补丁合规性状态值
有关托管式节点补丁的信息包括每个单一补丁的状态报告。
注意
如果要将特定补丁合规性状态分配给托管式节点,可以使用 put-compliance-items AWS Command Line Interface(AWS CLI)命令或 PutComplianceItems API 操作。控制台中不支持分配合规性状态。
使用下表中的信息可帮助您确定托管式节点可能不符合补丁合规性要求的原因。
Debian Server、Raspberry Pi OS 和 Ubuntu Server 的补丁合规性值
对于 Debian Server、Raspberry Pi OS 和 Ubuntu Server,将软件包分类到不同合规性状态的规则如下表所述。
注意
当您评估 INSTALLED
、INSTALLED_OTHER
和 MISSING
状态值时,请您记住下列内容:当创建或更新补丁基准时,如果没有选择包括非安全更新复选框,则补丁候选版本仅限于下列版本中的补丁:trusty-security
(Ubuntu Server 14.04 LTS)、xenial-security
(Ubuntu Server 16.04 LTS)、bionic-security
(Ubuntu Server 18.04 LTS)、focal-security
(Ubuntu Server 20.04 LTS)、groovy-security
(Ubuntu Server 20.10 STR)、jammy-security
(Ubuntu Server 22.04 LTS)或 debian-security
(Debian Server 和 Raspberry Pi OS)。如果选择了包括非安全更新复选框,也会考虑来自其他存储库的补丁。
修补状态 | 描述 | 合规性状态 |
---|---|---|
|
补丁在补丁基准中列出,并已安装在托管式节点上。如果托管式节点上已运行 |
合规 |
|
补丁不包括在基准中,或者未获基准批准,但已安装在托管式节点上。该补丁可能已手动安装,该软件包可能是另一个已批准补丁的必需依赖项,或者该补丁可能已包含在 InstallOverrideList 操作中。如果您没有指定 |
合规 |
|
|
不合规 |
|
该补丁已安装在托管式节点上,但列在 Rejected patches(已被拒绝补丁)列表中。这通常意味着补丁是在添加到已拒绝的补丁列表之前安装的。 |
不合规 |
|
经过基准筛选且尚未安装的软件包。 |
不合规 |
|
修补操作期间安装失败的软件包。 |
不合规 |
其他操作系统的补丁合规性值
对于除 Debian Server、Raspberry Pi OS 和 Ubuntu Server 之外的所有操作系统,将软件包分类到不同合规性状态的规则如下表所述。
修补状态 | 描述 | 合规性值 |
---|---|---|
|
补丁在补丁基准中列出,并已安装在托管式节点上。如果节点上已运行 |
合规 |
|
补丁不在基准中,但已安装在托管式节点上。有两个可能的原因:
|
合规 |
|
该补丁已安装在托管式节点上,但列在已被拒绝补丁列表中。这通常意味着补丁是在添加到已拒绝的补丁列表之前安装的。 |
不合规 |
|
|
不合规 |
|
基准中已批准补丁,但托管式节点上未安装该补丁。如果将 |
不合规 |
|
基准中已批准补丁,但托管式节点上未安装使用该补丁的服务或功能。例如,如果基准中已批准 Web 服务器服务 [如 Internet Information Services (IIS)] 的补丁,但托管式节点上未安装该 Web 服务,则该补丁将显示 注意此合规性状态仅在 Windows Server 操作系统上报告。 |
不适用 |
|
基准中已批准补丁,但无法安装补丁。要解决此问题,请查看命令输出中是否有可帮助您理解此问题的信息。 |
不合规 |
¹ 对于状态为 INSTALLED_OTHER
和 NOT_APPLICABLE
的补丁,根据 describe-instance-patches 命令,Patch Manager 会从查询结果中省略一些数据,例如 Classification
和 Severity
的值。这样做有助于防止超出 Inventory(AWS Systems Manager 的一项功能)中单个节点的数据限制。要查看所有补丁的详细信息,可以使用 describe-available-patches 命令。