Identificar nós gerenciados fora de conformidade
Os nós gerenciados fora de conformidade são identificados quando um dos dois documentos do AWS Systems Manager (documentos SSM) são executados. Esses documentos do SSM fazem referência à lista de referência de patches apropriada para cada nó gerenciado do Patch Manager, um recurso do AWS Systems Manager. Em seguida, eles avaliam o estado do patch do nó gerenciado e, em seguida, disponibilizam os resultados de conformidade para você.
Há dois documentos do SSM que são usados para identificar ou atualizar nós gerenciados fora de conformidade: AWS-RunPatchBaseline
e AWS-RunPatchBaselineAssociation
. Cada um é usado por diferentes processos, e seus resultados de conformidade estão disponíveis em diferentes canais. A tabela a seguir descreve as diferenças entre esses documentos.
nota
Dados de conformidade de patches do Patch Manager podem ser enviados para o AWS Security Hub. O Security Hub oferece uma visão abrangente dos alertas de segurança de alta prioridade e do status de conformidade. Também monitora o estado de aplicação de patches da sua frota. Para ter mais informações, consulte Integrar o Patch Manager ao AWS Security Hub.
AWS-RunPatchBaseline |
AWS-RunPatchBaselineAssociation |
|
---|---|---|
Processos que usam o documento |
Patch sob demanda - Você pode verificar ou corrigir os nós gerenciados sob demanda usando a opção Patch now (Aplicar patch agora). Para ter mais informações, consulte Aplicação de patches em nós gerenciados sob demanda. Políticas de patch do Quick Setup do Systems Manager: é possível criar uma configuração de patches no Quick Setup, um recurso do AWS Systems Manager que pode verificar ou instalar patches que estejam faltando em programações separadas para uma organização inteira, um subconjunto de unidades organizacionais ou uma única Conta da AWS. Para ter mais informações, consulte Configurar patches para instâncias em uma organização usando a Quick Setup. Execute um comando— Você pode executar manualmente Maintenance window (Janela de manutenção)— Você pode criar uma janela de manutenção que use o documento do SSM |
Host Management do Quick Setup do Systems Manager: é possível ativar uma opção de configuração do Host Management no Quick Setup para verificar as instâncias gerenciadas quanto à conformidade de patches todos os dias. Para ter mais informações, consulte Configurar o gerenciamento de host do Amazon EC2 usando a Quick Setup. Systems Manager (Gerenciador de sistemas)Explorer— Quando você permitirExplorer, um recurso doAWS Systems Manager, ele verifica suas instâncias gerenciadas regularmente no que diz respeito à conformidade de patches e relata os resultados noExplorerpainel. |
Formato dos dados do resultado da verificação do patch |
Depois que o |
Depois que o |
Visualizar relatórios da conformidade de patches no console |
Você pode visualizar as informações de conformidade do patch para processos que usam o |
Se você usa o Quick Setup para verificar as instâncias gerenciadas quanto à conformidade de patches, você pode ver o relatório de conformidade no Fleet Manager do Systems Manager. No console do Fleet Manager, escolha o ID do seu nó gerenciado. No menu Geral, escolha Conformidade de configuração. Se você usa o Explorer para verificar as instâncias gerenciadas quanto à conformidade de patches, você pode ver o relatório de conformidade no Explorer e no OpsCenter do Systems Manager. |
Comandos da AWS CLI para visualizar os resultados de conformidade de patches |
Para processos que usam o |
Para processos que usam o |
Sobre operações de aplicação de patches |
Para processos que usam o Se o objetivo for identificar nós gerenciados fora de conformidade e não os corrigir, execute apenas uma operação |
Os processos do Quick Setup e Explorer, que usam o AWS-RunPatchBaselineAssociation , executam apenas uma operação de Scan . |
Mais informações |
Documento de comando do SSM para a aplicação de patches: AWS-RunPatchBaseline |
Documento de comando do SSM para a aplicação de patches: AWS-RunPatchBaselineAssociation |
Para obter informações sobre os vários estados de conformidade dos patches que você poderá ver relatados, consulte Valores de estados de conformidade de patches
Para obter informações sobre como corrigir nós gerenciados que não estiverem em conformidade com os patches, consulte Aplicação de patches em nós gerenciados fora de conformidade.