembaruan yang tersedia dari Windows Server Update Service (WSUS).

1. Untuk **Sistem operasi**, pilih sistem operasi yang ingin Anda lihat patch yang tersedia, seperti `Windows` atau `Amazon Linux`.

1. (Opsional) Untuk **Produk**, pilih versi OS, seperti `WindowsServer2019` atau `AmazonLinux2018.03`.

1. (Opsional) Untuk menambah atau menghapus kolom informasi untuk hasil Anda, pilih tombol konfigurasikan (![\[The icon to view configuration settings.\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/configure-button.png)) di kanan atas daftar **Patch**. (Secara default, tab **Patch** menampilkan kolom untuk hanya beberapa metadata patch yang tersedia.)

   Untuk informasi tentang jenis metadata yang dapat Anda tambahkan ke tampilan Anda, lihat [Patch](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_Patch.html) dalam *Referensi API AWS Systems Manager *.

# Membuat dan mengelola grup patch
<a name="patch-manager-tag-a-patch-group"></a>

Jika Anda *tidak* menggunakan kebijakan tambalan dalam operasi Anda, Anda dapat mengatur upaya penambalan Anda dengan menambahkan node terkelola ke grup tambalan dengan menggunakan tag.

**catatan**  
Grup tambalan tidak digunakan dalam operasi penambalan yang didasarkan pada *kebijakan tambalan*. Untuk informasi tentang bekerja dengan kebijakan tambalan, lihat[Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md).  
Fungsionalitas grup tambalan tidak didukung di konsol untuk pasangan wilayah Akun yang belum menggunakan grup tambalan sebelum dukungan kebijakan tambalan dirilis pada 22 Desember 2022. Fungsionalitas grup patch masih tersedia di pasangan Account-region yang mulai menggunakan grup patch sebelum tanggal ini.

Untuk menggunakan tag dalam operasi penambalan, Anda harus menerapkan kunci tag `Patch Group` atau `PatchGroup` ke node terkelola Anda. Anda juga harus menentukan nama yang ingin Anda berikan pada grup tambalan sebagai nilai tag. Anda dapat menentukan nilai tag apa pun, tetapi kunci tag harus `Patch Group` atau`PatchGroup`.

`PatchGroup`(tanpa spasi) diperlukan jika Anda [mengizinkan tag dalam metadata instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS). 

Setelah mengelompokkan node terkelola menggunakan tag, Anda menambahkan nilai grup patch ke baseline patch. Dengan mendaftarkan grup patch dengan dasar patch, Anda memastikan bahwa patch yang benar diinstal selama operasi patching. Untuk informasi selengkapnya tentang grup patch, lihat [Grup tambalan](patch-manager-patch-groups.md).

Selesaikan tugas dalam topik ini untuk mempersiapkan node terkelola Anda untuk ditambal menggunakan tag dengan node dan patch baseline Anda. Tugas 1 hanya diperlukan jika Anda menambal instans Amazon EC2. Tugas 2 hanya diperlukan jika Anda menambal instans non-EC2 di lingkungan [hybrid](operating-systems-and-machine-types.md#supported-machine-types) dan multicloud. Tugas 3 diperlukan untuk semua node yang dikelola.

**Tip**  
Anda juga dapat menambahkan tag ke node terkelola menggunakan AWS CLI perintah `[https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)` atau operasi Systems Manager API ssm-agent-minimum-s `[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)` 3-permissions-required.

**Topics**
+ [Tugas 1: Tambahkan instans EC2 ke grup patch menggunakan tag](#sysman-patch-group-tagging-ec2)
+ [Tugas 2: Tambahkan node terkelola ke grup tambalan menggunakan tag](#sysman-patch-group-tagging-managed)
+ [Tugas 3: Tambahkan grup patch ke dasar patch](#sysman-patch-group-patchbaseline)

## Tugas 1: Tambahkan instans EC2 ke grup patch menggunakan tag
<a name="sysman-patch-group-tagging-ec2"></a>

Anda dapat menambahkan tag ke instans EC2 menggunakan konsol Systems Manager atau konsol Amazon EC2. Tugas ini hanya diperlukan jika Anda menambal instans Amazon EC2.

