Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Lavorare con Patch Manager le risorse utilizzando il AWS CLI
La sezione include esempi di comandi AWS Command Line Interface (AWS CLI) che è possibile utilizzare per eseguire attività di configurazione perPatch Manager, una funzionalità di AWS Systems Manager.
Per un'illustrazione dell'utilizzo di patch AWS CLI per applicare patch a un ambiente server utilizzando una linea di base di patch personalizzata, vedere. Tutorial: applicare una patch a un ambiente server utilizzando AWS CLI
Per ulteriori informazioni sull'utilizzo di AWS CLI for AWS Systems Manager tasks, consulta la AWS Systems Manager sezione del AWS CLI Command Reference.
Argomenti
AWS CLI comandi per le linee di base delle patch
Comandi di esempio per le basi di patch
- Creazione di una base di patch
- Creazione di una base di patch con repository personalizzati per varie versioni dei sistemi operativi
- Aggiornamento di una base di patch
- Assegnazione di un nuovo nome a una base di patch
- Eliminazione di una base di patch
- Elenco di tutte le basi di patch
- Elenca tutte le AWS linee di base delle patch fornite
- Elenco di tutte le basi di patch personali
- Visualizzazione di una base di patch
- Ottenimento della base di patch predefinita
- Impostare una linea di base di patch personalizzata come impostazione predefinita
- Reimposta la linea di base di una AWS patch come predefinita
- Tag di una base di patch
- Elenca i tag di una base di patch.
- Rimozione di un tag da una base di patch
Creazione di una base di patch
Il seguente comando crea una patch di base che approva tutti gli aggiornamenti correlati alla sicurezza critici o importanti per Windows Server 2012 R2 5 giorni dopo il rilascio. Sono state specificate anche le patch per gli elenchi approvati e rifiutati. Inoltre, la base di patch è stata contrassegnata per indicare che è destinata a un ambiente di produzione.
Il sistema restituisce informazioni simili alle seguenti.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Creazione di una base di patch con repository personalizzati per varie versioni dei sistemi operativi
Applicabile solo per i nodi gestiti Linux. Il seguente comando mostra come specificare i repository delle patch da utilizzare per una determinata versione del sistema operativo Amazon Linux. In questo esempio viene utilizzato un repository di origine abilitato per impostazione predefinita in Amaxon Linux 2017.09, ma potrebbe essere adattato per un altro repository di fonte configurato per un nodo gestito.
Nota
Per illustrare meglio questo comando più complesso, stiamo usando l'--cli-input-json
opzione con opzioni aggiuntive memorizzate in un file esternoJSON.
-
Crea un JSON file con un nome simile
my-patch-repository.json
e aggiungi il seguente contenuto.{ "Description": "My patch repository for Amazon Linux 2017.09", "Name": "Amazon-Linux-2017.09", "OperatingSystem": "AMAZON_LINUX", "ApprovalRules": { "PatchRules": [ { "ApproveAfterDays": 7, "EnableNonSecurity": true, "PatchFilterGroup": { "PatchFilters": [ { "Key": "SEVERITY", "Values": [ "Important", "Critical" ] }, { "Key": "CLASSIFICATION", "Values": [ "Security", "Bugfix" ] }, { "Key": "PRODUCT", "Values": [ "AmazonLinux2017.09" ] } ] } } ] }, "Sources": [ { "Name": "My-AL2017.09", "Products": [ "AmazonLinux2017.09" ], "Configuration": "[amzn-main] \nname=amzn-main-Base\nmirrorlist=http://repo./$awsregion./$awsdomain//$releasever/main/mirror.list //nmirrorlist_expire=300//nmetadata_expire=300 \npriority=10 \nfailovermethod=priority \nfastestmirror_enabled=0 \ngpgcheck=1 \ngpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-ga \nenabled=1 \nretries=3 \ntimeout=5\nreport_instanceid=yes" } ] }
-
Nella directory in cui è stato salvato il file, eseguire il comando seguente:
aws ssm create-patch-baseline --cli-input-json file://my-patch-repository.json
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineId": "pb-0c10e65780EXAMPLE" }
Aggiornamento di una base di patch
Il seguente comando aggiunge due patch come rifiutate e una come approvata a una base di patch esistente.
Nota
Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi di patch approvati e rifiutati.
