識別不合規的受管節點
系統會在兩個 AWS Systems Manager 文件 (SSM 文件) 中的任何一個文件執行時,識別不合規受管節點。這些 SSM 文件會參考 Patch Manager (AWS Systems Manager 的功能) 中每個受管節點的適當修補基準。然後,他們會評估受管節點的修補程式狀態,然後將合規結果提供給您。
有兩個 SSM 文件可用來識別或更新不合規受管節點:AWS-RunPatchBaseline 和 AWS-RunPatchBaselineAssociation。每個都會由不同的程序使用,而其合規結果則可透過不同的通道取得。下表概述了這些文件之間的差異。
注意
來自 Patch Manager 的修補程式合規資料可傳送至 AWS Security Hub。Security Hub 可為您提供高優先級安全性警示和合規性狀態的全方位檢視。它還會監控您的機群的修補狀態。如需詳細資訊,請參閱將 AWS Security Hub 與 Patch Manager 整合。
AWS-RunPatchBaseline |
AWS-RunPatchBaselineAssociation |
|
|---|---|---|
| 使用文件的程序 |
隨需修補程式 – 您可以使用 Patch now (立即修補) 選項隨需掃描或修補受管節點。如需相關資訊,請參閱 隨需修補受管節點。 Systems Manager Quick Setup 修補程式政策 – 您可以在 Quick Setup 中建立修補組態 (AWS Systems Manager 的一個功能),其可針對整個組織、組織單位子集或單一 AWS 帳戶 的單獨排程來掃描或安裝遺失的修補程式。如需相關資訊,請參閱 使用 Quick Setup 設定組織中執行個體的修補。 執行命令 – 您可以在 Run Command 的操作中手動執行 Maintenance window (維護時段) – 您可以在 Run Command 任務類型中建立使用 SSM 文件 |
Systems Manager Quick Setup 主機管理 – 您可以在 Quick Setup 中啟用主機管理組態選項,每天掃描受管執行個體,檢查修補程式是否合規。如需相關資訊,請參閱 使用 Quick Setup 設定 Amazon EC2 主機管理。 Systems Manager Explorer – 當您允許 Explorer (AWS Systems Manager 功能) 時,它會定期掃描受管執行個體,檢查修補程式是否合規,並會在 Explorer 儀表板中報告結果。 |
| 修補程式掃描結果資料的格式 |
|
|
| 在主控台檢視修補的合規報告 |
您可以在 Systems Manager 組態合規和 使用受管節點 中檢視使用 |
如果使用Quick Setup掃描受管執行個體的修補程式是否合規,則您可以在 Systems Manager Fleet Manager 中查看合規報告。在 Fleet Manager 主控台中,選擇受管節點的節點 ID。在一般選單中,選擇組態合規。 如果使用 Explorer 掃描受管執行個體的修補程式是否合規,則您可以在 Explorer 和 Systems Manager OpsCenter 中查看合規報告。 |
| 檢視修補程式合規結果的 AWS CLI 命令 |
對於使用 |
對於使用 |
| 修補操作 |
對於使用 如果您的目標是識別不合規受管節點,而不是進行修復,請僅執行 |
使用 AWS-RunPatchBaselineAssociation 的 Quick Setup 和 Explorer 程序僅執行 Scan 操作。 |
| 詳細資訊 |
如需您可能會看到報告各種修補程式合規狀態的相關資訊,請參閱 修補程式合規狀態值
如需修復修補程式不合規之受管節點的相關資訊,請參閱 修補不相容的受管節點。
