En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post

Pourquoi mon instance s'affiche-t-elle comme non conforme sur le tableau de bord Compliance de Systems Manager ?

Lecture de 7 minute(s)
0

Mon instance Amazon Elastic Compute Cloud (Amazon EC2) apparaît comme non conforme sur le tableau de bord Compliance d'AWS Systems Manager.

Brève description

La fonctionnalité Systems Manager Compliance fournit des données de conformité pour votre flotte d'instances gérées. L'état de conformité d'une instance gérée est jugé conforme ou non conforme en fonction des facteurs suivants :

  • L'état des correctifs du gestionnaire des correctifs
  • L'état des associations du gestionnaire d’état
  • L'état des éléments de conformité personnalisés, le cas échéant

Pour déterminer l'état de conformité d'une instance, vous pouvez vérifier le rapport de conformité de la configuration. Lors de l'examen du rapport de conformité, définissez le type de conformité pour chaque instance non conforme.

  • Le type de conformité Correctif indique que l'instance n'est pas conforme en raison des correctifs du gestionnaire des correctifs.
  • Le type de conformité Association indique que l'instance est non conforme en raison des associations du gestionnaire d’états.

Remarque : les conditions préalables à l'utilisation de Compliance doivent être remplies pour que la fonctionnalité Systems Manager Compliance commence à produire des rapports sur les données de conformité.

L'état de conformité des correctifs d'une instance est mis à jour lorsqu'un document d'application de correctifs qui assure la conformité est utilisé. Les documents d'application de correctifs SSM suivants permettent de mettre à jour l'état de conformité :

Vous pouvez configurer l'application de correctifs en utilisant Configuration rapide ou Gestionnaire de correctifs.

Résolution

Non-conformité basée sur l'état des correctifs de Gestionnaire de correctifs

Une instance peut apparaître comme non conforme sur la base des correctifs du Gestionnaire des correctifs pour les raisons suivantes :

Le document de correctifs n'a pas été exécuté sur l'instance

Le document de correctifs utilisant l'opération Installer ne s'est pas ouvert sur l'instance après l'approbation des correctifs conformément aux paramètres de document du référentiel de correctifs de l'instance. Procédure de résolution du problème :

  1. Vérifiez le rapport de conformité de la configuration. Cliquez sur l'onglet Correctif, puis vérifiez Récapitulatif des correctifs. Si la valeur Mises à jour requises est différente de 0, alors votre instance n'est pas conforme, car un ou plusieurs correctifs approuvés doivent être installés.
  2. Pour déterminer les correctifs à installer, faites défiler la page vers le bas, sélectionnez la barre de recherche et recherchez les correctifs dont l'état est défini sur Manquant.
    Remarque : une valeur d'état de conformité est attribuée à chaque correctif de votre instance gérée. La valeur détermine l'état de conformité de cette instance.
  3. Exécutez le document AWS-RunPatchBaseline à l'aide de l'opération Installer disponible sur l'instance non conforme. Vous pouvez démarrer l'opération de correctifs en utilisant l'option Effectuer un correctif maintenant dans la console Gestionnaire de correctifs. Vous pouvez également exécuter le document AWS-RunPatchBaseline à l'aide de Exécuter la commande ou en utilisant une fenêtre de maintenance.

Remarque : les paramètres par défaut d'AWS-RunPatchBaseline définissent l'approbation automatique 7 jours après la publication du correctif. Vous pouvez également créer un référentiel de correctifs personnalisé pour Windows, macOS et Linux. Pour plus d'informations, consultez la section Utilisation de référentiels de correctifs personnalisés.

Le document des correctifs a été exécuté. Cependant, certains correctifs approuvés n'ont pas été installés.

Le document AWS-RunPatchBaseline utilisant l'opération Installer a été exécuté sur l'instance. Toutefois, certains des correctifs approuvés n'ont pas été installés sur l'instance pour des raisons spécifiques à l'instance. Procédez comme suit pour identifier le problème spécifique de l'instance :

  1. Vérifiez le rapport de conformité de la configuration. Choisissez l'onglet Correctif, faites défiler la page vers le bas, sélectionnez la barre de recherche et recherchez les correctifs dont l'état est défini sur Échec.
  2. Notez les correctifs ayant échoué, puis connectez-vous à l’instance à l'aide de SSH ou du Gestionnaire de session.
  3. Vérifiez les journaux SSM Agent dans l'instance et les journaux d'opérations spécifiques pour cerner les problèmes propres à l'instance.
    Instances basées sur Linux :
    /var/log/amazon/ssm/amazon-ssm-agent.log
    /var/lib/amazon/ssm/InstanceID/document/orchestration/CommandID
    Instances basées sur Windows :
    %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
    %PROGRAMDATA%\Amazon\PatchBaselineOperations
    Remarque : recherchez un fichier journal nommé Install-PatchBaselineOperation-date

Remarque : le gestionnaire de correctifs ne fournit pas de correctifs. Il se charge plutôt de la gestion des correctifs via le mécanisme intégré à chaque système d'exploitation (SE) pour l'installation des mises à jour sur une instance. À titre d’exemple, il s'appuie sur Windows Update pour installer des correctifs sur les instances exécutant Microsoft Windows. De même, il s'appuie sur yum pour les instances exécutant Amazon Linux 2.

