如何查看 Patch Manager 將在我的 Amazon EC2 執行個體安裝的修補程式？

1 分的閱讀內容

我想要查看 AWS Systems Manager Patch Manage 將在我的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體安裝的修補程式。我該如何操作？

簡短描述

Systems Manager Patch Manager 可讓您協調修補操作。您可以掃描執行個體並僅檢視遺失修補程式的報告，或掃描並自動安裝所有遺失的修補程式。

Patch Manager 使用修補基準，其中包括在修補程式發行日內自動核准修補程式的規則。修補基準也包括核准和拒絕的修補程式清單。在掃描作業期間，Patch Manager 會根據修補基準判斷修補合規狀態。對於修補基準如何定義將在執行個體安裝的修補程式，如需詳細資訊，請參閱關於預先定義和自訂的修補基準。

Patch Manager 提供預先定義的修補基準，可以針對每個支援的作業系統 (OS) 自訂。如果預先定義的修補基準不符合您的要求，您可以建立自己的自訂修補基準。自訂修補基準可讓您進一步掌控環境裡遭核准或拒絕的修補程式。您也可以選擇使用修補群組，將執行個體與特定修補基準建立關聯。

解決方法

開始之前，請確認您符合 Patch Manager 先決條件。

檢閱或建立修補基準

檢閱您所使用每個作業系統的預先定義修補基準。如果預設基準不符合您的需求，請建立自訂修補基準並為所選執行個體類型定義一組標準修補程式。

如果您選擇建立自訂修補基準，請將自訂基準設定為預設修補基準。

(選擇性) 將執行個體組成修補群組

您可以選擇使用 Amazon EC2 標籤將執行個體組成修補群組。

注意： AWS-RunPatchBaseline Systems Manager RunCommand 文件會為了安全性和其他類型的更新，對執行個體執行修補作業。如果未指定修補群組，文件會使用目前指定為作業系統類型預設值的修補基準。如果指定修補群組，文件則會使用與修補群組相關聯的修補基準。

執行掃描作業

選擇 AWS Systems Manager 工具來執行掃描作業。在作業選取掃描。

注意：若要產生修補程式狀態報告，「AWS-RunPatchBaseline」文件必須在執行個體至少執行一次。

檢視 Patch Manager 將安裝的修補程式清單

使用 Systems Manager 主控台

您可以使用 Systems Manager 主控台的 Patch Manager Reporting 索引標籤，尋找 AWS-RunPatchBaseline 回報的修補程式合規性狀態。

開啟 Systems Manager 主控台，然後從導覽窗格選擇 Patch Manager。
從報告標籤，選擇您要查看遺失修補程式的執行個體。
從底部窗格選擇遺失的修補程式計數超連結，查看遺失的修補程式清單。
(選擇性) 若要產生修補程式合規性報告，請參閱產生 .csv 修補程式合規性報告 (主控台)。

使用 AWS Command Line Interface (AWS CLI)

注意：如果您在執行 AWS CLI 命令時收到錯誤訊息，請確定您使用的是最新版本的 AWS CLI。

在開始之前，請確認您具有 DescribeInstancePatches API 的 AWS 身分和存取管理 (IAM) 許可。

您可以使用 describe-instance-patches 命令尋找AWS-RunPatchBaseline 回報的修補程式合規性狀態。

請執行以下命令取得修補程式合規性狀態的總數報告，包括遺失數。請將 InstanceID 取代為 EC2 執行個體 ID。

aws ssm describe-instance-patch-states --instance-ids "InstanceID"

若要隔離基準已核准但未安裝在執行個體的修補程式，請套用遺失狀態篩選器。輸出會列出遺失的修補程式。將 InstanceID 取代為 Amazon EC2 執行個體 ID，並將 RegionID 取代為 AWS 區域。

aws ssm describe-instance-patches --instance-id "InstanceID" --filters Key=State,Values=Missing --region RegionID