本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
產生 .csv 修補程式合規報告
您可以使用 AWS Systems Manager 主控台產生修補程式合規報告,這些報告會儲存為您選擇的 Amazon Simple Storage Service (Amazon S3) 儲存貯體的 .csv 檔案。您可以產生單一隨需報告,或指定自動產生報告的排程。
可為單一受管節點或所選 AWS 帳戶 和 中的所有受管節點產生報告 AWS 區域。對於單一節點,報告包含完整詳細資訊,包括與節點不合規相關的修補程式IDs的 。針對所有受管節點的報告,只會提供摘要資訊和不合規節點的修補程式計數。
產生報告後,您可以使用 Amazon 等工具 QuickSight 匯入和分析資料。Amazon QuickSight 是一種商業智慧 (BI) 服務,可用於在互動式視覺環境中探索和解釋資訊。如需詳細資訊,請參閱 Amazon QuickSight 使用者指南 。
注意
當您建立自訂修補基準時,您可以指定此修補基準所核准之修補程式的合規嚴重性等級,例如 Critical
或 High
。如果任何核准之修補程式的修補程式狀態回報為 Missing
,則修補基準的整體報告合規嚴重性是您指定的嚴重性等級。
您也可以指定 Amazon Simple Notification Service (Amazon SNS) 主題,以便在產生報告時用來傳送通知。
產生修補程式合規報告的服務角色
第一次產生報告時,Systems Manager 會建立名為 AWS-SystemsManager-PatchSummaryExportRole
的 Automation 擔任角色以用於匯出至 S3 的程序。
注意
如果您要將合規資料匯出至加密的 S3 儲存貯體,則必須更新其相關聯的 AWS KMS 金鑰政策,以提供 所需的許可AWS-SystemsManager-PatchSummaryExportRole
。例如,新增類似 S3 儲存貯體 AWS KMS 政策的許可:
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "
role-arn
" }
Replace (取代) role-arn
帳戶中建立的 Amazon Resource Name (ARN),格式為 arn:aws:iam::
。111222333444
:role/service-role/AWS-SystemsManager-PatchSummaryExportRole
如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的在 AWS KMS中使用金鑰政策。
第一次產生排程報告時,Systems Manager 會建立另一個名為 的服務角色AWS-EventBridge-Start-SSMAutomationRole
,以及用於匯出程序的服務角色 AWS-SystemsManager-PatchSummaryExportRole
(如果尚未建立)。 AWS-EventBridge-Start-SSMAutomationRole
可讓 Amazon 使用 Runbook AWS-ExportPatchReportToS3 EventBridge 啟動自動化。
建議您不要嘗試修改這些政策和角色。這樣做可能會導致修補程式合規報告產生失敗。如需詳細資訊,請參閱對修補程式合規報告產生進行故障診斷。
產生的修補程式合規報告中有哪些內容?
本主題提供產生並下載至指定 S3 儲存貯體之修補程式合規報告中所包含之內容類型的相關資訊。
針對單一受管節點產生的報告會提供摘要和詳細資訊。
單一受管節點的摘要資訊包括下列各項:
-
索引
-
執行個體 ID
-
執行個體名稱
-
執行個體 IP
-
平台名稱
-
平台版本
-
SSM Agent version
-
修補基準
-
修補程式群組
-
合規狀態
-
合規嚴重性
-
不合規關鍵嚴重性修補程式計數
-
不合規高嚴重性修補程式計數
-
不合規中嚴重性修補程式計數
-
不合規低嚴重性修補程式計數
-
不合規資訊嚴重性修補程式計數
-
不合規未指定嚴重性修補程式計數
單一受管節點的詳細資訊包括下列各項:
-
索引
-
執行個體 ID
-
執行個體名稱
-
修補程式名稱
-
KB ID /修補程式 ID
-
修補程式狀態
-
上次報告時間
-
合規層級
-
修補程式嚴重性
-
修補程式分類
-
CVE ID
-
修補基準
-
日誌 URL
-
執行個體 IP
-
平台名稱
-
平台版本
-
SSM Agent version
注意
當您建立自訂修補基準時,您可以指定此修補基準所核准之修補程式的合規嚴重性等級,例如 Critical
或 High
。如果任何核准之修補程式的修補程式狀態回報為 Missing
,則修補基準的整體報告合規嚴重性是您指定的嚴重性等級。
針對所有受管節點產生的報告僅提供摘要資訊。
所有受管節點的摘要資訊包括下列各項:
-
索引
-
執行個體 ID
-
執行個體名稱
-
執行個體 IP
-
平台名稱
-
平台版本
-
SSM Agent version
-
修補基準
-
修補程式群組
-
合規狀態
-
合規嚴重性
-
不合規關鍵嚴重性修補程式計數
-
不合規高嚴重性修補程式計數
-
不合規中嚴重性修補程式計數
-
不合規低嚴重性修補程式計數
-
不合規資訊嚴重性修補程式計數
-
不合規未指定嚴重性修補程式計數
為單一受管節點產生修補程式合規報告
請使用下列處理程序來產生 AWS 帳戶中單一受管節點的修補程式摘要報告。單一受管節點的報告提供有關每個不符合規範修補程式的詳細資訊,包括修補程式名稱和 IDs。
為單一受管節點產生修補程式合規報告
在 開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/
。 在導覽窗格中,選擇 Patch Manager.
