Wie kann ich die Patches sehen, die Patch Manager auf meiner Amazon EC2-Instanz installiert?

Lesedauer: 4 Minute

Ich möchte die Patches sehen, die AWS Systems Manager Patch Manager auf meinen Amazon Elastic Compute Cloud (Amazon EC2)-Instanzen installiert. Wie kann ich das machen?

Kurzbeschreibung

Mit Systems Manager Patch Manager können Sie Ihre Patching-Operationen steuern. Sie können Instanzen scannen, um nur einen Bericht über fehlende Patches anzuzeigen oder Sie können alle fehlenden Patches scannen und automatisch installieren.

Patch Manager verwendet Patch-Baselines, die Regeln für die automatische Genehmigung von Patches innerhalb weniger Tage nach deren Veröffentlichung enthalten. Die Patch-Baselines enthalten auch eine Liste der genehmigten und abgelehnten Patches. Während eines Scanvorgangs bestimmt der Patch Manager den Status der Patch-Konformität der Instanceanhand der Patch-Baseline. Weitere Informationen darüber, wie Patch-Baselines die Patches definieren, die auf Ihren Instanzen installiert werden, finden Sie unterÜber vordefinierte und benutzerdefinierte Patch-Baselines.

Der Patch Manager bietet vordefinierte Patch-Baselines, die für jedes unterstützte Betriebssystem (OS) angepasst werden können. Wenn die vordefinierten Patch-Baselines Ihren Anforderungen nicht genügen, können Sie Ihre eigenenbenutzerdefinierten Patch-Baselines erstellen. Mit benutzerdefinierten Patch-Baselines haben Sie mehr Kontrolle darüber, welche Patches für Ihre Umgebung genehmigt oder abgelehnt werden. Sie können auch einePatchgruppe verwenden, um Instanzen mit einer bestimmten Patch-Baseline zu verknüpfen.

Behebung

Bevor Sie beginnen, vergewissern Sie sich, dass Sie dieVoraussetzungen für den Patch Manager erfüllen.

Überprüfen oder erstellen Sie eine Patch-Baseline

Überprüfen Sie dievordefinierte Patch-Baseline für jedes Betriebssystem, das Sie verwenden. Wenn die Standard-Baseline Ihren Anforderungen nicht entspricht,erstellen Sie eine benutzerdefinierte Patch-Baseline, um einen Standardsatz von Patches für den ausgewählten Instanztyp zu definieren.

Wenn Sie sich dafür entscheiden, eine benutzerdefinierte Patch-Baseline zu erstellen, legen Sie die benutzerdefinierte Baseline als Standard-Patch-Baseline fest.

(Optional) Organisieren Sie Instanzen in Patch-Gruppen

Sie können Ihre Organisieren Instanzen mithilfe von Amazon-EC2-Tags in Patch-Gruppen.

Hinweis: Das AWS-RunPatchBaseline-Systems-Manager-RunCommand-Dokument führt Patch-Operationen auf Instanzen für Sicherheits- und andere Arten von Updates durch. Wenn keine Patch-Gruppe angegeben ist, verwendet das Dokument die Patch-Baseline, die derzeit als Standard für einen Betriebssystemtyp angegeben ist. Wenn eine Patch-Gruppe angegeben ist, verwendet das Dokument die Patch-Baselines, die mit der Patchgruppe verbunden sind.

Führen Sie den Scanvorgang durch

Wählen Sie ein AWS-Systems-Manager-Tool, um einen Scanvorgang auszuführen. Wählen Sie unter Operationdie OptionScannen aus.

Hinweis: Um den Patch-Statusbericht zu generieren, muss das Dokument „AWS-RunPatchBaseline“ mindestens einmal auf der Instanz ausgeführt werden.

Sehen Sie sich die Liste der Patches an, die Patch Manager installieren wird

Öffnen Sie dieSystems-Manager-Konsole

Auf der Registerkarte Patch-Manager-Reporting in der Systems-Manager-Konsole können Sie die von der AWS-RunPatchBaseline gemeldeten Patch-Konformitätszustände finden.

Öffnen Sie dieSystems-Manager-Konsoleund wählen Sie dann im Navigationsbereichden Eintrag Patch-Manageraus.
Wählen Sie auf der RegisterkarteReporting die Instanz aus, für die Sie fehlende Patches anzeigen möchten.
Wählen Sie im unteren Bereich den Hyperlink Anzahlfehlender Patches aus, um die Liste der fehlenden Patches anzuzeigen.
(Optional) Um Patch-Compliance-Berichte zu erstellen, sieheGenerieren von .csv-Patch-Compliance-Berichten (Konsole).

Verwendung der AWS Command Line Interface (AWS CLI, Befehlszeilenschnittstelle)

Hinweis: Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehler erhalten,stellen Sie sicher, dass Sie die neueste Version von AWS CLI verwenden.

Bevor Sie beginnen, stellen Sie sicher, dass Sie über AWS-Identity-and Access-Management (IAM)-Berechtigungen für die** DescribeInstancePatches**-API verfügen.

Sie können den Befehldescribe-instance-patches verwenden, um die von AWS-RunPatchBaseline gemeldeten Patch-Konformitätszustände zu ermitteln.

Führen Sie den folgenden Befehl aus, um einen Bericht über die Gesamtzahl der Patch-Konformitäten einschließlich der fehlenden Anzahl, abzurufen. Ersetzen SieInstanceIDdurch Ihre EC2-Instance-ID.

aws ssm describe-instance-patch-states --instance-ids "InstanceID"

Um die Patches zu isolieren, die in der Baseline genehmigt, aber nicht auf der Instanz installiert sind, wenden Sie den Filter Missing state an. Das Ergebnis listet die fehlenden Patches auf. Ersetzen SieInstanceIDdurch Ihre Amazon- EC2-Instanz-ID undRegionIDdurch Ihre AWS-Region.

aws ssm describe-instance-patches --instance-id "InstanceID" --filters Key=State,Values=Missing --region RegionID

Relevanter Inhalt

Wie verwende ich die Microsoft-KB-Nummer im Patch Manager, um einen bestimmten Patch oder eine Reihe von Patches zu installieren?
AWS OFFICIALAktualisiert vor einem Jahr
Wie verwalte und sehe ich mit QuickSight die Patch- und Zuordnungs-Compliance-Daten für Systems Manager für alle meine Konten?
AWS OFFICIALAktualisiert vor einem Jahr
Wie automatisiere ich Linux-Updates auf meiner EC2-Instance mithilfe der Patch-Richtlinien des Systems Manager Patch Managers?
AWS OFFICIALAktualisiert vor 10 Monaten
Wie behebe ich einen fehlgeschlagenen Patch Manager (Linux)-Vorgang?
AWS OFFICIALAktualisiert vor 10 Monaten