Pourquoi mon instance apparaît-elle comme non conforme dans le tableau de bord conformité de Systems Manager ?

Dernière mise à jour : 2021-06-08

Mon instance Amazon Elastic Compute Cloud (Amazon EC2) apparaît comme non conforme dans le tableau de bord de conformité AWS Systems Manager. Quelle est la cause de ce problème ?

Brève description

La fonctionnalité Conformité Systems Manager fournit des données de conformité à votre parc d'instances gérées. Le statut de conformité d'une instance gérée est déterminé comme conforme ou non conforme en fonction des facteurs suivants :

  • Statut du gestionnaire de correctifs
  • Statut des associations du gestionnaire d'état
  • Si nécessaire, le statut des articles de conformité personnalisés

Pour déterminer le statut de conformité d'une instance, vous pouvez afficher le rapport de conformité de la configuration. Lors de la vérification du rapport de conformité, identifiez le type de conformité pour chaque instance non conforme.

  • Le type de conformité Patch (Correctifs) indique que l'instance n'est pas conforme à cause du gestionnaire de correctifs.
  • Le type de conformité Association indique que l'instance n'est pas conforme à cause d'associations du gestionnaire d'état.

Remarque : les conditions préalables pour commencer à utiliser Conformité doivent être remplies avant que la conformité Systems Manager ne puisse commencer à produire des rapports sur les données de conformité.

Solution

Non-conformité en fonction du statut du gestionnaire de correctifs

Une instance peut apparaître comme non conforme en fonction du gestionnaire de correctifs pour les raisons suivantes :

Le document AWS-RunPatchBaseline n'a pas été exécuté sur l'instance

Le document AWS-RunPatchBaseline utilisant l'opération Install (Installer) ne s'est pas exécuté sur l'instance une fois que les correctifs ont été approuvés conformément aux paramètres du document de base de correctif d'instance. Pour résoudre ce problème, procédez comme suit :

  1. Affichez le rapport de conformité de la configuration. Cliquez sur l'onglet Patch (Correctifs), puis passez en revue le récapitulatif des correctifs. Si Mises à jour nécessaires correspond à une autre valeur que 0, votre instance n'est pas conforme car un ou plusieurs correctifs approuvés doivent être installés.
  2. Pour déterminer les correctifs à installer, faites défiler l'écran vers le bas, sélectionnez la barre de recherche et recherchez les correctifs dont l'état est Missing (Manquant).
    Remarque : chaque correctif de votre instance gérée se voit attribuer une valeur d'état de conformité. La valeur détermine le statut de conformité de cette instance.
  3. Exécutez le document AWS-RunPatchBaseline à l'aide de l'opération Install (Installer) sur l'instance non conforme. Vous pouvez démarrer l'opération de correctifs à l'aide de l'option Patch now (Corriger) dans la console Patch Manager. Vous pouvez également exécuter le document AWS-RunPatchBaseline à l'aide Run Command ou dans le cadre d'une fenêtre de maintenance.

Le document AWS-RunPatchBaseline s'est exécuté, mais certains correctifs approuvés n'ont pas pu être installés

Le document AWS-RunPatchBaseline utilisant l'opération Install (Installer) s'est exécuté sur l'instance. Toutefois, certains correctifs approuvés n'ont pas pu s'installer sur l'instance pour des raisons spécifiques à l'instance. Pour identifier le problème spécifique à l'instance, procédez comme suit :

  1. Affichez le rapport de conformité de la configuration. Choisissez l'onglet Patch (Correctifs), faites défiler vers le bas, sélectionnez la barre de recherche et recherchez les correctifs dont l'état a été défini sur Failed (Échec).
  2. Notez les correctifs ayant échoué, puis connectez-vous à votre instance à l'aide de SSH ou de Session Manager.
  3. Vérifiez les journaux de l'agent SSM dans l'instance et les journaux d'opérations spécifiques pour identifier les problèmes spécifiques à l'instance.
    Instances basées sur Linux :
    /var/log/amazon/ssm/amazon-ssm-agent.log
    /var/lib/amazon/ssm/InstanceID/document/orchestration/CommandID
    Instances basées sur Windows :
    %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
    %PROGRAMDATA%\Amazon\PatchBaselineOperations
    Remarque : recherchez un fichier journal nommé Install-PatchBaselineOperation-date