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineId":"pb-0c10e65780EXAMPLE", "Name":"Windows-Server-2012R2", "RejectedPatches":[ "KB2032276", "MS10-048" ], "GlobalFilters":{ "PatchFilters":[ ] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1481001494.035, "CreatedDate":1480997823.81, "ApprovedPatches":[ "KB2124261" ], "Description":"Windows Server 2012 R2, Important and Critical security updates" }
Assegnazione di un nuovo nome a una base di patch
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineId":"pb-0c10e65780EXAMPLE", "Name":"Windows-Server-2012-R2-Important-and-Critical-Security-Updates", "RejectedPatches":[ "KB2032276", "MS10-048" ], "GlobalFilters":{ "PatchFilters":[ ] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1481001795.287, "CreatedDate":1480997823.81, "ApprovedPatches":[ "KB2124261" ], "Description":"Windows Server 2012 R2, Important and Critical security updates" }
Eliminazione di una base di patch
aws ssm delete-patch-baseline --baseline-id "pb-0c10e65780EXAMPLE"
Il sistema restituisce informazioni simili alle seguenti.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Elenco di tutte le basi di patch
aws ssm describe-patch-baselines
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" }, { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE" } ] }
Di seguito è mostrato un altro comando che elenca tutte le basi di patch in una Regione AWS.
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" }, { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE" } ] }
Elenca tutte le AWS linee di base delle patch fornite
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" } ] }
Elenco di tutte le basi di patch personali
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineIdentities":[ { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE" } ] }
Visualizzazione di una base di patch
aws ssm get-patch-baseline --baseline-id pb-0c10e65780EXAMPLE
Nota
Per le baseline di patch personalizzate, puoi specificare l'ID di base della patch o l'Amazon Resource Name completo (). ARN Per una baseline AWS di patch fornita, devi specificare la versione completa. ARN Ad esempio arn:aws:ssm:us-east-2:075727635805:patchbaseline/pb-0c10e65780EXAMPLE
.
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineId":"pb-0c10e65780EXAMPLE", "Name":"Windows-Server-2012R2", "PatchGroups":[ "Web Servers" ], "RejectedPatches":[ ], "GlobalFilters":{ "PatchFilters":[ ] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1480997823.81, "CreatedDate":1480997823.81, "ApprovedPatches":[ ], "Description":"Windows Server 2012 R2, Important and Critical security updates" }
Ottenimento della base di patch predefinita
aws ssm get-default-patch-baseline --region us-east-2
Il sistema restituisce informazioni simili alle seguenti.
{
"BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
Impostare una linea di base di patch personalizzata come impostazione predefinita
Il sistema restituisce informazioni simili alle seguenti.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Reimposta la linea di base di una AWS patch come predefinita
Il sistema restituisce informazioni simili alle seguenti.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Tag di una base di patch
Elenca i tag di una base di patch.
Rimozione di un tag da una base di patch
AWS CLI comandi per gruppi di patch
Comandi di esempio per gruppi di patch
- Creazione di un gruppo di patch
- Registrazione del gruppo di patch "server web" con una base di patch
- Registra un gruppo di patch «Backend» con la patch AWS baseline fornita
- Visualizzazione delle registrazioni dei gruppi di patch
- Annullamento della registrazione di un gruppo di patch da una base di patch
Creazione di un gruppo di patch
Per organizzare i tentativi di applicazione di patch, consigliamo di aggiungere nodi gestiti ai gruppi di patch utilizzando i tag, I gruppi di patch richiedono l'utilizzo della chiave di tag Patch Group
o PatchGroup
. Se sono stati consentiti i tag nei metadati delle EC2 istanze, è necessario utilizzare PatchGroup
(senza spazi). Puoi specificare un valore tag qualsiasi, ma la chiave di tag deve essere Patch Group
o PatchGroup
. Per ulteriori informazioni sui gruppi di patch, consulta Gruppi di patch.
Dopo aver raggruppato i nodi gestiti utilizzando i tag, aggiungere il valore del gruppo di patch a una base di patch. Registrando il gruppo di patch con una base di patch, ci si assicura che vengano installate le patch corrette durante l'operazione di applicazione di patch.