**penting**  
Anda tidak dapat menerapkan `Patch Group` tag (dengan spasi) ke instans Amazon EC2 jika opsi **Izinkan tag dalam metadata instans diaktifkan pada instance**. Mengizinkan tag dalam metadata instance mencegah nama kunci tag berisi spasi. Jika Anda telah [mengizinkan tag dalam metadata instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), Anda harus menggunakan kunci tag `PatchGroup` (tanpa spasi).

**Opsi 1: Untuk menambahkan instans EC2 ke grup patch (konsol Systems Manager)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Dalam daftar **Managed nodes**, pilih ID dari instans EC2 terkelola yang ingin Anda konfigurasikan untuk ditambal. ID node untuk instans EC2 dimulai dengan. `i-`
**catatan**  
Saat menggunakan konsol Amazon EC2 dan AWS CLI, Anda dapat menerapkan `Key = Patch Group` atau memberi `Key = PatchGroup` tag ke instance yang belum dikonfigurasi untuk digunakan dengan Systems Manager.  
Jika node terkelola yang Anda harapkan tidak terdaftar, lihat [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md) untuk tips pemecahan masalah.

1. Pilih tab **Tag**, lalu pilih **Edit**.

1. Di kolom kiri, masukkan **Patch Group** atau**PatchGroup**. Jika Anda telah [mengizinkan tag dalam metadata instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), Anda harus menggunakan `PatchGroup` (tanpa spasi).

1. Di kolom kanan, masukkan nilai tag untuk dijadikan nama untuk grup tambalan.

1. Pilih **Simpan**.

1. Ulangi prosedur ini untuk menambahkan instance EC2 lainnya ke grup patch yang sama.

**Opsi 2: Untuk menambahkan instans EC2 ke grup tambalan (konsol Amazon EC2)**

1. Buka [konsol Amazon EC2](https://console.aws.amazon.com/ec2/), lalu pilih **Instans** di panel navigasi. 

1. Di daftar instans terkelola, pilih instans yang ingin Anda konfigurasikan untuk patching.

1. Di menu **Tindakan**, pilih **Pengaturan instans**, **Kelola tag**.

1. Pilih **Tambahkan tag baru**.

1. Untuk **Kunci**, masukkan **Patch Group** atau**PatchGroup**. Jika Anda telah [mengizinkan tag dalam metadata instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), Anda harus menggunakan `PatchGroup` (tanpa spasi).

1. Untuk **Nilai**, masukkan nilai untuk dijadikan nama untuk grup patch.

1. Pilih **Simpan**.

1. Ulangi prosedur ini untuk menambahkan instans lainnya ke grup patch yang sama.

## Tugas 2: Tambahkan node terkelola ke grup tambalan menggunakan tag
<a name="sysman-patch-group-tagging-managed"></a>

Ikuti langkah-langkah dalam topik ini untuk menambahkan tag ke perangkat AWS IoT Greengrass inti dan node terkelola yang diaktifkan hibrida non-EC2 (mi-\$1). Tugas ini hanya diperlukan jika Anda menambal instans non-EC2 di lingkungan hybrid dan multicloud.

**catatan**  
Anda tidak dapat menambahkan tag untuk node terkelola non-EC2 menggunakan konsol Amazon EC2.

**Untuk menambahkan node terkelola non-EC2 ke grup patch (konsol Systems Manager)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Dalam daftar **Managed nodes**, pilih nama node terkelola yang ingin Anda konfigurasikan untuk ditambal.
**catatan**  
Jika node terkelola yang Anda harapkan tidak terdaftar, lihat [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md) untuk tips pemecahan masalah.