Remarque : le gestionnaire de correctifs ne fournit pas de correctifs. Au lieu de cela, le gestionnaire de correctifs orchestre l'application des correctifs en utilisant le mécanisme intégré approprié pour chaque système d'exploitation (OS) pour installer les mises à jour sur une instance. Par exemple, le gestionnaire de correctifs s'appuie sur Windows Update pour installer des correctifs sur les instances exécutant Microsoft Windows. De même, le gestionnaire de correctifs s'appuie sur yum pour les instances exécutant Amazon Linux 2.

Le document AWS-RunPatchBaseline s'est exécuté, mais le paramètre RebootOption est défini sur NoReboot

Le document AWS-RunPatchBaseline utilisant l'opération Install (Installer) s'est exécuté sur l'instance et tous les correctifs approuvés ont été installés. Toutefois, le paramètre RebootOption dans le document AWS-RunPatchBaseline est défini sur NoReboot. Pour résoudre ce problème, procédez comme suit :

  1. Affichez le rapport de conformité de la configuration. Sélectionnez l'onglet Patch (Correctifs), faites défiler vers le bas, sélectionnez la barre de recherche et recherchez les correctifs dont l'état est défini sur InstalledPendingReboot.
    Remarque : l'état InstalledPendingReboot conserve l'instance dans un état non conforme jusqu'à ce que l'instance soit redémarrée et analysée.
  2. Redémarrer l'instance.
  3. Analysez l'instance et vérifiez qu'elle apparaisse comme conforme dans le tableau de bord de conformité Systems Manager.

Le document AWS-RunPatchBaseline s'est exécuté, mais certains correctifs rejetés étaient présents sur l'instance

Le document AWS-RunPatchBaseline utilisant l'opération Install (Installer) s'est exécuté sur l'instance et tous les correctifs approuvés ont été installés. Cependant, certains correctifs rejetés étaient également présents sur l'instance. Pour résoudre ce problème, procédez comme suit :

  1. Affichez le rapport de conformité de la configuration. Notez l'ID d'association qui correspond au type d'association non conforme pour une utilisation ultérieure.
  2. Choisissez l'onglet Patch (Correctifs), faites défiler vers le bas, sélectionnez la barre de recherche et recherchez les correctifs dont l'état est défini sur InstalledRejected.
    Remarque : l'état InstalledRejected indique qu'un correctif a été installé avant d'être ajouté à une liste de correctifs rejetés.
  3. Notez les correctifs rejetés, puis connectez-vous à votre instance à l'aide de SSH ou de Session Manager.
  4. Supprimez les correctifs rejetés.

Non-respect fondé sur le statut des associations du gestionnaires d'état

Lorsqu'une association Systems Manager State Manager est créée, un état de configuration est défini pour l'instance. Si cet état n'est pas conservé, le tableau de bord de conformité Systems Manager signale l'instance comme non conforme. Pour résoudre ce problème, procédez comme suit :

  1. Affichez le rapport de conformité de la configuration. Notez l'ID d'association qui correspond au type d'association non conforme pour une utilisation ultérieure.
  2. À partir de la console Systems Manager, affichez l'historique des associations.
  3. Vérifiez le résultat pour comprendre la raison de l'association ayant échoué. Pour en savoir plus, consultez la section Comment résoudre les problèmes d'une association State Manager ayant échoué ou bloquée en attente ?

Problèmes de document AWS-GatherSoftwareInventory

Si votre instance n'est pas conforme en raison de problèmes d'exécution du document AWS-GatherSoftwareInventory, résolvez les problèmes courants dans Systems Manager Inventory.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?