-
選擇 Compliance reporting (合規報告) 索引標籤。
-
選擇您要產生報告之受管節點資料列的按鈕,然後選擇 View detail (檢視詳細資訊)。
-
在 Patch summary (修補程式摘要) 區段中,選擇 Export to S3 (匯出至 S3)。
-
對於 Report name (報告名稱),輸入一個名稱以協助您稍後識別報告。
-
對於 Reporting frequency (報告頻率),選擇下列其中一項:
-
On demand (隨需) – 建立一次性報告。跳至步驟 9。
-
On a schedule (排程) – 指定自動產生報告的週期性排程。繼續步驟 8。
-
-
對於 Schedule type (排程類型),請指定 Rate 表達式 (例如每 3 天),或提供 Cron 表達式來設定報告頻率。
如需 cron 表達式的相關資訊,請參閱 參考:Systems Manager 的 Cron 和 Rate 運算式。
-
對於 Bucket name (儲存貯體名稱),請選擇您要存放 .csv 報告檔案的 S3 儲存貯體名稱。
重要
如果您在 2019 年 3 月 20 日之後 AWS 區域 啟動的 中工作,則必須選取相同區域中的 S3 儲存貯體。依預設,在該日期之後啟動的區域會處於關閉狀態。如需詳細資訊和這些區域的清單,請參閱《Amazon Web Services 一般參考》中的啟用區域一節。
-
(選用) 若要在產生報告時傳送通知,請展開SNS主題區段,然後從SNS主題 Amazon SNS Resource Name (ARN) 中選擇現有的 Amazon 主題。
-
選擇提交。
如需檢視產生報告之歷史記錄的相關資訊,請參閱 檢視修補程式合規報告歷史。
如需檢視已建立之報告排程詳細資訊的相關資訊,請參閱 檢視修補程式合規報告排程。
為所有受管節點產生修補程式合規報告
請使用下列處理程序來產生 AWS 帳戶中所有受管節點的修補程式摘要報告。所有受管節點的報告會指出哪些節點不合規,以及不合規修補程式的數目。它不會提供修補程式的名稱或其他識別符。如需這些其他詳細資訊,您可以為單一受管節點產生修補程式合規報告。如需相關資訊,請參閱本主題中稍早的 為單一受管節點產生修補程式合規報告。
為所有受管節點產生修補程式合規報告
在 開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/
。 在導覽窗格中,選擇 Patch Manager.
-
選擇 Compliance reporting (合規報告) 索引標籤。
-
選擇 Export to S3 (匯出至 S3)。(請勿先選取節點 ID。)
-
對於 Report name (報告名稱),輸入一個名稱以協助您稍後識別報告。
-
對於 Reporting frequency (報告頻率),選擇下列其中一項:
-
On demand (隨需) – 建立一次性報告。跳至步驟 8。
-
On a schedule (排程) – 指定自動產生報告的週期性排程。繼續步驟 7。
-
-
對於 Schedule type (排程類型),請指定 Rate 表達式 (例如每 3 天),或提供 Cron 表達式來設定報告頻率。
如需 cron 表達式的相關資訊,請參閱 參考:Systems Manager 的 Cron 和 Rate 運算式。
-
對於 Bucket name (儲存貯體名稱),請選擇您要存放 .csv 報告檔案的 S3 儲存貯體名稱。
重要
如果您在 2019 年 3 月 20 日之後 AWS 區域 啟動的 中工作,則必須選取相同區域中的 S3 儲存貯體。依預設,在該日期之後啟動的區域會處於關閉狀態。如需詳細資訊和這些區域的清單,請參閱《Amazon Web Services 一般參考》中的啟用區域一節。
-
(選用) 若要在產生報告時傳送通知,請展開SNS主題區段,然後從SNS主題 Amazon SNS Resource Name (ARN) 中選擇現有的 Amazon 主題。
-
選擇提交。
如需檢視產生報告之歷史記錄的相關資訊,請參閱 檢視修補程式合規報告歷史。
如需檢視已建立之報告排程詳細資訊的相關資訊,請參閱 檢視修補程式合規報告排程。
檢視修補程式合規報告歷史
使用此主題中的資訊,協助您檢視在 中產生修補程式合規報告的詳細資訊 AWS 帳戶。
檢視修補程式合規報告歷史
在 開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/
。 在導覽窗格中,選擇 Patch Manager.