1. Pilih tab **Tag**, lalu pilih **Edit**.

1. Di kolom kiri, masukkan **Patch Group** atau**PatchGroup**. Jika Anda telah [mengizinkan tag dalam metadata instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), Anda harus menggunakan `PatchGroup` (tanpa spasi).

1. Di kolom kanan, masukkan nilai tag untuk dijadikan nama untuk grup tambalan.

1. Pilih **Simpan**.

1. Ulangi prosedur ini untuk menambahkan node terkelola lainnya ke grup patch yang sama.

## Tugas 3: Tambahkan grup patch ke dasar patch
<a name="sysman-patch-group-patchbaseline"></a>

Untuk mengaitkan baseline patch tertentu dengan node terkelola Anda, Anda harus menambahkan nilai grup patch ke baseline patch. Dengan mendaftarkan grup patch dengan dasar patch, Anda memastikan bahwa patch yang benar diinstal selama operasi patching. Tugas ini diperlukan apakah Anda menambal instans EC2, node terkelola non-EC2, atau keduanya.

Untuk informasi selengkapnya tentang grup patch, lihat [Grup tambalan](patch-manager-patch-groups.md).

**catatan**  
Langkah-langkah yang Anda ikuti bergantung pada apakah Anda pertama kali mengakses Patch Manager sebelum atau setelah rilis [kebijakan tambalan](patch-manager-policies.md) pada 22 Desember 2022.

**Untuk menambahkan grup patch ke baseline patch (konsol Systems Manager)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Jika Anda mengakses Patch Manager untuk pertama kalinya di saat ini Wilayah AWS dan halaman Patch Manager awal terbuka, pilih **Mulai dengan ikhtisar**.

1. Pilih tab **Patch baselines**, dan kemudian di daftar **garis dasar Patch, pilih nama baseline** patch yang ingin Anda konfigurasikan untuk grup patch Anda.

   Jika Anda tidak mengakses terlebih dahulu Patch Manager hingga setelah rilis kebijakan tambalan, Anda harus memilih baseline khusus yang telah Anda buat.

1. Jika halaman detail **ID Baseline** menyertakan menu **Tindakan**, lakukan hal berikut: 
   + Pilih **Tindakan**, kemudian **Modifikasi grup patch**.
   + Masukkan *nilai* tag yang Anda tambahkan ke node terkelola[Tugas 2: Tambahkan node terkelola ke grup tambalan menggunakan tag](#sysman-patch-group-tagging-managed), lalu pilih **Tambah**.

   Jika halaman detail **ID Dasar** *tidak* menyertakan menu **Tindakan**, grup tambalan tidak dapat dikonfigurasi di konsol. Sebagai gantinya, Anda dapat melakukan salah satu dari hal berikut:
   + (Disarankan) Siapkan kebijakan tambalan diQuick Setup, alat di AWS Systems Manager, untuk memetakan baseline tambalan ke satu atau beberapa instans EC2.

     Untuk informasi selengkapnya, lihat [Menggunakan kebijakan Quick Setup tambalan](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) dan [Mengotomatiskan penambalan di seluruh organisasi menggunakan kebijakan tambalan](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-patch-manager.html). Quick Setup
   + Gunakan [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-patch-baseline-for-patch-group.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-patch-baseline-for-patch-group.html)perintah di AWS Command Line Interface (AWS CLI) untuk mengkonfigurasi grup patch.

# Integrasi dengan Patch Manager AWS Security Hub CSPM
<a name="patch-manager-security-hub-integration"></a>

[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)memberi Anda pandangan komprehensif tentang keadaan keamanan Anda di AWS. Security Hub CSPM mengumpulkan data keamanan dari seluruh Akun AWS Layanan AWS, dan mendukung produk mitra pihak ketiga. Dengan Security Hub CSPM, Anda dapat memeriksa lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Security Hub CSPM membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tertinggi.

