Comment puis-je voir les correctifs que Patch Manager installera sur mon instance Amazon EC2 ?

Date de la dernière mise à jour : 07/06/2021

Je souhaite consulter les correctifs qu'AWS Systems Manager Patch Manager installera sur mes instances Amazon Elastic Compute Cloud (Amazon EC2). Quelle est la marche à suivre ?

Brève description

Systems Manager Patch Manager vous permet de gérer vos opérations de correctif. Vous pouvez analyser les instances pour afficher uniquement un rapport sur les correctifs manquants, ou vous pouvez analyser et installer automatiquement tous les correctifs manquants.

Patch Manager utilise des références de correctifs, qui comprennent des règles pour approuver automatiquement les correctifs dans les jours suivant leur publication. Les références de correctifs incluent également une liste des correctifs approuvés et rejetés. Lors d'une opération d'analyse, Patch Manager détermine l'état de conformité du correctif de l'instance en fonction de la référence de correctif. Pour plus d'informations sur la façon dont les références de correctifs déterminent les correctifs qui seront installés sur vos instances, consultez À propos des références de correctifs prédéfinies et personnalisées.

Patch Manager fournit des références de correctifs prédéfinies qui peuvent être personnalisées pour chaque système d'exploitation pris en charge. Si les références de correctifs prédéfinies ne répondent pas à vos besoins, vous pouvez créer vos propres références de correctifs personnalisées. Les références de correctifs personnalisées vous permettent de mieux contrôler les correctifs approuvés ou rejetés pour votre environnement. Vous pouvez également choisir d'utiliser un groupe de correctifs pour associer des instances à une référence de correctif spécifique.

Résolution

Avant de commencer, vérifiez que vous remplissez les Conditions préalables pour le Gestionnaire de correctifs.

Vérifier ou créer une référence de correctif

Vérifiez la référence de correctif prédéfinie pour chaque système d'exploitation que vous utilisez. Si la référence de correctif par défaut ne répond pas à vos besoins, créez une référence de correctif personnalisée pour définir un ensemble standard de correctifs pour le type d'instance sélectionné.

Si vous choisissez de créer une référence de correctif personnalisée, alors définissez la référence personnalisée comme référence de correctif par défaut.

(Facultatif) Organisez les instances en groupes de correctifs

Vous pouvez choisir d'organiser vos instances en groupes de correctifs en utilisant des balises Amazon EC2.

Remarque : Le document AWS Systems Manager RunCommand RunPatchBaseline effectue des opérations d'application de correctifs sur les instances pour les mises à jour liées à la sécurité et autres. Si aucun groupe de correctifs n'est spécifié, le document utilise la référence de correctif actuellement spécifiée comme valeur par défaut pour un type de système d'exploitation. Si un groupe de correctifs est spécifié, le document utilise les références de correctifs associées au groupe de correctifs.

Exécuter l'opération d'analyse

Choisir un outil AWS Systems Manager pour exécuter une opération d'analyse. Dans Opération, sélectionnez Analyse.

Remarque : Pour générer le rapport sur l'état des correctifs, le document « AWS-RunpatchBaseline » doit être exécuté au moins une fois sur l'instance.

Consulter la liste des correctifs que Patch Manager va installer

Utilisation de la console Systems Manager

Vous pouvez utiliser l'onglet Rapports de Patch Manager dans la console Systems Manager pour rechercher l'état de conformité des correctifs communiqués par AWS-RunpatchBaseline.

  1. Ouvrez la console Systems Manager et choisissez Patch Manager dans le volet de navigation.
  2. Dans l'onglet Rapports, sélectionnez l'instance pour laquelle vous souhaitez voir les correctifs manquants.
  3. Dans le volet inférieur, cliquez sur le lien hypertexte Nombre de correctifs manquants pour afficher la liste des correctifs manquants.
  4. (Facultatif) Pour générer des rapports de conformité des correctifs, consultez Génération de rapports de conformité des correctifs au format .csv (console).

Utilisation de l'interface AWS Command Line Interface (AWS CLI)

Remarque : si vous recevez des erreurs lors de l'exécution de commandes depuis AWS CLI, assurez-vous que vous utilisez la toute dernière version d'AWS CLI.

Avant de commencer, vérifiez que vous disposez des autorisations AWS Identity and Access Management (IAM) pour l'API DescribeInstancePatches.

Vous pouvez utiliser la commande describe-instance-patches pour rechercher l'état de conformité des correctifs communiqués par AWS-RunpatchBaseline.

Exécutez la commande suivante pour obtenir un rapport de comptage global de l'état de conformité des correctifs, y compris le comptage des manquants. Remplacez InstanceID par votre ID d'instance EC2.

aws ssm describe-instance-patch-states --instance-ids "InstanceID"

Pour isoler les correctifs approuvés dans la référence mais qui ne sont pas installés sur l'instance, appliquez le filtre d'état Manquant. La réponse donne la liste des correctifs manquants. Remplacez InstanceID par votre ID d'instance Amazon EC2, et remplacez RegionID par votre région AWS.

aws ssm describe-instance-patches --instance-id "InstanceID" --filters Key=State,Values=Missing --region RegionID