-
選擇 Compliance reporting (合規報告) 索引標籤。
-
選擇 View all S3 exports (檢視所有 S3 匯出),然後選擇 Export history (匯出歷史記錄) 索引標籤。
檢視修補程式合規報告排程
使用此主題中的資訊,協助您檢視在 中建立的修補程式合規報告排程的詳細資訊 AWS 帳戶。
檢視修補程式合規報告歷史
在 開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/
。 在導覽窗格中,選擇 Patch Manager.
-
選擇 Compliance reporting (合規報告) 索引標籤。
-
選擇 View all S3 exports (檢視所有 S3 匯出),然後選擇 Report schedule rules (報告排程規則) 索引標籤。
對修補程式合規報告產生進行故障診斷
使用下列資訊協助您疑難排解在 中產生修補程式合規報告的問題 Patch Manager, 的功能 AWS Systems Manager。
報告 AWS-SystemsManager-PatchManagerExportRolePolicy
政策已損毀的訊息
問題:您會收到類似下列的錯誤訊息,指出 AWS-SystemsManager-PatchManagerExportRolePolicy
已損毀:
An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any
role that uses it, then try again. Systems Manager recreates the roles and policies
you have deleted.
-
解決方案:使用 Patch Manager 主控台或 AWS CLI 來刪除受影響的角色和政策,然後再產生新的修補程式合規報告。
使用主控台刪除損毀的政策
在 開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
執行以下任意一項:
隨需報告 – 如果在產生一次性隨需報告時發生問題,則請在左側導覽中選擇 Policies (政策),搜尋
AWS-SystemsManager-PatchManagerExportRolePolicy
,然後刪除政策。接下來,選擇 Roles (角色),搜尋AWS-SystemsManager-PatchSummaryExportRole
,然後刪除該角色。排定的報告 – 如果問題在依排程產生報告時發生,則請在左側導覽中選擇政策,對於
AWS-EventBridge-Start-SSMAutomationRolePolicy
和AWS-SystemsManager-PatchManagerExportRolePolicy
,一次搜尋一個,然後刪除每個政策。接下來,選擇 Roles (角色),一次搜尋一個AWS-EventBridge-Start-SSMAutomationRole
和AWS-SystemsManager-PatchSummaryExportRole
,然後刪除每個角色。
使用 刪除損毀政策 AWS CLI
取代
placeholder values
使用您的帳戶 ID。-
如果在產生一次性隨需報告時發生問題,請執行下列命令:
aws iam delete-policy --policy-arn arn:aws:iam::
account-id
:policy/AWS-SystemsManager-PatchManagerExportRolePolicyaws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
如果在產生排程報告時發生問題,請執行下列命令:
aws iam delete-policy --policy-arn arn:aws:iam::
account-id
:policy/AWS-EventBridge-Start-SSMAutomationRolePolicyaws iam delete-policy --policy-arn arn:aws:iam::
account-id
:policy/AWS-SystemsManager-PatchManagerExportRolePolicyaws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
在完成上述任一程序後,依照步驟產生或排程新的修補程式合規報告。
刪除修補程式合規政策或角色後,無法成功產生排定的報告
問題:第一次產生報告時,Systems Manager 會建立服務角色和政策以用於匯出程序 (AWS-SystemsManager-PatchSummaryExportRole
和 AWS-SystemsManager-PatchManagerExportRolePolicy
)。當您第一次依排程產生報告時,Systems Manager 會建立另一個服務角色和政策 (AWS-EventBridge-Start-SSMAutomationRole
和 AWS-EventBridge-Start-SSMAutomationRolePolicy
)。這些可讓 Amazon 使用 Runbook AWS-ExportPatchReportToS3 EventBridge 啟動自動化。
如果您刪除任何這些政策或角色,排程與指定的 S3 儲存貯體和 Amazon SNS主題之間的連線可能會遺失。
-
解決方案:若要解決這個問題,建議刪除先前的排程,並建立新的排程,以取代發生問題的排程。