Dengan menggunakan integrasi antaraPatch Manager, alat di, dan Security Hub CSPM AWS Systems Manager, Anda dapat mengirim temuan tentang node yang tidak sesuai dari ke Security Patch Manager Hub CSPM. Temuan adalah catatan yang dapat diamati dari pemeriksaan keamanan atau deteksi terkait keamanan. Security Hub CSPM kemudian dapat menyertakan temuan terkait tambalan tersebut dalam analisisnya tentang postur keamanan Anda.

Informasi dalam topik berikut berlaku tidak peduli metode atau jenis konfigurasi yang Anda gunakan untuk operasi patching Anda:
+ Kebijakan tambalan yang dikonfigurasi di Quick Setup
+ Opsi Manajemen Host yang dikonfigurasi di Quick Setup
+ Jendela pemeliharaan untuk menjalankan tambalan `Scan` atau `Install` tugas
+ **Patch sesuai permintaan sekarang beroperasi**

**Contents**
+ [Cara Patch Manager mengirimkan temuan ke Security Hub CSPM](#securityhub-integration-sending-findings)
  + [Jenis temuan yang dikirim Patch Manager](#securityhub-integration-finding-types)
  + [Latensi untuk mengirim temuan](#securityhub-integration-finding-latency)
  + [Mencoba lagi saat CSPM Security Hub tidak tersedia](#securityhub-integration-retry-send)
  + [Melihat temuan di Security Hub CSPM](#securityhub-integration-view-findings)
+ [Temuan standar dari Patch Manager](#securityhub-integration-finding-example)
+ [Mengaktifkan dan mengonfigurasikan integrasi](#securityhub-integration-enable)
+ [Bagaimana cara menghentikan pengiriman temuan](#securityhub-integration-disable)

## Cara Patch Manager mengirimkan temuan ke Security Hub CSPM
<a name="securityhub-integration-sending-findings"></a>

Di Security Hub CSPM, masalah keamanan dilacak sebagai temuan. Beberapa temuan berasal dari masalah yang terdeteksi oleh pihak lain Layanan AWS atau oleh mitra pihak ketiga. Security Hub CSPM juga memiliki seperangkat aturan yang digunakan untuk mendeteksi masalah keamanan dan menghasilkan temuan.

 Patch Manageradalah salah satu alat Systems Manager yang mengirimkan temuan ke Security Hub CSPM. Setelah Anda melakukan operasi penambalan dengan menjalankan dokumen SSM (`AWS-RunPatchBaseline`,, atau`AWS-RunPatchBaselineWithHooks`)`AWS-RunPatchBaselineAssociation`, informasi penambalan dikirim ke Inventaris atau Kepatuhan, alat di AWS Systems Manager, atau keduanya. Setelah Inventaris, Kepatuhan, atau keduanya menerima data, Patch Manager menerima pemberitahuan. Kemudian, Patch Manager mengevaluasi data untuk akurasi, pemformatan, dan kepatuhan. Jika semua kondisi terpenuhi, Patch Manager teruskan data ke Security Hub CSPM.

Security Hub CSPM menyediakan alat untuk mengelola temuan dari seluruh sumber ini. Anda dapat melihat dan mem-filter daftar temuan dan melihat detail suatu temuan. Untuk informasi lebih lanjut, lihat [Melihat temuan](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html) dalam *Panduan Pengguna AWS Security Hub *. Anda juga dapat melacak status penyelidikan temuan. Untuk informasi lebih lanjut, lihat [Mengambil tindakan pada temuan](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-taking-action.html) dalam *Panduan Pengguna AWS Security Hub *.

Semua temuan di Security Hub CSPM menggunakan format JSON standar yang disebut AWS Security Finding Format (ASFF). ASFF mencakup detail tentang sumber masalah, sumber daya yang terpengaruh, dan status temuan saat ini. Untuk informasi lebih lanjut, lihat [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.htm) di *Panduan Pengguna AWS Security Hub *.

