Identificar nós gerenciados fora de conformidade - AWS Systems Manager

Identificar nós gerenciados fora de conformidade

Os nós gerenciados fora de conformidade são identificados quando um dos dois documentos do AWS Systems Manager (documentos SSM) são executados. Esses documentos do SSM fazem referência à lista de referência de patches apropriada para cada nó gerenciado do Patch Manager, um recurso do AWS Systems Manager. Em seguida, eles avaliam o estado do patch do nó gerenciado e, em seguida, disponibilizam os resultados de conformidade para você.

Há dois documentos do SSM que são usados para identificar ou atualizar nós gerenciados fora de conformidade: AWS-RunPatchBaseline e AWS-RunPatchBaselineAssociation. Cada um é usado por diferentes processos, e seus resultados de conformidade estão disponíveis em diferentes canais. A tabela a seguir descreve as diferenças entre esses documentos.

nota

Dados de conformidade de patches do Patch Manager podem ser enviados para o AWS Security Hub. O Security Hub oferece uma visão abrangente dos alertas de segurança de alta prioridade e do status de conformidade. Também monitora o estado de aplicação de patches da sua frota. Para ter mais informações, consulte Integrar o Patch Manager ao AWS Security Hub.

AWS-RunPatchBaseline AWS-RunPatchBaselineAssociation
Processos que usam o documento

Patch sob demanda - Você pode verificar ou corrigir os nós gerenciados sob demanda usando a opção Patch now (Aplicar patch agora). Para ter mais informações, consulte Aplicação de patches em nós gerenciados sob demanda.

Políticas de patch do Quick Setup do Systems Manager: é possível criar uma configuração de patches no Quick Setup, um recurso do AWS Systems Manager que pode verificar ou instalar patches que estejam faltando em programações separadas para uma organização inteira, um subconjunto de unidades organizacionais ou uma única Conta da AWS. Para ter mais informações, consulte Configurar patches para instâncias em uma organização usando a Quick Setup.

Execute um comando— Você pode executar manualmenteAWS-RunPatchBaselineem uma operação emRun Command, um recurso doAWS Systems Manager. Para ter mais informações, consulte Executar comandos no console.

Maintenance window (Janela de manutenção)— Você pode criar uma janela de manutenção que use o documento do SSMAWS-RunPatchBaselineem umRun CommandTipo de tarefa. Para ter mais informações, consulte Tutorial: Create a maintenance window for patching using the console.

Host Management do Quick Setup do Systems Manager: é possível ativar uma opção de configuração do Host Management no Quick Setup para verificar as instâncias gerenciadas quanto à conformidade de patches todos os dias. Para ter mais informações, consulte Configurar o gerenciamento de host do Amazon EC2 usando a Quick Setup.

Systems Manager (Gerenciador de sistemas)Explorer— Quando você permitirExplorer, um recurso doAWS Systems Manager, ele verifica suas instâncias gerenciadas regularmente no que diz respeito à conformidade de patches e relata os resultados noExplorerpainel.

Formato dos dados do resultado da verificação do patch

Depois que o AWS-RunPatchBaseline é executado, o Patch Manager envia um objeto do AWS:PatchSummary ao Inventário, um recurso do AWS Systems Manager.

Depois que o AWS-RunPatchBaselineAssociation é executado, o Patch Manager envia um objeto do AWS:ComplianceItem ao Systems Manager Inventory.

Visualizar relatórios da conformidade de patches no console

Você pode visualizar as informações de conformidade do patch para processos que usam o AWS-RunPatchBaseline em Conformidade da configuração do Systems Manager e em Trabalhar com nós gerenciados. Para ter mais informações, consulte Visualizar resultados de conformidade de patches.

Se você usa o Quick Setup para verificar as instâncias gerenciadas quanto à conformidade de patches, você pode ver o relatório de conformidade no Fleet Manager do Systems Manager. No console do Fleet Manager, escolha o ID do seu nó gerenciado. No menu Geral, escolha Conformidade de configuração.

Se você usa o Explorer para verificar as instâncias gerenciadas quanto à conformidade de patches, você pode ver o relatório de conformidade no Explorer e no OpsCenter do Systems Manager.

Comandos da AWS CLI para visualizar os resultados de conformidade de patches

Para processos que usam o AWS-RunPatchBaseline, você pode usar o seguinte comando da AWS CLI para visualizar informações resumidas sobre patches em um nó gerenciado.

Para processos que usam o AWS-RunPatchBaselineAssociation, você pode usar o seguinte comando da AWS CLI para visualizar informações resumidas sobre patches em uma instância.

Sobre operações de aplicação de patches

Para processos que usam o AWS-RunPatchBaseline, você especifica se deseja que a operação execute uma Scan somente operação ou uma operação Scan and install.

Se o objetivo for identificar nós gerenciados fora de conformidade e não os corrigir, execute apenas uma operação Scan.

Os processos do Quick Setup e Explorer, que usam o AWS-RunPatchBaselineAssociation, executam apenas uma operação de Scan.
Mais informações

Documento de comando do SSM para a aplicação de patches: AWS-RunPatchBaseline

Documento de comando do SSM para a aplicação de patches: AWS-RunPatchBaselineAssociation

Para obter informações sobre os vários estados de conformidade dos patches que você poderá ver relatados, consulte Valores de estados de conformidade de patches

Para obter informações sobre como corrigir nós gerenciados que não estiverem em conformidade com os patches, consulte Aplicação de patches em nós gerenciados fora de conformidade.