Identificar nós gerenciados fora de conformidade

Os nós gerenciados fora de conformidade são identificados quando um dos dois documentos do AWS Systems Manager (documentos SSM) são executados. Esses documentos do SSM fazem referência à lista de referência de patches apropriada para cada nó gerenciado do Patch Manager, um recurso do AWS Systems Manager. Em seguida, eles avaliam o estado do patch do nó gerenciado e, em seguida, disponibilizam os resultados de conformidade para você.

Há dois documentos do SSM que são usados para identificar ou atualizar nós gerenciados fora de conformidade: AWS-RunPatchBaseline e AWS-RunPatchBaselineAssociation. Cada um é usado por diferentes processos, e seus resultados de conformidade estão disponíveis em diferentes canais. A tabela a seguir descreve as diferenças entre esses documentos.

nota

Dados de conformidade de patches do Patch Manager podem ser enviados para o AWS Security Hub. O Security Hub oferece uma visão abrangente dos alertas de segurança de alta prioridade e do status de conformidade. Também monitora o estado de aplicação de patches da sua frota. Para ter mais informações, consulte Integrar o Patch Manager ao AWS Security Hub.

	`AWS-RunPatchBaseline`	`AWS-RunPatchBaselineAssociation`
Processos que usam o documento	Patch sob demanda - Você pode verificar ou corrigir os nós gerenciados sob demanda usando a opção Patch now (Aplicar patch agora). Para ter mais informações, consulte Aplicação de patches em nós gerenciados sob demanda. Políticas de patch do Quick Setup do Systems Manager: é possível criar uma configuração de patches no Quick Setup, um recurso do AWS Systems Manager que pode verificar ou instalar patches que estejam faltando em programações separadas para uma organização inteira, um subconjunto de unidades organizacionais ou uma única Conta da AWS. Para ter mais informações, consulte Configurar patches para instâncias em uma organização usando a Quick Setup. Execute um comando— Você pode executar manualmente`AWS-RunPatchBaseline`em uma operação emRun Command, um recurso doAWS Systems Manager. Para ter mais informações, consulte Executar comandos no console. Maintenance window (Janela de manutenção)— Você pode criar uma janela de manutenção que use o documento do SSM`AWS-RunPatchBaseline`em umRun CommandTipo de tarefa. Para ter mais informações, consulte Tutorial: Create a maintenance window for patching using the console.	Host Management do Quick Setup do Systems Manager: é possível ativar uma opção de configuração do Host Management no Quick Setup para verificar as instâncias gerenciadas quanto à conformidade de patches todos os dias. Para ter mais informações, consulte Configurar o gerenciamento de host do Amazon EC2 usando a Quick Setup. Systems Manager (Gerenciador de sistemas)Explorer— Quando você permitirExplorer, um recurso doAWS Systems Manager, ele verifica suas instâncias gerenciadas regularmente no que diz respeito à conformidade de patches e relata os resultados noExplorerpainel.
Formato dos dados do resultado da verificação do patch	Depois que o `AWS-RunPatchBaseline` é executado, o Patch Manager envia um objeto do `AWS:PatchSummary` ao Inventário, um recurso do AWS Systems Manager.	Depois que o `AWS-RunPatchBaselineAssociation` é executado, o Patch Manager envia um objeto do `AWS:ComplianceItem` ao Systems Manager Inventory.
Visualizar relatórios da conformidade de patches no console	Você pode visualizar as informações de conformidade do patch para processos que usam o `AWS-RunPatchBaseline` em Conformidade da configuração do Systems Manager e em Trabalhar com nós gerenciados. Para ter mais informações, consulte Visualizar resultados de conformidade de patches.	Se você usa o Quick Setup para verificar as instâncias gerenciadas quanto à conformidade de patches, você pode ver o relatório de conformidade no Fleet Manager do Systems Manager. No console do Fleet Manager, escolha o ID do seu nó gerenciado. No menu Geral, escolha Conformidade de configuração. Se você usa o Explorer para verificar as instâncias gerenciadas quanto à conformidade de patches, você pode ver o relatório de conformidade no Explorer e no OpsCenter do Systems Manager.
Comandos da AWS CLI para visualizar os resultados de conformidade de patches	Para processos que usam o `AWS-RunPatchBaseline`, você pode usar o seguinte comando da AWS CLI para visualizar informações resumidas sobre patches em um nó gerenciado. describe-instance-patch-states describe-instance-patch-states-for-patch-group describe-patch-group-state	Para processos que usam o `AWS-RunPatchBaselineAssociation`, você pode usar o seguinte comando da AWS CLI para visualizar informações resumidas sobre patches em uma instância. list-compliance-items
Sobre operações de aplicação de patches	Para processos que usam o `AWS-RunPatchBaseline`, você especifica se deseja que a operação execute uma `Scan` somente operação ou uma operação `Scan and install`. Se o objetivo for identificar nós gerenciados fora de conformidade e não os corrigir, execute apenas uma operação `Scan`.	Os processos do Quick Setup e Explorer, que usam o `AWS-RunPatchBaselineAssociation`, executam apenas uma operação de `Scan`.
Mais informações	Documento de comando do SSM para a aplicação de patches: AWS-RunPatchBaseline	Documento de comando do SSM para a aplicação de patches: AWS-RunPatchBaselineAssociation

Para obter informações sobre os vários estados de conformidade dos patches que você poderá ver relatados, consulte Valores de estados de conformidade de patches

Para obter informações sobre como corrigir nós gerenciados que não estiverem em conformidade com os patches, consulte Aplicação de patches em nós gerenciados fora de conformidade.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Corrigir nós gerenciados fora de conformidade

Valores de estados de conformidade de patches