Come posso vedere le patch che la Gestione patch installerà nell’istanza Amazon EC2?

4 minuti di lettura
0

Voglio vedere le patch che la Gestione patch di AWS Systems Manager installerà nelle istanze Amazon Elastic Compute Cloud (Amazon EC2). Come posso farlo?

Descrizione breve

La Gestione patch di Systems Manager consente di gestire le operazioni di patching. Puoi eseguire la scansione delle istanze per visualizzare solo un report sulle patch mancanti oppure eseguire la scansione e installare automaticamente tutte le patch mancanti.

La Gestione patch utilizza le patch di base, che includono regole per l'approvazione automatica delle patch entro pochi giorni dal loro rilascio. Le patch di base includono anche un elenco delle patch approvate e rifiutate. Durante un'operazione di scansione, la Gestione patch determina lo stato di conformità delle patch dell'istanza a seconda della patch di base. Per ulteriori informazioni su come le patch di base definiscono le patch che verranno installate nelle istanze, consulta About predefined and custom patch baselines.

La Gestione patch fornisce patch di base predefinite che possono essere personalizzate per ogni sistema operativo (OS) supportato. Se le patch di base predefinite non soddisfano i requisiti, è possibile creare patch di base personalizzate. Le patch di base personalizzate consentono un maggiore controllo sulle patch approvate o rifiutate per l'ambiente. Puoi anche scegliere di utilizzare un gruppo di patch per associare le istanze a una patch di base specifica.

Risoluzione

Prima di iniziare, verifica di soddisfare i prerequisiti della Gestione patch.

Revisione o creazione di una patch di base

Rivedi la patch di base predefinita per ogni sistema operativo che utilizzi. Se la base predefinita non soddisfa le tue esigenze, crea una patch di base personalizzata per definire un set standard di patch per il tipo di istanza selezionato.

Se scegli di creare una patch di base personalizzata, imposta la base personalizzata come patch di base predefinita.

(Facoltativo) Organizzazione delle istanze in gruppi di patch

Puoi scegliere di organizzare le istanze in gruppi di patch utilizzando i tag Amazon EC2.

Nota: il documento RunCommand di AWS-RunPatchBaseline in Systems Manager esegue operazioni di patching sulle istanze per la sicurezza e altri tipi di aggiornamenti. Se non si specifica un gruppo di patch, il documento utilizza la patch di base attualmente specificata come predefinita per un tipo di sistema operativo. Se si specifica un gruppo di patch, il documento utilizza le patch di base associate al gruppo di patch.

Esecuzione dell'operazione di scansione

Scegli uno strumento di AWS Systems Manager per eseguire un'operazione di scansione. Per Operazione, seleziona Scansione.

Nota: per generare il rapporto sugli stati della patch, il documento "AWS-RunPatchBaseline" deve essere eseguito almeno una volta nell'istanza.

Visualizzazione dell'elenco delle patch che verranno installate dalla Gestione patch

Uso della console Systems Manager

Puoi utilizzare la scheda Report della Gestione patch nella console Systems Manager per determinare gli stati di conformità delle patch segnalati da AWS-RunPatchBaseline.

  1. Apri la console Systems Manager, quindi scegli Gestione patch nel riquadro di navigazione.
  2. Nella scheda Report, seleziona l'istanza per la quale desideri visualizzare le patch mancanti.
  3. Nel riquadro inferiore, scegli il collegamento ipertestuale Numero di patch mancanti per visualizzare l'elenco delle patch mancanti.
  4. (Facoltativo) Per generare report sulla conformità delle patch, consulta Generating .csv patch compliance reports (console).

Uso dell'interfaccia della linea di comando AWS (AWS CLI)

Nota: se si verificano errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (CLI), assicurati di utilizzare la versione più recente di AWS CLI.

Prima di iniziare, verifica di disporre delle autorizzazioni di AWS Identity and Access Management (IAM) per l'API DescribeInstancePatches.

Puoi usare il comando describe-instance-patches per trovare gli stati di conformità delle patch segnalati da AWS-RunPatchBaseline.

Esegui il comando seguente per generare un report sul numero complessivo degli stati di conformità delle patch, incluse quelle mancanti. Sostituisci InstanceID con l’ID dell’istanza EC2.

aws ssm describe-instance-patch-states --instance-ids "InstanceID"

Per isolare le patch approvate nella base ma non installate nell'istanza, applica il filtro di stato Mancante. L'output elenca le patch mancanti. Sostituisci InstanceID con l’ID dell’istanza Amazon EC2 e RegionID con la tua Regione AWS.

aws ssm describe-instance-patches --instance-id "InstanceID" --filters Key=State,Values=Missing --region RegionID

Informazioni correlate

Troubleshooting PatchBaseline module is not downloadable

How security patches are selected

How patches are installed

Updating or deleting a custom patch baseline (console)

Get patch compliance details for an instance

AWS UFFICIALE
AWS UFFICIALEAggiornata 3 anni fa