Como posso ver os patches que o Patch Manager instalará na minha instância do Amazon EC2?
Quero ver os patches que o AWS Systems Manager Patch Manager instalará nas minhas instâncias do Amazon Elastic Compute Cloud (Amazon EC2). Como posso fazer isso?
Breve descrição
O Systems Manager Patch Manager permite que você orquestre suas operações de correção. Você pode escanear instâncias para ver somente um relatório de patches ausentes ou pode verificar e instalar automaticamente todos os patches ausentes.
O Patch Manager usa linhas de base de patches, que incluem regras para aprovar automaticamente os patches alguns dias após o lançamento. As linhas de base de patches também incluem uma lista de patches aprovados e rejeitados. Durante uma operação de verificação, o Patch Manager determina o estado de conformidade do patch da instância conforme a linha de base do patch. Para obter mais informações sobre como as linhas de base de patches definem os patches que serão instalados em suas instâncias, consulte Sobre linhas de base de patches predefinidas e personalizadas.
O Patch Manager fornece linhas de base de patches predefinidas que podem ser personalizadas para cada sistema operacional (SO) suportado. Se as linhas de base de patch predefinidas não atenderem aos seus requisitos, você poderá criar suas próprias linhas de base de patch personalizadas. As linhas de base de patches personalizadas permitem que você tenha mais controle sobre os patches aprovados ou rejeitados em seu ambiente. Você também pode optar por usar um grupo de patches para associar instâncias a uma linha de base de patch específica.
Resolução
Antes de começar, confirme se você atende aos Pré-requisitos do Patch Manager.
Revise ou crie uma linha de base de patch
Revise a linha de base predefinida do patch para cada sistema operacional que você usa. Se a linha de base padrão não atender às suas necessidades, crie uma linha de base de patch personalizada para definir um conjunto padrão de patches para o tipo de instância selecionado.
Se você optar por criar uma linha de base de patch personalizada, defina a linha de base personalizada como a linha de base de patch padrão.
(Opcional) Organize as instâncias em grupos de patches
Você pode escolher organizar suas instâncias em grupos de patches usando tags do Amazon EC2.
Observação: O documento AWS-RunPatchBaseline Systems Manager RunCommand executa operações de correção de patches em instâncias para fins de segurança e outros tipos de atualizações. Se um grupo de patches não for especificado, o documento usará a linha de base do patch atualmente especificada como padrão para um tipo de sistema operacional. Se um grupo de patches for especificado, o documento usará as linhas de base associadas ao grupo de patches.
Execute a operação de digitalização
Escolha uma ferramenta do AWS Systems Manager para executar uma operação de digitalização. Em Operação, selecione Digitalizar.
Observação: Para gerar o relatório de estados do patch, o documento “AWS-RunPatchBaseline” deve ser executado pelo menos uma vez na instância.
Veja a lista de patches que o Patch Manager instalará
Usando o console do Systems Manager
Você pode usar a guia Relatórios do Patch Manager no console do Systems Manager para encontrar os estados de conformidade do patch relatados pelo AWS-RunPatchBaseline.
- Abra o console do Systems Manager e escolha Patch Manager no painel de navegação.
- Na guia Relatórios, selecione a instância para a qual você deseja ver os patches ausentes.
- No painel inferior, escolha o hiperlink Contagem de patches ausentes para ver a lista de patches ausentes.
- (Opcional) Para gerar relatórios de conformidade de patches, consulte Geração de relatórios de conformidade de patches .csv (console).
Usar a AWS Command Line Interface (AWS CLI)
Observação: Se você receber erros ao executar comandos da AWS CLI, verifique se está usando a versão mais recente da AWS CLI.
Antes de começar, verifique se você tem permissões do AWS Identity and Access Management (IAM) para a API DescribeInstancePatches.
Você pode usar o comando describe-instance-patches para encontrar os estados de conformidade do patch relatados pelo AWS-RunPatchBaseline.
Execute o comando a seguir para obter um relatório de contagem geral dos estados de conformidade do patch, incluindo a contagem ausente. Substitua InstanceID pelo ID da sua instância do EC2.
aws ssm describe-instance-patch-states --instance-ids "InstanceID"
Para isolar os patches aprovados na linha de base, mas que não estão instalados na instância, aplique o filtro de estado ausente. A saída lista os patches ausentes. Substitua o InstanceID pelo ID da instância do Amazon EC2 e o RegionID pela sua região da AWS.
aws ssm describe-instance-patches --instance-id "InstanceID" --filters Key=State,Values=Missing --region RegionID
Informações relacionadas
Solução de problemas: o módulo PatchBaseline não pode ser baixado
Como os patches de segurança são selecionados
Como os patches são instalados
Atualizar ou excluir uma linha de base de patch personalizada (console)
Obter detalhes de conformidade de patches para uma instância
Conteúdo relevante
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 8 meses