Valeurs de l’état de conformité des correctifs - AWS Systems Manager
Valeurs de conformité des correctifs pour Debian Server et Ubuntu ServerValeurs de conformité des correctifs pour les autres systèmes d'exploitation

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Valeurs de l’état de conformité des correctifs

Les informations relatives aux correctifs d'un nœud géré incluent un rapport sur l'état ou le statut de chaque correctif.

Astuce

Si vous souhaitez attribuer un état de conformité des correctifs spécifique à un nœud géré, vous pouvez utiliser la commande put-compliance-items AWS Command Line Interface (AWS CLI) ou l'opération PutComplianceItemsAPI. L'attribution d'un état de conformité n'est pas prise en charge dans la console.

Utilisez les informations figurant dans les tableaux suivants pour identifier les raisons pour lesquelles une nœud géré peut ne pas être conforme en matière de correctifs.

Valeurs de conformité des correctifs pour Debian Server et Ubuntu Server

Pour Debian Server et Ubuntu Server, les règles de classification des packages dans les différents états de conformité sont décrites dans le tableau suivant.

Note

Gardez les points suivants à l’esprit lorsque vous évaluez les valeurs de statut INSTALLED, INSTALLED_OTHER, et MISSING : si vous ne cochez pas la case Inclusion de mises à jour non liées à la sécurité lors de la création ou de la mise à jour d’un référentiel de correctifs, les versions des correctifs candidats sont limitées aux correctifs des référentiels suivants : .

  • Ubuntu Server 16.04 LTS : xenial-security

  • Ubuntu Server 18.04 LTS : bionic-security

  • Ubuntu Server 20.04 LTS : focal-security

  • Ubuntu Server 22.04 LTS (jammy-security)

  • Ubuntu Server24,04 LTS () noble-security

  • Ubuntu Server 25.04 (plucky-security)

  • debian-security (Debian Server

Si vous cochez la case Inclure les mises à jour non liées à la sécurité, les correctifs provenant d'autres référentiels sont également pris en compte.

État du correctif Description Statut de conformité

INSTALLED

Le correctif est répertorié dans le référentiel de correctifs et est installé sur le nœud géré. Il a pu être installé manuellement par une personne ou automatiquement par Patch Manager lors de l'exécution du document AWS-RunPatchBaseline sur le nœud géré.

 Conforme

INSTALLED_OTHER

Le correctif n'est pas inclus dans le référentiel ou n'est pas approuvé par le référentiel, mais il est installé sur le nœud géré. Le correctif a peut-être été installé manuellement, le package peut être une dépendance obligatoire d'un autre correctif approuvé ou le correctif peut avoir été inclus dans une InstallOverrideList opération. Si vous ne spécifiez pas Block comme l'action Correctifs rejetés, INSTALLED_OTHERinclut également les correctifs installés mais rejetés.

Conforme

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOT peut signifier une des deux choses suivantes :

  • L'opération Install de Patch Manager a appliqué le correctif sur le nœud géré, mais le nœud n'a pas été redémarré depuis l'application du correctif. Cela signifie généralement que le paramètre RebootOption a été défini sur NoReboot lors de la dernière exécution du document AWS-RunPatchBaseline sur le nœud géré.

    Pour de plus amples informations, veuillez consulter Nom du paramètre: RebootOption.

  • Un correctif a été installé en dehors de Patch Manager depuis le dernier redémarrage du nœud géré.

Dans les deux cas, cela ne signifie pas qu’un correctif ayant ce statut nécessite un redémarrage, mais seulement que le nœud n’a pas été redémarré depuis l’installation du correctif.

 Non-Compliant (Non conforme)

INSTALLED_REJECTED

Le correctif est installé sur le nœud géré, mais il figure dans une liste Rejected patches (Correctifs rejetés). Cela signifie généralement que le correctif a été installé avant d'être ajouté à la liste des correctifs rejetés.

 Non-Compliant (Non conforme)

MISSING

Packages qui sont filtrés via le référentiel, mais ne sont pas encore installés.

 Non-Compliant (Non conforme)

FAILED

Packages dont l'installation a échoué pendant l'opération d'application de correctif.

 Non-Compliant (Non conforme)

Valeurs de conformité des correctifs pour les autres systèmes d'exploitation

Pour tous les systèmes d'exploitation autres que Debian Server et Ubuntu Server, les règles de classification des packages dans les différents états de conformité sont décrites dans le tableau suivant.

État du correctif Description Valeur de conformité

INSTALLED

Le correctif est répertorié dans le référentiel de correctifs et est installé sur le nœud géré. Il a pu être installé manuellement par une personne ou automatiquement par Patch Manager lors de l'exécution du document AWS-RunPatchBaseline sur le nœud.

 Conforme

INSTALLED_OTHER¹

Le correctif ne figure pas dans le référentiel, mais il est installé sur le nœud géré. Il y a deux raisons possibles à cela :

  1. Le correctif peut avoir été installé manuellement.

  2. Linux uniquement : le package a pu être installé en tant que dépendance obligatoire d’un correctif différent et approuvé. Si vous spécifiez Allow as dependency comme action sur les correctifs rejetés, les correctifs installés en tant que dépendances se voient attribuer le statut de signalement INSTALLED_OTHER.

