AWS Systems Manager の Patch Manager が Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにインストールするパッチを確認したいと考えています。その方法を教えてください。
簡単な説明
Systems Manager の Patch Manager を使用すると、パッチ適用オペレーションをオーケストレーションできます。インスタンスをスキャンして、不足しているパッチのレポートのみを表示したり、不足しているすべてのパッチをスキャンして自動的にインストールしたりできます。
Patch Manager は、パッチベースラインを使用します。パッチベースラインには、リリースから数日以内にパッチを自動承認するルールが含まれています。パッチベースラインには、承認されたパッチと拒否されたパッチのリストも含まれます。スキャンオペレーション中、Patch Manager はパッチベースラインに基づいてインスタンスのパッチコンプライアンス状態を判断します。インスタンスにインストールするパッチがパッチベースラインによって定義される方法の詳細については、事前定義されたパッチベースラインおよびカスタムパッチベースラインについてを参照してください。
Patch Manager には、サポートされているオペレーティングシステム (OS) ごとにカスタマイズできる、事前定義されたパッチベースラインが用意されています。事前定義されたパッチベースラインが要件を満たしていない場合は、独自のカスタムパッチベースラインを作成できます。カスタムパッチベースラインを使用すると、ご利用の環境に対して承認または拒否されたパッチをより詳細に制御できます。パッチグループを使用して、インスタンスを特定のパッチベースラインに関連付けることもできます。
解決方法
開始する前に、Patch Manager の前提条件を満たしていることを確認してください。
パッチベースラインを確認または作成する
使用する各 OS の事前定義されたパッチベースラインを確認します。デフォルトのベースラインがニーズを満たさない場合は、カスタムパッチベースラインを作成して、選択したインスタンスタイプのパッチの標準セットを定義します。
カスタムパッチベースラインを作成することを選択した場合は、カスタムベースラインをデフォルトのパッチベースラインとして設定します。
(オプション) インスタンスをパッチグループに整理する
Amazon EC2 タグを使用して、インスタンスをパッチグループに整理することができます。
注: AWS-RunPatchBaseline Systems Manager RunCommand ドキュメントでは、セキュリティおよびその他の種類の更新のために、インスタンスに対してパッチ適用オペレーションを実行します。パッチグループが指定されていない場合、ドキュメントでは、OS タイプのデフォルトとして現在指定されているパッチベースラインが使用されます。パッチグループが指定されている場合、ドキュメントはパッチグループに関連付けられたパッチベースラインを使用します。
スキャンオペレーションを実行する
AWS Systems Manager ツールを選択して、スキャンオペレーションを実行します。[Operation] (オペレーション) で、[Scan] (スキャン) を選択します。
注 : パッチ状態レポートを生成するには、インスタンスで「AWS-RunPatchBaseline」ドキュメントを少なくとも 1 回実行する必要があります。
Patch Manager によってインストールされるパッチの一覧を表示する
Systems Manager コンソールの使用
Systems Manager コンソールの [Patch Manager Reporting] (Patch Manager レポート) タブを使用して、AWS-RunPatchBaseline によって報告されたパッチコンプライアンス状態を確認できます。
- Systems Manager コンソールを開き、ナビゲーションペインから [Patch Manager] を選択します。
- [Reporting] (レポート) タブで、不足しているパッチを確認するインスタンスを選択します。
- 下部のペインで、[Missing patches count] (不足しているパッチ数) のハイパーリンクを選択して、不足しているパッチのリストを表示します。
- (オプション) パッチコンプライアンスレポートを生成するには、.csv パッチコンプライアンスレポートの生成 (コンソール)を参照してください。
AWS AWS Command Line Interface (AWS CLI) を使用する
注: AWS CLI コマンドの実行時にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください。
開始する前に、DescribeInstancePatches API に対する AWS Identity and Access Management (IAM) アクセス許可があることを確認してください。
describe-instance-patches コマンドを使用して、AWS-RunPatchBaseline によって報告されたパッチコンプライアンス状態を検索できます。
次のコマンドを実行して、パッチコンプライアンス状態 (不足数を含む) の全体的なカウントレポートを取得します。InstanceID を EC2 インスタンス ID に置き換えます。
aws ssm describe-instance-patch-states --instance-ids "InstanceID"
ベースラインで承認されているが、インスタンスにインストールされていないパッチを分離するには、[Missing state] (不足状態) フィルターを適用します。出力には、不足しているパッチが一覧表示されます。InstanceID を Amazon EC2 インスタンス ID に置き換え、RegionID をご利用の AWS リージョンに置き換えます。
aws ssm describe-instance-patches --instance-id "InstanceID" --filters Key=State,Values=Missing --region RegionID
関連情報
PatchBaseline モジュールがダウンロードできない場合のトラブルシューティング
セキュリティパッチの選択方法
パッチのインストール方法
カスタムパッチベースラインの更新または削除 (コンソール)
インスタンスのパッチコンプライアンスの詳細の取得