### Jenis temuan yang dikirim Patch Manager
<a name="securityhub-integration-finding-types"></a>

Patch Managermengirimkan temuan ke Security Hub CSPM menggunakan [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html). Dalam ASFF, bidang `Types` menyediakan jenis temuan. Temuan dari Patch Manager memiliki nilai sebagai berikut untuk`Types`:
+  Checks/Patch Manajemen Perangkat Lunak dan Konfigurasi

 Patch Managermengirimkan satu temuan per node terkelola yang tidak sesuai. Temuan ini dilaporkan dengan tipe sumber daya [https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance)sehingga temuan dapat dikorelasikan dengan integrasi CSPM Security Hub lainnya yang melaporkan jenis sumber daya. `AwsEc2Instance` Patch Managerhanya meneruskan temuan ke Security Hub CSPM jika operasi menemukan node yang dikelola tidak sesuai. Temuan ini mencakup hasil Ringkasan Patch. 

**catatan**  
Setelah melaporkan node yang tidak sesuai ke Security Hub CSPM. Patch Managertidak mengirim pembaruan ke Security Hub CSPM setelah node dibuat sesuai. Anda dapat menyelesaikan temuan secara manual di Security Hub CSPM setelah patch yang diperlukan diterapkan ke node terkelola.

Untuk informasi selengkapnya tentang definisi kepatuhan, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md). Untuk informasi selengkapnya`PatchSummary`, lihat [PatchSummary](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_PatchSummary.html)di *Referensi AWS Security Hub API*.

### Latensi untuk mengirim temuan
<a name="securityhub-integration-finding-latency"></a>

Saat Patch Manager membuat temuan baru, biasanya dikirim ke Security Hub CSPM dalam beberapa detik hingga 2 jam. Kecepatan ini bergantung pada lalu lintas dalam Wilayah AWS yang sedang diproses pada saat itu.

### Mencoba lagi saat CSPM Security Hub tidak tersedia
<a name="securityhub-integration-retry-send"></a>

Jika ada pemadaman layanan, AWS Lambda fungsi dijalankan untuk mengembalikan pesan ke antrian utama setelah layanan berjalan lagi. Setelah pesan berada di antrean utama, coba lagi berjalan secara otomatis.

Jika Security Hub CSPM tidak tersedia, Patch Manager coba lagi mengirimkan temuan sampai diterima.

### Melihat temuan di Security Hub CSPM
<a name="securityhub-integration-view-findings"></a>

Prosedur ini menjelaskan cara melihat temuan di Security Hub CSPM tentang node terkelola di armada Anda yang tidak sesuai dengan patch.

**Untuk meninjau temuan CSPM Security Hub untuk kepatuhan patch**

1. Masuk ke Konsol Manajemen AWS dan buka AWS Security Hub CSPM konsol di [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/).

1. Di panel navigasi, pilih **Temuan**.

1. Pilih kotak **Tambahkan filter** (![\[The Search icon\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/search-icon.png)).

1. Di menu, di bawah **Filter**, pilih **Nama produk**.

1. Di kotak dialog yang terbuka, pilih **ada** di bidang pertama dan kemudian masukkan **Systems Manager Patch Manager** di bidang kedua.

1. Pilih **Terapkan**.

1. Tambahkan filter tambahan yang Anda inginkan untuk membantu mempersempit hasil Anda.

1. Dalam daftar hasil, pilih judul temuan yang Anda inginkan informasi lebih lanjut.

   Panel terbuka di sisi kanan layar dengan detail lebih lanjut tentang sumber daya, masalah yang ditemukan, dan perbaikan yang disarankan.
**penting**  
Pada saat ini, Security Hub CSPM melaporkan jenis sumber daya dari semua node yang dikelola sebagai. `EC2 Instance` Ini termasuk server lokal dan mesin virtual (VMs) yang telah Anda daftarkan untuk digunakan dengan Systems Manager.

