如何查看 Patch Manager 将在 Amazon EC2 实例上安装的补丁?

上次更新时间:2021 年 6 月 7 日

我想查看 AWS Systems Manager Patch Manager 将在我的 Amazon Elastic Compute Cloud (Amazon EC2) 实例上安装的补丁。该如何操作?

简短描述

Systems Manager Patch Manager 可以用来编排修补操作。您可以扫描实例以单独查看缺失补丁的报告,也可以扫描并自动安装所有缺失的补丁。

Patch Manager 使用补丁基准,其中包括在补丁发布后的几天内自动批准补丁的规则。补丁基准还包括已批准和拒绝的补丁的列表。在扫描操作期间,Patch Manager 根据补丁基准确定实例补丁合规性状态。有关补丁基准如何定义将在实例上安装的补丁的更多信息,请参阅关于预定义和自定义补丁基准

Patch Manager 提供预定义的补丁基准,可以针对每个支持的操作系统 (OS) 进行自定义。如果预定义的补丁基准不符合您的要求,您可以创建自己的自定义补丁基准。通过自定义补丁基准,您可以更好地控制为您的环境批准或拒绝的补丁。您还可以选择使用补丁组将实例与特定补丁基准相关联。

解决方法

在开始之前,先确认您满足使用 Patch Manager 的先决条件

查看或创建补丁基准

查看您使用的每个操作系统的预定义补丁基准。如果默认基准不符合您的需求,请创建自定义补丁基准,为所选实例类型定义标准补丁集。

如果选择创建自定义补丁基准,请将自定义基准设置为默认补丁基准

(可选)将实例组织到补丁组

您可以选择使用 Amazon EC2 标签将实例组织到补丁组中

注意:AWS-RunPatchBaseline Systems Manager RunCommand 文档对实例执行修补操作,以实现安全性和其他类型的更新。如果未指定补丁组,文档将使用当前指定为默认操作系统类型的补丁基准。如果指定了补丁组,文档将使用与补丁组关联的补丁基准。

运行扫描操作

选择 AWS Systems Manager 工具来运行扫描操作。对于 Operation(操作),选择 Scan(扫描)。

注意:要生成补丁状态报告,“AWS-RunPatchBaseline”文档必须在实例上至少运行一次。

查看 Patch Manager 将安装的补丁列表

使用 Systems Manager 控制台

您可以使用 Systems Manager 控制台中的 Patch Manager Reporting(报告)选项卡查找 AWS-RunPatchBaseline 报告的补丁合规性状态。

  1. 打开 Systems Manager 控制台,然后从导航窗格中选择 Patch Manager
  2. Reporting(报告)选项卡中,选择要查看缺失补丁的实例。
  3. 从底部窗格中,选择 Missing patches count(缺失补丁计数)超链接以查看缺失补丁的列表。
  4. (可选)要生成补丁合规性报告,请参阅生成 .csv 补丁合规性报告(控制台)

使用 AWS 命令行界面 (AWS CLI)

注意:如果在运行 AWS CLI 命令时遇到错误,请确保您使用的是最新版本的 AWS CLI

在开始之前,请验证您是否拥有 DescribeInstancePatches API 的 AWS Identity and Access Management (IAM) 权限。

您可以使用 describe-instance-patches 命令查找 AWS-RunPatchBaseline 报告的补丁合规性状态。

运行以下命令以获取补丁合规性状态的总计数报告,包括缺失补丁的计数。将 InstanceID 替换为您的 EC2 实例 ID。

aws ssm describe-instance-patch-states --instance-ids "InstanceID"

要隔离基准中已批准但尚未安装在实例上的补丁,请应用缺失状态筛选条件。输出将列出缺失的补丁。将 InstanceID 替换为您的 Amazon EC2 实例 ID,并将 RegionID 替换为您的 AWS 区域。

aws ssm describe-instance-patches --instance-id "InstanceID" --filters Key=State,Values=Missing --region RegionID