Attività 1: aggiungere EC2 istanze a un gruppo di patch utilizzando i tag
Nota
Quando si utilizza la console Amazon Elastic Compute Cloud (AmazonEC2) AWS CLI, è possibile applicare Key = Patch Group
o Key = PatchGroup
tag a istanze che non sono ancora configurate per l'uso con Systems Manager. Se un'EC2istanza in cui ti aspetti di vedere Patch Manager non è elencata dopo aver applicato il Key = PatchGroup
tag Patch Group
o, consulta i suggerimenti Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti per la risoluzione dei problemi.
Esegui il comando seguente per aggiungere il PatchGroup
tag a un'EC2istanza.
aws ec2 create-tags --resources
"i-1234567890abcdef0"
--tags "Key=PatchGroup,Value=GroupValue
"
Attività 2: aggiunta di nodi gestiti a un gruppo di patch mediante i tag
Eseguire il comando seguente per aggiungere il tag PatchGroup
a un nodo gestito.
Attività 3: aggiunta di un gruppo di patch a una base di patch
Eseguire il comando seguente per associare il valore di tag PatchGroup
alla base di patch specificata.
Il sistema restituisce informazioni simili alle seguenti.
{
"PatchGroup": "Development",
"BaselineId": "pb-0c10e65780EXAMPLE"
}
Registrazione del gruppo di patch "server web" con una base di patch
Il sistema restituisce informazioni simili alle seguenti.
{
"PatchGroup":"Web Servers",
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Registra un gruppo di patch «Backend» con la patch AWS baseline fornita
Il sistema restituisce informazioni simili alle seguenti.
{
"PatchGroup":"Backend",
"BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
Visualizzazione delle registrazioni dei gruppi di patch
aws ssm describe-patch-groups --region us-east-2
Il sistema restituisce informazioni simili alle seguenti.
{ "PatchGroupPatchBaselineMappings":[ { "PatchGroup":"Backend", "BaselineIdentity":{ "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":false, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" } }, { "PatchGroup":"Web Servers", "BaselineIdentity":{ "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":true, "BaselineDescription":"Windows Server 2012 R2, Important and Critical updates", "BaselineId":"pb-0c10e65780EXAMPLE" } } ] }
Annullamento della registrazione di un gruppo di patch da una base di patch
Il sistema restituisce informazioni simili alle seguenti.
{
"PatchGroup":"Production",
"BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
AWS CLI comandi per visualizzare i riepiloghi e i dettagli delle patch
Comandi di esempio per la visualizzazione di riepiloghi e dettagli patch
- Ottenimento di tutte le patch definite da una base di patch
- Ottieni tutte le patch per la versione AmazonLinux 2018.03 che hanno una classificazione e una gravità di SECURITYCritical
- Ottieni tutte le patch per il Windows Server 2012 con una gravità di MSRC Critical
- Ottenimento di tutte le patch disponibili
- Ottenimento dello stati di riepilogo delle patch per nodo gestito
- Ottenimento dei dettagli di conformità delle patch per un nodo gestito
- Visualizzare i risultati della conformità delle patch (AWS CLI)
Ottenimento di tutte le patch definite da una base di patch
Nota
Questo comando è supportato solo per le basi di patch Windows Server
Il sistema restituisce informazioni simili alle seguenti.
{ "NextToken":"--token string truncated--", "EffectivePatches":[ { "PatchStatus":{ "ApprovalDate":1384711200.0, "DeploymentStatus":"APPROVED" }, "Patch":{ "ContentUrl":"https://support.microsoft.com/en-us/kb/2876331", "ProductFamily":"Windows", "Product":"WindowsServer2012R2", "Vendor":"Microsoft", "Description":"A security issue has been identified in a Microsoft software product that could affect your system. You can help protect your system by installing this update from Microsoft. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2012 R2 Preview (KB2876331)", "ReleaseDate":1384279200.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2876331", "MsrcNumber":"MS13-089", "Id":"e74ccc76-85f0-4881-a738-59e9fc9a336d" } }, { "PatchStatus":{ "ApprovalDate":1428858000.0, "DeploymentStatus":"APPROVED" }, "Patch":{ "ContentUrl":"https://support.microsoft.com/en-us/kb/2919355", "ProductFamily":"Windows", "Product":"WindowsServer2012R2", "Vendor":"Microsoft", "Description":"Windows Server 2012 R2 Update is a cumulative set of security updates, critical updates and updates. You must install Windows Server 2012 R2 Update to ensure that your computer can continue to receive future Windows Updates, including security updates. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article for more information. After you install this item, you may have to restart your computer.", "Classification":"SecurityUpdates", "Title":"Windows Server 2012 R2 Update (KB2919355)", "ReleaseDate":1428426000.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2919355", "MsrcNumber":"MS14-018", "Id":"8452bac0-bf53-4fbd-915d-499de08c338b" } } ---output truncated---
Ottieni tutte le patch per la versione AmazonLinux 2018.03 che hanno una classificazione e una gravità di SECURITY
Critical
Il sistema restituisce informazioni simili alle seguenti.