**Klasifikasi keparahan**  
Daftar temuan untuk **Systems Manager Patch Manager** mencakup laporan tingkat keparahan temuan. **Tingkat keparahan** meliputi yang berikut, dari terendah ke tertinggi:
+ **INFORMASI** - Tidak ada masalah yang ditemukan.
+ **RENDAH** — Masalah ini tidak memerlukan remediasi.
+ **MEDIUM** — Masalah ini harus ditangani tetapi tidak mendesak.
+ **TINGGI** — Masalah ini harus ditangani sebagai prioritas.
+ **KRITIS** — Masalah ini harus segera diperbaiki untuk menghindari eskalasi.

Tingkat keparahan ditentukan oleh paket noncompliant yang paling parah pada sebuah instance. Karena Anda dapat memiliki beberapa garis dasar tambalan dengan beberapa tingkat keparahan, tingkat keparahan tertinggi dilaporkan dari semua paket yang tidak sesuai. Misalnya, Anda memiliki dua paket yang tidak sesuai di mana tingkat keparahan paket A adalah “Kritis” dan tingkat keparahan paket B adalah “Rendah”. “Kritis” akan dilaporkan sebagai tingkat keparahan.

Perhatikan bahwa bidang keparahan berkorelasi langsung dengan bidang. Patch Manager `Compliance` Ini adalah bidang yang Anda tetapkan tetapkan ke tambalan individual yang cocok dengan aturan. Karena `Compliance` bidang ini ditetapkan ke tambalan individual, itu tidak tercermin pada tingkat Ringkasan Patch.

**Konten terkait**
+ [Temuan](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) dalam *Panduan AWS Security Hub Pengguna*
+ [Kepatuhan patch Multi-Akun Patch Manager dan Security Hub](https://aws.amazon.com/blogs/mt/multi-account-patch-compliance-with-patch-manager-and-security-hub/) di Blog *AWS Manajemen & Tata Kelola*

## Temuan standar dari Patch Manager
<a name="securityhub-integration-finding-example"></a>

Patch Managermengirimkan temuan ke Security Hub CSPM menggunakan [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).

Berikut adalah contoh temuan Patch Manager.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}
```

## Mengaktifkan dan mengonfigurasikan integrasi
<a name="securityhub-integration-enable"></a>

Untuk menggunakan Patch Manager integrasi dengan Security Hub CSPM, Anda harus mengaktifkan Security Hub CSPM. *Untuk informasi tentang cara mengaktifkan CSPM Security Hub, lihat [Menyiapkan CSPM Security Hub di Panduan Pengguna](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html).AWS Security Hub *

Prosedur berikut menjelaskan cara mengintegrasikan Patch Manager dan Security Hub CSPM ketika Security Hub CSPM sudah aktif tetapi Patch Manager integrasi dimatikan. Anda hanya perlu menyelesaikan prosedur ini jika integrasi dinonaktifkan secara manual.

**Patch ManagerUntuk menambah integrasi CSPM Security Hub**

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Pengaturan**.

   -atau-

   Jika Anda mengakses Patch Manager untuk pertama kalinya saat ini Wilayah AWS, pilih **Mulai dengan ikhtisar**, lalu pilih tab **Pengaturan**.

1. **Di bagian **CSPM Ekspor ke Security Hub**, di sebelah kanan **temuan kepatuhan Patch tidak diekspor ke Security Hub**, pilih Aktifkan.**

## Bagaimana cara menghentikan pengiriman temuan
<a name="securityhub-integration-disable"></a>

Untuk menghentikan pengiriman temuan ke Security Hub CSPM, Anda dapat menggunakan konsol CSPM Security Hub atau API.

Untuk informasi selengkapnya, lihat topik berikut di *Panduan Pengguna AWS Security Hub *:
+ [Menonaktifkan dan mengaktifkan aliran temuan dari integrasi (konsol)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-console)
+ [Menonaktifkan alur temuan dari integrasi (Security Hub CSPM API,) AWS CLI](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-disable-api)