Le document des correctifs a été exécuté, mais le paramètre RebootOption est défini sur NoReboot

Le document des correctifs utilisant l'opération Installer a été exécuté sur l'instance et tous les correctifs approuvés ont été installés avec succès. Toutefois, le paramètre RebootOption du document AWS-RunPatchBaseline est défini sur NoReboot. Procédure de résolution du problème :

  1. Vérifiez le rapport de conformité de la configuration. Choisissez l'onglet Correctif, faites défiler la page vers le bas, sélectionnez la barre de recherche et recherchez les correctifs dont l'état est défini sur InstalledPendingReboot.
    Remarque : l'état InstalledPendingReboot maintient l'instance dans l’état de non-conformité jusqu'à son redémarrage et à son analyse.
  2. Redémarrer l'instance.
  3. Scannez l'instance et vérifiez qu'elle s'affiche comme conforme dans le tableau de bord Systems Manager Compliance.

Le document des correctifs a été exécuté. Cependant, certains correctifs rejetés ont été observés sur l'instance.

Le document des correctifs utilisant l'opération Installer a été exécuté sur l'instance et tous les correctifs approuvés ont été installés avec succès. Toutefois, certains correctifs rejetés ont également été observés sur l'instance. Procédure de résolution du problème :

  1. Vérifiez le rapport de conformité de la configuration. Notez l'ID d'association correspondant au type d'association non conforme pour une utilisation ultérieure.
  2. Choisissez l'onglet Correctif, faites défiler la page vers le bas, sélectionnez la barre de recherche et recherchez les correctifs dont l'état est défini surInstalledRejected.
    Remarque : l'état InstalledRejected indique qu'un correctif a été installé avant d'être ajouté à la liste des correctifs rejetés.
  3. Recensez les correctifs rejetés, puis connectez-vous à votre instance à l'aide de SSH ou du Gestionnaire de session.
  4. Supprimez tous les correctifs rejetés.

Le document des correctifs a été exécuté, mais son exécution a échoué

Le document des correctifs a été lancé sur une instance, mais son exécution fut un échec. Si le processus de correctifs ne s’exécute pas correctement sur l'instance, alors la conformité de cette instance n'est pas mise à jour.

Pour plus d'informations, consultez les sections Erreurs lors de l'exécution d'AWS-RunPatchBaseline sous Linux et Erreurs lors de l'exécution d'AWS-RunPatchBaseline sous Windows Server.

Non-conformité fondée sur l'état des associations gestionnaires d’état

Lorsqu'une association gestionnaire d’état de Systems Manager est créée, un état de configuration est défini pour l'instance. Si cet état n'est pas maintenu, alors le tableau de bord Systems Manager Compliance signale l'instance comme non conforme. Procédure de résolution du problème :

  1. Vérifiez le rapport de conformité de la configuration. Notez l'ID d'association correspondant au type d'association non conforme pour une utilisation ultérieure.
  2. À partir de la console de Systems Manager, affichez l'historique de l'association.
  3. Vérifiez le résultat pour comprendre la raison de l'échec de l'association. Pour plus d'informations, consultez la section Comment résoudre les problèmes liés à une association gestionnaire d’état restée à l'état « Échec » ou « En attente » ?

Problèmes liés au document AWS-GatherSoftwareInventory

Si l’instance n'est pas conforme en raison de problèmes liés à l'exécution du document AWS-GatherSoftwareInventory, alors résolvez les problèmes liés à Systems Manager Inventory.

Surveillance des événements de conformité avec AWS CloudTrail

L'appel d'API PutComplianceItems est effectué lorsque de nouvelles informations de conformité sont ajoutées pour un objet de conformité personnalisé ou pour une association. L'appel d'API PutInventory ajoute ou met à jour un élément d’inventaire s'il n'existe pas.

Pour plus d'informations, consultez la section Connexion aux appels d'API de Systems Manager via CloudTrail.

Sujets
Gestion et gouvernance
Balises
AWS Systems Manager
Langue
Français
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an
Aucun commentaire

Contenus pertinents