{ "Patches": [ { "AdvisoryIds": ["ALAS-2011-1"], "BugzillaIds": [ "1234567" ], "Classification": "SECURITY", "CVEIds": [ "CVE-2011-3192"], "Name": "zziplib", "Epoch": "0", "Version": "2.71", "Release": "1.3.amzn1", "Arch": "i686", "Product": "AmazonLinux2018.03", "ReleaseDate": 1590519815, "Severity": "CRITICAL" } ] } ---output truncated---
Ottieni tutte le patch per il Windows Server 2012 con una gravità di MSRC Critical
Il sistema restituisce informazioni simili alle seguenti.
{ "Patches":[ { "ContentUrl":"https://support.microsoft.com/en-us/kb/2727528", "ProductFamily":"Windows", "Product":"WindowsServer2012", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2012 (KB2727528)", "ReleaseDate":1352829600.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2727528", "MsrcNumber":"MS12-072", "Id":"1eb507be-2040-4eeb-803d-abc55700b715" }, { "ContentUrl":"https://support.microsoft.com/en-us/kb/2729462", "ProductFamily":"Windows", "Product":"WindowsServer2012", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Microsoft .NET Framework 3.5 on Windows 8 and Windows Server 2012 for x64-based Systems (KB2729462)", "ReleaseDate":1352829600.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2729462", "MsrcNumber":"MS12-074", "Id":"af873760-c97c-4088-ab7e-5219e120eab4" } ---output truncated---
Ottenimento di tutte le patch disponibili
aws ssm describe-available-patches --region us-east-2
Il sistema restituisce informazioni simili alle seguenti.
{ "NextToken":"--token string truncated--", "Patches":[ { "ContentUrl":"https://support.microsoft.com/en-us/kb/2032276", "ProductFamily":"Windows", "Product":"WindowsServer2008R2", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2008 R2 x64 Edition (KB2032276)", "ReleaseDate":1279040400.0, "MsrcClassification":"Important", "Language":"All", "KbNumber":"KB2032276", "MsrcNumber":"MS10-043", "Id":"8692029b-a3a2-4a87-a73b-8ea881b4b4d6" }, { "ContentUrl":"https://support.microsoft.com/en-us/kb/2124261", "ProductFamily":"Windows", "Product":"Windows7", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows 7 (KB2124261)", "ReleaseDate":1284483600.0, "MsrcClassification":"Important", "Language":"All", "KbNumber":"KB2124261", "MsrcNumber":"MS10-065", "Id":"12ef1bed-0dd2-4633-b3ac-60888aa8ba33" } ---output truncated---
Ottenimento dello stati di riepilogo delle patch per nodo gestito
Il riepilogo per nodo gestito fornisce il numero di patch nei seguenti stati per nodo: "NotApplicable«, «Mancante», «Fallito», "InstalledOther" e «Installato».
Il sistema restituisce informazioni simili alle seguenti.
