我想要查看 AWS Systems Manager Patch Manage 將在我的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體安裝的修補程式。我該如何操作?
簡短描述
Systems Manager Patch Manager 可讓您協調修補操作。您可以掃描執行個體並僅檢視遺失修補程式的報告,或掃描並自動安裝所有遺失的修補程式。
Patch Manager 使用修補基準,其中包括在修補程式發行日內自動核准修補程式的規則。修補基準也包括核准和拒絕的修補程式清單。在掃描作業期間,Patch Manager 會根據修補基準判斷修補合規狀態。對於修補基準如何定義將在執行個體安裝的修補程式,如需詳細資訊,請參閱關於預先定義和自訂的修補基準。
Patch Manager 提供預先定義的修補基準,可以針對每個支援的作業系統 (OS) 自訂。如果預先定義的修補基準不符合您的要求,您可以建立自己的自訂修補基準。自訂修補基準可讓您進一步掌控環境裡遭核准或拒絕的修補程式。您也可以選擇使用修補群組,將執行個體與特定修補基準建立關聯。
解決方法
開始之前,請確認您符合 Patch Manager 先決條件。
檢閱或建立修補基準
檢閱您所使用每個作業系統的預先定義修補基準。如果預設基準不符合您的需求,請建立自訂修補基準並為所選執行個體類型定義一組標準修補程式。
如果您選擇建立自訂修補基準,請將自訂基準設定為預設修補基準。
(選擇性) 將執行個體組成修補群組
您可以選擇使用 Amazon EC2 標籤將執行個體組成修補群組。
注意: AWS-RunPatchBaseline Systems Manager RunCommand 文件會為了安全性和其他類型的更新,對執行個體執行修補作業。如果未指定修補群組,文件會使用目前指定為作業系統類型預設值的修補基準。如果指定修補群組,文件則會使用與修補群組相關聯的修補基準。
執行掃描作業
選擇 AWS Systems Manager 工具來執行掃描作業。在作業選取掃描。
注意: 若要產生修補程式狀態報告,「AWS-RunPatchBaseline」文件必須在執行個體至少執行一次。
檢視 Patch Manager 將安裝的修補程式清單
使用 Systems Manager 主控台
您可以使用 Systems Manager 主控台的 Patch Manager Reporting 索引標籤,尋找 AWS-RunPatchBaseline 回報的修補程式合規性狀態。
- 開啟 Systems Manager 主控台,然後從導覽窗格選擇 Patch Manager。
- 從報告標籤,選擇您要查看遺失修補程式的執行個體。
- 從底部窗格選擇遺失的修補程式計數超連結,查看遺失的修補程式清單。
- (選擇性) 若要產生修補程式合規性報告,請參閱產生 .csv 修補程式合規性報告 (主控台)。
使用 AWS Command Line Interface (AWS CLI)
注意: 如果您在執行 AWS CLI 命令時收到錯誤訊息,請確定您使用的是最新版本的 AWS CLI。
在開始之前,請確認您具有 DescribeInstancePatches API 的 AWS 身分和存取管理 (IAM) 許可。
您可以使用 describe-instance-patches 命令尋找AWS-RunPatchBaseline 回報的修補程式合規性狀態。
請執行以下命令取得修補程式合規性狀態的總數報告,包括遺失數。請將 InstanceID 取代為 EC2 執行個體 ID。
aws ssm describe-instance-patch-states --instance-ids "InstanceID"
若要隔離基準已核准但未安裝在執行個體的修補程式,請套用遺失狀態篩選器。輸出會列出遺失的修補程式。將 InstanceID 取代為 Amazon EC2 執行個體 ID,並將 RegionID 取代為 AWS 區域。
aws ssm describe-instance-patches --instance-id "InstanceID" --filters Key=State,Values=Missing --region RegionID
相關資訊
無法下載疑難排解 PatchBaseline 模組
如何選擇安全性修補程式
如何安裝修補程式
更新或刪除自訂修補基準 (主控台)
取得執行個體的修補程式合規性詳細資訊