    Notez que Windows Server ne prend pas en charge le concept de dépendances de correctifs. Pour plus d’informations sur la manière dont Patch Manager gère les correctifs dans la liste des correctifs rejetés sur Windows Server, consultez Options de la liste des correctifs rejetés dans les référentiels de correctifs personnalisés.

 Conforme

INSTALLED_REJECTED

Le correctif est installé sur le nœud géré, mais il figure dans une liste Rejected patches (Correctifs rejetés). Cela signifie généralement que le correctif a été installé avant d'être ajouté à la liste des correctifs rejetés.

 Non-Compliant (Non conforme)

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOT peut signifier une des deux choses suivantes :

  • L'opération Install de Patch Manager a appliqué le correctif sur le nœud géré, mais le nœud n'a pas été redémarré depuis l'application du correctif. Cela signifie généralement que le paramètre RebootOption a été défini sur NoReboot lors de la dernière exécution du document AWS-RunPatchBaseline sur le nœud géré.

    Pour de plus amples informations, veuillez consulter Nom du paramètre: RebootOption.

  • Un correctif a été installé en dehors de Patch Manager depuis le dernier redémarrage du nœud géré.

Dans les deux cas, cela ne signifie pas qu’un correctif ayant ce statut nécessite un redémarrage, mais seulement que le nœud n’a pas été redémarré depuis l’installation du correctif.

 Non-Compliant (Non conforme)

MISSING

Le correctif est approuvé dans le référentiel, mais il n'est pas installé sur le nœud géré. Si vous configurez la tâche de document AWS-RunPatchBaseline pour l'analyse (au lieu de l'installation), le système signale ce statut pour les correctifs qui ont été détectés lors de l'analyse, mais qui n'ont pas été installés.

 Non-Compliant (Non conforme)

FAILED

Le correctif est approuvé dans la référence, mais il n'a pas pu être installé. Pour résoudre ce problème, passez en revue la sortie de commande afin d'accéder à des informations supplémentaires susceptibles de vous aider à comprendre ce qui se passe.

 Non-Compliant (Non conforme)

NOT_APPLICABLE¹

Ce statut de conformité est uniquement signalé sur les systèmes d’exploitation Windows Server.

Le correctif est approuvé dans le référentiel, mais le service ou la fonction qui l'utilise n'est pas installé sur le nœud géré. Par exemple, un correctif relatif à un service de serveur web tel qu'Internet Information Services (IIS) indique NOT_APPLICABLE s'il a été approuvé dans le référentiel, alors que le service web n'est pas installé sur le nœud géré. Un patch peut également être marqué NOT_APPLICABLE s'il a été remplacé par une mise à jour ultérieure. Cela signifie que la mise à jour ultérieure est installée et que la NOT_APPLICABLE mise à jour n'est plus requise.

 Ne s’applique pas
AVAILABLE_SECURITY_UPDATES

Ce statut de conformité est uniquement signalé sur les systèmes d’exploitation Windows Server.

Un correctif de mise à jour de sécurité disponible qui n’est pas approuvé par le référentiel de correctifs peut avoir une valeur de conformité de Compliant ou Non-Compliant, comme défini dans un référentiel de correctifs personnalisé.

Lorsque vous créez ou mettez à jour un référentiel de correctifs, vous choisissez le statut que vous souhaitez attribuer aux correctifs de sécurité disponibles mais non approuvés car ils ne répondent pas aux critères d’installation spécifiés dans le référentiel de correctifs. Par exemple, les correctifs de sécurité que vous souhaitez installer peuvent être ignorés si vous avez spécifié une longue période d’attente après la publication d’un correctif avant l’installation. Si une mise à jour du correctif est publiée pendant la période d’attente que vous avez spécifiée, la période d’attente pour l’installation du correctif recommence. Si le délai d’attente est trop long, plusieurs versions du correctif peuvent être publiées mais ne jamais être installées.

Pour le décompte récapitulatif des correctifs, lorsqu’un correctif est signalé comme AvailableSecurityUpdate, il est toujours inclus dans AvailableSecurityUpdateCount. Si le référentiel est configuré pour signaler ces correctifs comme NonCompliant, il est également inclus dans SecurityNonCompliantCount. Si le référentiel est configuré pour signaler ces correctifs comme Compliant, il n’est pas inclus dans SecurityNonCompliantCount. Ces correctifs sont toujours signalés avec une gravité non spécifiée et ne sont jamais inclus dans CriticalNonCompliantCount.

Conforme ou Non conforme, selon l’option sélectionnée pour les mises à jour de sécurité disponibles.

Note

En utilisant la console pour créer ou mettre à jour un référentiel de correctifs, vous spécifiez cette option dans le champ Statut de conformité des mises à jour de sécurité disponibles. AWS CLI À l'aide de la update-patch-baselinecommande pour exécuter create-patch-baselineou, vous spécifiez cette option dans le available-security-updates-compliance-status paramètre.

¹ Pour les correctifs avec l’état INSTALLED_OTHER et NOT_APPLICABLE, Patch Manager omet certaines données dans les résultats des requêtes basées sur la commande describe-instance-patches, comme les valeurs pour Classification et Severity. Cela permet d’éviter de dépasser la limite de données pour les nœuds individuels dans l’iventaire, un outil d’ AWS Systems Manager. Pour voir tous les détails des correctifs, vous pouvez utiliser la commande describe-available-patches.