{ "InstancePatchStates":[ { "InstanceId": "i-08ee91c0b17045407", "PatchGroup": "", "BaselineId": "pb-0c10e65780EXAMPLE", "SnapshotId": "6d03d6c5-f79d-41d0-8d0e-00a9aEXAMPLE", "InstalledCount": 50, "InstalledOtherCount": 353, "InstalledPendingRebootCount": 0, "InstalledRejectedCount": 0, "MissingCount": 0, "FailedCount": 0, "UnreportedNotApplicableCount": -1, "NotApplicableCount": 671, "OperationStartTime": "2020-01-24T12:37:56-08:00", "OperationEndTime": "2020-01-24T12:37:59-08:00", "Operation": "Scan", "RebootOption": "NoReboot" }, { "InstanceId": "i-09a618aec652973a9", "PatchGroup": "", "BaselineId": "pb-0c10e65780EXAMPLE", "SnapshotId": "c7e0441b-1eae-411b-8aa7-973e6EXAMPLE", "InstalledCount": 36, "InstalledOtherCount": 396, "InstalledPendingRebootCount": 0, "InstalledRejectedCount": 0, "MissingCount": 3, "FailedCount": 0, "UnreportedNotApplicableCount": -1, "NotApplicableCount": 420, "OperationStartTime": "2020-01-24T12:37:34-08:00", "OperationEndTime": "2020-01-24T12:37:37-08:00", "Operation": "Scan", "RebootOption": "NoReboot" } ---output truncated---
Ottenimento dei dettagli di conformità delle patch per un nodo gestito
aws ssm describe-instance-patches --instance-id i-08ee91c0b17045407
Il sistema restituisce informazioni simili alle seguenti.
{ "NextToken":"--token string truncated--", "Patches":[ { "Title": "bind-libs.x86_64:32:9.8.2-0.68.rc1.60.amzn1", "KBId": "bind-libs.x86_64", "Classification": "Security", "Severity": "Important", "State": "Installed", "InstalledTime": "2019-08-26T11:05:24-07:00" }, { "Title": "bind-utils.x86_64:32:9.8.2-0.68.rc1.60.amzn1", "KBId": "bind-utils.x86_64", "Classification": "Security", "Severity": "Important", "State": "Installed", "InstalledTime": "2019-08-26T11:05:32-07:00" }, { "Title": "dhclient.x86_64:12:4.1.1-53.P1.28.amzn1", "KBId": "dhclient.x86_64", "Classification": "Security", "Severity": "Important", "State": "Installed", "InstalledTime": "2019-08-26T11:05:31-07:00" }, ---output truncated---
Visualizzare i risultati della conformità delle patch (AWS CLI)
Per visualizzare i risultati della conformità delle patch per un singolo nodo gestito
Esegui il seguente comando in AWS Command Line Interface (AWS CLI) per visualizzare i risultati di conformità delle patch per un singolo nodo gestito.
aws ssm describe-instance-patch-states --instance-id
instance-id
Replace (Sostituisci) instance-id
con l'ID del nodo gestito per il quale si desidera visualizzare i risultati, nel formato i-02573cafcfEXAMPLE
omi-0282f7c436EXAMPLE
.
Questo sistema restituisce informazioni simili alle seguenti.
{ "InstancePatchStates": [ { "InstanceId": "i-02573cafcfEXAMPLE", "PatchGroup": "mypatchgroup", "BaselineId": "pb-0c10e65780EXAMPLE", "SnapshotId": "a3f5ff34-9bc4-4d2c-a665-4d1c1EXAMPLE", "CriticalNonCompliantCount": 2, "SecurityNonCompliantCount": 2, "OtherNonCompliantCount": 1, "InstalledCount": 123, "InstalledOtherCount": 334, "InstalledPendingRebootCount": 0, "InstalledRejectedCount": 0, "MissingCount": 1, "FailedCount": 2, "UnreportedNotApplicableCount": 11, "NotApplicableCount": 2063, "OperationStartTime": "2021-05-03T11:00:56-07:00", "OperationEndTime": "2021-05-03T11:01:09-07:00", "Operation": "Scan", "LastNoRebootInstallOperationTime": "2020-06-14T12:17:41-07:00", "RebootOption": "RebootIfNeeded" } ] }
Per visualizzare un riepilogo del conteggio delle patch per tutte le EC2 istanze in una regione
describe-instance-patch-states
supporta il recupero dei risultati di una sola istanza gestita alla volta. Tuttavia, l'utilizzo di uno script personalizzato con describe-instance-patch-states
, è possibile generare un report più granulare.
