Identificazione di nodi gestiti non conformi

I nodi gestiti non conformi vengono identificati quando uno dei due documenti AWS Systems Manager(documenti SSM) vengono eseguiti. Questi documenti di SSM fanno riferimento alla patch di base idonea per ogni nodo gestito in Patch Manager, una funzionalità di AWS Systems Manager. Essi valutano quindi lo stato della patch del nodo gestito e quindi rendono disponibili i risultati di conformità.

Esistono due documenti di SSM utilizzati per identificare o aggiornare nodi gestiti non conformi: AWS-RunPatchBaseline e AWS-RunPatchBaselineAssociation. Ognuno di essi è utilizzato da processi diversi e i risultati di conformità sono disponibili attraverso diversi canali. La tabella seguente illustra le differenze tra questi documenti.

Nota

I dati relativi alla conformità del patch possono essere inviati da Patch Manager a AWS Security Hub. Security Hub offre una visione completa degli avvisi di sicurezza ad alta priorità e dello stato di conformità. Monitora anche lo stato di applicazione di patch del parco istanze. Per ulteriori informazioni, consultare Integrazione di Patch Manager con AWS Security Hub.

	`AWS-RunPatchBaseline`	`AWS-RunPatchBaselineAssociation`
Processi che utilizzano il documento	Patch on demand - È possibile eseguire la scansione o applicare patch sui nodi gestiti su richiesta utilizzando l'opzione Applica patch ora. Per informazioni, consultare Patching dei nodi gestiti on demand. Policy di patch per Quick Setup di Systems Manager: è possibile creare una configurazione di applicazione di patch in Quick Setup, una funzionalità di AWS Systems Manager, per eseguire la scansione o l'installazione delle patch mancanti in base a pianificazioni separate per un'intera organizzazione, un sottoinsieme di unità organizzative o un singolo Account AWS. Per informazioni, consultare Configurare l'applicazione di patch per le istanze in un'organizzazione utilizzando Quick Setup. Eseguire un comando— È possibile eseguire manualmente `AWS-RunPatchBaseline` in un'operazione in Run Command, una funzionalità di AWS Systems Manager. Per informazioni, consultare Esecuzione di comandi dalla console. Maintenance window (Finestra di manutenzione) - È possibile creare una finestra di manutenzione che utilizza il documento SSM `AWS-RunPatchBaseline` in un tipo di attivitàRun Command. Per informazioni, consultare Tutorial: creazione di una finestra di manutenzione per l'applicazione di patch tramite console.	Gestione host per Quick Setup di Systems Manager: è possibile abilitare un'opzione di configurazione della gestione host in Quick Setup per eseguire ogni giorno la scansione delle istanze gestite e verificare la conformità delle patch. Per informazioni, consultare Impostare la gestione host Amazon EC2 utilizzando Quick Setup. Systems ManagerExplorer – Quando si consente Explorer, una funzionalità di AWS Systems Manager, esegue regolarmente la scansione delle istanze gestite per la conformità delle patch e segnala i risultati nel pannello di controllo Explorer.
Formato dei dati dei risultati della scansione delle patch	Dopo l'esecuzione di `AWS-RunPatchBaseline`, Patch Manager invia un oggetto `AWS:PatchSummary` a Inventory, una funzionalità di AWS Systems Manager.	Dopo l'esecuzione di `AWS-RunPatchBaselineAssociation`, Patch Manager invia un oggetto `AWS:ComplianceItem` a Systems Manager Inventory
Visualizzazione di report di conformità delle patch nella console	È possibile visualizzare le informazioni sulla conformità delle patch per i processi che utilizzano `AWS-RunPatchBaseline` in Conformità della configurazione di Systems Manager e Utilizzo dei nodi gestiti. Per ulteriori informazioni, consultare Visualizzazione dei risultati di conformità delle patch.	Quando si utilizza Quick Setup per eseguire la scansione delle istanze gestite per verificare la conformità delle patch, è possibile visualizzare il report di conformità in Systems ManagerFleet Manager. Nella console Fleet Manager, scegli l'ID del nodo gestito. Nel menu Generale, scegli Conformità alla configurazione. Quando si utilizza Explorer per eseguire la scansione delle istanze gestite per verificare la conformità delle patch, è possibile visualizzare il report di conformità sia in Explorerche Systems ManagerOpsCenter.
Comandi AWS CLI per la visualizzazione dei risultati della conformità delle patch	Per i processi che utilizzano `AWS-RunPatchBaseline`, è possibile utilizzare i seguenti AWS CLI comandi per visualizzare informazioni di riepilogo sulle patch in un nodo gestito. describe-instance-patch-states describe-instance-patch-states-for-patch-group describe-patch-group-state	Per i processi che utilizzano `AWS-RunPatchBaselineAssociation`, è possibile utilizzare le seguenti opzioni: AWS CLIPer visualizzare informazioni di riepilogo sulle patch in un'istanza. list-compliance-items
Informazioni sull'applicazione di patch	Per i processi che utilizzano `AWS-RunPatchBaseline`, si specifica se si desidera che l'operazione esegua solo un'operazione `Scan` o un'operazione `Scan and install`. Se il tuo obiettivo è identificare i nodi gestiti non conformi e non correggerli, esegui solo un'operazione `Scan`.	I processi Quick Setup e Explorer, che utilizzano `AWS-RunPatchBaselineAssociation`, eseguono solo un'operazione `Scan`.
Ulteriori informazioni	Documento di comando SSM per l'applicazione di patch: AWS-RunPatchBaseline	Documento di comando SSM per l'applicazione di patch: AWS-RunPatchBaselineAssociation

Per informazioni sui vari stati di conformità delle patch che potrebbero essere riportati, consulta Valori dello stato di conformità delle patch

Per informazioni sulla correzione dei nodi gestiti che non rispettano la conformità delle patch, consulta Applicazione di patch a nodi gestiti non conformi.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Correzione dei nodi gestiti non conformi

Valori dello stato di conformità delle patch