Ad esempio, se lo strumento jq filterInstalledPendingReboot
aws ssm describe-instance-patch-states \ --instance-ids $(aws ec2 describe-instances --region
region
| jq '.Reservations[].Instances[] | .InstanceId' | tr '\n|"' ' ') \ --output text --query 'InstancePatchStates[*].{Instance:InstanceId, InstalledPendingRebootCount:InstalledPendingRebootCount}'
region
rappresenta l'identificatore di una regione Regione AWS
supportata da AWS Systems Manager, ad esempio us-east-2
per la regione Stati Uniti orientali (Ohio). Per un elenco di quelli supportati region
valori, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services
Per esempio:
aws ssm describe-instance-patch-states \ --instance-ids $(aws ec2 describe-instances --region us-east-2 | jq '.Reservations[].Instances[] | .InstanceId' | tr '\n|"' ' ') \ --output text --query 'InstancePatchStates[*].{Instance:InstanceId, InstalledPendingRebootCount:InstalledPendingRebootCount}'
Il sistema restituisce informazioni simili alle seguenti.
1 i-02573cafcfEXAMPLE 0 i-0471e04240EXAMPLE 3 i-07782c72faEXAMPLE 6 i-083b678d37EXAMPLE 0 i-03a530a2d4EXAMPLE 1 i-01f68df0d0EXAMPLE 0 i-0a39c0f214EXAMPLE 7 i-0903a5101eEXAMPLE 7 i-03823c2fedEXAMPLE
Oltre a InstalledPendingRebootCount
, l'elenco dei tipi di conteggio che è possibile cercare include quanto segue:
-
CriticalNonCompliantCount
-
SecurityNonCompliantCount
-
OtherNonCompliantCount
-
UnreportedNotApplicableCount
-
InstalledPendingRebootCount
-
FailedCount
-
NotApplicableCount
-
InstalledRejectedCount
-
InstalledOtherCount
-
MissingCount
-
InstalledCount
AWS CLI comandi per la scansione e l'applicazione di patch ai nodi gestiti
Dopo aver eseguito i seguenti comandi per verificare la conformità delle patch o installare le patch, è possibile utilizzare i comandi nella sezione AWS CLI comandi per visualizzare i riepiloghi e i dettagli delle patch per visualizzare informazioni sullo stato della patch e sulla conformità.
Comandi di esempio
Scansione dei nodi gestiti per la conformità alle patch (AWS CLI)
Per eseguire la scansione di nodi gestiti specifici per la conformità delle patch
Esegui il comando seguente.
Il sistema restituisce informazioni simili alle seguenti.
{ "Command": { "CommandId": "a04ed06c-8545-40f4-87c2-a0babEXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621974475.267, "Parameters": { "Operation": [ "Scan" ] }, "InstanceIds": [], "Targets": [ { "Key": "InstanceIds", "Values": [ "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" ] } ], "RequestedDateTime": 1621952275.267, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
Per analizzare i nodi gestiti per verificare la conformità delle patch in base al tag del gruppo
Esegui il comando seguente.
Il sistema restituisce informazioni simili alle seguenti.
{ "Command": { "CommandId": "87a448ee-8adc-44e0-b4d1-6b429EXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621974983.128, "Parameters": { "Operation": [ "Scan" ] }, "InstanceIds": [], "Targets": [ { "Key": "tag:PatchGroup", "Values": [ "Web servers" ] } ], "RequestedDateTime": 1621952783.128, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
Installazione di patch sui nodi gestiti (AWS CLI)
Per installare patch su nodi gestiti specifici
Esegui il comando seguente.
Nota
I nodi gestiti di destinazione si riavviano in base alle necessità per completare l'installazione della patch. Per ulteriori informazioni, consulta SSMDocumento di comando per l'applicazione di patch: AWS-RunPatchBaseline.
Il sistema restituisce informazioni simili alle seguenti.
{ "Command": { "CommandId": "5f403234-38c4-439f-a570-93623EXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621975301.791, "Parameters": { "Operation": [ "Install" ] }, "InstanceIds": [], "Targets": [ { "Key": "InstanceIds", "Values": [ "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" ] } ], "RequestedDateTime": 1621953101.791, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
Per installare patch su nodi gestiti in un gruppo di patch specifico
Esegui il comando seguente.
Il sistema restituisce informazioni simili alle seguenti.
{ "Command": { "CommandId": "fa44b086-7d36-4ad5-ac8d-627ecEXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621975407.865, "Parameters": { "Operation": [ "Install" ] }, "InstanceIds": [], "Targets": [ { "Key": "tag:PatchGroup", "Values": [ "Web servers" ] } ], "RequestedDateTime": 1621953207.865, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }